UMOWA O PRZETWARZANIU DANYCH
Niniejsza Umowa o Przetwarzaniu Danych („UPD”) odzwierciedla porozumienie stron dotyczące warunków regulujących Przetwarzanie Danych Osobowych Klienta na podstawie jakakolwiek obowiązująca pisemna umowa ramowa zawarta Dynatrace i regulująca sposób korzystania przez Klienta z Usług i wszelkie spokrewnione formularzy zamówienia i wykazu zakresu prac (razem „Umowa”). Niniejsza UPD stanowi zmianę do Umowy i wchodzi w życie z chwilą jej włączenia do Umowy, które to włączenie może być określone w Umowie, zamówieniu lub podpisanej zmianie do Umowy („Data Wejścia w Życie”).
Podpisując Umowę powierzenia przetwarzania danych osobowych (UPD) Dynatrace zawiera niniejszą UPD, która reguluje przetwarzanie Danych Osobowych dla Klienta przez Grupę Dynatrace.
Niniejsza umowa UPD podlega warunkom i jest w pełni włączona i stanowi część Umowy. Niniejsza UPD zastępuje wszelkie istniejące umowy dotyczące przetwarzania danych, chyba że wyraźnie określono inaczej w niniejszym dokumencie. W przypadku jakiegokolwiek konfliktu między niniejszą Umową a jakimkolwiek innym postanowieniem Umowy w odniesieniu do danych osobowych, niniejsza UPD będzie obowiązywać. Umowa UPD zawarta dla Próbnego Dostępu lub innego Swobodnego Wykorzystywania obowiązuje tylko przez okres takiego Próbnego Dostępu lub Swobodnego Wykorzystywania.
1. Definicje. Terminy pisane wielką literą, ale niezdefiniowane w niniejszej UPD mają znaczenia
określone w Umowie.
1.1 Dla celów niniejszej UPD:
(a) „Podmiot(-y) Powiązany(-e)" oznacza podmiot, który kontroluje, jest kontrolowany przez lub znajduje się pod wspólną kontrolą innego podmiotu, gdzie “kontrola” odnosi się do udziału własnościowego lub prawa do ponad 50% pozostających w obrocie akcji lub papierów wartościowych dających prawo do głosowania przy wyborze członków zarządu lub innych władz innego podmiotu.
(b) „Prawo Ochrony Danych” oznacza wszelkie ustawy i przepisy o ochronie danych dotyczące przetwarzania Danych Osobowych Klienta na podstawie Umowy, w tym, w stosownych przypadkach, Europejskie Prawo o Ochronie Danych oraz Pozaeuropejskie Prawo o Ochronie Danych.
(c) „Europejskie przepisy o ochronie danych” oznaczają wszystkie ustawy i przepisy dotyczące ochrony danych obowiązujące w Europie, w tym (i) Rozporządzenie 2016/679 Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (Ogólne rozporządzenie o ochronie danych) („RODO”); (ii) Dyrektywę 2002/58/WE dotyczącą przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej („Dyrektywa o prywatności i łączności elektronicznej”); (iii) szwajcarską ustawę federalną z dnia 19 czerwca 1992 r. w sprawie ochrony danych (SR 235.1) oraz (iv) brytyjskie ogólne rozporządzenie o ochronie danych stanowiące część przepisów prawa Anglii, Walii, Szkocji i Irlandii Północnej na mocy art. 3 ustawy z 2018 r. o wystąpieniu z Unii Europejskiej.
(d) „Pozaeuropejskie Prawo o Ochronie Danych” oznacza ustawy i przepisy o ochronie danych obowiązujące na całym świecie oprócz tych stosowanych w Europie, w tym x.xx. (i) Brazylijską ogólną ustawę o ochronie danych („LGPD”), (ii) Chińską ustawę o ochronie danych osobowych („PIPL”), (iii) Kalifornijską ustawę o ochronie prywatności konsumentów („CCPA”),
(iv) Utah Consumer Privacy Act („UCPA”), (v) oraz, kiedy wejdzie w życie, Ustawę o ochronie prywatności stanu Kolorado („CPA”) i Ustawę o ochronie danych konsumentów stanu Wirginia („VCDPA”).
(e) „Klient" oznacza osobę spoza Dynatrace będącą stroną zarówno Umowy (i/lub zamówienia na podstawie Umowy) jak i niniejszej UPD, każdy Podmiot Powiązany z osobą spoza Dynatrace, która podpisuje zamówienie na podstawie Umowy oraz każdy podmiot Klienta, którego pracownicy lub przedstawiciele mają dostęp do Usług jako Autoryzowany Użytkownik.
(f) „Dane Klienta” oznaczają wszelkie dane przekazane, przechowywane, umieszczone, wyświetlone lub w inny sposób przekazane przez lub w imieniu Xxxxxxx w trakcie korzystania z Usług, w tym wszelkie Xxxx Xxxxxxx Klienta.
(g) „Dane Osobowe Klienta” oznaczają wszelkie Dane Osobowe, które należą lub są kontrolowane przez Klienta, a które są przekazywane przez lub w imieniu Klienta do Dynatrace w związku z Usługami.
(h) „Dynatrace” oznacza podmiot Dynatrace będący stroną niniejszej UPD.
(i) „Dynatrace Group” oznacza podmiot Dynatrace, który jest stroną Umowy (i/lub zamówienia na podstawie Umowy) oraz niniejszej UPD, oraz może obejmować, o ile każdy z nich pełni rolę podmiotu przetwarzającego Dane Osobowe Klienta na podstawie niniejszej Umowy, Dynatrace, LLC, spółkę z ograniczoną odpowiedzialnością prawa stanu Delaware oraz jeden lub więcej podmiot zależnych Dynatrace LLC wymienionych na stronie xxxxx://xxx.xxxxxxxxx.xxx/xxxxxxx/xxxxxxxxx/ (z wyłączeniem Partnerów Głównych).
(j) „Europa” oznacza Unię Europejską, Europejski Obszar Gospodarczy i/lub ich państwa członkowskie, Szwajcarię i Zjednoczone Królestwo.
(k) „Incydent Bezpieczeństwa” oznacza każde przypadkowe, nieautoryzowane lub bezprawne zniszczenie, utratę, zmianę, ujawnienie lub dostęp do Danych Osobowych Klienta.
(l) „Usługi” oznaczają usługi świadczone przez Dynatrace na rzecz Klienta na podstawie Umowy.
(m) „Szczególne Kategorie Danych” oznaczają krajowy numer identyfikacyjny (np. numer ubezpieczenia społecznego), informacje zdrowotne i medyczne, informacje dotyczące rasy, narodowości, religii, przekonań filozoficznych; informacje dotyczące członkostwa w związkach zawodowych; informacje dotyczące karalności lub zarzutów o działalność przestępczą; informacje genetyczne i biometryczne oraz inne podobne rodzaje informacje podlegające zwiększonej ochronie na podstawie Prawa o Ochronie Danych.
(n) „Standardowe Klauzule Umowne” oznaczają Standardowe Klauzule Umowne wprowadzone na podstawie Decyzji Wykonawczej Komisji UE 2021/914/UE włączone do niniejszego dokumentu przez odniesienie
(o) „Podmiot Podprzetwarzający” oznacza każdą stronę trzecią (w tym każdy Podmiot Powiązany Dynatrace) zatrudniony przez Dynatrace do przetwarzania Danych Osobowych Klienta w imieniu Xxxxxxx lub który może otrzymać Dane Osobowe Klienta poprzez Usługi na podstawie postanowień Umowy.
(p) „Podmiot Zależny” oznacza podmiot zależy, który należy do strony w ponad pięćdziesięciu
procentach (50%).
