Warunki przetwarzania danych osobowych

Warunki przetwarzania danych osobowych

1. Wprowadzenie

Niniejsze Warunki dotyczą usług świadczonych przez podmiot sprzedający ZF wymieniony

w Umowie o świadczenie usług i w imieniu jego podmiotów stowarzyszonych (dalej określanych zbiorczo „Podmiot przetwarzający”) Klientowi, który korzysta z Usług zgodnie z poniższym opisem (dalej zwanym „Klientem” lub „Administratorem”).

Administrator i Podmiot przetwarzający są zbiorczo nazywani dalej „Stronami” lub indywidualnie „Stroną”. Podmiot przetwarzający dostarcza Klientowi usługi IoT, usługi przewozu osób na żądanie oraz inne produkty i usługi („Usługi”) zgodnie z opisem w Umowie o świadczenie usług i Warunkach świadczenia usług telematycznych i Internetu rzeczy (zbiorczo określanych „Umowa o świadczenie usług”) zawartych między Podmiotem przetwarzającym a Klientem.

Zważywszy, że w zakresie, w jakim świadczenie Usług wymaga udostępniania i przetwarzania Danych osobowych między Stronami, niniejsze Warunki szczegółowe, na podstawie których mogą one otrzymywać Dane osobowe przekazywane przez drugą Stronę, uzyskiwać dostęp do nich oraz dokonywać ich dalszego przetwarzania, jeśli — oraz w zakresie, w jakim — Podmiot przetwarzający przetwarza Dane osobowe jako Podmiot przetwarzający w imieniu Xxxxxxx w odniesieniu do Usług świadczonych Klientowi przez Podmiot przetwarzający na mocy Umowy o świadczenie usług.

ZF jest globalną grupą dostarczającą rozwiązania i technologie dla branży samochodowej i przemysłu. Opracowuje ona, produkuje i sprzedaje między innymi rozwiązania telematyczne oparte na chmurze i rozwiązania Internetu Rzeczy (IoT). Tego rodzaju rozwiązania mogą obejmować sprzęt, oprogramowanie i powiązane usługi. Wszystkie te elementy umożliwiają połączenie pojazdów i innych urządzeń, pozwalając klientom na cyfrowe zarządzanie usługami przewozu osób na żądanie. Odpowiedni system przeznaczony do obsługi cyfrowego rozwiązania opartego na chmurze (dalej zwany „Produktem”) jest używany przez Klienta. Jeżeli to możliwe i w dozwolonym zakresie, dane gromadzone za pośrednictwem Produktu można przechowywać, zarządzać nimi i uzyskiwać do nich dostęp na platformie w chmurze udostępnianej przez Podmiot przetwarzający. W zależności od konkretnego rozwiązania i w dozwolonym zakresie Produkt może udostępniać ustawienia zarządzania danymi, które można włączać lub wyłączać. Mogą to być, między innymi gromadzenie danych powiązanych ze zdarzeniami, tryby prywatności pozwalające na blokowanie przetwarzania danych, rozmywanie danych dostępnych na platformie w chmurze lub ograniczone okresy przechowywania danych. Klient ponosi pełną odpowiedzialność za zapewnienie zgodności z prawem użytkowania Produktu. Dotyczy to również jego ustawień zarządzania danymi i to niezależnie od ich domyślnych wartości. Niniejszym Klient zaręcza Podmiotowi przetwarzającemu, że przyjmując rolę Administratora danych, będzie przetwarzać dane zawsze zgodnie z obowiązującymi przepisami dotyczącymi ochrony danych osobowych, a także będzie zapewniać podstawę prawną do przetwarzania danych osobowych, taką jak wyraźna zgoda Podmiotu danych, jeżeli wymaga

tego prawo lokalne. Klient zobowiązuje się też do zmiany ustawień zarządzania danymi przed pierwszym użyciem Produktu, jeżeli jest to niezbędne do zapewnienia zgodności użytkowania Produktu z przepisami.

Niniejsze Warunki przetwarzania Danych osobowych obowiązują w przypadku, w którym między Stronami nie podpisano oddzielnej umowy o przetwarzanie danych osobowych. Taka podpisana umowa o przetwarzanie danych osobowych będzie nadrzędna w stosunku do wszystkich sprzecznych warunków określonych w niniejszych Warunkach.

