W związku z Usługami świadczonymi na podstawie umowy o świadczenie usług („Umowa o świadczenie usług”) przez występujący w charakterze podmiotu przetwarzającego dane osobowe podmiot, którym jest Imprima lub odpowiedni Podmiot Powiązany będący stroną Umowy o świadczenie usług (odpowiednia strona zwana „Usługodawcą”) Klientowi występującemu jako administrator danych („Klient”) strony uzgodniły, że niniejsze warunki przetwarzania danych („Warunki”) mają zastosowanie w celu wykonania zobowiązań Klienta w zakresie zgodności z prawem wynikających z Prawa Ochrony Danych. Niniejsze Warunki zostają włączone do Umowy o świadczenie usług przez odwołanie.
KONTYNUACJA, ODPOWIEDNIO, ŚWIADCZENIA LUB KORZYSTANIA Z USŁUG JEST RÓWNOZNACZNA Z AKCEPTACJĄ NINIEJSZYCH WARUNKÓW PRZEZ STRONY.
NINIEJSZYM UZGADNIA SIĘ, co następuje.
- DEFINICJE
- O ile poniżej lub w innej części niniejszych Warunków nie postanowiono inaczej, występujące w niniejszych Warunkach terminy pisane wielką literą mają znaczenie przypisane im w Umowie o świadczenie usług.
- „Podmiot Powiązany” oznacza każdy podmiot bezpośrednio lub pośrednio kontrolujący którąkolwiek stronę, kontrolowany przez nią lub pozostający pod wspólną z nią kontrolą w Okresie Obowiązywania.
- „Prawo Ochrony Danych” oznacza przepisy prawa w zakresie ochrony danych dotyczące przetwarzania wykonywanego w związku z Usługami, w tym – w odpowiednich przypadkach – Rozporządzeniem (UE) 2016/679 oraz ewentualne późniejsze zmieniające ją lub zastępujące rozporządzenia, dyrektywy i inne instrumenty prawne Unii Europejskiej, w tym Rozporządzenie o ochronie danych osobowych lub podobny akt prawny lub odpowiednie przepisy w zakresie ochrony danych obowiązujące na innym odpowiednim terytorium.
- „Użytkownik Końcowy” ma znaczenie przypisane temu terminowi w Umowie o świadczenie usług.
- „Usługi” oznaczają usługi opisane w Umowie o świadczenie usług oraz w poniższym artykule.
- „Klauzule Umowne” oznaczają standardowe, określone przez Komisję Europejską klauzule umowne dotyczące przekazywania danych osobowych między krajami z ewentualnymi zmianami lub zastąpieniami lub ewentualne równorzędne klauzule umowne zatwierdzone na podstawie Prawa Ochrony Danych.
- „Dane Osobowe Klienta” oznaczają dane osobowe przetwarzane przez Usługodawcę w związku z Usługami zgodnie z określonymi poniżej zasadami. Zgodnie z punktem 2.1 termin ten może obejmować dane osobowe Podmiotu Powiązanego Klienta.
- Określenia „osoba, której dane dotyczą”, „dane osobowe”, „przetwarzanie” oraz ich odpowiednie formy gramatyczne, „administrator” i „podmiot przetwarzający” mają znaczenie przypisane im w Prawie Ochrony Danych.
- WYZNACZENIE
- Klient zostaje wyznaczony przez swoje Podmioty Powiązane i Użytkowników Końcowych (przy czym Klient, jego Podmioty Powiązane i Użytkownicy Końcowi są łącznie zwani „Podmiotami Zlecającymi”) do świadczenia w ich imieniu różnorodnych usług – w tym Usług – i zarządzania nimi. W związku z tym Dane Osobowe Klienta mogą zawierać dane osobowe, których administratorem jest jeden z Podmiotów Zlecających. Klient potwierdza, że jest upoważniony do przekazywania Usługodawcy w imieniu każdego Podmiotu Zlecającego wszelkich instrukcji i innych wymogów dotyczących przetwarzania Danych Osobowych Klienta przez Usługodawcę w związku z Usługami.
