Aneks Dot. Powierzenia Danych Osobowych
Niniejszy aneks dotyczący powierzenia danych osobowych („Aneks”) stanowi zmianę i część Umowy ramowej o licencję i świadczenie usług zawartej między stroną umowy wskazaną w Formularzu zamówienia („Klient") a Tractian Limited, spółką prawa irlandzkiego o numerze 799055 („Tractian") („Umowa"). Klient i Tractian są określani indywidualnie jako Strona, a łącznie jako Strony. W przypadku sprzeczności między Umową a niniejszym Aneksem, pierwszeństwo mają warunki bardziej rygorystyczne. Wszystkie terminy pisane wielką literą, które nie zostały konkretnie zdefiniowane w niniejszym Aneksie, należy rozumieć zgodnie z ich znaczeniem nadanym w Umowie. Biorąc pod uwagę wzajemne zobowiązania określone w niniejszym dokumencie, Strony niniejszym uzgadniają, że warunki określone poniżej zostaną dodane jako Aneks do Umowy.
1. Definicje
1.1. „Obowiązujące przepisy o ochronie danych" oznaczają wszystkie międzynarodowe, federalne, stanowe, lokalne i prowincjonalne przepisy i regulacje dotyczące prywatności bezpieczeństwa danych, mające zastosowanie do przetwarzania danych osobowych, w tym między innymi Amerykańskie kompleksowe przepisy o ochronie prywatności (U.S. Omnibus Privacy Laws) oraz RODO, wraz ze wszystkimi obowiązującymi przepisami wykonawczymi, zgodnie z ich przyjęciem.
1.2. ,,Cel biznesowy" ma takie samo znaczenie jak „,cel biznesowy" w rozumieniu wszelkich Obowiązujących przepisów o ochronie danych.
1.3. „CCPA" oznacza kalifornijską ustawę ochronie prywatności konsumentów z 2018 r., tytuł 1.81.5 (począwszy od sekcji 1798.100) do części 4 działu 3 amerykańskiego Civil Code, z późniejszymi zmianami, oraz wszystkie mające zastosowanie przepisy z tym związane.
1.4. ,,Dane Klienta" to wszelkie dane przekazane Tractian przez Klienta w związku z Usługami lub Celem biznesowym, w tym wszelkie zawarte w nich Dane osobowe.
1.5. ,,Administrator" ma takie samo znaczenie jak ,,administrator" lub ,,przedsiębiorstwo" zgodnie z Obowiązującymi przepisami o ochronie danych.
1.6. „Incydent związany z bezpieczeństwem danych" oznacza faktyczny nieuprawniony dostęp do danych osobowych, ich zniszczenie, utratę, zmianę, wyciek, kradzież lub ujawnienie, które to dane są przekazywane, gromadzone, przechowywane, administrowane lub w inny sposób znajdują się w posiadaniu Tractian i są wykorzystywane do przetwarzania na mocy Umowy oraz niniejszego Aneksu.
1.7. „Osoba, której dane dotyczą❞ ma takie samo znaczenie jak „osoba, której dane dotyczą” lub „konsument" zgodnie z wszelkimi Obowiązującymi przepisami o ochronie danych.
1.8. ,,Dane pozbawione elementów identyfikacyjnych" mają takie samo znaczenie jak „,dane pozbawione elementów identyfikacyjnych", „dane zanonimizowane", „,informacje zanonimizowane" i inne podobne terminy zgodnie z Obowiązującymi przepisami o ochronie danych.
1.9. „UE-SKU" ma znaczenie określone w sekcji 8.2.1.
1.10. „RODO❞ oznacza ogólne rozporządzenie UE o ochronie danych 2016/679 w odniesieniu do osób, których dane dotyczą, w Europejskim Obszarze Gospodarczym, federalną ustawę o ochronie danych w odniesieniu do osób, których dane dotyczą, w Szwajcarii oraz ustawę o ochronie danych z 2018 r. w odniesieniu do osób, których dane dotyczą, w Wielkiej Brytanii.
1.11. „Dane osobowe" oznaczają wszelkie informacje, które identyfikują, odnoszą się do, opisują, lub mogą być w uzasadniony sposób powiązane, bezpośrednio lub pośrednio, z konkretną osobą, której dane dotyczą, i obejmują „,dane osobowe", „dane osobowe" lub podobnie zdefiniowane terminy zgodnie z Obowiązującymi przepisami o ochronie danych.
1.12. „Przetwarzać", „przetworzone" lub „przetwarzanie" oznacza każdą operację lub zestaw operacji wykonywanych na Danych osobowych lub zestawach Danych osobowych, w sposób zautomatyzowany lub ręczny, w tym między innymi gromadzenie, rejestrowanie, organizowanie, porządkowanie, przechowywanie, dostosowywanie lub zmienianie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przekazywanie, rozpowszechnianie lub udostępnianie w inny sposób, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
1.13. ,,Podmiot przetwarzający” ma takie samo znaczenie jak „podmiot przetwarzający", „usługodawca „wykonawca" lub podmiot nie będący ,,stroną trzecią❞ zgodnie z Obowiązującymi przepisami o ochronie danych.
1.14. „Sprzedaż”, „sprzedawać" i „udostępniać❞ mają takie samo znaczenie jak terminy „sprzedaż", „sprzedawać" i „udostępniać" w rozumieniu wszelkich Obowiązujących przepisów o ochronie danych.
1.15. ,,SKU" oznacza standardowe klauzule umowne UE, standardowe klauzule umowne Wielkiej Brytanii lub mechanizm standardowych klauzul umownych dotyczących Szwajcarii, zgodnie z niniejszym aneksem, w każdym przypadku stosownie do sytuacji.
1.16. ,,Usługi" oznaczają usługi świadczone przez Tractian na rzecz Klienta zgodnie z Umową.
1.17. ,,Podwykonawca przetwarzania danych" (podprocesor) oznacza każdą osobę (w tym każdą stronę trzecią, z wyłączeniem pracowników Tractian) wyznaczoną w imieniu Tractian do przetwarzania danych osobowych.
1.18. ,,UK-SKU" ma znaczenie określone w sekcji 8.2.3.
1.19. ,,Amerykańskie kompleksowe przepisy o ochronie prywatności" (U.S. Omnibus Privacy Laws) oznaczają, w stosownych przypadkach, wszelkie obowiązujące amerykańskie przepisy dotyczące prywatności, w tym CCPA, Colorado Privacy Act, Connecticut Data Privacy Act, Indiana Consumer Data Protection Act, Iowa Consumer Data Protection Act, Montana Consumer Data Privacy Act, New Hampshire Consumer Data Privacy Act, New Jersey Consumer Data Privacy Act, Oregon Consumer Privacy Act, Tennessee Information Protection Act, Texas Data Privacy and Security Act, Utah Consumer Privacy Act oraz Virginia Consumer Data Protection Act, a także wszystkie obowiązujące przepisy wykonawcze.
2. Świadczone Usługi / Zakres Aneksu
2.1. W ramach świadczenia Usług na rzecz Klienta Tractian może od czasu do czasu otrzymać od Klienta lub w jego imieniu prośbę o przetwarzanie Danych osobowych. Dane osobowe mogą być przekazywane Tractian przez Klienta, podmioty powiązane lub partnerów Klienta, klientów Klienta lub inne osoby trzecie działające w imieniu Klienta wyłącznie w ograniczonych i konkretnych Celach biznesowych określonych w Umowie zawartej między Tractian a Klientem.
2.2. Każda ze Stron będzie przestrzegać wymogów określonych w Obowiązujących przepisach o ochronie danych dotyczących przetwarzania Danych pozbawionych elementów identyfikacyjnych, w tym poprzez:
(i) niepodejmowanie prób ponownej identyfikacji takich danych, z wyjątkiem sytuacji, gdy Strona może podjąć próbę ponownej identyfikacji informacji wyłącznie w celu ustalenia, czy jej procesy anonimizacji spełniają wymogi Obowiązujących przepisów o ochronie danych;
(ii) stosowanie środków bezpieczeństwa i kontroli prywatności w celu zapobiegania ponownej identyfikacji lub ponownemu powiązaniu takich danych;
(iii) publiczne zobowiązanie się zarówno do przechowywania i wykorzystywania Danych pozbawionych elementów identyfikacyjnych w formie pozbawionej elementów umożliwiających identyfikację, jak i do niepodejmowania prób ponownej identyfikacji takich danych.
3. Role Stron
3.1. W trakcie świadczenia Usług na rzecz Klienta Tractian może być od czasu do czasu proszona przez Klienta lub w imieniu Klienta o przetwarzanie Danych osobowych. Dane osobowe mogą być przekazywane Tractian przez Klienta, podmioty powiązane lub partnerów Klienta lub inne strony trzecie w imieniu Klienta w ograniczonych i określonych celach określonych w Umowie.
3.2. Strony przyjmują do wiadomości i uzgadniają, że Klient będzie pełnił rolę Administratora lub głównego Podmiotu przetwarzającego w odniesieniu do Danych osobowych przekazanych lub udostępnionych Tractian na mocy niniejszej Umowy, natomiast Tractian we wszystkich przypadkach będzie pełniła rolę Podmiotu przetwarzającego na rzecz Klienta lub Podwykonawcy przetwarzania danych Klienta. Klient jest i pozostanie przez cały odpowiedni okres należycie i skutecznie upoważniony do wydawania Tractian poleceń dotyczących przetwarzania Danych osobowych zgodnie z Umową i niniejszym Aneksem. Tractian wyraźnie zgadza się postępować zgodnie z instrukcjami Klienta podczas przetwarzania Danych osobowych, co obejmuje przetwarzanie niezbędne do świadczenia Usług.
4. Zgodność z przepisami o ochronie danych
4.1. Tractian zobowiązuje się do przestrzegania wszystkich Obowiązujących przepisów o ochronie danych w zakresie przetwarzania Danych osobowych na mocy Umowy i niniejszego Aneksu. W celu uniknięcia wątpliwości i w stosownym zakresie Tractian zobowiązuje się do przestrzegania wszystkich obowiązujących zobowiązań wynikających z CCPA oraz zapewnienia takiego samego poziomu ochrony prywatności w odniesieniu do odpowiednich danych osobowych, jakiego wymaga CCPA.
4.2. Tractian musi niezwłocznie i bez zbędnej zwłoki powiadomić Klienta o niemożności wypełnienia swoich zobowiązań wynikających z Obowiązujących przepisów o ochronie danych.
4.3. Klient ma prawo podjąć uzasadnione i odpowiednie kroki w celu zapewnienia, że Tractian i każdy Podwykonawca traktuje Dane osobowe zgodnie z obowiązkami Klienta wynikającymi z Obowiązujących przepisów ochronie danych. Po otrzymaniu uzasadnionego pisemnego zawiadomienia Klient ma prawo podjąć uzasadnione i odpowiednie kroki w celu zaprzestania i naprawienia wszelkiego nieuprawnionego lub niezgodnego z prawem przetwarzania Danych osobowych.
5. Przetwarzanie Danych osobowych
5.1. Polecenia
5.1.1. Tractian będzie przetwarzać Dane osobowe wyłącznie w celu realizacji celów biznesowych określonych w Umowie oraz zgodnie z udokumentowanymi poleceniami Klienta. Kategorie Danych osobowych przetwarzanych przez Tractian są wymienione w Załączniku 1 do niniejszego Aneksu.
5.1.2. Klient niniejszym zleca Tractian przetwarzanie Danych osobowych zgodnie z Umową i niniejszym Aneksem w celu realizacji określonych celów biznesowych oraz przestrzegania wszystkich udokumentowanych poleceń przekazanych przez Klienta, o ile polecenia te są zgodne z warunkami Umowy, niniejszego Aneksu oraz Obowiązującymi przepisami o ochronie danych.
5.1.3. W zakresie, w jakim Tractian uzna, że polecenie Klienta narusza jakiekolwiek Obowiązujące przepisy o ochronie danych, Tractian niezwłocznie powiadomi o tym Klienta.
5.2. Szczegóły dotyczące przetwarzania i wyraźne ograniczenia przetwarzania
5.2.1. Szczegóły dotyczące przetwarzania wymagane na mocy Obowiązujących przepisów ochronie danych, w tym kategorie Osób, których dane dotyczą, i Dane osobowe, charakter oraz cel ich przetwarzania, podano w Załączniku 1 do niniejszego Aneksu.
5.2.2. Strony uzgadniają, że jakiekolwiek przekazywanie, ujawnianie lub udostępnianie Danych osobowych przez Klienta do Tractian na mocy Umowy i niniejszego Aneksu nie ma na celu sprzedaży ani udostępniania Danych osobowych.
5.2.3. Tractian nie może sprzedawać ani udostępniać Danych osobowych, które otrzymuje lub do których ma dostęp na mocy Umowy i niniejszego Aneksu. Tractian nie może również przechowywać, wykorzystywać, ujawniać ani udostępniać Danych osobowych otrzymanych od Klienta w żadnym innym celu niż świadczenie Usług i realizacja Celów biznesowych.
5.2.4. Tractian nie może łączyć żadnych Danych osobowych, które otrzymuje lub do których ma dostęp na mocy Umowy i niniejszego Aneksu, z żadnymi innymi Danymi osobowymi otrzymanymi ze źródeł zewnętrznych lub zebranymi bezpośrednio od osób fizycznych. Niezależnie od tego ograniczenia, Tractian może łączyć Dane osobowe z innymi formami Danych osobowych, jeśli jest to wymagane w celu świadczenia Usług na mocy Umowy i realizacji Celów biznesowych określonych w Umowie.
5.2.5. Tractian oświadcza, że rozumie i będzie przestrzegać ograniczeń określonych w niniejszej sekcji.
5.3. Podwykonawcy przetwarzania danych (podprocesorzy)
5.3.1. Tractian może angażować Podwykonawców przetwarzania danych w związku ze świadczeniem Usług, w tym między innymi w celu przetwarzania Danych osobowych. Tractian zawarła lub zawrze umowę z każdym Podwykonawcą przetwarzania danych zawierającą zobowiązania zapewniające ochronę nie mniejszą niż ta określona w niniejszym Aneksie.
5.3.2. W zakresie wymaganym przez Obowiązujące prawo o ochronie danych, Tractian poinformuje Klienta o wszelkich planowanych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym Klientowi możliwość zgłoszenia uzasadnionego sprzeciwu wobec takiej zmiany. W przypadku, gdy Klient zgłosi sprzeciw wobec zmiany, strony będą współpracować w celu znalezienia rozwiązania bez korzystania z usług danego Podwykonawcy przetwarzania danych, którego Klient odrzucił.
6. Personel
Tractian zobowiązuje się podjąć wszelkie uzasadnione kroki w celu zapewnienia, że osoby upoważnione do przetwarzania Danych osobowych na mocy Umowy i niniejszego Aneksu: (i) są związane odpowiednimi zobowiązaniami umownymi lub podlegają odpowiednim zobowiązaniom dotyczącym poufności; oraz (ii) przetwarzają Dane osobowe wyłącznie zgodnie z poleceniami Klienta, o ile Obowiązujące przepisy o ochronie danych nie stanowią inaczej.
7. Środki bezpieczeństwa
7.1. Tractian będzie utrzymywać i egzekwować odpowiednie zabezpieczenia administracyjne, techniczne i fizyczne w celu zapobiegania nieuprawnionemu dostępowi, pozyskaniu lub ujawnieniu, zniszczeniu, zmianie, przypadkowej utracie, niewłaściwemu wykorzystaniu lub uszkodzeniu Danych Klienta.
7.2. Tractian nie będzie przechowywać żadnych Danych Klienta przez okres dłuższy niż jest to konieczne do wypełnienia przez Tractian zobowiązań wynikających z niniejszej Umowy. Z wyjątkiem przypadków, w których przechowywanie jest wymagane lub dozwolone na mocy Obowiązujących przepisów o ochronie danych, gdy tylko Tractian nie będzie już musiał przechowywać takich Danych Klienta w celu wykonywania swoich obowiązków wynikających z niniejszej Umowy, Tractian niezwłocznie zwróci, zniszczy lub usunie wszystkie oryginały i kopie takich Danych Klienta.
8. Międzynarodowe transfery danych
8.1. Obowiązki dotyczące przekazywania danych. Tractian może uzyskiwać dostęp do Danych osobowych i przetwarzać je na całym świecie w zakresie niezbędnym do świadczenia Usług zgodnie z Umową, a w szczególności Dane osobowe mogą być przekazywane do Stanów Zjednoczonych i innych jurysdykcji, w których działają podwykonawcy Tractian, oraz tam przetwarzane. W każdym przypadku, gdy Dane osobowe są przekazywane poza kraj pochodzenia, każda ze stron zapewni, że takie przekazywanie odbywa się zgodnie z wymogami Obowiązujących przepisów o ochronie danych.
8.2. Standardowe klauzule umowne
8.2.1. Przekazywanie danych z EOG. Jeżeli Klient przekazuje Tractian Dane osobowe pochodzące z Europejskiego Obszaru Gospodarczego (EOG) do państwa, który nie zapewnia odpowiedniego poziomu ochrony zgodnie z Obowiązującymi przepisami o ochronie danych, Strony uzgadniają, że przekazanie to podlega standardowym klauzulom umownym ogłoszonym w decyzji wykonawczej Komisji (UE) 2021/914, Moduł Drugi (przekazywanie danych od administratora do podmiotu przetwarzającego), które można znaleźć pod następującym [linkiem] („UE-SKU"), z zastrzeżeniem następujących zmian:
a) Klient jest „eksporterem danych", a Tractian jest „importerem danych";
b) warunki Modułu Drugiego mają zastosowanie w zakresie, w jakim Tractian jest również Administratorem, a warunki Modułu Trzeciego mają zastosowanie w zakresie, w jakim Klient jest Podmiotem przetwarzającym;
c) w klauzuli 7 ma zastosowanie opcjonalna klauzula przystąpienia;
d) w klauzuli 9 ma zastosowanie opcja 2, a zmiany dotyczące Podwykonawców przetwarzania danych (podprocesorów) będą zgłaszane zgodnie z sekcją „Podwykonawcy przetwarzania danych" niniejszej umowy przetwarzaniu danych;
e) w klauzuli 11 skreśla się sformułowanie opcjonalne;
f) w punktach 17 i 18 strony uzgadniają, że prawo właściwe oraz sąd właściwy do rozstrzygania sporów dotyczących UE-SKU zostaną określone zgodnie z sekcją dotyczącą prawa właściwego zawartą w Umowie lub, jeżeli sekcja ta nie wskazuje państwa członkowskiego UE, w Republice Irlandii;
g) załączniki do standardowych klauzul umownych uznaje się za uzupełnione o informacje zawarte w niniejszym Aneksie;
h) organ nadzorczy, który będzie pełnił funkcję właściwego organu nadzorczego, zostanie określony zgodnie z RODO; oraz
i) jeżeli i w zakresie, w jakim UE-SKU są sprzeczne z jakimkolwiek postanowieniem niniejszej umowy przetwarzaniu danych, pierwszeństwo mają SKU w zakresie takiej sprzeczności.
8.2.2. Przekazywanie danych ze Szwajcarii. Jeżeli Klient przekazuje Tractian Dane osobowe pochodzące ze Szwajcarii do państwa, który nie zapewnia odpowiedniego poziomu ochrony zgodnie z Obowiązującymi przepisami o ochronie danych, Strony uzgadniają, że przekazanie to podlega standardowym klauzulom umownym UE (UE-SKU), z następującymi zmianami: do standardowych klauzul umownych UE dodaje się nowy punkt 1 lit. e) o następującym brzmieniu: „W zakresie, w jakim ma to zastosowanie na mocy niniejszej umowy, niniejsze klauzule mają również zastosowanie mutatis mutandis do przetwarzania przez strony danych osobowych podlegających obowiązującym przepisom o ochronie danych w Szwajcarii. W stosownych przypadkach (i) odniesienia do „rozporządzenia (UE) 2016/679" będą interpretowane jako odniesienia do szwajcarskiej federalnej ustawy o ochronie danych i rozporządzenia wykonawczego do niej; (ii) odniesienia do „UE”, „Unii” i „prawa państwa członkowskiego" będą interpretowane jako odniesienia do prawa szwajcarskiego; oraz (iii) odniesienia do ,,właściwego organu nadzorczego❞ i ,,właściwych sądów" zostaną zastąpione przez „Szwajcarskiego Federalnego Komisarza ds. Ochrony Danych i Informacji" oraz ,,właściwe sądy w Szwajcarii".
8.2.3. Przekazywanie danych do Wielkiej Brytanii. W zakresie, w jakim Obowiązujące przepisy o ochronie danych mają zastosowanie do przekazywania Danych osobowych z Wielkiej Brytanii do państw, które nie zapewniają odpowiedniego poziomu ochrony danych w rozumieniu tych przepisów, Tractian i Klient niniejszym włączają do Umowy niezmieniony Załącznik do UE SKU, wydany przez Komisarza na podstawie art. 119A ust. 1 brytyjskiej Ustawy o ochronie danych z 2018 r. i załączonego jako Załącznik 2 („UK-SKU"). UK-SKU, w stosownym zakresie, zostaną włączone przez odniesienie i będą stanowić część Umowy w następujący sposób:
a) standardowe klauzule umowne zostaną zmodyfikowane i interpretowane zgodnie z aneksem brytyjskim, który zostanie włączony przez odniesienie i będzie stanowił integralną część Umowy;
b) Tabele 1, 2 i 3 załącznika brytyjskiego zostaną uznane za wypełnione informacjami zawartymi w załącznikach do niniejszej Umowy o przetwarzaniu danych, a tabela 4 zostanie uznana za wypełnioną poprzez zaznaczenie opcji „żadna ze stron"; oraz
c) wszelkie sprzeczności między postanowieniami standardowych klauzul umownych a załącznikiem brytyjskim będą rozstrzygane zgodnie z sekcją 10 i sekcją 11 załącznika dotyczącego Wielkiej Brytanii.
9. Incydent związany z bezpieczeństwem danych
Tractian bez zbędnej zwłoki, a w każdym razie w ciągu czterdziestu ośmiu (48) godzin od powzięcia wiadomości o Incydencie związanym z bezpieczeństwem danych, powiadomi Klienta na piśmie o każdym incydencie związanym z bezpieczeństwem. W celu uniknięcia wątpliwości strony uznają, że Tractian nie ma obowiązku powiadamiania Klienta o pakietach ping, atakach rozproszonych na zapory sieciowe (firewalle), skanowaniu portów, nieudanych próbach logowania, próbach sondowania oraz skanach rozpoznawczych, które nie skutkują nieuprawnionym dostępem, wykorzystaniem lub ujawnieniem Danych Klienta. Tractian przekaże Klientowi informacje dotyczące incydentu bezpieczeństwa na uzasadniony pisemny wniosek Klienta oraz z zastrzeżeniem obowiązujących przepisów prawa i środków ochronnych.
10. Ocena skutków dla ochrony danych
Na uzasadniony pisemny wniosek Tractian zapewni Klientowi pełną i niezwłoczną współpracę oraz pomoc w zakresie wszelkich zobowiązań prawnych związanych z przetwarzaniem Danych osobowych, w tym między innymi w zakresie przeprowadzania przez Klienta ocen skutków dla ochrony danych zgodnie z Obowiązującymi przepisami o ochronie danych.
11. Audyt
11.1. Prawo do audytu. Tractian będzie prowadzić pisemny rejestr wszystkich operacji przetwarzania Danych osobowych przeprowadzanych w imieniu Klienta na mocy niniejszego Aneksu oraz umożliwi i będzie współpracować przy uzasadnionych audytach i kontrolach przeprowadzanych przez Klienta lub wyznaczonego przez niego audytora w celu wykazania zgodności Tractian z niniejszym Aneksem, raz w roku, chyba że Obowiązujące przepisy o ochronie danych stanowią inaczej.
11.2. Koszty audytu. Klient ponosi pełną odpowiedzialność za wszelkie koszty i/lub opłaty związane z audytorem wyznaczonym przez Klienta do przeprowadzenia audytu zgodnie z niniejszą sekcją.
11.3. Wyniki audytu. Klient niezwłocznie powiadomi Tractian, nie później niż czternaście (14) dni kalendarzowych po zakończeniu audytu zgodnie z niniejszą sekcją, wszelkich domniemanych przypadkach niezgodności z Umową i/lub niniejszym Aneksem wykrytych w trakcie audytu.
11.4. Alternatywne certyfikaty stron trzecich. Jeżeli zakres żądanego audytu jest objęty audytem lub certyfikacją przeprowadzoną przez stronę trzecią w zakresie kontroli prywatności i bezpieczeństwa Tractian, które są racjonalnie akceptowalne dla Klienta („Audyt Strony Trzeciej"), wydanymi w ciągu ostatnich dwunastu (12) miesięcy, a Tractian dostarczy Klientowi taki raport potwierdzający, że nie ma żadnych znanych istotnych zmian w mechanizmach kontrolnych (controls), wówczas Klient zgadza się zaakceptować ustalenia przedstawione w Audycie Strony Trzeciej zamiast żądania audytu tych samych mechanizmów kontrolnych (controls) objętych Audytem Strony Trzeciej. Każdy audyt zewnętrzny stanowi informację poufną zgodnie z Umową i niniejszym Aneksem.
12. Wnioski osób, których dane dotyczą
12.1. Tractian zobowiązuje się do rozsądnej współpracy z Klientem na jego pisemny wniosek w celu udzielenia odpowiedzi na wszelkie wnioski Osoby, której dane dotyczą, w zakresie i w terminach wymaganych przez Obowiązujące przepisy o ochronie danych.
12.2. Tractian nie będzie odpowiadać bezpośrednio na żadne wnioski Osoby, której dane dotyczą, związane z wykonywaniem praw dot. ochrony danych, z wyjątkiem sytuacji, gdy uzyska uprzednią pisemną zgodę Klienta lub gdy wymagają tego Obowiązujące przepisy o ochronie danych.
13. Okres obowiązywania i wypowiedzenie
13.1. Na żądanie Klienta, najpóźniej jednak w momencie wypowiedzenia lub wygaśnięcia Umowy, Tractian, zgodnie z wyborem Klienta, przy jednoczesnym poszanowaniu środków ochrony danych i bezpieczeństwa, usunie lub zwróci Klientowi wszystkie Dane Klienta oraz usunie wszystkie istniejące kopie, chyba że przepisy prawa państwa, któremu podlega Tractian, wymagają dłuższego okresu przechowywania.
Załącznik 1 - Opis przekazywania
Przekazywane Dane osobowe dotyczą następujących kategorii Osób, których dane dotyczą:
Upoważnieni pracownicy, agenci, kontrahenci lub inni pracownicy Klienta (będącego osobą prawną), którzy zostali wyznaczeni do uzyskiwania dostępu i korzystania z platformy chmurowej Tractian;
Osoby fizyczne działające w imieniu Klienta na stanowiskach administracyjnych, operacyjnych lub technicznych, w tym administratorzy platformy i osoby odpowiedzialne za obsługę klienta.
Takie osoby, których dane dotyczą, są rejestrowane wyłącznie w związku z pełnionymi przez nie funkcjami zawodowymi w celu umożliwienia dostępu do Usług na podstawie Umowy ramowej o licencję i świadczenie usług (MSA).
Kategorie przekazywanych danych osobowych
Przekazywane dane osobowe ograniczają się do danych kontaktowych niezbędnych do identyfikacji użytkownika, zarządzania kontem i świadczenia Usług, w tym: Pełne imię i nazwisko; Firmowy adres e-mail; Firmowy numer telefonu stacjonarnego lub komórkowego; Identyfikatory konta, dane uwierzytelniające oraz informacje dostępie oparte na rolach powiązane z platformą Tractian. Tractian stosuje zasady minimalizacji danych i nie wymaga podawania żadnych dodatkowych danych osobowych poza tymi, które są absolutnie niezbędne do realizacji umowy.
Przekazywane dane wrażliwe oraz stosowane ograniczenia lub zabezpieczenia
W ramach niniejszej Umowy nie przewiduje się przetwarzania ani przekazywania żadnych szczególnych kategorii danych osobowych (zgodnie z definicją zawartą w art. 9 RODO). Klient nie będzie przekazywał takich danych Tractian. W wyjątkowych przypadkach, gdy specjalne kategorie danych osobowych zostaną nieumyślnie uwzględnione, firma Tractian zastosuje wzmocnione zabezpieczenia, w tym: ograniczenie dostępu wyłącznie do osób, które muszą znać te dane; szyfrowanie podczas przesyłania i przechowywania; procedury reagowania na incydenty i ograniczania ich skutków; niezwłoczne powiadomienie Klienta, jeżeli jest to wymagane na mocy obowiązującego prawa.
Częstotliwość przekazywania danych
Przekazywanie danych odbywa się na bieżąco i w sposób ciągły, w zakresie niezbędnym do świadczenia Usług, w tym: Wstępnej rejestracji użytkownika i wdrożenia; bieżący dostęp do platformy, uwierzytelnianie i autoryzację; Zarządzanie usługami, interakcje w ramach wsparcia technicznego oraz komunikacja operacyjna; konserwacji systemu, monitorowania i działań związanych z bezpieczeństwem. Przekazywanie danych ogranicza się do tego, co jest niezbędne do bezpiecznego i skutecznego działania platformy.
Charakter przetwarzania
Charakter czynności przetwarzania danych wykonywanych przez Tractian jako podmiot przetwarzający obejmuje: Gromadzenie, rejestrowanie, porządkowanie i przechowywanie danych osobowych; Tworzenie kont użytkowników, uwierzytelnianie i egzekwowanie kontroli dostępu; Hosting i przetwarzanie w ramach infrastruktury chmury AWS; Zapewnienie wsparcia technicznego i obsługi klienta; Wdrażanie monitoringu bezpieczeństwa, rejestrowania audytów, tworzenia kopii zapasowych oraz środków zapewniających ciągłość działania; Wypełnianie zobowiązań umownych i prawnych związanych ze świadczeniem Usług. Przetwarzanie odbywa się ściśle zgodnie z udokumentowanymi instrukcjami Klienta oraz warunkami Umowy.
Cel przekazania i dalszego przetwarzania
Przekazywanie i przetwarzanie danych osobowych odbywa się wyłącznie w następujących celach: Wypełnianie zobowiązań firmy Tractian i świadczenie Usług na podstawie Umowy ramowej o świadczenie usług (MSA); Umożliwienie użytkownikom upoważnionym przez Klienta bezpiecznego dostępu do platformy i zarządzania nią; Zapewnienie komunikacji operacyjnej i wsparcia technicznego na żądanie Klienta; Utrzymanie bezpieczeństwa, integralności, dostępności i odporności Usług. Tractian nie przetwarza danych osobowych w celach reklamowych, profilowania ani żadnych niezależnych celów komercyjnych, a także nie sprzedaje danych osobowych zgodnie z definicją zawartą w obowiązujących amerykańskich przepisach dotyczących ochrony prywatności.
Okres. przez który dane osobowe będą przechowywane
Dane osobowe będą przechowywane wyłącznie przez okres niezbędny do realizacji celów określonych w niniejszym załączniku, a mianowicie świadczenia Usług na podstawie Umowy (MSA), oraz zgodnie z obowiązującymi przepisami o ochronie danych, w tym z RODO i odpowiednimi amerykańskimi przepisami dotyczącymi prywatności. Tractian będzie przetwarzać i przechowywać dane osobowe przez cały okres trwania stosunku umownego z klientem, chyba że: dłuższy okres przechowywania jest wymagany w celu wypełnienia obowiązujących zobowiązań prawnych, regulacyjnych, księgowych lub umownych; lub dane muszą być przechowywane w celu ustalenia, dochodzenia lub obrony roszczeń prawnych. Po zakończeniu lub wygaśnięciu Usług Tractian, zgodnie z wyborem Klienta i warunkami Umowy, usunie lub zwróci wszystkie Dane osobowe w rozsądnym terminie, chyba że dalsze przechowywanie jest wymagane przez obowiązujące prawo. Wszelkie przechowywane Dane osobowe będą podlegać zabezpieczeniom i środkom bezpieczeństwa określonym w niniejszym Aneksie do momentu ich usunięcia.
Załącznik 2 - Środki bezpieczeństwa
a) Kontrola dostępu: Dostęp do systemów Tractian i Platformy jest ograniczony do upoważnionego personelu na zasadzie „wiedzy niezbędnej", zgodnie z zasadą minimalnych uprawnień i kontrolą dostępu opartą na rolach. Uwierzytelnianie jest egzekwowane za pomocą rygorystycznych wymagań dotyczących haseł oraz uwierzytelniania wieloskładnikowego (MFA) tam, gdzie ma to zastosowanie, a przyznawanie i cofanie uprawnień dostępu jest powiązane z procesami kadrowymi i informatycznymi. Dostęp administracyjny do środowisk produkcyjnych jest ograniczony i rejestrowany; przeglądy dostępu są przeprowadzane okresowo. W miarę możliwości stosuje się podział obowiązków, a dostęp personelu wsparcia do danych Klienta jest ograniczony do minimum niezbędnego do zapewnienia wsparcia i wypełnienia zobowiązań umownych.
b) Kontrola transmisji: Dane przesyłane między użytkownikami, środowiskami Klienta i usługami Tractian są chronione przy użyciu standardowego w branży szyfrowania podczas przesyłania (np. TLS/HTTPS). Do komunikacji i integracji API wykorzystywane są bezpieczne kanały. Stosowane są zabezpieczenia sieciowe (takie jak grupy zabezpieczeń/reguły zapory sieciowej i segmentacja) w celu zmniejszenia narażenia i ograniczenia ruchu przychodzącego/wychodzącego wyłącznie do wymaganych usług. Połączenia i istotne zdarzenia związane z bezpieczeństwem są monitorowane i rejestrowane w celu wsparcia wykrywania i reagowania.
c) Kontrola wprowadzania danych: Tractian wdraża środki kontroli w celu zapewnienia, że dane są wprowadzane, modyfikowane i usuwane wyłącznie przez uprawnionych użytkowników i systemy. W celu ograniczenia nieuprawnionego lub nieprawidłowego wprowadzania danych stosuje się kontrole autoryzacji i walidację na poziomie aplikacji. Prowadzone są rejestry i ścieżki audytu dla działań związanych z bezpieczeństwem (takich jak zdarzenia uwierzytelniania i operacje uprzywilejowane) w celu wsparcia identyfikowalności i dochodzeń. Zmiany w systemach produkcyjnych są wprowadzane zgodnie z praktykami zarządzania zmianami (w tym przeglądem i testowaniem) w celu ograniczenia ryzyka nieuprawnionych lub niezamierzonych zmian danych.
d) Kontrola dostępności: Tractian prowadzi Platformę w środowisku AWS i stosuje środki mające na celu zapewnienie dostępności usług, w tym redundancję, monitorowanie, systemy ostrzegania oraz zarządzanie wydajnością. Wdrożono procesy tworzenia kopii zapasowych i odzyskiwania danych, aby umożliwić przywrócenie systemów i danych w razie wystąpienia incydentów. Infrastruktura została zaprojektowana tak, aby zapewnić odporność na awarie w obrębie wybranego regionu AWS, a procesy reagowania na incydenty służą do wykrywania zdarzeń mających wpływ na dostępność, reagowania na nie oraz ich usuwania. Dostęp do funkcji administracyjnych mających wpływ na dostępność jest ograniczony i rejestrowany.
Załącznik 3 - Podwykonawcy przetwarzania danych
Aktualna lista naszych podwykonawców znajduje się na stronie: https://trust.tractian.com/subprocessors
Załącznik 4
Informacje dotyczące przetwarzania
- Przetwarzane dane osobowe
Tractian przetwarza wyłącznie minimalny zakres danych osobowych niezbędny do świadczenia Usług na podstawie Umowy (MSA). Kategorie przetwarzanych danych osobowych mogą obejmować:
Dane identyfikacyjne (pełne imię i nazwisko); Dane kontaktowe służbowe (firmowy adres e-mail oraz służbowy numer telefonu stacjonarnego/komórkowego); Informacje o koncie użytkownika wymagane do uwierzytelniania i zarządzania dostępem (takie jak identyfikatory użytkownika, dane logowania i uprawnienia dostępu oparte na rolach); Dane techniczne i dotyczące użytkowania generowane w wyniku dostępu do platformy, takie jak logi dostępu i zapisy bezpieczeństwa, wykorzystywane wyłącznie do celów operacyjnych i bezpieczeństwa.
Tractian nie wymaga ani nie przetwarza danych osobowych niezwiązanych ze świadczeniem Usług i stosuje zasady minimalizacji danych zgodnie z wymogami RODO.
- Lista Podwykonawców przetwarzania danych