Ten Dodatek o przetwarzaniu danych ("DPA") stanowi część Umowy usługowej, zawartej przez klientów na podstawie umowy znajdującej się na stronie głównej acalby.com lub innych umów pisemnych lub elektronicznych pomiędzy podmiotem acalby.com a klientem, które skutkują świadczeniem usługi licencjonowanego dostępu do acalby.com lub innych usług (zwanych dalej „usługami” lub zdefiniowanych w odpowiedniej umowie, i dalej „umową”), aby odzwierciedlić umowę pomiędzy stronami w odniesieniu do przetwarzania danych osobowych.
Podpisując Umowę, klient wchodzi do tej DPA we własnym imieniu i na własne konto z aktualnym podmiotem acalby.com, z którym pierwotnie została zawarta umowa acalby.com, a w razie konieczności zgodnie z odpowiednimi przepisami o ochronie danych, w imieniu i na rzecz swoich uprawnionych spółek stowarzyszonych, w zakresie, w jakim acalby.com przetwarza dane osobowe, dla których te spółki stowarzyszone kwalifikują się jako administratorzy danych. Do celów tego DPA termin "klient" jest używany wyłącznie do oznaczania klienta i uprawnionych spółek stowarzyszonych. Wszystkie terminy użyte tutaj, które nie są zdefiniowane, mają znaczenie określone w umowie.
Podczas świadczenia usług dla klienta zgodnie z umową, acalby.com może przetwarzać dane osobowe w imieniu klienta i strony zobowiązują się przestrzegać poniższych postanowień dotyczących jakichkolwiek danych osobowych, przy czym każda strona działa rozsądnie i w dobrej wierze.
JAK WYKONAĆ TEN DPA:
Po otrzymaniu prawidłowo wypełnionego DPA od acalby.com poprzez formularz DPA, ten DPA staje się prawnie wiążący.
JAK TEN DPA MA BYĆ STOSOWANY: Jeśli podmiot klienta, który podpisuje ten DPA, jest stroną umowy, ten DPA jest dodatkiem do umowy i stanowi część umowy. W takim przypadku podmiot acalby.com, który jest stroną umowy, jest stroną tego DPA. Jeśli podmiot klienta, który podpisuje ten DPA, zawarł formularz zamówienia z acalby.com lub jego spółką stowarzyszoną zgodnie z umową, ale nie jest sam stroną umowy, ten DPA jest dodatkiem do tego formularza zamówienia i odpowiednich odnowionych formularzy zamówienia, a podmiot acalby.com, który jest stroną takiego formularza zamówienia, jest stroną tego DPA.
Jeśli podmiot klienta, który podpisuje ten DPA, nie jest stroną formularza zamówienia ani umowy, ten DPA nie jest ważny i nie jest prawnie wiążący. Taki podmiot powinien poprosić podmiot klienta, który jest stroną umowy, aby podpisał ten DPA.
Jeśli podmiot klienta, który podpisuje DPA, nie jest bezpośrednio stroną umowy z acalby.com, ale jest klientem pośrednio przez autoryzowanego sprzedawcę usług acalby.com, ten DPA nie jest ważny i nie jest prawnie wiążący. Taki podmiot powinien skontaktować się z autoryzowanym sprzedawcą, aby uzgodnić, czy potrzebna jest jakakolwiek zmiana jego umowy z tym sprzedawcą.
Ten DPA zastępuje wszelkie porównywalne lub dodatkowe prawa dotyczące przetwarzania danych klienta zawarte w umowie klienta (w tym wszelkie istniejące dodatki do umowy dotyczące przetwarzania danych).
Ten DPA (Dodatek o przetwarzaniu danych) określa warunki i zobowiązania dotyczące przetwarzania danych osobowych między acalby.com a klientem. Zawiera to, na co obie strony zgadzają się w odniesieniu do przetwarzania danych osobowych klienta przez acalby.com, a także, jak zapewnić zgodność z obowiązującymi przepisami o ochronie danych. Zawiera również procedury dotyczące audytu bezpieczeństwa danych, zarządzania incydentami, praw podmiotów danych oraz inne ważne aspekty dotyczące przetwarzania danych osobowych.
To dokument, który zwykle jest dodawany jako część umowy lub porozumienia między acalby.com a klientem, aby zapewnić, że obie strony przestrzegają określonych standardów i procedur dotyczących ochrony danych osobowych.