- Usługodawca zostaje wyznaczony przez Klienta do przetwarzania Danych Osobowych Klienta w imieniu Podmiotów Zlecających, odpowiednio, w zakresie niezbędnym w celu świadczenia Usług lub w innym zakresie uzgodnionym przez strony w formie pisemnej.
- OKRES OBOWIĄZYWANIA
Niniejsze Warunki wchodzą w życie z chwilą ich odbioru przez Klienta („Data Wejścia w Życie”) i pozostają w mocy do czasu wygaśnięcia lub rozwiązania Umowy o świadczenie usług („Okres Obowiązywania”). - USŁUGI
- Usługodawca może przetwarzać Dane Osobowe Klienta zgodnie z poniższym opisem.
- Opis Usług Wirtualny pokój danych (VDR) w chmurze i powiązane z nim usługi przetwarzania dokumentów.
- Przedmiot przetwarzania Czynności w zakresie przetwarzania związanego ze świadczeniem Usług.
- Okres przetwarzania Okres obowiązywania Umowy o świadczenie usług.
- Charakter i cel przetwarzania Hosting danych osobowych w pokoju danych oraz przetwarzanie niezbędne w związku z usługami przetwarzania dokumentów w imieniu Podmiotów Zlecających oraz umożliwienie użytkownikom końcowym dostępu do Danych Osobowych Klienta oraz ich przetwarzania w ramach Usług .
- Rodzaj danych osobowych Dane dotyczące zatrudnienia, dane wspólników, dane klientów, dane działalności gospodarczej, dane sprzedaży, dane finansowe itp.
- Kategorie osób, których dane dotyczą Pracownicy, doradcy, wspólnicy, klienci i inne osoby fizyczne.
- ZGODNOŚĆ Z PRZEPISAMI DOTYCZĄCYMI OCHRONY DANYCH
- O ile prawo nie stanowi inaczej, w związku z przetwarzaniem Danych Osobowych Klienta w Okresie Obowiązywania Usługodawca zobowiązuje się do:
- przestrzegania Prawa Ochrony Danych w związku z przetwarzaniem Danych Osobowych Klienta;
- przetwarzania Danych Osobowych Klienta tylko w zakresie niezbędnym w związku z Usługami, w sposób zgodny z udokumentowanymi, zgodnymi z prawem, zasadnymi w odniesieniu do Usług poleceniami Klienta oraz w celach związanych z wewnętrznymi analizami biznesowymi; Klient stale oświadcza i zapewnia, że jego polecenia nie będą powodować naruszania prawa przez Usługodawcę;
- poinformowania Klienta, jeżeli uzna, że wydane polecenie narusza Prawo Ochrony Danych;
- spowodowania, że wszyscy pracownicy upoważnieni przez Usługodawcę do przetwarzania Danych Osobowych Klienta podejmą zobowiązanie do zachowania poufności, lub zapewnienia, że będą oni podlegać zobowiązaniu do zachowania poufności wynikającemu z przepisów prawa;
- wdrożenia w celu zapewnienia odpowiedniej ochrony Danych Osobowych Klienta – z uwzględnieniem charakteru objętych ochroną Danych Osobowych Klienta oraz ryzyka ewentualnej szkody wynikającej z Naruszenia Bezpieczeństwa (zdefiniowanego poniżej) – odpowiednich środków technicznych i organizacyjnych określonych w Umowie o świadczenie usług lub innych odpowiednich środków o zakresie nie mniejszym niż środki określone w Załączniku;
- poinformowania Klienta bez nieuzasadnionej zwłoki o wszelkich dotyczących Danych Osobowych Klienta żądaniach osób, których dane dotyczą, oraz organów ścigania zgłaszanych na podstawie Prawa Ochrony Danych. Usługodawcy przysługuje prawo potwierdzenia każdego żądania wglądu do danych osoby, której dane dotyczą. W uzgodnionych przypadkach Usługodawcy przysługuje prawo do udzielenia w imieniu i na koszt Klienta odpowiedzi na żądanie wglądu do danych osoby, której dane dotyczą;