(q) „Dodatek Brytyjski” oznacza Dodatek dotyczący międzynarodowego transferu danych dołączony do Standardowych Klauzul Umownych Komisji Europejskiej wydany przez brytyjski Urząd ds. Ochrony Danych (ang. UK Information Commissioner’s office) na podstawie art.
S119A ust. 1 ustawy z 2018 r. o ochronie danych dołączony do niniejszej Umowy w postaci Załącznika D.
(r) Terminy „Administrator”, „Podmiot Danych”, „Dane Osobowe”, „Podmiot Przetwarzający” i „przetwarzać/przetwarzany/przetwarzający” mają znaczenia nadane im na podstawie obowiązującego Prawa o Ochronie Danych.
2.1 Stosowalność. Niniejsza UPD ma zastosowanie, jeżeli Dynatrace przetwarza Dane Osobowe Klienta, które podlegają obowiązującemu Prawu o Ochronie Danych.
2.2 Zmiany w obowiązującym prawie. W przypadku jakiejkolwiek informacji pochodzącej od regulatora, lub jeżeli pojawi się nowa wytyczna, przepis lub zmian w obowiązującym prawie dotyczącym ochrony danych i prywatności, w tym obowiązującym Prawie o Ochronie Danych, która sprawi, że całość lub część UPD stanie się nieważna, niezgodna z prawem, niewykonalna lub w inny sposób wadliwa w świetle takiej wytycznej, przepisu lub zmiany, Dynatrace może poinformować Klienta o takich zmianach do niniejszej UPD, jakie uzna za konieczne, aby zapewnić UPD zgodność z prawem.
2.3 Funkcje Stron. W właściwym zakresie wynikającym z Europejskiego Prawa o Ochronie Danych lub Pozaeuropejskiego Prawa o Ochronie Danych, Klient, jako Administrator, wyznacza Dynatrace na Podmiot Przetwarzający do przetwarzania Danych Osobowych Klienta w imieniu Klienta. W określonych okolicznościach Klient może być Podmiotem Przetwarzającym, w którym to przypadku Klient wyznacza Dynatrace na podmiot podprzetwarzający Klienta, co nie zmienia zobowiązań Klienta ani Dynatrace wynikających z niniejszej UPD, ponieważ Dynatrace pozostanie Podmiotem Przetwarzającym w odniesieniu do Klienta. W takim przypadku Dynatrace i Klient podpiszą Moduł 3 Standardowych Klauzul Umownych.
3. Szczegóły Przetwarzania
3.1 Przedmiot, charakter, cel i czas trwania Przetwarzania, a także rodzaje Danych Osobowych oraz kategorie Podmiotów Danych, są opisane w Załączniku A do UPD. Klient potwierdza, że Dynatrace nie ma żadnej wiedzy na temat faktycznych danych i rodzajów Danych Osobowych zawartych w Danych Klienta. Strony postanawiają, że kompletne instrukcje Klienta dotyczące charakteru i celów Przetwarzania w związku z Usługami są podane w Umowie i niniejszej UPD. Wszelkie Dane Klienta, które nie są objęte zakresem tych instrukcji będą traktowane jako Informacje Poufne. W przypadku konfliktu pomiędzy postanowieniami Umowy lub niniejszej UPD, postanowienia niniejszej UPD mają znaczenie nadrzędne w odniesieniu do Przetwarzania Danych Osobowych Klienta.
3.2 Dynatrace będzie informować Klienta, jeżeli w jej uzasadnionej opinii, instrukcje Klienta dotyczące przetwarzania mogą naruszyć obowiązujące Prawo o Ochronie Danych. W takim przypadku Xxxxxxxxx ma prawo odmówić Przetwarzania Danych Osobowych Klienta, gdy uzna, że narusza obowiązujące Prawo o Ochronie Danych do czasu, aż Klient zmieni swoją instrukcję w taki sposób, aby nie powodowała naruszenia. Klient nie może polegać na takiej informacji i powinien uzyskać we własnym zakresie niezależną poradę prawną, jeżeli chce ustalić, czy instrukcja otrzymana przez Xxxxxxxxx, którą Dynatrace uznaje za naruszającą jest faktycznie naruszająca lub może powodować naruszenie.
3.3 Klient będzie przekazywać Dynatrace tylko takie Dane Osobowe Klienta, których Dynatrace potrzebuje w celu wykonywania swoich zobowiązań wynikających z Umowy. Klient ponadto przyjmuje do wiadomości, ż Usługi nie wymagają potrzeby przetwarzania żadnych Szczególnych Kategorii Danych. Dla uniknięcia wątpliwości, żadnego postanowienia zawartego w niniejszej Umowie nie należy interpretować jako umożliwiającego Klientowi przesyłanie lub przekazywanie w inny sposób do Dynatrace Informacji Zastrzeżonych, ponieważ ten warunek jest zdefiniowany w art. 1.25 Ramowej Umowy Subskrypcyjnej Dynatrace dostępnej na stronie
xxxxx://xxx.xxxxxxxxx.xxx/xxxxxxx/xxxxx/xxxxxxxxx.
4. Obowiązki Klienta.
4.1 Klient, jako Administrator, ma obowiązek zapewnić, że w związku z Danymi Osobowymi Klienta
i Usługami:
(a) przestrzega i będzie dalej przestrzegać obowiązującego Prawa o Ochronie Danych, a jeżeli obowiązujące Prawo o Ochronie Danych będzie wymagać od Podmiotu Danych otrzymania zawiadomienia lub udzielenia zgody na Przetwarzanie i/lub przekazanie swoich Danych osobowych Klienta do Dynatrace, to Klient przekaże takie zawiadomienie i, w stosownych przypadkach, uzyska taką ważną zgodę od właściwych Podmiotów Danych i
(b) posiada i będzie dalej posiadać upoważnienie do przekazywania Danych Osobowych Klienta do Dynatrace celem Przetwarzania w sposób przewidziany Umową lub niniejszą UPD.
4.2 Jeżeli Klient jest podmiotem przetwarzającym występującym w imieniu zewnętrznego Administratora, Klient zapewnia Dynatrace, że instrukcje i działania Klienta dotyczące tych Danych Osobowych Klienta, w tym wyznaczenie Dynatrace do pełnienia funkcji dodatkowego Podmiotu Przetwarzającego, zostały zatwierdzone przez właściwego Administratora.
4.3 Klient będzie informować swoje Podmioty Danych, w sposób wymagany prawem, na temat korzystania przez siebie z Podmiotów Przetwarzających do Przetwarzania ich Danych Osobowych Klienta, w tym Dynatrace.
5. Poufność
5.1 Dynatrace zapewni, że każda osoba, którą upoważnia do przetwarzania Danych Osobowych Klienta (w tym jej personel, przedstawiciele lub podwykonawcy) będzie podlegać obowiązkowi zachowania poufności (bez względu na to, czy jest to obowiązek umowny czy ustawowy).
6.1 Środki Bezpieczeństwa. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych
o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, Dynatrace wdrożyła i będzie stosować odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku związanemu z przetwarzaniem Danych Osobowych Klienta („Środki Bezpieczeństwa”). Klient potwierdza, że wdrożenie przez Dynatrace Środków Bezpieczeństwa określonych w Załączniku B jest wystarczające dla celów spełnienia jego zobowiązań wynikających z niniejszej UPD. Niezależnie od powyższego, Xxxxxx przyjmuje do wiadomości i potwierdza, że jest odpowiedzialny za swoje bezpieczne korzystanie z Usług.