ZASADY PRZETWARZANIA DANYCH
"Spółka powiązana" oznacza dowolny podmiot, który bezpośrednio lub pośrednio kontroluje, jest kontrolowany lub znajduje się pod wspólną kontrolą z podmiotem głównym. "Kontrola" w tym kontekście oznacza bezpośrednie lub pośrednie posiadanie lub kontrolowanie ponad 50% praw głosów podmiotu.
"Administrator danych" oznacza podmiot, który określa cele i środki przetwarzania danych osobowych.
"Dane klienta" oznaczają to, co jest zdefiniowane w umowie jako "Dane klienta" lub "Twoje dane".
"Uprawniona spółka powiązana" oznacza dowolną spółkę siostrzaną klienta, (a) która podlega odpowiednim przepisom o ochronie danych Unii Europejskiej, Europejskiego Obszaru Gospodarczego i/lub ich państw członkowskich, Szwajcarii i/lub Zjednoczonego Królestwa, oraz (b) która ma uprawnienia do korzystania z usług zgodnie z umową między klientem a acalby.com, ale nie zawarła własnych formularzy zamówień i nie jest "klientem" w rozumieniu umowy, (c) o ile acalby.com przetwarza dane osobowe, dla których takie spółki powiązane kwalifikują się jako administrator danych.
"Przepisy i regulacje dotyczące ochrony danych" oznaczają wszystkie prawa i regulacje, w tym prawa i regulacje obowiązujące w Unii Europejskiej, Europejskim Obszarze Gospodarczym i ich państwach członkowskich, Szwajcarii i Zjednoczonym Królestwie, które dotyczą przetwarzania danych osobowych zgodnie z umową.
"Osoba, której dane dotyczą" oznacza zidentyfikowaną lub możliwą do zidentyfikowania osobę, której dane osobowe są przedmiotem przetwarzania.
"GDPR" oznacza Rozporządzenie (UE) 2016/679 Parlamentu Europejskiego i Rady z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych oraz w sprawie swobodnego przepływu takich danych i uchylenia Dyrektywy 95/46/WE (Ogólne Rozporządzenie o Ochronie Danych).
"Dane osobowe" oznaczają dowolne informacje, które dotyczą zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, pod warunkiem, że takie informacje są chronione jako dane osobowe zgodnie z obowiązującymi przepisami o ochronie danych i są wysyłane jako dane klienta.
"Przetwarzanie" oznacza dowolną operację lub zbiór operacji wykonywanych na danych osobowych, niezależnie od tego, czy są one wykonywane za pomocą automatycznych środków, takich jak zbieranie, rejestrowanie, organizowanie, strukturyzowanie, przechowywanie, adaptowanie lub modyfikowanie, pozyskiwanie, konsultowanie, korzystanie, ujawnianie przez transmisję, rozpowszechnianie lub inny sposób udostępniania, porównywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
"Przetwórca" oznacza podmiot, który przetwarza dane osobowe w imieniu administratora.
"Polityki bezpieczeństwa" oznaczają Polityki bezpieczeństwa acalby.com, zaktualizowane od czasu do czasu i dostępne na stronie głównej acalby.com (https://app.acalby.com/legacy/security).
"Grupa acalby.com" oznacza acalby.com oraz jej spółki powiązane, które biorą udział w przetwarzaniu danych osobowych, jak wskazano na stronie głównej acalby.com (https://app.acalby.com/legacy/sub-processors).
"Podprzetwórca" oznacza dowolny podmiot, który acalby.com lub członek Grupy acalby.com angażuje w przetwarzanie danych osobowych w związku z usługami.
"Organ nadzorczy" oznacza niezależny organ publiczny utworzony przez państwo członkowskie UE zgodnie z GDPR.