- udzielenia na koszt Klienta pomocy zasadnie żądanej przez Klienta w celu zapewnienia przestrzegania przez Klienta Prawa Ochrony Danych w zakresie bezpieczeństwa danych, zawiadamiania o naruszeniu danych, ocenach skutków dla ochrony danych oraz uprzednich konsultacji z organami nadzoru odpowiednimi dla spraw poufności i ochrony danych;
- usunięcia lub zwrotu Klientowi zgodnie z jego decyzją i na jego koszt po zakończeniu świadczenia Usług wszystkich Danych Osobowych Klienta oraz usunięcia istniejących kopii Danych Osobowych Klienta z wyjątkiem – w odpowiednich przypadkach – Danych Osobowych Klienta przechowywanych w celu zapewnienia ciągłości działalności gospodarczej i wznowienia działalności po awarii oraz zanonimizowanych Danych Osobowych Klienta przechowywanych w zgodnych z prawem celach związanych z działalnością gospodarczą. Usługodawcy przysługuje prawo do usunięcia lub zniszczenia wszelkich Danych Osobowych Klienta, które przestaną być niezbędne w celu zachowania zgodności z niniejszymi Warunkami;oraz
- orazudostępniania klientowi na jego koszt informacji racjonalnie niezbędnych w celu wykazania przestrzegania niniejszych Warunków przez Usługodawcę oraz umożliwiania niezależnemu podmiotowi zewnętrznemu przeprowadzania audytów ewentualnie uzgodnionych przez strony.
- Klient niezwłocznie zapewni pomoc zasadnie żądaną przez Usługodawcę w celu wykonania zobowiązań w zakresie ochrony i bezpieczeństwa danych ciążących na nim na podstawie niniejszych Warunków.
- . ZAWIADOMIENIE
- Na żądanie Klienta zgłoszone zgodnie z Umową o świadczenie usług i na jego koszt Usługodawca dostarczy każdej osobie, której dane dotyczą, stosowane przez Klienta standardowe zawiadomienie dotyczące poufności danych.
- PODWYKONAWCY PRZETWARZAJĄCY DANE
- Usługodawca będzie podzlecał przetwarzanie Danych Osobowych Klienta podwykonawcom (zwanym „Podwykonawcom Przetwarzającym Dane”) tylko za zgodą Klienta, która zostaje niniejszym udzielona z zastrzeżeniem art. 7.2.
- W chwili udzielenia zlecenia Podwykonawcy Przetwarzającemu Dane Usługodawca:
- przeprowadzi kontrolę due diligence o odpowiednim zakresie;
- awrze umowę, której postanowienia będą w praktycznie możliwym zakresie identyczne z postanowieniami niniejszych Warunków; umowa taka może zawierać Klauzule Umowne w celu zapewnienia odpowiedniej ochrony przetwarzania Danych Osobowych Klienta;
- będzie zawiadamiał Klienta o każdej przewidywanej zmianie polegającej na zastąpieniu Podwykonawcy Przetwarzającego Dane innym lub zaangażowaniu kolejnego Podwykonawcy Przetwarzającego Dane. W przypadku uzasadnionego sprzeciwu Klienta wobec takiej zmiany strony podejmą w dobrej wierze działania zmierzające do rozwiązania takiego sprzeciwu.
- INCYDENTY DOTYCZĄCE BEZPIECZEŃSTWA
- „Naruszenie Bezpieczeństwa” oznacza naruszenie bezpieczeństwa powodujące przypadkowe lub niezgodne z prawem zniszczenie, utratę, zmianę, nieuprawnione ujawnienie lub nieuprawniony dostęp do Danych Osobowych Klienta przekazywanych, przechowywanych lub przetwarzanych w inny sposób.
- Usługodawca niezwłocznie zawiadomi Klienta o każdym Naruszeniu Bezpieczeństwa, o którym poweźmie wiadomość. W przypadkach, w których będzie to praktycznie możliwe, Usługodawca będzie przekazywał zawiadomienia stopniowo.
- Usługodawca zbada Naruszenie Bezpieczeństwa i podejmie uzasadnione działania w celu ustalenia skutków Naruszenia Bezpieczeństwa spowodowanego przez Usługodawcę, przeciwdziałania im i ich minimalizacji. Usługodawca podejmie na koszt Klienta dalsze działania, których Klient zasadnie zażąda w celu zapewnienia zgodności z Prawem Ochrony Danych.
