Umowa powierzenia przetwarzania danych

Data wejścia w życie: 1 stycznia 2025

Wprowadzenie

Niniejsza Umowa Powierzenia Przetwarzania Danych ("UPD") uzupełnia Regulamin między RemoteOps ("Podmiot Przetwarzający") a organizacją subskrybującą ("Administrator"). Niniejsza UPD reguluje przetwarzanie danych osobowych przez Podmiot Przetwarzający w imieniu Administratora w związku z platformą RemoteOps, zgodnie z art. 28 Ogólnego Rozporządzenia o Ochronie Danych (RODO).

Definicje

"Administrator" oznacza organizację, która określa cele i sposoby przetwarzania danych osobowych za pośrednictwem platformy RemoteOps. "Podmiot Przetwarzający" oznacza RemoteOps, który przetwarza dane osobowe w imieniu Administratora. "Osoba, której dane dotyczą" oznacza zidentyfikowaną lub możliwą do zidentyfikowania osobę fizyczną, której dane osobowe są przetwarzane. "Dane Osobowe" oznaczają wszelkie informacje dotyczące osoby, której dane dotyczą. "Przetwarzanie" oznacza każdą operację wykonywaną na danych osobowych, w tym gromadzenie, przechowywanie, pobieranie, wykorzystywanie, ujawnianie i usuwanie.

Zakres i cel przetwarzania

Podmiot Przetwarzający przetwarza dane osobowe wyłącznie w celu świadczenia usługi platformy RemoteOps do zarządzania serwisem w terenie na rzecz Administratora. Kategorie osób, których dane dotyczą, obejmują pracowników, techników, dyspozytorów i klientów końcowych Administratora. Kategorie danych osobowych obejmują imiona i nazwiska, adresy e-mail, numery telefonów, dane lokalizacyjne (gdy funkcje nawigacji są aktywne), historię zleceń serwisowych i metadane połączeń.

Obowiązki podmiotu przetwarzającego

Podmiot Przetwarzający zobowiązuje się: (a) przetwarzać dane osobowe wyłącznie na udokumentowane polecenie Administratora; (b) zapewnić, że osoby upoważnione do przetwarzania danych osobowych są związane obowiązkami poufności; (c) wdrożyć odpowiednie techniczne i organizacyjne środki bezpieczeństwa; (d) nie angażować innego podmiotu przetwarzającego bez uprzedniej pisemnej zgody Administratora; (e) pomagać Administratorowi w odpowiadaniu na żądania osób, których dane dotyczą; (f) pomagać Administratorowi w zapewnieniu zgodności z obowiązkami RODO dotyczącymi bezpieczeństwa, powiadamiania o naruszeniach i ocen skutków; (g) usunąć lub zwrócić wszystkie dane osobowe po zakończeniu umowy; (h) udostępnić wszelkie informacje niezbędne do wykazania zgodności z niniejszą UPD.

Podwykonawcy przetwarzania

Podmiot Przetwarzający prowadzi listę zatwierdzonych podwykonawców przetwarzania. Administrator udziela ogólnej zgody na angażowanie podwykonawców przetwarzania przez Podmiot Przetwarzający, z zastrzeżeniem następujących warunków: (a) Podmiot Przetwarzający powiadomi Administratora o zamierzonej zmianie lub dodaniu podwykonawców przetwarzania z co najmniej 30-dniowym wyprzedzeniem; (b) Administrator może sprzeciwić się nowemu podwykonawcy w ciągu 14 dni od powiadomienia; (c) każdy podwykonawca jest związany obowiązkami ochrony danych nie mniej rygorystycznymi niż niniejsza UPD.

Prawa osób, których dane dotyczą

Podmiot Przetwarzający pomoże Administratorowi w wypełnianiu obowiązków odpowiadania na żądania osób, których dane dotyczą, na mocy art. 15-22 RODO (dostęp, sprostowanie, usunięcie, przenoszenie, ograniczenie i sprzeciw). Podmiot Przetwarzający niezwłocznie przekaże Administratorowi wszelkie żądania otrzymane bezpośrednio od osób, których dane dotyczą.

Środki bezpieczeństwa

Podmiot Przetwarzający wdraża środki techniczne i organizacyjne odpowiednie do ryzyka, w tym: (a) szyfrowanie danych osobowych w tranzycie (TLS 1.3) i w spoczynku (AES-256); (b) izolację danych wielodostępnych zapewniającą brak międzydostępnego dostępu do danych; (c) kontrolę dostępu opartą na rolach z zasadą najmniejszych uprawnień; (d) regularne oceny bezpieczeństwa i skanowanie podatności; (e) szkolenia z zakresu świadomości bezpieczeństwa dla pracowników; (f) rejestrowanie dostępu i ścieżki audytu.

Powiadamianie o naruszeniu danych

Podmiot Przetwarzający powiadomi Administratora bez zbędnej zwłoki, a w każdym razie w ciągu 72 godzin, po powzięciu wiadomości o naruszeniu danych osobowych. Powiadomienie będzie zawierać: (a) opis charakteru naruszenia; (b) kategorie i przybliżoną liczbę osób, których dane dotyczą; (c) prawdopodobne konsekwencje naruszenia; (d) środki podjęte lub proponowane w celu zaradzenia naruszeniu.

Przekazywanie danych

Dane osobowe są przechowywane i przetwarzane głównie na terenie Unii Europejskiej. Gdy przekazanie poza UE jest konieczne (np. dla konkretnych podwykonawców), Podmiot Przetwarzający opiera się na Standardowych Klauzulach Umownych (SKU) zatwierdzonych przez Komisję Europejską lub innych prawnie uznanych mechanizmach przekazywania na mocy Rozdziału V RODO.

Prawa do audytu

Administrator ma prawo przeprowadzać audyty lub wyznaczyć niezależnego audytora w celu weryfikacji zgodności Podmiotu Przetwarzającego z niniejszą UPD. Audyty wymagają 30 dni wyprzedzenia i będą przeprowadzane w godzinach pracy z minimalnym zakłóceniem operacji. Podmiot Przetwarzający będzie w pełni współpracować i zapewni dostęp do odpowiedniej dokumentacji, systemów i obiektów.

Usuwanie i zwrot danych

Po zakończeniu umowy o świadczenie usług Podmiot Przetwarzający, według wyboru Administratora, usunie lub zwróci wszystkie dane osobowe w ciągu 30 dni. Certyfikowalne usunięcie zostanie zakończone w ciągu 90 dni od zakończenia. Podmiot Przetwarzający może zachować dane wyłącznie gdy jest to wymagane przez prawo UE lub państwa członkowskiego i poinformuje Administratora o takim wymaganiu.

Okres obowiązywania i rozwiązanie

Niniejsza UPD wchodzi w życie w momencie rozpoczęcia korzystania z platformy RemoteOps przez Administratora i obowiązuje tak długo, jak Podmiot Przetwarzający przetwarza dane osobowe w imieniu Administratora. Obowiązki Podmiotu Przetwarzającego dotyczące ochrony danych przetrwają rozwiązanie niniejszej UPD.