6.2 Incydenty Bezpieczeństwa. Dynatrace będzie informować Klienta niezwłocznie i nie później niż jest to wymagane na podstawie obowiązującego Prawa o Ochronie Danych, gdy poweźmie wiedzę
o Incydencie Bezpieczeństwa dotyczącym Danych Osobowych Klienta. Dynatrace niezwłocznie przeprowadzi dochodzenie w celu wyjaśnienia okoliczności związanych z Incydentem Bezpieczeństwa, a swoje ustalenia udostępni Klientowi. Na żądanie Klienta i uwzględniając charakter Przetwarzania i informacje dostępne Dynatrace, Dynatrace podejmie ekonomicznie uzasadnione działania, aby pomóc Klientowi w spełnieniu jego obowiązków i umożliwić mu zgłoszenie istotnych Incydentów Bezpieczeństwa właściwym organom i/lub poszkodowanym Podmiotom Danych, jeżeli Klient ma taki obowiązek na podstawie obowiązującego Prawa o Ochronie Danych. Zgłoszenie(-a) Incydentów Bezpieczeństwa będą dostarczane do jednego lub kilku administratorów Klienta za pośrednictwem środków, które Dynatrace wybierze, w tym poczty elektronicznej. W wyłącznej gestii Klienta leży zapewnienie, że administratorzy Klienta będą udostępniać dokładne dane kontaktowe na portalu internetowym lub w inny sposób wymagany przez Dynatrace wskazany w pisemnym
zawiadomieniu do administratora(-ów) Klienta. Obowiązek Dynatrace dotyczący zgłaszania lub reagowania na Incydent Bezpieczeństwa na podstawie niniejszego artykułu nie stanowi potwierdzenia przez Dynatrace żadnej winy ani odpowiedzialności z tytułu Incydentu Bezpieczeństwa. Klient musi niezwłocznie informować Dynatrace o każdym ewentualnym przypadku nadużycia jego kont lub danych uwierzytelniających lub każdym incydencie bezpieczeństwa związanym z Usługami.
7.1 Klient zgadza się, że Dynatrace może zatrudniać Podmioty Podprzetwarzające, w tym członków Grupy Dynatrace, do przetwarzania Danych Klienta na rzecz Klienta. Na stronie xxxxx://xxx.xxxxxxxxx.xxx/xxxxxxx/xxxxx/xxxxxxxxx/ Dynatrace prowadzi aktualny wykaz wszystkich Podmiotów Podprzetwarzających wykorzystywanych do świadczenia Usług, którzy mogą Przetwarzać
(a) Dane Klienta (które mogą obejmować Dane Osobowe Klienta) lub (b) inne Dane Osobowe Klienta otrzymane przez Dynatrace od Klienta w ramach Usług na podstawie Umowy („Wykaz Podmiotów Podprzetwarzających”). W Dniu Wejścia w Życie Klient udziela ogólnej zgody na wyznaczenie Podmiotów Przetwarzających z Wykazu Podmiotów Przetwarzających, którzy będą wspierać Grupę Dynatrace w świadczeniu Usług poprzez Przetwarzanie Danych Osobowych Klienta zgodnie z niniejszą UPD.
7.2 Przed dodaniem lub zmianą Podmiotów Podprzetwarzających Dynatrace zawiadomi o tym Klienta, co może polegać na aktualizacji Listy Podmiotów Podprzetwarzających na stronie internetowej, o której mowa w art. 7.1, na co najmniej 30 dni przed datą rozpoczęcia przez Podmiot Podprzetwarzający przetwarzania Danych Osobowych Klienta. Dynatrace udostępni sposób, za pomocą którego Klient może zapisać się, by móc odbierać powiadomienia o zmianach na Liście Podmiotów Podprzetwarzających (co może obejmować x.xx. udostępnienie kanału RSS).
7.3 Jeżeli Klient sprzeciwi się przetwarzaniu Danych Osobowych Klienta przez nowo wyznaczony Podmiot Podprzetwarzający, jak opisano w art. 7.2 (z uzasadnionych powodów), musi o tym poinformować Dynatrace na piśmie w ciągu 15 dni od przekazania przez Dynatrace powiadomienia, podając konkretne powody swojego sprzeciwu. Klient nie może bez uzasadnienia sprzeciwiać się planowanej zmianie którychkolwiek Podmiotów Podprzetwarzających. W przypadku, gdy Klient zgłosi sprzeciw w tym terminie z uzasadnionych powodów dotyczących ochrony Danych Osobowych Klienta, strony w dobrej wierze postarają się rozwiązać problem wynikający uzasadnionego sprzeciwu Klienta, a następnie przystąpić do korzystania z danego Podmiotu Podprzetwarzającego w celu wykonywania takiego Przetwarzania. Jeżeli strony nie dojdą do porozumienia co do korzystania z nowego Podmiotu Podprzetwarzającego w ciągu dwudziestu (20) dni od zgłoszenia sprzeciwu, Dynatrace, według uznania Dynatrace: (a) poleci Podmiotowi Podprzetwarzającemu, aby nie przetwarzał Danych Osobowych Klienta, co może spowodować zawieszenie lub niedostępność Usługi dla Klienta albo
(b) umożliwi Klientowi rozwiązanie niniejszej UPD i Umowy za trzymiesięcznym wypowiedzeniem, a Dynatrace niezwłocznie zwróci proporcjonalną część przedpłaconych opłat za okres, po takiej dacie zawieszenia lub rozwiązania. Jeżeli Xxxxxxxxx nie otrzyma sprzeciwu w wyżej określonym terminie, uznaje się, że Klient zgodził się na korzystanie z nowego Podmiotu Podprzetwarzającego.
7.4 Dynatrace: (i) zawrze pisemną umowę z każdym Podmiotem Podprzetwarzającym zawierającą zobowiązania do ochrony danych, które będą zapewniać co najmniej taki sam stopień ochrony dla Danych Klienta, co zobowiązania zawarte w niniejszej UPD, w zakresie właściwym dla charakteru usługi świadczonej przez taki Podmiot Podprzetwarzający i (ii) pozostanie odpowiedzialna za przestrzeganie przez taki Podmiot Podprzetwarzający zobowiązań wynikających z niniejszej UPD i za działania i zaniechania takiego Podmiotu Podprzetwarzającego, które spowodują, że Dynatrace naruszy którekolwiek ze swoich zobowiązań wynikających z niniejszej UPD.
8. Usuwanie lub Zwrot Danych Klienta
8.1 Po rozwiązaniu lub wygaśnięciu Umowy i na żądanie Klienta, Dynatrace zwróci lub usunie Dane Osobowe Klienta, które przetwarza w imieniu Klienta, za wyjątkiem danych, które należy zachować na podstawie obowiązującego prawa lub w zakresie, w jakim zostały zarchiwizowane w systemach kopii zapasowych, w którym to przypadku postanowienia niniejszej UPD zachowują ważność.
9. Międzynarodowe Transfery Danych
9.1 Klient upoważnia Dynatrace i jej Podmioty podprzetwarzające do przesyłania Danych Klienta przez granice międzynarodowe, w tym między innymi z EOG, Wielkiej Brytanii do Stanów Zjednoczonych. Strony uzgadniają, że Standardowe Klauzule Umowne zostają niniejszym włączone przez odniesienie do niniejszej Umowy o ochronie danych w następujący sposób a poniższe podpisy stanowią podpisanie Standardowych Klauzul Umownych i wszelkich załączonych do nich załączników. Gdy przekazywanie Danych osobowych Klienta od Klienta („Podmiot przekazujący dane”) do Dynatrace („Podmiot odbierający dane”) stanowi przekazywanie zastrzeżone, a przepisy o ochronie danych wymagają wprowadzenia prawidłowego mechanizmu przekazywania, przekazywanie podlega Standardowym Klauzulom Umownym.