- Publikacja lub ogłoszenie przez Klienta jakiegokolwiek zgłoszenia, komunikatu, zawiadomienia, informacji prasowej lub raportu dotyczącego Naruszenia Bezpieczeństwa wymaga uprzedniej pisemnej zgody Usługodawcy, który nie odmówi takiej zgody bez uzasadnienia.
- PRZEKAZYWANIE DANYCH ZA GRANICĘ
- Usługodawca zapewni, aby Dane Osobowe Klienta nie były przekazywane poza:
- Europejski Obszar Gospodarczy lub
- inne terytorium, na którym obowiązują ograniczenia przekazywania Danych Osobowych Klienta za granicę wynikające z Prawa Ochrony Danychbez uprzedniej jednoznacznej pisemnej zgody Klienta, która zostaje niniejszym udzielona, z zastrzeżeniem art. 9.2
- Usługodawca udzieli na koszt Klienta pomocy zasadnie żądanej przez Klienta w celu zapewnienia stosowania Klauzul Umownych lub innego odpowiedniego mechanizmu przekazywania danych, takiego jak Program Tarcza Prywatności UE-USA w zakresie przekazywania danych między Unią Europejską a USA, służącego zapewnieniu odpowiedniego poziomu ochrony danych.
- POSTANOWIENIA KOŃCOWE
- Tytuły artykułów i inne nagłówki zastosowanie w niniejszych Warunkach mają charakter wyłącznie informacyjny. Nie stanowią one części niniejszych Warunków i nie wpływają na ich znaczenie oraz interpretację.
- Z zastrzeżeniem art. 10.3 odpowiedzialność każdej ze stron wynikająca z niniejszych Warunków podlega wyjątkom i ograniczeniom wynikającym z Umowy o świadczenie usług.
- Żadne postanowienie niniejszych Warunków nie wyłącza ani nie ogranicza odpowiedzialności którejkolwiek ze stron w zakresie, w którym takie wyłączenie lub ograniczenie nie jest dopuszczone przez odpowiednie prawo. Z zastrzeżeniem poprzedniego zdania (i) niniejsze Warunki oraz Umowa o świadczenie usług stanowią całość umowy między stronami w zakresie przetwarzania Danych Osobowych Klienta w ramach Usług i znoszą wszystkie wcześniejsze umowy, porozumienia, negocjacje i rozmowy stron dotyczące ich przedmiotu; (ii) akceptując niniejsze Warunki, żadna ze stron nie opiera się na żadnym dokonanym w wyniku niedbałości lub w dobrej wierze stwierdzeniu, oświadczeniu ani zapewnieniu innym niż jednoznacznie zawarte w niniejszych Warunkach. Żadnej ze stron nie będą przysługiwać prawa i środki ochrony prawnej wynikające z takich stwierdzeń, oświadczeń i zapewnień.
- Klient zobowiązuje się do zwrotu Usługodawcy w ciągu 15 dni od daty faktury wszelkich kosztów i wydatków – w tym bez ograniczeń uzasadnionych honorariów prawników oraz kosztów sporządzenia i wysyłki korespondencji – poniesionych przez Usługodawcę i/lub jego Podmioty Powiązane w związku z wykonywaniem na koszt Klienta zobowiązań wynikających z niniejszych Warunków.
