Open this document in 🇺🇸 English

ANEKS DOTYCZĄCY PRZETWARZANIA DANYCH

Niniejszy Aneks dotyczący Przetwarzania Danych (dalej „DPA”), w tym jego załączniki, określa warunki, na jakich CT Tornado spółka z o.o., spółka należycie zarejestrowana i istniejąca zgodnie z prawem Rzeczypospolitej Polskiej, z siedzibą we Wrocławiu (adres: ul. Wyspa Słodowa 7, 50-266 Wrocław, Polska; rejestracja: Sąd Rejonowy dla Wrocławia-Fabrycznej we Wrocławiu, KRS/nr firmy: 873910; EU VAT nr: PL8982262377; kapitał zakładowy: 5.000,00 PLN; dalej „CTT”), jako Podmiot Przetwarzający, będzie przetwarzać Dane Osobowe w imieniu Klienta, który pełni rolę Administratora. Niniejsze ustalenie stanowi część usług Open Agents Builder (dalej „Usługi”) świadczonych za pośrednictwem platformy CTT (dalej „Platforma”).
Ten DPA stanowi uzupełnienie umowy dotyczącej Usług zawartej między CTT a Klientem (dalej „Umowa”) na podstawie Warunków Świadczenia Usług, dostępnych pod adresem https://app.openagentsbuilder.com/content/terms. Obowiązuje od tej samej daty co Umowa i zachowuje ważność przez cały okres jej trwania. Pojęcia niezdefiniowane w niniejszym DPA mają znaczenie nadane w Umowie.
W przypadku jakichkolwiek sprzeczności między niniejszym DPA a Umową, postanowienia niniejszego DPA mają pierwszeństwo w zakresie objętym konfliktem. CTT regularnie aktualizuje niniejsze warunki. Klient może uzyskać dostęp do poprzednich wersji tego DPA w archiwum CTT pod adresem https://openagentsbuilder.com.

1. DEFINICJE

  1. California Personal Information: Dane Osobowe objęte ochroną na mocy California Consumer Privacy Act (CCPA).
  2. CCPA”: California Civil Code, Sekcje 1798.100 i nast., z uwzględnieniem poprawek wprowadzonych przez California Privacy Rights Act z 2020 r.
  3. Consumer, Business, Sell, Service Provider, Share”: Terminy mają znaczenie nadane im w CCPA.
  4. Administrator” (Controller): Każda osoba fizyczna lub prawna, organ publiczny, agencja lub inny podmiot, który określa cele i sposoby Przetwarzania Danych Osobowych.
  5. Data Privacy Framework”: Obejmuje EU-U.S. Data Privacy Framework, Swiss-U.S. Data Privacy Framework i UK Extension do EU-U.S. Data Privacy Framework, zarządzane przez Departament Handlu USA. Te ramy mogą podlegać aktualizacjom lub zastąpieniu.
  6. Zasady Data Privacy Framework” (Data Privacy Framework Principles): Zasady podstawowe i uzupełniające określone w Data Privacy Framework, wraz z późniejszymi zmianami lub zastąpieniem.
  7. Przepisy o Ochronie Danych” (Data Protection Laws): Wszystkie obowiązujące globalnie przepisy dotyczące ochrony danych i prywatności, mające zastosowanie do stron uczestniczących w Przetwarzaniu Danych Osobowych zgodnie z Umową, w tym między innymi Europejskie Przepisy o Ochronie Danych, CCPA, inne federalne i stanowe przepisy o ochronie prywatności w USA oraz przepisy krajów takich jak Australia, Singapur czy Japonia. Przepisy te mogą być zmieniane lub zastępowane.
  8. Podmiot Danych” (Data Subject): Osoba fizyczna, której Dane Osobowe dotyczą.
  9. Europa” (Europe): Obejmuje Unię Europejską, Europejski Obszar Gospodarczy oraz ich państwa członkowskie, Szwajcarię i Zjednoczone Królestwo.
  10. Europejskie Dane” (European Data): Dane Osobowe chronione na mocy Europejskich Przepisów o Ochronie Danych.
  11. Europejskie Przepisy o Ochronie Danych” (European Data Protection Laws): Obejmuje Rozporządzenie Ogólne o Ochronie Danych (RODO/GDPR), Dyrektywę 2002/58/WE (Dyrektywa e-Privacy) i krajowe akty wdrażające te przepisy, takie jak UK GDPR czy szwajcarska Federalna Ustawa o Ochronie Danych.
  12. Instrukcje” (Instructions): Udokumentowane wytyczne wydawane przez Administratora Podmiotowi Przetwarzającemu, określające działania dotyczące Danych Osobowych, takie jak przetwarzanie, przechowywanie, usuwanie czy inne formy operowania nimi.
  13. Dane Osobowe” (Personal Data): Wszelkie informacje odnoszące się do zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, chronione zgodnie z właściwymi Przepisami o Ochronie Danych.
  14. Naruszenie Danych Osobowych” (Personal Data Breach): Wszelkie naruszenia bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmiany lub nieuprawnionego ujawnienia Danych Osobowych. Nie obejmuje nieudanych prób niepowodujących naruszenia bezpieczeństwa Danych Osobowych, np. nieudanych prób logowania czy ataków sieciowych na zapory ogniowe.
  15. Przetwarzanie” (Processing): Jakiekolwiek operacje lub zestaw operacji wykonywanych na Danych Osobowych, m.in. gromadzenie, przechowywanie, odzyskiwanie, modyfikowanie, ujawnianie oraz niszczenie. Terminy pokrewne to „Przetwarzać”, „Przetwarza”, „Przetworzone”.
  16. Podmiot Przetwarzający” (Processor): Osoba fizyczna lub prawna, organ publiczny, agencja albo inny podmiot, który Przetwarza Dane Osobowe w imieniu Administratora.
  17. Standardowe Klauzule Umowne” (Standard Contractual Clauses): Klauzule udostępnione przez Komisję Europejską zapewniające zgodność transferów danych poza Europejski Obszar Gospodarczy z europejskimi przepisami o ochronie danych. Dostępne pod adresem https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en.
  18. Podprocesor” (Sub-Processor): Strona trzecia zaangażowana przez Podmiot Przetwarzający do pomocy w wypełnianiu jego obowiązków w ramach Umowy, z wyłączeniem pracowników lub konsultantów Podmiotu Przetwarzającego.
  19. UK Addendum”: Aneks wydany przez brytyjskiego Komisarza ds. Informacji w zakresie międzynarodowych transferów danych na gruncie prawa Wielkiej Brytanii, dostępny pod adresem https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en.