9.2 Standardowe Klauzule Umowne należy wypełnić w następujący sposób:
(a) Moduł drugi będzie miał zastosowanie (jeśli dotyczy);
(b) W Klauzuli 7 (Przystąpienie) zastosowanie ma opcjonalna klauzula dokowania;
(c) W Klauzuli 9 (Korzystanie z Podmiotów Podprzetwarzających) stosuje się opcję 2 „Ogólna Pisemna Zgoda” dla podmiotów podprzetwarzających, a okres czasu dla uprzedniego powiadomienia został określony w art. 7.2 niniejszej UPD;
(d) W klauzuli 11 (Dochodzenie roszczeń) język opcjonalny nie ma zastosowania;
(e) W Klauzuli 13 (Nadzór) właściwym organem nadzorczym jest Commission nationale de
l’informatique et des libertes (CNIL).
(f) W Klauzuli 17 (Prawo właściwe), Standardowe Klauzule Umowne podlegają prawu francuskiemu;
(g) W Klauzuli 18(b) (Wybór forum i jurysdykcji), strony zgadzają się, że spory będą rozstrzygane przed sądami francuskimi;
(h) Aneks 1 do Standardowych Klauzul Umownych zostanie uzupełniony informacjami określonymi w Załączniku A do niniejszej Umowy o ochronie danych; oraz
(i) Aneks 2 do Standardowych Klauzul Umownych zostanie uzupełniony informacjami określonymi w Załączniku B do niniejszej Umowy o ochronie danych.
9.3 W zakresie, w jakim świadczenie przez Dynatrace Usług obejmuje transfer Danych Osobowych Klienta ze Zjednoczonego Królestwa do państwa trzeciego, które nie zostało uznane za państwo zapewniające odpowiedni poziom ochrony dla Danych Osobowych Klienta, stosuje się i wypełnia Standardowe Klauzule Umowne w sposób określony w art. 9.2. oraz obowiązuje Dodatek Brytyjski zawarty w Załączniku D.
10. Postanowienia różne
10.1 Umowa zachowuje pełną moc i skutek, za wyjątkiem zmian wprowadzonych niniejszą UPD.
10.2 W zakresie, w jakim Dynatrace przetwarza Dane Klienta pochodzące z jednej z jurysdykcji wymienionych w Załączniku C i chronione przez obowiązujące w niej Prawo o Ochronie Danych, wówczas postanowienia określone w Załączniku C dotyczące właściwej(-ych) jurysdykcji („Postanowienia Uzupełniające”) stosuje się w uzupełnieniu do postanowień niniejszej UPD. W przypadku konfliktu lub rozbieżności z innymi postanowieniami niniejszej Umowy, wiążące są Postanowienia Uzupełniające.
10.3 Z chwilą włączenia niniejszej UPD do Umowy strony zgadzają się na Moduł 2 Standardowych Klauzul
Umownych (w stosownych przypadkach) i wszystkie załączniki dołączone do niego, chyba że Klient jest podmiotem przetwarzającym, w którym to przypadku strony podpiszą Moduł 3 Standardowych Klauzul Umownych. W przypadku konfliktu lub niezgodności pomiędzy niniejszą UPD a Standardowymi Klauzulami Umownymi, nadrzędne znaczenie mają Standardowe Klauzule Umowne, przy czym Podmiot Przetwarzający może wyznaczyć Podmioty Podprzetwarzające jak określono i zgodnie z wymaganiami art. 7 niniejszej UPD.
10.4 Bez względu na postanowienia przeciwne zawarte w Umowie lub niniejszej UPD, odpowiedzialność każdej strony oraz wszystkich jej Podmiotów Powiązanych, traktowana łącznie, wynikająca lub związana z niniejszą UPD, jakimkolwiek zamówieniem lub Umową, z tytułu umowy, czynu zabronionego lub na innej podstawie, podlega artykułowi Umowy „Ograniczenie Odpowiedzialności”, a każde odwołanie w tym artykule do odpowiedzialności strony oznacza łączną odpowiedzialność tej strony i wszystkich jej Podmiotów Powiązanych na podstawie Umowy i niniejszej UPD, wraz ze wszystkimi Załącznikami. Dynatrace nie ponosi odpowiedzialności wobec Klienta za pośrednie lub wtórne straty lub szkody, utratę zysków, utratę sprzedaży, utratę działalności, utratę przewidywanych oszczędności, utratę lub uszkodzenie wartości firmy lub w inny sposób w każdym przypadku, zarówno bezpośrednim, jak i pośrednim z lub w związku z niniejszym UPD. Bez ograniczania zobowiązań którejkolwiek ze stron wynikających z Umowy lub niniejszej UPD, Klient zgadza się, że zobowiązanie poniesione przez Dynatrace w odniesieniu do Danych Osobowych Klienta, która powstało w wyniku lub w związku z nieprzestrzeganiem przez Klienta jego zobowiązań wynikających z niniejszej UPD lub obowiązującego Prawa o Ochronie Danych będzie wliczane na poczet i będzie zmniejszać limit odpowiedzialności Dynatrace wynikający z Umowy (lub w stosownych przypadkach, z niniejszej UPD), jak gdyby była to odpowiedzialność Klienta.
10.5 Niniejsza UPD jest regulowana i interpretowana zgodnie z postanowieniami Umowy dotyczącymi prawa i sądu właściwego.
ZAŁĄCZNIK A SZCZEGÓŁY PRZETWARZANIA
Opis Podmiotu Przekazującego Dane
Podmiot Przekazujący Dane to podmiot oznaczony jako „Klient” w Umowie Przetwarzania Danych, do której niniejszy Załącznik jest dołączony, zawartej pomiędzy podmiotem przekazującym dane i podmiotem otrzymującym dane.
Opis Podmiotu Otrzymującego Dane
Importerem danych jest podmiot oznaczony jako „Dynatrace” w Umowie Powierzenia Przetwarzania Danych zawartej pomiędzy eksporterem danych i importerem danych, do której niniejszy załącznik został dołączony.Przedmiot Przetwarzania
Przedmiot i czas trwania przetwarzania jest następujący:
Zgodnie z ustaleniami stron, Klient jest Administratorem określonych Danych Osobowych Klienta przekazywanych Dynatrace przez Klienta w związku z korzystaniem przez niego z Usług.. Czas trwania przetwarzania to okres obowiązywania Umowy.
Cele Przetwarzania
Przetwarzanie jest konieczne w następujących celach:
Umożliwienie Dynatrace świadczenia Usług na rzecz Klienta oraz wykonywania jej praw i obowiązków wynikających z Umowy
Podmioty Danych
Podmiotami danych mogą być: (i) użytkownicy uprawnieni przez Klienta do korzystania z Usług Dynatrace i (ii) użytkownicy lub osoby odwiedzające monitorowane aplikacje i/lub strony internetowe Klienta (w tym x.xx. pracownicy, klienci, przedstawiciele, wykonawcy i doradcy Klienta) ustalone według własnego uznania Klienta.
Rodzaj Danych Osobowych
Klient ma obowiązek przekazać określone Dane Osobowe w celu korzystania z Usług, w tym adres IP oraz imię i nazwisko, jeżeli są zawarte w adresie poczty elektronicznej użytkownika i danych uwierzytelniających użytkownika. Klient może przekazać dodatkowe Dane Osobowe do Usług, których zakres jest ustalony i kontrolowany przez Klienta według jego wyłącznego uznania.