2. Definicje

a. Terminy zdefiniowane w Umowie

o świadczenie usług zawartej między Podmiotem przetwarzającym a Administratorem mają w niniejszych Warunkach przetwarzania Danych osobowych („Warunkach”) takie samo znaczenie.

b. Dla celów niniejszych Warunków terminy

„Dane osobowe”, „Szczególne kategorie danych”,

„Przetwarzać/Przetwarzanie”, „Administrator” (lub

„Administrator danych”), „Podmiot przetwarzający” (lub „Podmiot przetwarzający dane”), „Inny podmiot przetwarzający”, „Osoba, której dane dotyczą” oraz

„Naruszenie ochrony danych osobowych” mają to same znaczenie, co w obowiązujących przepisach w zakresie ochrony danych. 3. „Przepisy w zakresie ochrony danych” oznaczają Ogólne rozporządzenie

o ochronie danych 2016/679 („RODO”) oraz uzupełniające przepisy krajowe Państw członkowskich EOG, dyrektywę UE 2002/58/WE z dnia 12 lipca 2002 r. dotyczącą przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej, wprowadzone w życie w przepisach krajowych Państw członkowskich EOG, które mogą być co jakiś czas zmieniane, uchylane, zastępowane bądź uzupełniane, jak również wszelkie inne przepisy czy regulacje w zakresie ochrony danych i prywatności mające zastosowanie do Danych osobowych, których administratorem jest każda ze Stron.

3. Cel i warunki

Niniejsze Warunki dotyczą wszelkich działań polegających na gromadzeniu, wykorzystywaniu, udostępnianiu oraz dalszym przetwarzaniu Danych osobowych przez Podmiot przetwarzający, jeśli — oraz w zakresie, w jakim — Podmiot przetwarzający przetwarza Dane osobowe jako Podmiot przetwarzający w imieniu Klienta w odniesieniu do Usług świadczonych Klientowi przez Podmiot przetwarzający na mocy Umowy o świadczenie usług.

Niniejsze Warunki zastępują wszystkie poprzednie umowy zawarte między Stronami w aspektach odnoszących się do przetwarzania Danych osobowych (bez anulowania tychże umów) z wyjątkiem ewentualnej szczególnej umowy

o przetwarzanie danych osobowych zawartej między Stronami. Niniejsze Warunki stanowią integralną część Umowy o świadczenie usług zawartej między Podmiotem przetwarzającym a Klientem. Niniejsze Warunki uważa się za obowiązujące od daty podpisania. Zachowują one pełną ważność i moc prawną do momentu rozwiązania Umowy o świadczenie usług. Okresowo niniejsze Warunki mogą być zmieniane przez Podmiot przetwarzający. Najnowsza obowiązująca wersja zawsze będzie dostępna na stronie internetowej Podmiotu przetwarzającego: xxxxx://xxx.xx.xxx/xx/xxxxx/xxxxxx-xxxxx-xxxxxxxxxx- orchestration

4. Zakres

Każda ze stron, w ramach jej możliwości, będzie przetwarzać Dane osobowe zgodnie z obowiązującym prawem o ochronie danych i wszelkimi innymi obowiązującymi przepisami, którym dana Strona podlega.

Typ danych

Administrator określił, że co najmniej jedna kategoria Danych osobowych będzie gromadzona, przetwarzana i wykorzystywana przez Podmiot przetwarzający na mocy niniejszych Warunków.

Dane osobowe przekazywane, przechowywane, wysyłane lub odbierane przez Klienta lub jego użytkowników końcowych przez Usługi, które mogą obejmować, w zależności od usług aktywowanych przez Administratora:

• imię i nazwisko;

• spseudonimizowane identyfikatory;

• nazwy logowania i hasła; adres;

• adres e-mail;

• numer telefonu;

metody i szczegóły płatności;

• dane geolokalizacyjne i

• szczegóły rezerwacji, podróży i tras.

Kategorie Podmiotów danych

Administrator określił następujące kategorie Podmiotów danych, których dane osobowe będą gromadzone, przetwarzane i używane przez Podmiot przetwarzający w ramach niniejszej Umowy o przetwarzaniu danych:

• Pracownicy Klienta

• Wykonawcy Klienta

• Personel klientów, dostawców i podwykonawców Klienta

• Każda inna osoba, która przesyła dane przez Usługi, włączając osoby współpracujące i komunikujące się z użytkownikami końcowymi Klienta

Przechowywanie danych

Podmiot przetwarzający nie przechowuje Danych osobowych w formie umożliwiającej identyfikację tożsamości osób, których dane dotyczą, przez okres dłuższy niż jest to niezbędne dla celów, dla których przetwarza on Dane osobowe za pomocą Usług, chyba że jest to w inny sposób wymagane lub dozwolone na mocy Przepisów w zakresie ochrony danych lub innych obowiązujących regulacji. Korzystając z Usług, Klient powinien określić i wyraźnie poinformować Podmiot przetwarzający

o obowiązujących okresach przechowywania. Może to być domyślny okres przechowywania dla produktu lub, o ile dotyczy, zarządzalny okres, który może być określany przez Klienta za pośrednictwem modułu Poufność danych w zestawie narzędzi. Po upływie tych okresów przechowywania Podmiot przetwarzający może usunąć Dane osobowe lub usunąć z nich dane umożliwiające identyfikację tożsamości. Przed wygaśnięciem tego okresu Klient wyeksportuje wszystkie niezbędne dane za pośrednictwem narzędzi. Przez przynajmniej sześć miesięcy od utworzenia Podmiot przetwarzający nie musi usuwać kopii Danych osobowych przechowywanych w formie automatycznych kopii zapasowych wygenerowanych przez siebie, które będą przechowywane w maksymalnym zakresie, aby zapewnić ciągłość działalności. Takie kopie zapasowe podlegają niniejszym Warunkom do czasu ich zniszczenia. Strony przyjmują do wiadomości i wyrażają zgodę na usunięcie przez Podmiot przetwarzający danych umożliwiających identyfikację