PRZETWARZANIE DANYCH OSOBOWYCH
2.1 Role stron. Strony uznają i zgadzają się, że w zakresie przetwarzania danych osobowych klient jest administratorem, acalby.com jest przetwórcą, a acalby.com lub członkowie Grupy acalby.com będą angażować podprzetwórców zgodnie z wymogami określonymi w sekcji 5 "Podprzetwórcy" poniżej. 2.2 Przetwarzanie danych osobowych klienta. Klient zobowiązuje się, korzystając z usług, przetwarzać dane osobowe zgodnie z wymogami przepisów i regulacji dotyczących ochrony danych. Dla jasności, instrukcje klienta dotyczące przetwarzania danych osobowych muszą być zgodne z przepisami o ochronie danych. Klient odpowiada za dokładność, jakość i zgodność z prawem danych osobowych oraz za sposób ich pozyskania. 2.3 Przetwarzanie danych osobowych przez acalby.com. Jako przetwórca danych osobowych klienta acalby.com przetwarza dane osobowe jako informacje poufne i będzie je przetwarzać wyłącznie na podstawie i zgodnie z pisemnymi instrukcjami klienta dla następujących celów: (i) przetwarzanie zgodnie z umową i odpowiednim formularzem zamówienia; (ii) przetwarzanie zainicjowane przez uprawnionych użytkowników w ich korzystaniu z usług; oraz (iii) przetwarzanie w celu spełnienia innych udokumentowanych rozsądnych instrukcji przekazanych przez klienta (np. poprzez e-mail lub zgłoszenie do pomocy technicznej), pod warunkiem, że takie instrukcje są zgodne z warunkami umowy (indywidualnie i razem, "Cel"). acalby.com działa w imieniu i na podstawie instrukcji klienta przy realizacji Celu. 2.4 Szczegóły przetwarzania. Przedmiotem przetwarzania danych osobowych przez acalby.com jest świadczenie usług zgodnie z umową. Czas trwania przetwarzania, natura i cel przetwarzania, rodzaje danych osobowych i kategorie osób, których dane dotyczą, przetwarzanych zgodnie z niniejszym DPA są bardziej szczegółowo określone w załączniku A (Opis czynności przetwarzania) tego DPA.
3.1 Żądanie osoby, której dane dotyczą. acalby.com nie będzie przetwarzać żadnego żądania po jego otrzymaniu ze strony osoby, której dane dotyczą, dotyczącego przetwarzania jej danych osobowych lub jeśli osoba, której dane dotyczą, nie wyraża zgody na przetwarzanie tych danych („Żądanie osoby, której dane dotyczą”). acalby.com nie będzie odpowiadać na żądanie osoby, której dane dotyczą, ani nie przekaże go klientowi. Klient, w zakresie, w jakim ma możliwość obsługi żądania osoby, której dane dotyczą, jest odpowiedzialny za przetwarzanie takich żądań oraz za informowanie osoby, której dane dotyczą, że przetwarzanie jest realizowane przez stronę klienta. Ze względu na charakter przetwarzania acalby.com ma prawo zdecydować na podstawie pisemnego żądania klienta, czy udzielić pomocy przy przetwarzaniu żądań osoby, której dane dotyczą. Takie żądania ze strony klienta zostaną przetworzone tylko wtedy, gdy jest to prawnie dozwolone i pod warunkiem, że takie żądanie osoby, której dane dotyczą, jest wykonane zgodnie z przepisami o ochronie danych. Klient będzie odpowiedzialny za wszelkie koszty wynikłe z udzielenia takiej pomocy przez acalby.com.
4.1 Poufność. acalby.com zobowiązuje się zapewnić, aby jego personel zaangażowany w przetwarzanie danych osobowych był świadomy poufnego charakteru danych osobowych, otrzymał odpowiednie szkolenie dotyczące swoich obowiązków i podpisał pisemne umowy o poufności. acalby.com zapewni, że takie zobowiązania dotyczące poufności będą obowiązywały również po zakończeniu angażowania personelu. 4.2 Odpowiedzialność. acalby.com podejmie odpowiednie kroki, aby zapewnić niezawodność jakiegokolwiek personelu acalby.com zaangażowanego w przetwarzanie danych osobowych. 4.3 Ograniczenie dostępu. acalby.com zapewni, że dostęp do danych osobowych jest ograniczony do personelu wykonującego usługi zgodnie z umową.