2. OBOWIĄZKI ADMINISTRATORA

  1. Zgodność z Prawem: Klient jest odpowiedzialny za zapewnienie zgodności z wszystkimi właściwymi Przepisami o Ochronie Danych w zakresie Przetwarzania Danych Osobowych oraz za zgodność z Instrukcjami przekazywanymi CTT. W szczególności Klient:
    • Zapewnia poprawność, jakość i zgodność z prawem przetwarzanych Danych Osobowych.
    • Spełnia wymogi dotyczące transparentności oraz legalności gromadzenia i wykorzystywania Danych Osobowych, w tym uzyskiwania niezbędnych zgód i upoważnień.
    • Potwierdza prawo do przekazania lub udostępnienia Danych Osobowych CTT w celu Przetwarzania zgodnie z Umową i niniejszym DPA.
    • Zapewnia, że wszystkie Instrukcje dotyczące Przetwarzania Danych Osobowych są zgodne z prawem i przestrzegają Przepisów o Ochronie Danych.
    • Przestrzega wszystkich właściwych przepisów regulujących treści tworzone, wysyłane lub zarządzane w ramach Usług. Klient niezwłocznie powiadomi CTT, jeśli nie będzie w stanie spełnić tych wymagań.
  2. Instrukcje Administratora: Niniejszy DPA oraz korzystanie z Usług na podstawie Umowy stanowią pełen zakres Instrukcji Klienta dla CTT w odniesieniu do Przetwarzania Danych Osobowych. Klient może wydawać dodatkowe Instrukcje zgodne z warunkami Umowy i legalnym korzystaniem z Usług w okresie ich obowiązywania.
  3. Obowiązki w Zakresie Bezpieczeństwa: Klient musi samodzielnie zweryfikować, czy środki bezpieczeństwa zastosowane w Usługach spełniają wymogi właściwych Przepisów o Ochronie Danych. Odpowiada m.in. za bezpieczeństwo Danych Osobowych podczas ich transmisji do Usług i z Usług, a także za wdrożenie środków takich jak tworzenie kopii zapasowych i szyfrowanie.