z Danych osobowych zgromadzonych, wygenerowanych oraz/lub przechowywanych w ramach świadczenia Usług oraz wykorzystywanie takich danych nieumożliwiających identyfikację w celach statystycznych, analitycznych, badawczych, komercyjnych, porównawczych i innych podobnych celach zgodnie z Przepisami w zakresie ochrony danych.

5. Obowiązki Podmiotu przetwarzającego

Jeżeli Podmiot przetwarzający (działając jako Podmiot przetwarzający) przetwarza Dane osobowe w imieniu Xxxxxxx (działającego jako Administrator danych):

a. Przetwarza lub zleca komuś przetworzenie takich Danych osobowych zgodnie z Przepisami w zakresie ochrony danych obowiązujących go jako Podmiotu przetwarzającego dane.

b. Przetwarza — oraz zapewnia, by jakakolwiek osoba działająca z jej upoważnienia przetwarzała — Dane osobowe w imieniu Administratora oraz w sposób zgodny z jej udokumentowanymi instrukcjami, jeśli nie wymaga tego prawo Unii lub Państwa członkowskiego UE, któremu podlega Podmiot przetwarzający. W takim przypadku przed rozpoczęciem przetwarzania Podmiot przetwarzający poinformuje Administratora o takim wymogu prawnym, chyba że prawo takie zabrania przetwarzania takich informacji z ważnych powodów dotyczących interesu publicznego. Niniejsze Warunki będą ograniczać się do udokumentowanych instrukcji przekazywanych Podmiotowi przetwarzającemu przez Administratora. Po poleceniu Administratora Podmiot przetwarzający może również poprawić, usunąć lub zablokować dane osobowe; zapewnić, że tylko przeszkolony personel ma dostęp do Danych osobowych.

c. Uwzględniając charakter przetwarzania oraz informacje dostępne dla Podmiotu przetwarzającego, zapewnia

on Administratorowi ekonomicznie uzasadnione wsparcie w przestrzeganiu jego zobowiązań wynikających z obowiązujących Przepisów w zakresie ochrony danych, w tym w dokonywaniu wszelkich niezbędnych ocen skutków dla ochrony danych.

d. Wdraża odpowiednie środki techniczne i organizacyjne wymagane przez obowiązujące Przepisy w zakresie ochrony danych, aby chronić Dane osobowe przed przypadkowym lub niezgodnym z prawem zniszczeniem, przypadkową utratą, zmianą, nieupoważnionym dostępem, ujawnieniem lub przekazaniem, niewłaściwym wykorzystaniem oraz przed innymi niezgodnymi z prawem formami przetwarzania, a co najmniej następujące środki bezpieczeństwa:

i. pseudonimizacja i szyfrowanie;

ii. środki przeznaczone do nieprzerwanego zapewnienia poufności, integralności, dostępności oraz elastyczności systemów przetwarzania oraz usług;

iii. środki przeznaczone do przywrócenia dostępności oraz dostępu do Danych osobowych we właściwym czasie w razie incydentu fizycznego bądź technicznego;

iv. regularne testy oraz oceny skuteczności technicznych i organizacyjnych środków bezpieczeństwa.

Zgodnie z Załącznikiem nr 1 Podmiot przetwarzający dokumentuje wdrażanie środków technicznych i organizacyjnych.

e. Udostępnia Administratorowi uzasadnione informacje konieczne do wykazania zgodności ze zobowiązaniami Podmiotu przetwarzającego do przestrzegania obowiązujących Przepisów w zakresie ochrony danych oraz umożliwia i przyczynia się do realizacji procesów audytu, w tym kontroli przeprowadzonych przez Administratora lub innego upoważnionego przez Administratora audytora. Podmiot

przetwarzający będzie udostępniać informacje zgodnie z tym punktem tylko, gdy informacje dotyczą przetwarzania przez Podmiot przetwarzający Danych osobowych w imieniu Administratora oraz tego rodzaju informacje są w posiadaniu Podmiotu przetwarzającego, i nie będzie to naruszać praw ani zobowiązań Podmiotu przetwarzającego w zakresie zachowania poufności lub ochrony prawnej ani w inny sposób osłabiać bezpieczeństwa lub integralności systemów lub danych.

f. Na podstawie prawa Administratora do przeprowadzenia audytu Podmiot przetwarzający otrzymuje przynajmniej cztery