- W przypadku spowodowania przez Klienta, jego Podmiot Powiązany lub Użytkownika Końcowego niemożności dalszego świadczenia Usług na podstawie Umowy o świadczenie usług w sposób przewidywany przez Usługodawcę z powodu zgłoszonego przez Klienta żądania zawieszenia lub rozwiązania całości lub części umowy z Podwykonawcą Przetwarzającym Dane, zawieszenia lub zaprzestania przekazywania Danych Osobowych Klienta, zniszczenia lub zwrotu Klientowi wszystkich Danych Osobowych Klienta, zawieszenia lub zaprzestania wglądu do Danych Osobowych Klienta lub tym podobnego żądania Usługodawcy przysługuje prawo do rozwiązania Umowy o świadczenie usług w dowolnym terminie ze skutkiem natychmiastowym lub odroczonym, bez ponoszenia za to odpowiedzialności, za pisemnym wypowiedzeniem przekazanym Klientowi. Z chwilą rozwiązania Umowy o świadczenie usług przez Usługodawcę lub Klienta z przyczyn związanych z niniejszymi Warunkami lub zgodnością z Prawem Ochrony Danych wszystkie opłaty za Usługi, koszty oraz inne płatności wynikające z Umowy o świadczenie usług stają się niezwłocznie płatne przez Klienta na rzecz Usługodawcy w wysokości obliczonej jak w przypadku rozwiązania Umowy o świadczenie usług przez Klienta na podstawie jej postanowień bez podania przyczyn.
- Strony zobowiązują się do sporządzania wszystkich wypowiedzeń i zawiadomień o naruszeniu w języku angielskim i kierowania icdo głównej osoby do kontaktu lub działu prawnego drugiej strony. Korespondencję uznaje się za doręczoną za potwierdzeniem w terminie wynikającym z prawidłowego potwierdzenia lub rejestru elektronicznego. Korespondencję przesyłaną pocztą uznaje się za doręczoną po upływie 48 godzin od wysyłki listem poleconym lub za potwierdzeniem odbioru.
- Postanowienia niniejszych Warunków są traktowane rozdzielnie. W przypadku nieważności lub niewykonalności któregokolwiek zdania, artykułu lub postanowienia w całości lub w części taka nieważność lub niewykonalność dotyczy tylko danego zdania, artykułu lub postanowienia. Pozostała część niniejszych Warunków zachowa moc i skuteczność prawną.
- Każda ze stron może przenieść swoje prawa i/lub zobowiązania wynikające z niniejszych Warunków na swojego następcę w wyniku fuzji, przejęcia, sprzedaży, przekształcenia lub likwidacji.
- Prawem właściwym niniejszych Warunków jest prawo właściwe Umowy o świadczenie usług. Strony akceptują wyłączną właściwość sądów kraju tego prawa w zakresie wszelkich spraw spornych (umownych i nieumownych) dotyczących niniejszych Warunków, przy czym każdej ze stron przysługuje prawo do złożenia do dowolnego sądu wniosku o wydanie zakazu, nakazu lub zastosowania innego środka w celu ochrony jej majątku, własności intelektualnej lub informacji poufnych.
ZAŁĄCZNIK: Środki bezpieczeństwa
Usługodawca zastosuje odpowiednio co najmniej następujące środki.
- Utrzymywanie ważnego certyfikatu ISO 27001:2013
- Zapory ogniowe najnowszej generacji
- Kontrola dostępu w oparciu o zasadę minimalnych niezbędnych uprawnień, w odpowiednich przypadkach z użyciem loginów i haseł o ograniczonym terminie ważności
- Ograniczenie dostępu zdalnego i uwierzytelnianie wielopoziomowe w przypadku dostępu zdalnego
- Działające w czasie rzeczywistym oprogramowanie antywirusowe i chroniące przez oprogramowaniem złośliwym i szpiegującym
- Przestrzeganie instrukcji producentów sprzętu i oprogramowania
- W odpowiednich przypadkach rozdzielanie danych należących do różnych klientów i wykorzystywanych do różnych celów
- Regularne aktualizacje oprogramowania
- Bezpieczne usuwanie danych z urządzeń wycofywanych z użytkowania
- 256-bitowe kodowanie przenośnych urządzeń do przechowywania danych oraz kodowanie danych osobowych podczas przesyłu
- Systemy wykrywania nieuprawnionego dostępu i zapobiegania mu
- Tworzenie zapasowych kopii danych i regularne testy
- Procedury zapewnienia ciągłości działalności i wznowienia działalności po awarii
- Weryfikacja pracowników
- Kontrola dostępu fizycznego w oparciu o zasadę minimalnych niezbędnych uprawnień
- Umowy o zachowanie poufności z pracownikami
- Szkolenie pracowników w zakresie poufności