3. OBOWIĄZKI PODMIOTU PRZETWARZAJĄCEGO

  1. Zgodność z Instrukcjami: CTT będzie Przetwarzać Dane Osobowe wyłącznie w celach określonych w niniejszym DPA lub na podstawie wyraźnych, zgodnych z prawem Instrukcji, z wyjątkiem sytuacji wymaganych przez obowiązujące prawo. CTT nie ponosi odpowiedzialności za przestrzeganie jakichkolwiek przepisów o ochronie danych specyficznych dla branży Klienta, które nie mają zastosowania do CTT w ogólności.
  2. Sprzeczność z Prawem: Jeżeli wymogi prawne uniemożliwią CTT przestrzeganie Instrukcji, CTT:
    • Niezwłocznie poinformuje Klienta o tym wymogu, o ile jest to dozwolone przez prawo.
    • Zaprzestanie wszelkich czynności Przetwarzania poza przechowywaniem i zabezpieczeniem Danych Osobowych do czasu, aż Klient przekaże nowe, legalne Instrukcje, z którymi CTT będzie mógł się zgodzić. W tym okresie CTT nie ponosi odpowiedzialności za przerwy w świadczeniu usług wynikające ze stosowania się do wymogów prawnych.
  3. Środki Bezpieczeństwa: CTT zobowiązuje się do wdrożenia i utrzymywania solidnych środków technicznych i organizacyjnych w celu ochrony Danych Osobowych przed naruszeniami, zgodnie z opisem w Załączniku 2 do niniejszego DPA. CTT może aktualizować te środki, pod warunkiem że nie obniży to poziomu ochrony.
  4. Poufność: CTT zapewnia, że wszelkie osoby upoważnione do Przetwarzania Danych Osobowych są objęte odpowiednim zobowiązaniem do zachowania poufności, wynikającym z przepisów prawa lub umów.
  5. Naruszenia Danych Osobowych: W przypadku wystąpienia Naruszenia Danych Osobowych, CTT niezwłocznie poinformuje o tym Klienta i przekaże wszelkie niezbędne informacje bez zbędnej zwłoki. CTT będzie wspierać Klienta w powiadamianiu osób, których dane dotyczą, oraz odpowiednich organów, o ile jest to wymagane przez Przepisy o Ochronie Danych.
  6. Usunięcie lub Zwrot Danych Osobowych: Po wygaśnięciu lub rozwiązaniu Umowy, CTT usunie lub zwróci wszystkie Dane Osobowe przetwarzane zgodnie z niniejszym DPA, chyba że przepisy prawa nakazują dalsze przechowywanie tych Danych Osobowych. Wszelkie zachowane Dane Osobowe będą przechowywane w sposób bezpieczny i odizolowany od dalszego Przetwarzania, aż do momentu, kiedy ich usunięcie będzie możliwe, zgodnie z procedurami usuwania danych obowiązującymi w CTT.

4. ŻĄDANIA PODMIOTÓW DANYCH

  1. Obsługa Żądań poprzez Usługi: Usługi udostępniają Klientowi funkcjonalności do wyszukiwania, korygowania, usuwania lub ograniczania Danych Osobowych, co umożliwia spełnienie wymogów wynikających z Przepisów o Ochronie Danych i wniosków od Podmiotów Danych.
  2. Dodatkowe Wsparcie: Jeżeli Klient nie może w pełni zrealizować żądania Podmiotu Danych korzystając z dostępnych funkcjonalności Usług, CTT zapewni uzasadnioną pomoc po otrzymaniu pisemnego wniosku od Klienta. Obejmuje to pomoc w odpowiedzi na żądania Podmiotu Danych lub zapytania od organów ochrony danych w sprawie Przetwarzania Danych Osobowych w ramach Umowy. Klient pokryje wszelkie uzasadnione koszty poniesione przez CTT w związku z udzieleniem takiej pomocy.
  3. Bezpośrednie Żądania kierowane do CTT: W przypadkach, gdy Podmioty Danych zwrócą się bezpośrednio do CTT w sprawie Danych Osobowych przetwarzanych na podstawie Umowy, CTT niezwłocznie skieruje je do Klienta. CTT poinformuje o żądaniu Klienta i zasugeruje Podmiotowi Danych, aby skontaktował się bezpośrednio z Klientem. Klient jest wyłącznie odpowiedzialny za merytoryczne udzielenie odpowiedzi na takie żądania lub zapytania dotyczące Danych Osobowych.

5. KORZYSTANIE Z PODPROCESORÓW

  1. Angażowanie Podprocesorów: CTT może angażować Podprocesorów do pomocy w świadczeniu różnych aspektów Usług, w tym hostingu i infrastruktury, funkcjonalności produktowych i integracji, a także wsparcia klienta. CTT poinformuje Klienta o domyślnych Podprocesorach oraz o tych, których zaangażowanie wymaga akceptacji Klienta.
  2. Powiadamianie o Zmianach: CTT prowadzi bieżącą listę Podprocesorów w Załączniku 3 do niniejszego DPA. Klient może zapisać się na powiadomienia e-mail o zmianach w zakresie Podprocesorów, wypełniając formularz dostępny na stronie https://openagentsbuilder.com. CTT zobowiązuje się do poinformowania Klienta co najmniej 30 dni przed dodaniem lub zastąpieniem jakiegokolwiek Podprocesora.
  3. Prawo Klienta do Sprzeciwu: Klient ma prawo wyrazić sprzeciw wobec korzystania z nowego Podprocesora, jeżeli ma ku temu uzasadnione podstawy związane z ochroną danych. Sprzeciw należy zgłosić w ciągu 30 dni od powiadomienia. W razie zgłoszenia zastrzeżeń CTT podejmie próby znalezienia porozumienia. Jeśli nie będzie to możliwe, CTT może nie angażować proponowanego Podprocesora lub pozwolić Klientowi na zawieszenie albo rozwiązanie Usług zgodnie z zapisami dotyczącymi rozwiązania Umowy, bez ponoszenia odpowiedzialności za zakończenie świadczenia usług, ale przy uwzględnieniu opłat naliczonych przed zawieszeniem czy rozwiązaniem.
  4. Zgodność Podprocesorów: CTT nałoży na każdego Podprocesora warunki dotyczące ochrony danych, zapewniające co najmniej taki sam poziom ochrony, jaki przewidziano w niniejszym DPA, adekwatne do charakteru świadczonych przez nich usług. CTT pozostaje odpowiedzialne za przestrzeganie przez każdego Podprocesora warunków niniejszego DPA, a także za wszelkie naruszenia spowodowane przez Podprocesorów.

6. TRANSFER DANYCH

  1. Zakres Transferu Danych: Klient przyjmuje do wiadomości, że CTT oraz jego Podprocesorzy mogą potrzebować dostępu i Przetwarzania Danych Osobowych na skalę globalną w celu świadczenia Usług. Obejmuje to transfer Danych Osobowych oraz ich Przetwarzanie w Stanach Zjednoczonych i innych krajach, w których CTT lub jego Podprocesorzy prowadzą działalność.
  2. Zgodność z Przepisami o Ochronie Danych: Zarówno CTT, jak i Klient zapewnią, że wszelkie transfery Danych Osobowych poza kraj ich pochodzenia odbywają się zgodnie z wymogami właściwych Przepisów o Ochronie Danych. W szczególności wdrożą odpowiednie zabezpieczenia i dopilnują, aby transfery były zgodne z prawem — niezależnie od tego, czy dotyczą transferu danych z i do Unii Europejskiej, Stanów Zjednoczonych czy innych jurysdykcji międzynarodowych.
  3. Mechanizmy Prawne Transferu Danych: W celu zapewnienia zgodności z Przepisami o Ochronie Danych przy tych transferach CTT wykorzysta różne mechanizmy prawne, m.in. Standardowe Klauzule Umowne, przestrzeganie EU-U.S. Privacy Shield (gdy dotyczy) lub potwierdzając, że Podprocesorzy w państwach trzecich spełniają równoważne standardy ochrony danych.
  4. Powiadamianie o Transferach: CTT poinformuje Klienta o nowych krajach, do których Dane Osobowe mogą być przekazywane, w ramach regularnych aktualizacji dotyczących praktyk w zakresie przetwarzania danych. Zapewni to przejrzystość i umożliwi Klientowi ocenę adekwatności stosowanych środków ochrony.

7. DOWODZENIE ZGODNOŚCI

  1. Przejrzystość i Udostępnianie Informacji: CTT zobowiązuje się do zachowania przejrzystości i będzie dostarczać Klientowi wszelkich informacji niezbędnych do wykazania zgodności z niniejszym DPA. CTT weźmie udział w audytach i inspekcjach przeprowadzanych przez Klienta lub wyznaczonego przez niego audytora w zakresie niezbędnym do potwierdzenia zgodności z niniejszym DPA, zgodnie z wymogami obowiązującego prawa.
  2. Prawo do Audytu: Klient ma prawo przeprowadzić audyt w celu weryfikacji, czy CTT przestrzega niniejszego DPA. Prawo to jest realizowane poprzez Instrukcje skierowane do CTT, by przestrzegał procedur audytu opisanych w tej sekcji. CTT przyjmuje do wiadomości, że Usługi są hostowane przez Podprocesorów posiadających niezależne certyfikaty bezpieczeństwa, takie jak SOC 2 czy ISO 27001. Systemy CTT również podlegają regularnym audytom i testom przeprowadzanym przez niezależne podmioty.
  3. Dostęp do Raportów z Audytu: Na wniosek Klienta CTT udostępni mu istotne raporty z audytów na zasadzie poufności, umożliwiając Klientowi weryfikację zgodności CTT z niniejszym DPA.
  4. Odpowiedzi na Zapytania w Zakresie Zgodności: Na pisemny wniosek Klienta CTT udzieli pisemnych odpowiedzi na wszelkie uzasadnione zapytania dotyczące zapewnienia zgodności z niniejszym DPA. Z tego prawa można korzystać nie częściej niż raz w roku kalendarzowym, chyba że Klient posiada uzasadnione podstawy, aby podejrzewać naruszenie niniejszego DPA.

8. DODATKOWE POSTANOWIENIA DOTYCZĄCE DANYCH EUROPEJSKICH

  1. Zakres Zastosowania: Niniejsza sekcja odnosi się wyłącznie do przetwarzania i transferu Europejskich Danych, tj. danych chronionych przez Europejskie Przepisy o Ochronie Danych.
  2. Role i Odpowiedzialności: W zakresie przetwarzania Europejskich Danych Klient występuje jako „Administrator”, a CTT jako „Podmiot Przetwarzający”. Każda ze stron przestrzega swoich obowiązków wynikających z Europejskich Przepisów o Ochronie Danych.
  3. Zgodność z Instrukcjami: Jeżeli CTT uzna, że jakaś Instrukcja może być niezgodna z Europejskimi Przepisami o Ochronie Danych, niezwłocznie powiadomi o tym Klienta, a obie strony podejmą działania w celu znalezienia rozwiązania.
  4. Ocena Skutków dla Ochrony Danych: CTT będzie wspierać Klienta w przeprowadzaniu oceny skutków dla ochrony danych oraz konsultacjach z organami nadzorczymi, zwłaszcza w przypadkach, gdy CTT posiada kluczowe informacje niedostępne dla Klienta.
  5. Mechanizmy Prawne Transferu Danych:
    • Informacje Ogólne: CTT będzie transferować Europejskie Dane wyłącznie do krajów lub podmiotów zapewniających odpowiedni poziom ochrony, uznany przez Europejskie Przepisy o Ochronie Danych, wykorzystując m.in. Data Privacy Framework, Związane Reguły Korporacyjne czy Standardowe Klauzule Umowne.
    • Konkretnie:
      • Data Privacy Framework: CTT i Podprocesorzy mający siedzibę w Stanach Zjednoczonych otrzymają Europejskie Dane zgodnie z ramami Data Privacy Framework, zapewniającymi poziom ochrony równoważny standardom europejskim. CTT powiadomi Klienta, jeśli zgodność z tymi ramami stanie się niemożliwa.
      • Standardowe Klauzule Umowne: Jeżeli wymagają tego Europejskie Przepisy o Ochronie Danych, CTT wykorzysta Standardowe Klauzule Umowne. Obejmują one szczegółowe zapisy dotyczące ról i obowiązków:
        • Dla transferów objętych RODO Klient jest eksporterem danych, a CTT lub jego Podprocesorzy — importerami danych. Zastosowanie mają odpowiednie klauzule wydane przez UE w zależności od roli Klienta (Administrator lub Podmiot Przetwarzający).
        • Ewentualne dostosowania wymagane przez prawo Wielkiej Brytanii (UK GDPR) i Szwajcarii będą wdrażane zgodnie z wymogami lokalnymi, łącznie z włączeniem UK Addendum i zmianami w odniesieniu do prawa szwajcarskiego.
        • Klient przyjmuje do wiadomości, że CTT wypełnia obowiązki z Sekcji 9 Standardowych Klauzul Umownych, stosując zasady dotyczące Podprocesorów opisane w niniejszym DPA. Mimo ewentualnych ograniczeń w ujawnianiu umów z Podprocesorami, CTT podejmie rozsądne starania, by udostępnić je Klientowi w sposób poufny, w zakresie dostępnych informacji. Klient może także zrealizować prawo do audytu określone w Klauzuli 8.9 Standardowych Klauzul Umownych, kierując się procedurami opisanymi w sekcji „Dowodzenie Zgodności” niniejszego DPA.
    1. Alternatywne Mechanizmy Transferu:
    • Wdrażanie Nowych Mechanizmów: Jeżeli CTT będzie zobowiązane do zastosowania innego mechanizmu transferu Europejskich Danych, zastąpi on dotychczasowe rozwiązania, aby zapewnić zgodność z Europejskimi Przepisami o Ochronie Danych. Taka zmiana będzie wprowadzana wyłącznie w zakresie, w jakim nowy mechanizm jest zgodny z tymi przepisami.
    • Współpraca Klienta: Klient zobowiązuje się podjąć wszelkie niezbędne działania i podpisać wszelkie dokumenty wymagane do legalnego wdrożenia tych alternatywnych mechanizmów transferu.

9. DODATKOWE POSTANOWIENIA DOTYCZĄCE CALIFORNIA PERSONAL INFORMATION

  1. Zakres Zastosowania: Niniejsza sekcja dotyczy wyłącznie przetwarzania California Personal Information, w rozumieniu CCPA.
  2. Role Stron: Na gruncie CCPA Klient pełni funkcję „Business”, a CTT występuje jako „Service Provider”. Każda ze stron wypełnia swoje obowiązki zgodnie z przypisanymi im rolami w CCPA.
  3. Obowiązki Service Provider: CTT, działając jako Service Provider, zobowiązuje się do:
    • Przetwarzania California Personal Information wyłącznie w celu świadczenia Usług określonych w Umowie lub w inny sposób dozwolony przez CCPA.
    • Nienabywania ani nierozpowszechniania California Personal Information na zasadach „sprzedaży” (sell) czy „udostępniania” (share) zgodnie z CCPA.
    • Nieprzetwarzania California Personal Information poza bezpośrednimi relacjami biznesowymi między stronami, chyba że wymagają tego obowiązujące przepisy.
    • Niewiązania California Personal Information z danymi z zewnętrznych źródeł w sposób niezgodny z wyłącznym celem realizacji Usług wynikających z Umowy.
  4. Zobowiązania w Zakresie Zgodności: CTT zobowiązuje się do:
    • Wypełniania obowiązków Service Providera zgodnie z CCPA.
    • Utrzymania poziomu ochrony prywatności wymaganego przez CCPA w odniesieniu do California Personal Information.
    • Niezwłocznego powiadomienia Klienta, jeśli nie będzie w stanie wypełnić obowiązków określonych w CCPA.
  5. Audyt zgodnie z CCPA: Klient zachowuje prawo do przeprowadzenia audytu sposobu wykorzystywania California Personal Information przez CTT w celu zapewnienia zgodności z CCPA. Może także podjąć odpowiednie działania, zgodnie z Umową, w celu usunięcia nieuprawnionego wykorzystania California Personal Information.
  6. Deklaracja Braku Sprzedaży: Strony potwierdzają, że udostępnianie California Personal Information na mocy Umowy nie stanowi sprzedaży i nie wiąże się z przekazaniem jakiejkolwiek korzyści finansowej czy innej wartości handlowej w zamian za takie dane. Postępowanie CTT z California Personal Information będzie ściśle zgodne z wymogami świadczenia Usług w ramach CCPA, bez jej dodatkowego komercyjnego wykorzystywania.

10. POSTANOWIENIA OGÓLNE

  1. Zmiany: CTT może aktualizować i wprowadzać zmiany do niniejszego DPA w niezbędnym zakresie, nie wpływając na zobowiązania określone w sekcjach „Zgodność z Instrukcjami” czy „Bezpieczeństwo” niniejszego DPA, aby zapewnić stałą zgodność z ewoluującymi wymogami prawnymi.
  2. Rozdzielność Postanowień: Jeśli jakiekolwiek postanowienie niniejszego DPA zostanie uznane za nieważne lub niewykonalne, nie wpływa to na ważność i wykonalność pozostałych postanowień, które pozostają w mocy.
  3. Ograniczenie Odpowiedzialności: Odpowiedzialność każdej ze stron, wynikająca z niniejszego DPA lub odnosząca się do niego (w tym w ramach Standardowych Klauzul Umownych, o ile mają zastosowanie), podlega ograniczeniom i wyłączeniom określonym w sekcji „Ograniczenie Odpowiedzialności i Wyłączenie Gwarancji” głównej Umowy. Odniesienia do odpowiedzialności stron w tej sekcji obejmują łącznie odpowiedzialność wynikającą z niniejszego DPA.
  4. Prawo Właściwe: Niniejszy DPA podlega przepisom prawa wskazanym w sekcji „Prawo Właściwe i Właściwość Sądu” głównej Umowy, z zastrzeżeniem odmiennych wymogów zawartych w obowiązujących Przepisach o Ochronie Danych.

ZAŁĄCZNIK 1: SZCZEGÓŁY PRZETWARZANIA

1. Lista Stron

  • Eksporter Danych (Klient):
    • Nazwa: Zdefiniowana w (kontekście) Umowy.
    • Adres: Wskazany w (kontekście) Umowy.
    • Dane Kontaktowe: Wskazane w (kontekście) Umowy.
    • Zakres Działalności: Przetwarzanie Danych Osobowych w zgodzie z wykorzystaniem Usług w ramach Umowy.
    • Rola: Administrator.
  • Importer Danych (CTT):
    • Nazwa: Jak zdefiniowano w Umowie.
    • Adres: Wskazany w Umowie.
    • Dane Kontaktowe: Wskazane w Umowie.
    • Zakres Działalności: Przetwarzanie Danych Osobowych w celu świadczenia Usług określonych w Umowie.
    • Rola: Podmiot Przetwarzający.

2. Opis Transferu

  • Kategorie Podmiotów Danych: Obejmują Użytkowników Końcowych — tj. uprzednio zatwierdzone osoby lub zamknięte grupy wyznaczone do uzyskiwania dostępu i interakcji z Platformą i Usługami.
  • Kategorie Danych Osobowych: Obejmują, między innymi, dane identyfikacyjne (np. imię i nazwisko, nazwa użytkownika), dane kontaktowe (np. adresy e-mail, numery telefonów), dane demograficzne oraz treści tworzone przez użytkowników, wprowadzane w celu dostępu i korzystania z Usług.
  • Dane Wrażliwe: Przetwarzanie lub transfer danych wrażliwych (np. danych dotyczących zdrowia, rasy czy pochodzenia etnicznego, poglądów politycznych, przekonań religijnych lub danych biometrycznych) jest stanowczo odradzane.
  • Częstotliwość Transferu: Ciągła, zgodnie z potrzebami świadczenia Usług.
  • Charakter Przetwarzania: Dane Osobowe będą przechowywane, utrzymywane i przetwarzane w celu zapewnienia wsparcia dla Usług świadczonych Klientowi, w tym ujawniania w niezbędnym zakresie zgodnie z Umową lub wymogami prawa.
  • Cel Transferu i Dalszego Przetwarzania: Umożliwienie świadczenia Usług, zgodnie z Umową oraz Instrukcjami Klienta.
  • Okres Przechowywania: Dane Osobowe będą przetwarzane przez okres obowiązywania Umowy, o ile nie określono inaczej.

ZAŁĄCZNIK 2: ŚRODKI BEZPIECZEŃSTWA

1. Kontrola Dostępu:

  • Zapobieganie Nieautoryzowanemu Dostępowi:
    • Przetwarzanie Zewnętrzne: CTT korzysta z zewnętrznych dostawców infrastruktury chmurowej, utrzymując ścisłe zobowiązania umowne, by zapewnić ochronę danych w zgodzie z niniejszym DPA.
    • Bezpieczeństwo Fizyczne i Środowiskowe: Infrastruktura produktowa CTT jest hostowana w środowisku wielodostępnym (multi-tenant), z zapewnionymi surowymi kontrolami bezpieczeństwa fizycznego i środowiskowego.
    • Uwierzytelnianie i Autoryzacja: CTT stosuje spójną politykę haseł, a dostęp za pośrednictwem interfejsu użytkownika i API jest nadawany wyłącznie upoważnionemu personelowi zgodnie z przypisanymi rolami i uprawnieniami.
  • Zapobieganie Nieuprawnionemu Użyciu:
    • Kontrola Dostępu i Wykrywanie Włamań: CTT stosuje standardowe w branży mechanizmy kontroli dostępu i wykrywania włamań w celu ochrony przed nieupoważnionym dostępem do sieci i infrastruktury produktowej, w tym konfiguracje Virtual Private Cloud (VPC) i grup bezpieczeństwa.
    • Analiza Kodu i Testy Penetracyjne: Regularnie przeprowadzane są analizy kodu statycznego oraz coroczne testy penetracyjne w celu identyfikacji i wyeliminowania ewentualnych luk w zabezpieczeniach.

2. Kontrola Transmisji:

  • Dane w Tranzycie: Wszystkie dane przesyłane do i z systemów CTT są szyfrowane za pomocą protokołów HTTPS/TLS, co zapewnia bezpieczeństwo transmisji.
  • Dane w Spoczynku: Kluczowe dane przechowywane na serwerach CTT są szyfrowane w stanie spoczynku w odniesieniu do Danych Osobowych, zgodnie z uznanymi w branży standardami bezpieczeństwa.

3. Kontrola Wprowadzania Danych:

  • Rejestrowanie i Monitorowanie: Infrastruktura CTT rejestruje obszerne informacje o zachowaniu systemów, ruchu sieciowym i żądaniach uwierzytelniania. Dane te są monitorowane w celu wykrywania i reagowania na potencjalne incydenty bezpieczeństwa.
  • Zarządzanie i Reakcja na Incydenty: CTT posiada kompleksowy plan reakcji na incydenty, obejmujący kroki w razie naruszeń bezpieczeństwa, minimalizowanie szkód i informowanie klientów zgodnie z postanowieniami niniejszego DPA.

4. Kontrola Dostępności:

  • Niezawodność Infrastruktury: Dostawcy infrastruktury CTT gwarantują przynajmniej 98% dostępności i utrzymują nadmiarowość (redundancję) zapewniającą zasilanie, sieć i klimatyzację.
  • Redundancja i Kopie Zapasowe Danych: Dane klientów są replikowane w wielu centrach danych, aby zapewnić dostępność i integralność danych. Plany awaryjne CTT są regularnie testowane w celu potwierdzenia skuteczności przy przywracaniu usług i danych po zakłóceniach operacyjnych.

5. Odzyskiwanie Poawaryjne i Integralność Danych:

  • Plany Odzyskiwania Poawaryjnego: Regularne testy procedur odzyskiwania poawaryjnego w celu zapewnienia szybkiego przywrócenia usług z minimalną utratą danych.
  • Środki Zapewniające Integralność Danych: Prowadzone są ciągłe kontrole i weryfikacje poprawności danych, aby utrzymać ich wiarygodność i dokładność.

ZAŁĄCZNIK 3: PODPROCESORZY

  1. Przegląd: CTT angażuje różnych Podprocesorów do pomocy w świadczeniu Usług. Niniejszy załącznik zawiera przejrzystą listę tych Podprocesorów, określając ich role oraz cele, w jakich zostali zaangażowani. Korzystanie z Podprocesorów jest zgodne z postanowieniami niniejszego DPA, zapewniając przestrzeganie stosownych standardów ochrony danych.
  2. Lista Podprocesorów:
    1. Dostawcy Infrastruktury Chmurowej:
      • Cel: Hosting i zarządzanie infrastrukturą, na której działają usługi CTT, z zapewnieniem wysokiej dostępności i bezpieczeństwa środowiska przetwarzania.
      • Dostawca: Hetzner Online GmbH (Industriestr. 25, 91710 Gunzenhausen, Niemcy, e-mail: info@hetzner.com).
      • Lokalizacja: UE/EOG.
    2. Procesory Płatności:
      • Cel: Obsługa transakcji finansowych w ramach Usług, zapewniająca bezpieczne i wydajne przetwarzanie płatności.
      • Dostawca: Stripe Technology Europe, Limited (irlandzka spółka z o.o.; numer rejestracyjny: 0599050; siedziba: 25/28 North Wall Quay, Dublin 1, D01H104).
      • Lokalizacja: UE/EOG.
    3. Usługi OpenAI:

      • Cel: Udostępnienie funkcjonalności opartych na AI, takich jak przetwarzanie języka, generowanie tekstu czy analiza treści, wykorzystując technologię OpenAI w celu wzbogacenia doświadczeń użytkownika i funkcjonalności usług.

      • Dostawca:
        (a) Dla rezydentów Europejskiego Obszaru Gospodarczego (EOG) lub Szwajcarii: OpenAI Ireland Limited, z siedzibą pod adresem 1st Floor, The Liffey Trust Centre, 117-126 Sheriff Street Upper, Dublin 1, D01 YC43, Irlandia.
        (b) Dla rezydentów w Wielkiej Brytanii: OpenAI OpCo, LLC, z siedzibą pod adresem 1960 Bryant Street, San Francisco, California 94110, USA.

        OpenAI posiada samocertyfikację w ramach EU-U.S. Data Privacy Framework, UK Extension to the EU-U.S. Data Privacy Framework oraz Swiss-U.S. Data Privacy Framework, zapewniając zgodność z wymogami w zakresie międzynarodowej ochrony danych.

      • Lokalizacja: UE/EOG, Stany Zjednoczone.

  3. Aktualizowanie Listy Podprocesorów: Lista Podprocesorów może być okresowo aktualizowana w celu odzwierciedlenia zmian w Usługach świadczonych przez CTT lub w odpowiedzi na wymagania operacyjne. CTT zobowiązuje się do aktualizacji niniejszego Załącznika i powiadomienia Klienta o wszelkich nowych Podprocesorach lub zmianach dotyczących obecnych Podprocesorów, zgodnie z niniejszym DPA. Klienci mogą zapisać się, aby otrzymywać powiadomienia o aktualizacjach za pośrednictwem linku udostępnionego na stronie Podprocesorów CTT pod adresem https://openagentsbuilder.com.
  4. Sprzeciw i Usuwanie Podprocesorów: Klienci mają prawo wyrazić sprzeciw wobec korzystania z nowych Podprocesorów, przesyłając pisemne powiadomienie do CTT w terminie trzydziestu (30) dni od otrzymania takiego zawiadomienia. CTT rozpatrzy ten sprzeciw w dobrej wierze. W przypadku braku rozwiązania wątpliwości CTT może zrezygnować z angażowania proponowanego Podprocesora lub umożliwić Klientowi rozwiązanie odpowiednich Usług zgodnie z postanowieniami Umowy dotyczącymi jej rozwiązania.