(4) tygodnie wcześniej pisemne powiadomienie o planowanym audycie; audyt może być wykonywany nie częściej niż raz w roku, z wyjątkiem szczególnego żądania przeprowadzenia takiego audytu otrzymanego od organu nadzorczego w zakresie ochrony danych. Wszystkie audyty powinny być przeprowadzane w godzinach pracy i zgodnie z (i) wytycznymi dotyczącymi wyboru zewnętrznej firmy audytowej uzgodnionymi przez Strony i zatrudnionej na wyłączny koszt Administratora, (ii) szczegółowym planem audytu i jego zakresem sprawdzonymi i zatwierdzonymi przez Podmiot przetwarzający oraz (iii) obowiązującymi w zakładzie zasadami bezpieczeństwa Podmiotu przetwarzającego. Tego rodzaju audyty będą przeprowadzane wyłącznie w obecności wyznaczonego przedstawiciela Podmiotu przetwarzającego. Administrator udostępni Podmiotowi przetwarzającemu kopię raportu z audytu, który powinien być traktowany jak informacje poufne Podmiotu przetwarzającego. Zgodnie z Umową

o świadczenie usług Administrator będzie pokrywać wszystkie opłaty i wydatki Podmiotu przetwarzającego związane z przeprowadzaniem takiego audytu.

g. W odniesieniu do punktu (e) powyżej niezwłocznie powiadamia Administratora w przypadku opinii, że polecenie otrzymane od Administratora narusza Przepisy w zakresie ochrony danych.

h. Uwzględniając charakter przetwarzania oraz dostępne informacje, w uzasadniony sposób pomaga Administratorowi, korzystając z odpowiednich środków technicznych i organizacyjnych, na tyle, na ile to możliwe i w zakresie dozwolonym przez obowiązujące prawo, dotrzymywać obowiązku Administratora zapewniania Osobie, której dane dotyczą, informacji na temat gromadzenia, przetwarzania bądź wykorzystywania Danych

osobowych oraz odpowiada na żądania w zakresie realizacji praw Osoby, której dane dotyczą. Każdy wniosek Osoby, której dane dotyczą składany bezpośrednio do Podmiotu przetwarzającego jest kierowany do Administratora. Na tego typu wnioski może odpowiadać wyłącznie Administrator.

i. Niezwłocznie powiadamia Administratora danych osobowych o naruszeniach dotyczących Danych osobowych przetwarzanych przez Podmiot przetwarzający i, uwzględniając charakter przetwarzania oraz dostępne informacje, pomaga Administratorowi, na tyle, na ile jest to możliwe, w wypełnianiu jego zobowiązań, jeśli dojdzie do naruszenia Danych osobowych.

j. Zgodnie z wyborem Administratora po zakończeniu okresu świadczenia usług usuwa lub zwraca Administratorowi wszystkie Dane osobowe dotyczące przetwarzania i usuwa wszystkie istniejące kopie, chyba że w inny sposób są wymagane lub dozwolone przez prawo Unii lub Państwa członkowskiego. Strony przyjmują do wiadomości i uzgadniają, że jeżeli Administrator nie poinformuje Podmiotu przetwarzającego w ciągu [30 dni] od zakończenia świadczenia usług o konieczności usunięcia lub zwrócenia stosownych Danych osobowych, przyjmuje się, że Administrator poinformował Podmiot przetwarzający o usunięciu lub anonimizacji Danych osobowych zgodnie z zasadami i procedurami postępowania Podmiotu przetwarzającego. Jeżeli Administrator zdecyduje się na zwrócenie wszystkich Danych osobowych, Administrator powinien wyeksportować wszystkie niezbędne dane za pomocą narzędzi przed zakończeniem świadczenia Usług.

k. Zapewnia, by osoby (np. pracownicy) upoważnione do przetwarzania Danych osobowych zobowiązały się do zachowania poufności lub że ciąży na nich właściwy obowiązek umowny do zachowania poufności.

Administrator ma obowiązek pokrycia wszelkich opłat i wydatków Podmiotu przetwarzającego wynikających z zapewniania przez Podmiot przetwarzający wszelkich środków wsparcia na rzecz Administratora na podstawie tych Warunków.

6. Przetwarzanie podrzędne

a. W ramach niniejszych Warunków i Umowy o świadczenie usług Administrator udziela Podmiotowi przetwarzającemu ogólnego zezwolenia do zaangażowania innego podmiotu przetwarzającego do realizacji wszystkich lub części czynności przetwarzania na mocy niniejszych Warunków.

b. Uzgadnia się, że każdy Inny podmiot przetwarzający wskazany na wykazie w Załączniku 2 posiada wyraźne zezwolenie.

c. Podmiot przetwarzający jest zobowiązany powiadomić Administratora o wszelkich planowanych zmianach obejmujących dodawanie lub zamianę Innych podmiotów przetwarzających w swojej witrynie lub za pośrednictwem łącza,

o którym mowa w Załączniku 2.

d. W przypadku gdy Podmiot przetwarzający dokonuje jakichkolwiek uzgodnień lub rozważa przekazanie Danych osobowych przechowywanych na mocy niniejszych Warunków Innemu podmiotowi

przetwarzającemu oraz przetwarzanie ich przez niego, odbędzie się to na następujących warunkach:

i. Podmiot przetwarzający dokona takich działań jedynie drogą pisemnego porozumienia z Innym podmiotem przetwarzającym, które nakłada zasadniczo takie same zobowiązania na Inny podmiot przetwarzający, jakie niniejsze Warunki nakładają na Podmiot przetwarzający, w szczególności obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych w taki sposób, by przetwarzanie odbywało się zgodnie z właściwymi zobowiązaniami wynikającymi z obowiązujących Przepisów w zakresie ochrony danych.

ii. W przypadku przekazywania jakichkolwiek Danych osobowych obecnie lub w przyszłości poza obszar EOG do kraju, który nie zapewnia właściwego poziomu ochrony danych, należy zawrzeć standardowe klauzule umowne UE (z odpowiedniego modułu) lub wprowadzić inne właściwe mechanizmy przekazywania danych zgodne z obowiązującymi Przepisami ochrony danych.

iii. Jeżeli Inny podmiot przetwarzający nie wypełnia swoich obowiązków związanych z ochroną danych wynikających z takiej umowy pisemnej, Podmiot przetwarzający ponosi pełną odpowiedzialność przed Administratorem za działania Innego podmiotu przetwarzającego, z zastrzeżeniem postanowień o ograniczeniu odpowiedzialności uzgodnionych w niniejszych Warunkach.

7. Obowiązki Administratora

Administrator określa cel oraz środki przetwarzania Danych osobowych za pomocą Usług.

a. Administrator oświadcza, zaręcza i zobowiązuje się, że:

i. Podmiot przetwarzający uzyskuje zgodę na wykorzystywanie Danych osobowych w celu przetwarzania, jak zostało to określone w niniejszych Warunkach.

ii. Dane osobowe zostały zgromadzone w sposób zgodny z prawem i są przetwarzane zgodnie z Przepisami w zakresie ochrony danych.

iii. Zgodność z obowiązującymi Przepisami w zakresie ochrony danych jest zagwarantowana, gdy Administrator przekazuje Dane osobowe Podmiotowi przetwarzającemu w celu przestrzegania postanowień niniejszych Warunków i gdy przekazuje Podmiotowi przetwarzającemu instrukcje dotyczące sposobu przetwarzania Danych osobowych.

b. Strony przyjmują do wiadomości i uzgadniają, że Administrator ponosi wyłączną odpowiedzialność za powiadomienie i uzyskanie odpowiedniej zgody od osób, które korzystają ze świadczonych Usług, zgodnie z wymogami obowiązującego prawa.

c. Administrator powinien upewnić się, że dane są przetwarzane w sposób, który zapewnia bezpieczeństwo, w tym ochronę przed nieupoważnionym lub bezprawnym przetwarzaniem oraz przed przypadkową utratą, zniszczeniem lub uszkodzeniem, przy

użyciu odpowiednich środków technicznych lub organizacyjnych.

Administrator przechowuje akta z operacjami przetwarzania na jego odpowiedzialność, zgodnie z przepisami RODO, które powinny być przestrzegane w Usługach.

d. Administrator powinien, o ile jest to możliwe, wykonywać instrukcje Podmiotu przetwarzającego w zakresie sprawdzania zachowania zgodności z tymi przepisami przez Administratora i jego użytkowników oraz powinien niezwłocznie powiadomić Podmiot przetwarzający bez dalszej zwłoki, jeżeli Administrator dowie się, że naruszył swoje zobowiązania określone w niniejszym dokumencie lub nie może już ich wypełniać.

8. Cesja

Administrator przyjmuje do wiadomości, że Podmiot przetwarzający może wykonać cesję swoich zobowiązań związanych z rolą Podmiotu przetwarzającego swojemu podmiotowi zależnemu, stowarzyszonemu lub stronie trzeciej w przypadku sprzedaży lub przeniesienia całości lub części swojej działalności lub aktywów, w tym w razie przeprowadzenia fuzji, nabycia, reorganizacji, rozwiązania lub likwidacji.

9. Przekazywanie danych

W przypadku przekazywania Danych osobowych Klientowi spoza Europejskiego Obszaru Gospodarczego Strony uzgadniają, że przekazywanie Danych osobowych za granicę przez Podmiot przetwarzający podlega standardowym klauzulom umownym UE (z odpowiedniego modułu), chyba że transfer jest objęty decyzją Komisji Europejskiej w sprawie zapewnienia odpowiedniego poziomu ochrony.

10. Kalifornijska ustawa o ochronie prywatności konsumentów (CCPA)

W zakresie, w którym Podmiot przetwarzający otrzymuje wszelkie Dane osobowe Klienta podlegające ustawie CCPA w związku z korzystaniem przez Klienta z systemu DCS, Strony przyjmują do wiadomości i uzgadniają następujące:

(i) Podmiot przetwarzający jest Dostawcą usług świadczonych na rzecz Klienta w ramach przetwarzania Danych osobowych uzyskanych przez Usługi; (ii) Dane osobowe są ujawniane Podmiotowi przetwarzającemu w celach biznesowych określonych w Umowie o świadczenie usług; (iii) Podmiot przetwarzający nie będzie sprzedawać Danych osobowych ani, chyba że jest to w inny sposób dozwolone lub wymagane przez obowiązujące prawo, przechowywać, wykorzystywać lub ujawniać Danych osobowych (a) w celach innych niż świadczenie Usług, lub (b) w zakresie wykraczającym poza relacje biznesowe między Podmiotem przetwarzającym a Klientem; lub (iv) o ile nie jest to dozwolone przez prawo, Podmiot przetwarzający nie będzie łączyć Danych osobowych otrzymanych od Klienta z Xxxxxx osobowymi otrzymanymi przez Podmiot przetwarzający od innej osoby lub w jej imieniu albo gromadzonymi za pośrednictwem innych interakcji z xxxxx Xxxxxxxx. Każda Strona będzie wypełniać swoje zobowiązania wynikające z ustawy CCPA, wykonując stosowne działania określone w Umowie

o świadczenie usług, i będzie niezwłocznie powiadamiać drugą Stronę, jeżeli uzna, że nie jest w stanie wypełniać swoich zobowiązań wynikających z ustawy CCPA. Każda Xxxxxx może korzystać ze swoich praw określonych w Umowie

o świadczenie usług lub tych Warunkach w celu (i) podejmowania ekonomicznie uzasadnionych działań mających na celu zobowiązanie drugiej Strony do wykorzystywania Danych osobowych w sposób zgodny z jej obowiązkami wynikającymi z ustawy CCPA, i (ii) po pisemnym powiadomieniu podejmowania ekonomicznie uzasadnionych działań mających na celu zatrzymanie i zapobieganie nieupoważnionemu wykorzystywaniu Danych osobowych. W tym punkcie skrót „CCPA” odnosi się do Kalifornijskiej ustawy o ochronie prywatności konsumentów z 2018 r. z poprawkami wprowadzonymi przez Kalifornijską ustawę

o prawach do prywatności z 2020 r. (gdy obowiązują), a terminy „Cel biznesowy”,

„Konsument”, „Dane osobowe”, „Sprzedaż” i „Dostawca usług” będą miały znaczenie opisane w ustawie CCPA.

11. Odpowiedzialność prawna

Kwestie wzajemnej odpowiedzialności Stron wobec siebie za naruszenie postanowień niniejszych Warunków oraz ich obowiązków zabezpieczenia względem siebie przed roszczeniami stron trzecich wniesionymi przez jedną Stronę ze względu na umowne lub niezwiązane z umową naruszenie postanowień niniejszych Warunków lub Przepisów w zakresie ochrony danych przez drugą stronę regulują postanowienia o odpowiedzialności oraz zabezpieczeniu przedstawione w Umowie o świadczenie usług zawartej między Podmiotem przetwarzającym a Klientem w odniesieniu do odpowiednich Usług. Ponadto Klient zwalnia Podmiot przetwarzający z wszelkiej odpowiedzialności za wszystkie bezpośrednie lub pośrednie szkody Podmiotów danych wynikające z naruszenia przez niego tych Warunków użytkowania lub spowodowane przez przetwarzanie danych osobowych przez Klienta niezgodnie z obowiązującymi przepisami ochrony danych osobowych, chyba że Klient dowiedzie, że w żaden sposób nie ponosi odpowiedzialności za okoliczności, w wyniku których Podmiot danych poniósł szkodę. Klient zwalnia również Podmiot przetwarzający z odpowiedzialności za wszelkie szkody z tytułu roszczeń stron trzecich wnoszonych przeciwko Podmiotowi przetwarzającemu w wyniku naruszenia przez Klienta tych Warunków użytkowania lub spowodowanych przez przetwarzanie danych osobowych przez Klienta niezgodnie z obowiązującymi przepisami ochrony danych osobowych. Dotyczy to również kar administracyjnych nałożonych na Podmiot przetwarzający, gdzie zakres zwolnienia z odpowiedzialności będzie zależeć od udziału w odpowiedzialności, który Klient ponosi w związku z naruszeniem podlegającym karze administracyjnej.

12. Prawo właściwe oraz jurysdykcja Niniejsze Warunki podlegają prawu, które jest określone w Umowie o świadczenie usług (chyba że taki wybór prawa nie będzie prawomocny zgodnie z obowiązującym prawem kraju, w którym Administrator ma swoją siedzibę, w którym to wypadku prawem właściwym będzie prawo kraju, w którym Administrator ma swoją siedzibę).

Sądem właściwym do rozwiązywania jakichkolwiek sporów umownych lub niezwiązanych z umową wynikających z zapisów niniejszych Warunków bądź z nimi związanych będzie sąd wskazany w Umowie o świadczenie usług. Zapisy tego ustępu nie wpływają jednak na żadne zobowiązania ustawowe Stron wynikające z obowiązujących Przepisów w zakresie ochrony danych.

Załącznik 1: Środki techniczne i operacyjne Niniejszy Załącznik jest przeznaczony dla klientów i partnerów biznesowych. Określa on środki techniczne i organizacyjne mające na celu ochronę Danych osobowych przed nieupoważnionym dostępem, ujawnieniem, zmianami i utratą, zgodnie z Przepisami w zakresie ochrony danych.

Niniejszy dokument zawiera dodatkowe informacje na temat środków technicznych i organizacyjnych, które zostały wprowadzone dla celów ochrony danych przez Przetwarzającego.

BEZPIECZEŃSTWO SIECIOWE I CENTRUM DANYCH

Centra danych wykorzystywane przez Podmiot przetwarzający są certyfikowane. Wszystkie najważniejsze usługi biznesowe mają zapasowe zasoby zgodnie z wymogami usługi biznesowej.

Platforma ma funkcje umożliwiające automatyczne przywracanie sprawności i automatycznego skalowania w zależności od zapotrzebowania, aby zapewnić wysoką dostępność usług nawet podczas dużego obciążenia. Wykorzystuje ona również zasady izolacji i segregacji ułatwiające szybkie lokalizowanie problemów i zapobieganie zakłóceniom pracy całego systemu.

BUDYNKI PODMIOTU PRZETWARZAJĄCEGO

1. Kontrola dostępu (budynki / biura / centra przetwarzania danych) Podmiot przetwarzający wdrożył między innymi następujące środki w celu zabezpieczenia przed nieupoważnionym dostępem do systemów przetwarzania danych, w których przetwarzane są dane osobowe:

● Podczas wchodzenia do budynku pracownicy używają swojej karty / swojego klucza.

● Zabezpieczanie przed fizycznym dostępem osób nieupoważnionych do obiektów, budynków i pomieszczeń, w których znajdują się systemy przetwarzania danych, przetwarzające i/lub używające dane osobowe.

2. Kontrola dostępu (systemy)

Podmiot przetwarzający wdrożył między innymi następujące środki w celu uniemożliwienia nieupoważnionego użycia systemów przetwarzania danych przez osoby nieupoważnione:

● Firmowe systemy informacyjne są stale monitorowane.

● Pracownicy mają indywidualny terminal z osobistym numerem identyfikacyjnym i hasłem.

● Dostęp do najważniejszych systemów produkcyjnych mają wyłącznie przeszkoleni pracownicy.

● Dostęp na poziomie administratora wymaga przejścia procedury uwierzytelniania wieloskładnikowego.

● Każde zdarzenie uzyskania dostępu do platformy jest nadzorowane i monitorowane.

● Autoryzacje są przyznawane z zachowaniem zasady najniższego poziomu uprawnień.

● W systemie jest wdrożony mechanizm automatycznego wylogowania po określonym czasie braku aktywności.

● Po kilkukrotnym wprowadzeniu błędnego hasła następuje automatyczne wyłączenie się identyfikatora użytkownika, wraz z zapisem tego stanu w dzienniku zdarzeń (monitoring prób uzyskania dostępu).

● Wszyscy pracownicy są związani zapisami umowy o nieujawnianiu informacji poufnych. Wszelki dostęp do niepublikowanych danych jest monitorowany oraz realizowany wyłącznie, gdy jest to potrzebne. Prowadzona jest ciągła edukacja użytkowników na temat znaczenia bezpieczeństwa danych w firmie.

● Dostęp Podmiotu przetwarzającego realizowany jest przez funkcjonalny obszar odpowiedzialności, tj. zespół badań i rozwoju, zespół hostingowy, zespół obsługi klienta itp. Dostęp opiera się na rolach z regularnymi przeglądami członkostwa w grupach.

● Wszystkie (tajne) klucze używane przez platformę są przechowywane w sposób bezpieczny w bezpiecznym magazynie. W systemie wdrożono też harmonogram okresowej zmiany kluczy.

● Wdrożone są też systemy wykrywające nieupoważniony dostęp w czasie rzeczywistym, które zgłaszają go w systemie zarządzania zdarzeniami. Nieupoważniony dostęp do systemu można łatwo zablokować.

3. Kontrola dostępu (dane)

Podmiot przetwarzający wdrożył między innymi następujące środki w celu zapewnienia, że autoryzowani użytkownicy systemu przetwarzania danych mają dostęp wyłącznie do danych, do których mają zezwolenie, a także, aby zabezpieczyć Dane osobowe przed odczytywaniem w czasie używania, w ruchu lub postoju bez autoryzacji:

● Połączenia klientów są uwierzytelniane za pomocą uwierzytelniania wieloskładnikowego.

● Główny portal logowania z bezpiecznym dostępem do aplikacji klienta z zasadą rejestracji jednokrotnej, co może być łączone z uwierzytelnianiem dwuskładnikowym.

● System wykorzystuje najnowocześniejsze mechanizmy autoryzacji i uwierzytelniania, aby zapewnić bezpieczeństwo dostępu i zapobiegać nieupoważnionemu dostępowi.

4. Kontrola transferu

Podmiot przetwarzający wdrożył między innymi następujące środki w celu zapewnienia, że Dane osobowe nie mogą być odczytywane, kopiowane lub modyfikowane podczas transmisji elektronicznej albo podczas transportowania lub przechowywania na dysku. Dodatkowo, w celu kontroli i określania do jakich jednostek przekazywanie Danych osobowych dostarczonych przez wyposażenie komunikacyjne jest dozwolone:

● Wszystkie interakcje klienta przez Internet odbywają się za pośrednictwem bezpiecznych połączeń SSL/TLS. Wersja protokołu jest monitorowana i zgodna

z najnowszymi wymogami bezpieczeństwa firmowego.

● Wszystkie połączenia z bazą danych są szyfrowane, a bezpośredni dostęp do bazy danych (z wyjątkiem użytkowników specjalnych) nie jest możliwy ze względu na prywatny obszar zabezpieczony.

● Kopie zapasowe i dane w spoczynku są szyfrowane.

5. Kontrola wejścia

Podmiot przetwarzający wdrożył między innymi następujące środki w celu zapewnienia, że możliwe jest zapewnienie, kontrola i określenie, czy i przez kogo Dane osobowe zostały wprowadzone, zmienione lub usunięte w systemach przetwarzania danych:

● zasada autoryzacji kontrolująca wprowadzanie danych do pamięci, a także odczytywanie, modyfikowanie oraz usuwanie przechowywanych danych;

● uwierzytelnianie upoważnionego personelu;

● środki ochronne przy wprowadzaniu danych do pamięci, jak również odczytywaniu, modyfikowaniu oraz usuwaniu przechowywanych danych;

● używanie kodów użytkownika (hasła);

● przestrzeganie zasady, zgodnie z którą wszyscy członkowie personelu Podmiotu przetwarzającego, którzy mają dostęp do Danych osobowych przetwarzanych dla Klienta, resetują swoje hasła przynajmniej raz na 90 dni;

● zapewnienie, że wstęp do pomieszczeń przetwarzania danych (pomieszczenia ze sprzętem komputerowym i urządzeniami peryferyjnymi) może zostać zablokowany;

● automatyczne wylogowanie identyfikatorów użytkowników, które nie były używane przez dłuższy czas.

6. Kontrola zamówienia

Podmiot przetwarzający wdrożył między innymi następujące środki w celu zapewnienia, że Dane osobowe, które są przetwarzane przez Podmiot przetwarzający na wniosek właściciela danych, mogą być przetwarzane tylko zgodnie z zaleceniami właściciela danych:

Właściciel danych jest zawsze uprawniony do kontroli prawidłowego wykonywania wszystkich zamówionych przez niego prac. Podmiot przetwarzający dostarcza Klientowi odpowiednie informacje na temat wykonanych prac.

7. Kontrola dostępu

Podmiot przetwarzający wdrożył między innymi następujące środki w celu zapewnienia, że Dane osobowe są zabezpieczone przed przypadkowym zniszczeniem lub utratą: Patrz część „Centrum danych”.

8. Przetwarzanie segregowane

Podmiot przetwarzający wdrożył między innymi następujące środki w celu zapewnienia, że Dane osobowe zbierane w różnych celach mogą być odrębnie przetwarzane:

● Stosowane wzorce architektury tworzą i umożliwiają użycie przetwarzania segregowanego w różnych usługach biznesowych.

● Dostęp do danych jest segregowany przez stosowanie zabezpieczenia dla odpowiednich użytkowników.

● Istnieją odrębne środowiska obejmujące programistów, kontrolę jakości i produkcję.

● Sieć nie zezwala na komunikację między wschodem a zachodem, a także zastosowano inne środki sieciowe zapewniające przetwarzanie segregowane.

● Środowiska testowe i realne są oddzielone.

9. Inspektor ochrony danych

Podmiot przetwarzający wybrał Inspektora ochrony danych (IOD) zgodnie z postanowieniami RODO. Osoba ta będzie odpowiedzialna za zapewnienie zgodności z postanowieniami RODO oraz Przepisami w zakresie ochrony danych. Wszelkie pytania należy kierować do IOD na adres xxxxxxx.xxxxxxx@xx.xxx.

Załącznik 2: Wykaz Innych podmiotów przetwarzających

Przegląd aktualnej listy Podwykonawców przetwarzania, z których usług korzysta Podmiot przetwarzający, można znaleźć, klikając poniższe łącze: xxxxx://xx.xxx/xxxxx/xxxxxxxxxxxxx.