5.1 Wprowadzenie podwykonawców. Klient uznaje i zgadza się, że (a) acalby.com i jego spółki siostrzane mogą być wyznaczone jako podwykonawcy; oraz (b) acalby.com i jego spółki siostrzane mogą zaangażować podmioty trzecie jako podwykonawców w związku z świadczeniem usług. acalby.com lub spółka siostrzana acalby.com zawarły pisemną umowę z każdym podwykonawcą zawierającą zobowiązania w zakresie ochrony danych, które są co najmniej tak ochronne jak te w niniejszej umowie w odniesieniu do ochrony danych klienta, w zakresie, w jakim ma to zastosowanie do natury usług świadczonych przez takiego podwykonawcę. 5.2 Lista obecnych podwykonawców i powiadomienie o nowych podwykonawcach. Obecna lista podwykonawców dla usług, w tym tożsamości tych podwykonawców i ich krajów pochodzenia, jest dostępna na stronie głównej acalby.com. acalby.com powiadomi klienta o nowych podwykonawcach poprzez powiadomienia w swoim oprogramowaniu przed zezwoleniem takim nowym podwykonawcom na przetwarzanie danych osobowych w związku ze świadczeniem odpowiednich usług. 5.3 Prawo do sprzeciwu wobec nowych podwykonawców. Klient może sprzeciwić się użyciu nowego podwykonawcy, zgłaszając acalby.com na piśmie w ciągu dziesięciu (10) dni roboczych od otrzymania powiadomienia od acalby.com, zgodnie z mechanizmem określonym w części 5.2. Takie powiadomienie musi wyjaśnić uzasadnione przyczyny sprzeciwu. W przypadku, gdy klient sprzeciwi się nowemu podwykonawcy, jak pozwala na to poprzednie zdanie, acalby.com podejmie rozsądne wysiłki, aby zapewnić klientowi alternatywę w usługach lub zalecić komercyjnie rozsądną zmianę konfiguracji lub użytkowania usług, aby uniknąć przetwarzania danych osobowych przez takiego nowego podwykonawcę.
6.1 Środki ochrony danych klienta. acalby.com będzie utrzymywać odpowiednie środki techniczne i organizacyjne w celu ochrony bezpieczeństwa (w tym ochrony przed nieautoryzowanym lub niezgodnym z prawem przetwarzaniem, przeciwko przypadkowej lub nielegalnej utracie, zmianie, uszkodzeniu, nieautoryzowanemu ujawnieniu lub dostępowi do danych klienta), poufności i integralności danych klienta, zgodnie z Dodatkiem do środków bezpieczeństwa. acalby.com regularnie monitoruje przestrzeganie tych środków.
6.2 Aktualizacje środków bezpieczeństwa. Klient jest odpowiedzialny za przejrzenie informacji dostarczonych przez acalby.com dotyczących bezpieczeństwa danych oraz samodzielne podjęcie decyzji, czy usługi spełniają wymagania klienta i zobowiązania prawne zgodnie z przepisami o ochronie danych. Klient uznaje, że procedury bezpieczeństwa określone w Dodatku do środków bezpieczeństwa podlegają postępowi technicznemu i rozwojowi oraz że acalby.com może regularnie aktualizować lub modyfikować środki bezpieczeństwa, pod warunkiem, że takie aktualizacje i modyfikacje nie prowadzą do pogorszenia ogólnego poziomu zabezpieczenia usług zakupionych przez klienta.
6.3 Odpowiedzialności klienta. Pomimo powyższego, klient zgadza się, że z wyjątkiem tego, co określono w niniejszej umowie, jest odpowiedzialny za bezpieczne korzystanie z usług, w tym za zapewnienie bezpieczeństwa danych klienta podczas transmisji do i z usług, oraz za podjęcie wszystkich odpowiednich kroków w celu zapewnienia bezpiecznego szyfrowania lub kopii zapasowej wszelkich danych klienta przesyłanych do usług.
9.1 Umowny związek. Strony uznają i zgadzają się, że podpisując umowę, klient wchodzi w umowę w imieniu własnym i, o ile jest to konieczne, w imieniu i na rzecz swoich uprawnionych spółek siostrzanych, tworząc tym samym oddzielną DPA między acalby.com a każdą taką uprawnioną spółką siostrzaną zgodnie z postanowieniami umowy oraz z części 9 i części 10. Każdy uprawniony podwykonawca zgadza się być związany zobowiązaniami wynikającymi z niniejszej umowy i, o ile jest to konieczne, umowy. Wszelki dostęp i korzystanie z usług oraz treści przez uprawnionych podwykonawców muszą być zgodne z postanowieniami umowy, a wszelkie naruszenie postanowień umowy przez uprawnionego podwykonawcę jest uznawane za naruszenie przez klienta.
9.2 Komunikacja. Klient, który jest stroną umowy, będzie odpowiedzialny za koordynację całej komunikacji z acalby.com w ramach tego DPA i będzie miał prawo do wykonywania i otrzymywania wszelkich komunikatów dotyczących tego DPA w imieniu swoich uprawnionych spółek siostrzanych.