Szczególne kategorie danych (w stosownych przypadkach)
Przekazywane Dane Osobowe dotyczą następujących szczególnych kategorii danych:
Nie dotyczy. Klient nie może używać Usług do przetwarzania jakichkolwiek danych oznaczonych jako
„szczególne kategorie danych” lub „Informacje Zastrzeżone”, chyba że za wyraźną pisemną zgodą.
Czynności Przetwarzania
Przekazywane dane osobowe będą podlegają następującym podstawowym czynnościom przetwarzania: Dynatrace przetwarza Dane Osobowe Klienta tylko w zakresie niezbędnym do świadczenia Usług
i wykonywania swoich praw i obowiązków zawartych w postanowieniach Umowy oraz niniejszej Umowie Przetwarzania Danych, w tym x.xx. na potrzeby wsparcia klienta, wsparcia technicznego, usług specjalistów, poprawy wydajności i funkcji produktu, uwierzytelniania użytkownika, komunikacji i administrowania kontami.
ZAŁĄCZNIK B ŚRODKI BEZPIECZEŃSTWA
Dynatrace (zwana również “Podmiotem Przetwarzającym”) wdroży przynajmniej takie techniczne i organizacyjne środki bezpieczeństwa, jakie opisano poniżej w odniesieniu do Danych Osobowych Klienta, które Przetwarza w imieniu Xxxxxxx (zwanego również „Administratorem”). Takie środki bezpieczeństwa będą stosowane do wszystkich Danych Osobowych Klienta, które podlegają zasadniczej umowie pomiędzy Podmiotem Przetwarzającym a Administratorem („Umowa”). W odniesieniu do zewnętrznych podmiotów podprzetwarzających, które mogą przetwarzać Dane Osobowe w imieniu Xxxxxxxxx, taki podmiot zewnętrzny będzie posiadać swoje własne wymagania bezpieczeństwa do ochrony Danych Osobowych.
Środki techniczne
1.1 Autoryzacja
(a) W przypadkach, gdy w różnych celach stosowane są różne profile autoryzacji, stosowany będzie
system autoryzacji.
1.2 Identyfikacja
(a) Każdemu Autoryzowanemu Użytkownikowi należy wydać osobisty i indywidualny kod identyfikacyjny dla tego celu („Identyfikator Użytkownika”). Identyfikatora Użytkownika nie można przypisać innej osobie, nawet w późniejszym terminie.
(b) Będzie prowadzona aktualna ewidencja Autoryzowanych Użytkowników oraz udzielonego im autoryzowanego dostępu. Zostaną wprowadzone procedury identyfikacji i uwierzytelniania na potrzeby dostępu do systemów informatycznych lub przetwarzania Danych. Stosowany tutaj termin „Przetwarzanie” dotyczy każdej czynności lub szeregu czynności, które są wykonywane na Danych, bez względu na to, czy w sposób zautomatyzowany, takich jak gromadzenie, zapisywanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, konsultowanie, użytkowanie, ujawnianie przez przesłanie, rozpowszechnianie lub udostępnianie w inny sposób, dopasowywanie lub łączenie, blokowanie, usuwanie lub niszczenie.
(c) Hasła muszą być okresowo zmieniane w sposób określony w Regulaminach Bezpieczeństwa
Informacji.
1.3 Uwierzytelnianie
(a) Autoryzowani Użytkownicy będą mogli Przetwarzać Dane, jeżeli otrzymają dane uwierzytelniające pozwalające na pomyślne wykonanie procedury uwierzytelniania dotyczącej albo konkretnej czynności Przetwarzania albo szeregu czynności Przetwarzania.
(b) Uwierzytelnienie musi być oparte na tajnym haśle powiązanym z Identyfikatorem Użytkownika
i które to hasło będzie znane tylko Autoryzowanemu Użytkownikowi.
(c) Autoryzowanemu Użytkownikowi zostaną przypisane lub będą z nim związane pojedyncze lub wielokrotne dane uwierzytelniające.
(d) Musi być wprowadzona procedura poufności i integralności hasła. Hasła muszą być przechowywane w sposób, który sprawi, że będą nieczytelne, ale pozostaną ważne. Należy wprowadzić procedurę przypisywania, dystrybuowania i przechowywania haseł.
(e) Hasła muszą składać się z co najmniej dwunastu znaków, lub jeżeli nie jest to techniczne umożliwione przez systemy informatyczne, hasło musi składać się z maksymalnie dozwolonej
liczby znaków. Hasła nie mogą zawierać żadnego elementu, który można łatwo powiązać z Autoryzowanym Użytkownikiem odpowiedzialnym za Przetwarzanie i muszą być zmieniane w regularnych odstępach, które to odstępy muszą być określone w dokumencie bezpieczeństwa. Po pierwszym użyciu, a później okresowo Autoryzowany Użytkownik musi zmieniać hasło na wartość tajną znaną tylko Autoryzowanemu Użytkownikowi.
(f) Dane uwierzytelniające muszą zostać zdezaktywowane, jeżeli Autoryzowany Użytkownik zostanie wyłączony, przeniesiony lub pozbawiony autoryzacji dostępu do systemów informatycznych lub prawa do Przetwarzania Danych.
1.4 Kontrole dostępu
(a) Tylko Autoryzowani Użytkownicy mają dostęp do Danych, w tym w przypadku, gdy są one przechowywane na przenośnych nośnikach lub przesyłane. Autoryzowani Użytkownicy mają autoryzowany dostęp tylko do tych danych i zasobów, które są im potrzebne do wykonywania obowiązków.
(b) Należy stosować system udzielania Autoryzowanym Użytkownikom dostęp do wyznaczonych
danych i zasobów.
(c) Należy co pół roku sprawdzać, czy wymagania wstępne dotyczące utrzymywania właściwych profili autoryzacyjnych dalej obowiązują. Dotyczyć to może również listy Autoryzowanych Użytkowników sporządzonej według jednorodnych kategorii zadań i odpowiadającego im profilu autoryzacji.
(d) Należy wprowadzić środki, które będą uniemożliwiać użytkownikowi uzyskanie nieautoryzowanego dostępu i korzystanie z systemów informatycznych. W szczególności w celu ochrony systemów informatycznych przez nieautoryzowanym dostępem należy zainstalować systemy wykrywania włamań zgodne z najlepszymi praktykami branżowymi.
(e) System operacyjny i kontrole dostępu do baz danych muszą być prawidłowo skonfigurowane, aby zapewnić tylko autoryzowany dostęp.
(f) Tylko autoryzowani pracownicy mogą udzielać, zmieniać lub anulować dostęp użytkowników do
systemów informatycznych.
1.5 Zarządzanie systemami komputerowymi i wymiennymi nośnikami
(a) Sieciowe systemy informatyczne i nośniki fizyczne przechowujące Dane muszą być umieszczone w bezpiecznym miejscu, do którego dostęp fizyczny jest ograniczony tylko do pracowników, którzy są upoważnieni do uzyskania takiego dostępu. Należy zapewnić ścisłą kontrolę autoryzacji i dostępu.
(b) Oprogramowanie, oprogramowanie sprzętowe i sprzęt używany w systemach informatycznych musi podlegać corocznemu przeglądowi w celu wykrycia i usunięcia słabych punktów i błędów w systemach informatycznych.
(c) Aby nie dopuścić do nieautoryzowanego dostępu i Przetwarzania należy wprowadzić regulaminy i szkolenia dotyczące przechowywania i korzystania z nośników, na których przechowywane są Dane.
(d) W przypadku, gdy nośniki mają być zlikwidowane lub ponownie użyte należy podjąć niezbędne czynności, aby uniemożliwić pobranie Danych lub innych informacji, które były na nich wcześniej przechowywane lub uniemożliwić odczytanie lub zrekonstruowanie informacji za pomocą środków technicznych zanim zostaną wycofane. Przez likwidacją lub ponownym użyciem
wszystkie nośniki wielokrotnego użycia należy nadpisać co najmniej trzy razy przypadkowymi
danymi.
(e) Zabieranie z wyznaczonych miejsc nośników zawierających Dane wymaga konkretnej zgody Administratora i musi być zgodne z regulaminami Dynatrace.
(f) Nośniki zawierające Dane należy wyczyścić lub uniemożliwić ich odczytanie, jeżeli nie będą już używane lub zanim zostaną prawidłowo zlikwidowane.
1.6 Dystrybucja lub transmisja
(a) Dane mogą być dostępne tylko dla Autoryzowanych Użytkowników.
(b) Do ochrony Danych przesyłanych elektronicznie w sieci publicznej lub przechowywanych na urządzeniu przenośnym lub w przypadku, gdy istnieje wymóg przechowywania lub Przetwarzania Danych w słabo zabezpieczonym miejscu należy stosować szyfrowanie (128- bitowe lub mocniejsze) lub inną równorzędną formę zabezpieczenia.
(c) W przypadku, gdy Xxxx mają opuścić wyznaczone miejsce z powodu czynności konserwacyjnych, należy podjąć niezbędne środki, aby nie dopuścić do nieautoryzowanego pozyskania Danych i innych informacji.
(d) W przypadku, gdy Dane są przesyłane do przekazywane w elektronicznej sieci komunikacyjnej należy wprowadzić środki umożliwiające kontrolę przepływu danych i zapisanie czasu ich transmisji lub przekazania, samych Danych, miejsca docelowego przesyłanych lub przekazywanych Danych oraz dane Autoryzowanego Użytkownika, który je przesyła lub przekazuje.
1.7 Zabezpieczenie, kopie zapasowe i odzyskiwanie Danych
(a) Należy ustalić i wprowadzić procedury dotyczące sporządzania kopii zapasowych i odzyskiwania Danych. Procedury te muszą zostać odtworzone w stanie, w jakim znajdowały się w momencie ich utraty lub zniszczenia.
(b) Kopie zapasowe muszą być sporządzane co najmniej raz w tygodniu, chyba że w tym okresie żadne Dane nie zostały zaktualizowane.
(c) Kopia zapasowa i procedury odzyskiwania danych muszą być przechowywane w miejscu innym niż miejsce, w którym znajdują się systemy informatyczne Przetwarzające Dane, a niniejsze minimalne wymogi bezpieczeństwa mają zastosowanie do takich kopii zapasowych.
1.8 Oprogramowanie antywirusowe i wykrywanie włamań
(a) W systemach informatycznych należy zainstalować oprogramowanie antywirusowe i systemy wykrywania włamań w celu ochrony przed atakami lub innymi nieuprawnionymi działaniami w odniesieniu do systemów informacyjnych. Oprogramowanie antywirusowe i systemy wykrywania włamań powinny być regularnie aktualizowane zgodnie z najlepszymi praktykami branżowymi dla danych systemów informatycznych (co najmniej raz w roku).
1.9 Testowanie
(a) W testach poprzedzających wdrożenie lub modyfikację systemów informatycznych Przetwarzających Dane nie wykorzystuje się rzeczywistych ani „żywych" danych, chyba że takie wykorzystanie jest konieczne i nie ma rozsądnej alternatywy. W przypadku wykorzystania
rzeczywistych lub „żywych" danych, ogranicza się je do zakresu niezbędnego do celów testowania i należy zagwarantować poziom bezpieczeństwa odpowiadający rodzajowi Przetwarzanych danych.
1.10 Audyt
(a) Należy przeprowadzać regularne audyty zgodności z niniejszymi wymogami bezpieczeństwa, co
najmniej raz w roku.
(b) Wyniki muszą zawierać opinię na temat stopnia zgodności przyjętych środków bezpieczeństwa i kontroli z niniejszymi wymaganiami w zakresie bezpieczeństwa, określać wszelkie niedociągnięcia oraz (ewentualnie) proponować środki naprawcze lub uzupełniające. Powinny również zawierać dane, fakty i spostrzeżenia, na podstawie których sformułowano opinie, oraz proponowane zalecenia.
2. Środki organizacyjne
2.1 Plan i dokument dotyczący bezpieczeństwa
(a) Środki przyjęte w celu spełnienia wymagań bezpieczeństwa muszą być przedmiotem Regulaminów Bezpieczeństwa Informacji Spółki i podane na portalu bezpieczeństwa, który będzie aktualizowany za każdym razem, gdy w systemie(-ach) informatycznym(-ych) lub środkach technicznych lub organizacyjnych zostaną wprowadzone istotne zmiany.
(b) Regulaminy Bezpieczeństwa Informacji obejmują:
(i) środki bezpieczeństwa związane z modyfikacją i utrzymaniem systemu(-ów) wykorzystywanego(-ych) do Przetwarzania Danych, w tym rozwoju i utrzymaniem aplikacji, odpowiednim wsparciem sprzedawcy oraz spis sprzętu i oprogramowania;
(ii) bezpieczeństwo fizyczne, w tym bezpieczeństwo budynków lub pomieszczeń, w których odbywa się Przetwarzanie Danych, bezpieczeństwo sprzętu do przetwarzania danych i infrastruktury telekomunikacyjnej oraz kontrole środowiskowe; oraz
(iii) bezpieczeństwo komputerów i systemów telekomunikacyjnych, w tym procedury zarządzania kopiami zapasowymi, procedury postępowania z wirusami komputerowymi, procedury zarządzania sygnałami/kodami, bezpieczeństwo wdrażania oprogramowania, bezpieczeństwo związane z bazami danych, bezpieczeństwo podłączania systemów do Internetu, kontrola obchodzenia systemu(-ów) danych, mechanizmy ewidencjonowania prób przełamania zabezpieczenia systemu lub uzyskania nieuprawnionego dostępu.
(c) Plan bezpieczeństwa musi obejmować wszystkie okresowo aktualizowane regulaminy
Dynatrace, w tym między innymi:
(i) Kodeks Etyki i Postępowania w Biznesie
(ii) Globalna Polityka Ochrony Danych
(iii) Regulamin Dopuszczalnego Użytkowania IT
(iv) Regulaminy Bezpieczeństwa Systemowego:
• Regulamin Szyfrowania Dynatrace
• Regulamin Dostępu do Sieci Dynatrace
• Regulamin Bezpieczeństwa Fizycznego Dynatrace
• Regulamin Haseł do Kont Sieciowych Dynatrace
• Regulamin Zwrotu Mienia przez Zwalnianych Pracowników
• Regulamin Bezpieczeństwa Dynatrace
• Regulamin dotyczący Świadomości Bezpieczeństwa Dynatrace
• Regulamin Zarządzania Podatnością na Zagrożenia
• Regulamin Bezpieczeństwa Miejsc Pracy Dynatrace
(d) Plan bezpieczeństwa musi być dostępny dla personelu, który ma dostęp do Danych i systemów
informatycznych oraz musi obejmować co najmniej następujące aspekty:
(i) Zakres z wyszczególnieniem chronionych zasobów;
(ii) Środki, standardy, procedury, zasady kodeksu postępowania i normy mające na celu zagwarantowanie bezpieczeństwa, w tym kontrolę, inspekcję i nadzór nad systemami informatycznymi;
(iii) Procedury zgłaszania incydentów, zarządzania nimi i reagowania na nie; oraz
(iv) Procedury tworzenia kopii zapasowych i odzyskiwania Danych, obejmujące członka personelu, który podjął się czynności Przetwarzania, przywrócone Dane oraz w stosownych przypadkach, dane, które należało wprowadzić ręcznie w procesie odzyskiwania.
2.2 Funkcje i obowiązki personelu
(a) Tylko członkowie personelu, którzy mają uzasadnioną potrzebę operacyjną, aby uzyskać dostęp do systemów informatycznych lub przeprowadzić jakiekolwiek Przetwarzanie Danych, są do tego upoważnieni („Autoryzowani Użytkownicy").
(b) Zostaną podjęte niezbędne środki w celu przeszkolenia personelu i zapoznania go z minimalnymi wymogami bezpieczeństwa, wszystkimi stosownymi regulaminami oraz obowiązującymi przepisami dotyczącymi wykonywania swoich funkcji i obowiązków w odniesieniu do Przetwarzania Danych oraz konsekwencji ewentualnego naruszenia tych wymogów.
(c) Funkcje i obowiązki pracowników mających dostęp do Danych i systemów informatycznych
muszą być wyraźnie określone poprzez role w zakresie bezpieczeństwa aplikacji.
(d) Autoryzowani Użytkownicy zostaną pouczeni, że sprzęt elektroniczny nie powinien pozostawać bez nadzoru ani być udostępniany podczas sesji Przetwarzania. Fizyczny dostęp do miejsc, w których przechowywane są jakiekolwiek Dane, musi być ograniczony do Autoryzowanych Użytkowników. Środki dyscyplinarne w przypadku naruszenia planu bezpieczeństwa muszą być jasno określone i udokumentowane, a personel musi zostać o nich poinformowany.
2.3 Dyrektor ds. Bezpieczeństwa
(a) Osoba lub osoby odpowiedzialne za ogólną zgodność z niniejszymi minimalnymi wymogami bezpieczeństwa zostaną wyznaczone do pełnienia funkcji Dyrektora ds. Bezpieczeństwa Informacji. Dyrektor ds. Bezpieczeństwa Informacji zostanie odpowiednio przeszkolony oraz musi posiadać doświadczenie w zarządzaniu bezpieczeństwem informacji oraz dysponować odpowiednimi zasobami, aby skutecznie zapewnić zgodność z wymogami.
(b) Dane kontaktowe Dyrektora ds. Bezpieczeństwa Informacji będą przekazywane Administratorowi na żądanie.
2.4 Prowadzenie dokumentacji
(a) Historia dostępu Autoryzowanego Użytkownika do Danych lub ich ujawnienia musi być zapisywana w postaci bezpiecznej ścieżki audytu.
(b) Tylko odpowiednio upoważniony personel może mieć fizyczny dostęp do pomieszczeń,
w których przechowywane są systemy informatyczne i nośniki przechowujące Dane.
(c) Należy wprowadzić procedurę zgłaszania i reagowania na incydenty bezpieczeństwa, takie jak naruszenie bezpieczeństwa danych, oraz zarządzania takimi incydentami. Musi ona obejmować co najmniej:
(i) procedurę zgłaszania takich incydentów/naruszeń do właściwego kierownictwa;
(ii) wyznaczony zespół do zarządzania reakcją na incydent i koordynowania nią pod kierownictwem Dyrektora ds. Bezpieczeństwa Informacji;
(iii) udokumentowany proces zarządzania reakcją na incydent, w tym wymóg prowadzenia odpowiednich dzienników problemów i działań, zawierających informacje o czasie wystąpienia incydentu, osobie zgłaszającej incydent, osobie, której zgłoszono incydent oraz jego skutkach;
(iv) wymóg nałożony na Podmiot Przetwarzający, by bez zbędnej zwłoki powiadomił Administratora, jeżeli nastąpi naruszenie bezpieczeństwa prowadzące do przypadkowego lub bezprawnego zniszczenia, utraty, zmiany, nieuprawnionego ujawnienia lub uzyskania dostępu do Danych przekazywanych, przechowywanych lub w inny sposób przetwarzanych przez Podmiot Przetwarzający oraz
(v) Zespół ds. bezpieczeństwa/zarządzania incydentami Podmiotu Przetwarzającego powinien w stosownych przypadkach współpracować z przedstawicielami Administratora ds. bezpieczeństwa do czasu właściwego rozwiązania incydentu lub naruszenia.
(vi) Procedura zgłaszania incydentów, zarządzania nimi i reagowania na nie musi być testowana co najmniej raz w roku.
ZAŁĄCZNIK C POSTANOWIENIA UZUPEŁNIAJĄCE
BRAZYLIA:
1. Żądania Podmiotów Danych: Usługi zapewniają Klientowi funkcję dostępu do Danych Klienta, którą Klient może wykorzystać do pomocy przy realizacji jego zobowiązań związanych z reagowaniem na żądania kierowane przez Podmioty Danych dotyczące możliwości skorzystania przez nie z przysługujących im praw na podstawie LGPD („żądanie podmiotu danych” lub „ŻPD”) lub przez organy ochrony danych. Jeżeli Klient ma obowiązek odpowiedzieć na ŻPD i nie jest w stanie uzyskać dostępu do właściwych Danych Osobowych Klienta z Danych Klienta w ramach Usług korzystając z takiej funkcji lub w inny sposób, to przy uwzględnieniu charakteru Przetwarzania, Dynatrace (na żądanie Klienta) udzieli Klientowi stosownej pomocy przy użyciu odpowiednich środków technicznych i organizacyjnych, o ile to będzie możliwe, aby umożliwić Klientowi (lub jego zewnętrznemu Administratorowi) udzielenie odpowiedzi na ŻPD lub organom kontrolnym lub sądowym w sprawie dotyczącej Przetwarzania Danych Osobowych Klienta na podstawie Umowy. W przypadku, gdy ŻPD zostanie skierowane bezpośrednio do Dynatrace, Dynatrace niezwłocznie przekaże taki komunikat do Klienta i nie odpowie na takie ŻPD bez wyraźnej zgody Klienta. Powyższe nie zabrania Dynatrace skontaktowania się z Podmiotem Danych, jeśli z treści komunikatu nie wynika w sposób racjonalny, do którego klienta Dynatrace odnosi się ŻPD.
2. Przekazywanie danych. Dynatrace nie będzie przekazywać Danych Osobowych Klienta do innej jurysdykcji, chyba że jest to dozwolone przez LGPD. Przekazując Dane Osobowe Klienta poza Brazylię, Dynatrace będzie przestrzegać zasad i praw podmiotów danych oraz obowiązków w zakresie ochrony danych określonych w LGPD.
UNIA EUROPEJSKA, EUROPEJSKI OBSZAR GOSPODARCZY, ZJEDNOCZONE KRÓLESTWO I
SZWAJCARIA:
1. Obowiązki Klienta. Klient poinformuje Podmioty Danych, zgodnie z wymogami prawa, że ich Dane Osobowe Klienta mogą być przetwarzane poza Unią Europejską, Europejskim Obszarem Gospodarczym, Zjednoczonym Królestwem i Szwajcarią.
2. Przenoszenie danych. Klient przyjmuje do wiadomości i zgadza się, że Dynatrace i jego Podmioty Podprzetwarzające mogą prowadzić czynności przetwarzania danych w krajach spoza Unii Europejskiej, Europejskiego Obszaru Gospodarczego lub Szwajcarii i mogą Przetwarzać Dane Osobowe Klienta poza tymi krajami. Będzie to miało zastosowanie nawet wtedy, gdy Klient uzgodnił z Dynatrace, że będzie korzystał z instancji w chmurze Usług hostowanych przez Dynatrace zlokalizowanych w Unii Europejskiej, Europejskim Obszarze Gospodarczym lub Szwajcarii, jeśli takie przetwarzanie poza UE jest konieczne do świadczenia usług związanych ze wsparciem lub innych usług zamówionych przez Klienta zgodnie z Umową. W zakresie, w jakim Dynatrace Przetwarza jakiekolwiek Dane Osobowe Klienta w imieniu Klienta, strony zgadzają się, że w przypadku wszelkich transferów Danych Osobowych Klienta do krajów spoza Unii Europejskiej, Europejskiego Obszaru Gospodarczego lub Szwajcarii (w przypadku, gdy taki kraj nie jest uznawany za kraj o odpowiednim poziomie ochrony przez Komisję Europejską lub inny organ nadzorczy) oraz w zakresie, w jakim takie transfery podlegają RODO, Dynatrace zgadza się Przetwarzać takie Dane Osobowe Klienta zgodnie ze Standardowymi Klauzulami Umownymi dołączonymi (Moduł 2), w tym aneksami do nich i dla tych celów Dynatrace zgadza się, że będzie „podmiotem otrzymującym dane", a Klient i/lub jego Podmioty Powiązane, w zależności od przypadku, będzie/będą „podmiotem przekazującym dane" zgodnie ze Standardowymi Klauzulami Umownymi. Przed dokonaniem transferu Danych Osobowych Klienta z terenu Zjednoczonego Królestwa Dynatrace i Klient uzgodnią odpowiedni
sposób zalegalizowania transferów danych ze Zjednoczonego Królestwa, w tym x.xx. zawarcie wymienionych wyżej Standardowych Klauzul Umownych oraz Załącznika Brytyjskiego.
STANY ZJEDNOCZONE:
Kalifornia:
1. Definicje. „Dane Osobowe", „Dostawca Usług", „Sprzedaż" i „Cel Komercyjny" mają definicje określone w Kalifornijskiej ustawie o ochronie danych osobowych (CCPA). Każde odniesienie do Danych Osobowych w niniejszym dokumencie jest odniesieniem do Danych Osobowych posiadanych lub kontrolowanych przez Klienta, do których Dostawca uzyskuje dostęp lub je przetwarza w trakcie świadczenia Usług.
2. Dostawca Usług. Klient i Dynatrace zgadzają się, że Xxxxxxxxx jest Dostawcą Usług dla Klienta i świadczy Usługi w celu, który odpowiada definicji „celu biznesowego" zawartej w art. 1798.140(d)(5) CCPA, z ewentualnymi zmianami. Dynatrace nie może: (1) zatrzymywać, wykorzystywać ani ujawniać Danych Osobowych otrzymanych od Klienta lub w jego imieniu, w Celu Komercyjnym, który nie jest niezbędny do świadczenia Usług zgodnie z Umową, ani (2) sprzedawać, użyczać, ujawniać, wydawać, przesyłać, udostępniać, ani w inny sposób przekazywać Danych Osobowych żadnej osobie trzeciej w zamian za wynagrodzenie pieniężne lub inne świadczenie wzajemne. Dynatrace zaświadcza, że rozumie powyższe ograniczenia i będzie ich przestrzegać. Klient jest odpowiedzialny za zapewnienie zgodności z wymaganiami CCPA podczas korzystania z Usług i własnego przetwarzania Danych Osobowych.
Załącznik D: Załącznik Brytyjski
Dodatek dotyczący międzynarodowego transferu danych (IDTA) dołączony do Standardowych Klauzul Umownych Komisji Europejskiej
Tabela nr 1: Strony i podpisy
Data obowiązywania: | Niniejszy IDTA obowiązuje od dnia Wejścia w Życie | |
Strony | Eksporter (który przesyła ograniczony transfer) | Importer (który odbiera ograniczony transfer) |
Dane Stron | Firma: jak podano w rubryce z podpisem Nazwa (jeżeli inna): Adres główny (jeżeli jest to adres siedziby): Jak podano w rubryce z podpisem Urzędowy numer rejestrowy (o ile istnieje) (numer spółki lub podobny identyfikator): | Firma: jak podano w rubryce z podpisem Nazwa (jeżeli inna): Adres główny (jeżeli jest to adres siedziby): Jak podano w rubryce z podpisem Urzędowy numer rejestrowy (o ile istnieje) (numer spółki lub podobny identyfikator): |
Kluczowe osoby do kontaktu | Imię i nazwisko: Stanowisko: Xxxx kontaktowe, w tym adres e- mail: | Imię i nazwisko: Stanowisko: Inspektor ochrony danych Dane kontaktowe, w tym adres e- mail: Xxxxxxx.XXX@xxxxxxxxx.xxx |
Podpisy (jeżeli wymagany dla celów art. 2) | Imię i nazwisko: Stanowisko: | Xxxx i nazwisko: Xxxxxxxxxx: |
Tabela nr 2: Wybrane SKU, moduły i wybrane klauzule
Dodatek Unijny SKU | ☐ Wersja Zatwierdzonych Unijnych SKU, do których niniejszy Dodatek jest dołączony, wyszczególniona poniżej, w tym Informacja z Załącznika: Data: Numer referencyjny (o ile istnieje): Inny identyfikator (o ile istnieje): |
☒ Zatwierdzone Unijne SKU, w tym Informacje z Załącznika i tylko z następującymi modułami, klauzulami i opcjonalnymi postanowieniami Zatwierdzonych Unijnych SKU wprowadzonymi w życie dla celów niniejszego Dodatku:
Lub
Moduł | Moduł w działaniu | Klauzula 7 (Klauzula przystąpienia) | Klauzula 11 (Opcja) | Klauzula 9a (Uprzednia zgoda lub ogólna zgoda) | Klauzula 9a (Okres czasu) | Czy dane osobowe otrzymywane od Importera są powiązane z danymi osobowymi gromadzonymi przez Eksportera? |
2 | X | X | n/d | ogólna | 30 dni |
Tabela nr 3: Informacje z Załącznika
„Informacje z Załącznika” oznaczają informacje, które należy podać dla wybranych modułów jak określono w Załączniku do Zatwierdzonych Unijnych SKU (oprócz Stron) i które dla niniejszego Dodatku są określone w:
Aneks 1A: Wykaz Stron: Jak określono w Załączniku A
Aneks II: Środki techniczne i organizacyjne, w tym środki techniczne i organizacyjne do zapewnienia bezpieczeństwa danych: Jak określono w Załączniku B
Aneks III: Wykaz Podmiotów Podprzetwarzających (Moduł 2):
xxxxx://xxx.xxxxxxxxx.xxx/xxxxxxx/xxxxx/xxxxxxxxx
Tabela nr 4: Rozwiązanie niniejszego Dodatku w przypadku zmian do Zatwierdzonego Dodatku
Rozwiązanie niniejszego Dodatku w przypadku zmian do Zatwierdzonego Dodatku | Które Strony mogą rozwiązać niniejszy Dodatek w sposób określony w art. 19: ☒Importer ☒Eksporter ☐Żadna ze Stron |
Część: Klauzule obowiązkowe
Klauzule obowiązkowe | Część 2: Klauzule obowiązkowe Zatwierdzonego Dodatku stanowiącego wzór Dodatku B.1.0 wydanego przez ICO i przedstawionego Parlamentowi zgodnie z s119A ustawy z 2018 r. |
o ochronie danych w dniu 2 lutego 2022 r., wraz ze zmianami na podstawie art. 18 tych klauzul obowiązkowych.