9.3 Prawa uprawnionych podpracowników. Gdy uprawniony podwykonawca staje się stroną DPA z acalby.com, będzie miał prawo, w zakresie wymaganym przez obowiązujące przepisy ochrony danych, do wykonywania praw i żądania środków naprawczych na podstawie tego DPA, z wyjątkiem następujących: 9.3.1 Jeśli obowiązujące przepisy ochrony danych wymagają, aby uprawniony podwykonawca wykonywał prawo lub żądał jakiegokolwiek środka naprawczego na podstawie tego DPA bezpośrednio od acalby.com, strony uzgodnią, że (i) wyłącznie klient, który jest stroną umowy, będzie wykonywał takie prawo lub żądał takiego środka naprawczego w imieniu uprawnionego podwykonawcy oraz (ii) klient, który jest stroną umowy, wykonuje takie prawa zgodnie z tym DPA nie indywidualnie dla każdego uprawnionego podwykonawcy, ale zbiorczo dla wszystkich swoich uprawnionych spółek siostrzanych (jak wskazano na przykład w sekcji 9.3.2 poniżej). 9.3.2 Strony uzgodnią, że klient, który jest stroną umowy, podczas wykonywania audytu związanego z ochroną danych podejmie wszelkie uzasadnione środki w celu zminimalizowania wpływu na acalby.com i jego podwykonawców, łącząc, gdzie jest to możliwe, kilka audytów przeprowadzonych w imieniu różnych uprawnionych podwykonawców w jeden pojedynczy audyt.
Odpowiedzialność każdej strony i wszystkich jej spółek siostrzanych, łącznie, wynikająca z lub związana z tym DPA oraz wszystkimi DPA między uprawnionymi podwykonawcami a acalby.com, czy to umowna, statutowa lub jakakolwiek inna, jest zgodna z sekcją "Ograniczenie odpowiedzialności" umowy, a wszelkie odniesienia w takiej sekcji do odpowiedzialności strony oznaczają łączną odpowiedzialność tej strony i wszystkich jej spółek siostrzanych zgodnie z umową i wszystkimi DPA razem.
W związku z powyższym łączna odpowiedzialność acalby.com i jej spółek siostrzanych za wszelkie roszczenia klienta i wszystkich jego uprawnionych spółek siostrzanych wynikające z lub związane z umową i każdym DPA zastosowanym w ramach umowy, ma zastosowanie łącznie do wszystkich roszczeń zgodnie z umową i wszystkimi DPA ustanowionymi zgodnie z umową, w tym roszczeń klienta i wszystkich uprawnionych spółek siostrzanych, i nie jest rozumiana indywidualnie i oddzielnie dla klienta i/lub dla jakiejkolwiek uprawnionej spółki siostrzanej będącej stroną któregokolwiek z tych DPA.
11.1 GDPR. Od 25 maja 2018 roku, acalby.com będzie przetwarzać dane osobowe zgodnie z wymaganiami RODO bezpośrednio obowiązującymi przy świadczeniu swoich usług.
11.2 Ocena wpływu na ochronę danych. Od 25 maja 2018 roku acalby.com, na żądanie klienta, będzie zapewniać klientowi odpowiednią współpracę i pomoc potrzebną do spełnienia obowiązków klienta zgodnie z RODO, aby przeprowadzić ocenę wpływu na ochronę danych w związku z użyciem usług przez klienta, pod warunkiem, że klient nie ma innego dostępu do odpowiednich informacji i o ile te informacje są dostępne dla acalby.com. acalby.com zapewni klientowi odpowiednią pomoc przy współpracy lub wcześniejszej konsultacji z organem nadzorczym zgodnie z RODO.
Sekcja "JAK TEN DPA SIĘ STOSUJE" określa, jak acalby.com jest stroną tego DPA.
Ten DPA stanie się prawnie wiążący między klientem a acalby.com dopiero po pełnym wypełnieniu formalnych kroków określonych w sekcji "JAK WYKONAĆ TEN DPA" powyżej.
OPIS PRZETWARZANIA DANYCH
Osoby
Klient może dostarczyć dane osobowe do usług, których zakres określa i kontroluje klient, i mogą one obejmować, ale nie są ograniczone do, dane osobowe dotyczące następujących kategorii osób:
Kategorie danych
Przekazywane dane osobowe dotyczą następujących kategorii danych:
Specjalne kategorie danych
Klient może dostarczyć acalby.com dane osobowe poprzez usługi, których zakres określa i kontroluje klient, zgodnie z obowiązującymi przepisami dotyczącymi ochrony danych. Klient nie może dostarczyć acalby.com danych osobowych poprzez usługi, które mogą obejmować następujące specjalne kategorie danych:
Operacje przetwarzania
Przekazywane dane osobowe będą przetwarzane zgodnie z umową i wszelkimi zleceniami, i mogą podlegać następującym operacjom przetwarzania: