Umowa o Przetwarzaniu Danych

Forward Email data processing agreement

Kluczowe Terminy

Termin Wartość
Umowa Niniejsza DPA uzupełnia Warunki Świadczenia Usług
Zatwierdzeni Podmioty Przetwarzające Danych Cloudflare (USA; dostawca DNS, sieci i bezpieczeństwa), DataPacket (USA/UK; dostawca hostingu), Digital Ocean (USA; dostawca hostingu), GitHub (USA; hosting kodu źródłowego, CI/CD i zarządzanie projektami), Vultr (USA; dostawca hostingu), Stripe (USA; procesor płatności), PayPal (USA; procesor płatności)
Kontakt Bezpieczeństwa Dostawcy security@forwardemail.net
Polityka Bezpieczeństwa Zobacz naszą Politykę Bezpieczeństwa na GitHub
Prawo Właściwe Stan Delaware, Stany Zjednoczone

Zmiany w Umowie

Niniejszy dokument jest pochodną Common Paper DPA Standard Terms (Wersja 1.0) i wprowadzono następujące zmiany:

  1. Prawo właściwe i wybrane sądy zostały uwzględnione jako sekcja poniżej z określonym powyżej Państwem właściwym.
  2. Relacja Dostawca Usług została uwzględniona jako sekcja poniżej.

1. Relacje między Administratorem a Podmiotem przetwarzającym

1. Dostawca jako Podmiot przetwarzający

W sytuacjach, gdy Klient jest Administratorem Danych Osobowych Klienta, Dostawca będzie uważany za Podmiot przetwarzający, który przetwarza Dane Osobowe w imieniu Klienta.

2. Dostawca jako Podmiot przetwarzający dane dalej

W sytuacjach, gdy Klient jest Podmiotem przetwarzającym Dane Osobowe Klienta, Dostawca będzie uważany za Podmiot przetwarzający dane dalej Danych Osobowych Klienta.

2. Przetwarzanie

1. Szczegóły przetwarzania

Załącznik I(B) na Stronie tytułowej opisuje przedmiot, charakter, cel i czas trwania tego Przetwarzania, a także Kategorie Danych Osobowych zbieranych oraz Kategorie Podmiotów danych.

2. Instrukcje dotyczące przetwarzania

Klient zleca Dostawcy przetwarzanie Danych Osobowych Klienta: (a) w celu świadczenia i utrzymania Usługi; (b) zgodnie z dalszymi specyfikacjami wynikającymi z korzystania z Usługi przez Klienta; (c) zgodnie z dokumentacją w Umowie; oraz (d) zgodnie z innymi pisemnymi instrukcjami przekazanymi przez Klienta i potwierdzonymi przez Dostawcę dotyczącymi przetwarzania Danych Osobowych Klienta na mocy niniejszej DPA. Dostawca będzie przestrzegać tych instrukcji, chyba że prawo obowiązujące zabrania mu tego. Dostawca niezwłocznie poinformuje Klienta, jeśli nie będzie w stanie wykonać instrukcji dotyczących przetwarzania. Klient wydał i będzie wydawał tylko instrukcje zgodne z obowiązującym prawem.

3. Przetwarzanie przez Dostawcę

Dostawca będzie przetwarzać Dane Osobowe Klienta wyłącznie zgodnie z niniejszą DPA, w tym szczegółami na Stronie tytułowej. Jeśli Dostawca zaktualizuje Usługę, aby zaktualizować istniejące lub dodać nowe produkty, funkcje lub funkcjonalności, Dostawca może zmienić Kategorie Podmiotów danych, Kategorie Danych Osobowych, Dane szczególnej kategorii, Ograniczenia lub zabezpieczenia dotyczące danych szczególnej kategorii, Częstotliwość transferu, Charakter i cel przetwarzania oraz Czas trwania przetwarzania w razie potrzeby, aby odzwierciedlić aktualizacje, powiadamiając Klienta o aktualizacjach i zmianach.

4. Przetwarzanie przez Klienta

Gdy Klient jest Podmiotem przetwarzającym, a Dostawca jest Podmiotem przetwarzającym dane dalej, Klient będzie przestrzegać wszystkich obowiązujących przepisów prawa dotyczących przetwarzania Danych Osobowych Klienta. Umowa Klienta z jego Administratorem będzie podobnie wymagać od Klienta przestrzegania wszystkich obowiązujących przepisów prawa dotyczących Klienta jako Podmiotu przetwarzającego. Ponadto Klient będzie przestrzegać wymagań dotyczących Podmiotu przetwarzającego dane dalej zawartych w umowie Klienta z jego Administratorem.

Klient przestrzegał i będzie nadal przestrzegać wszystkich obowiązujących przepisów o ochronie danych dotyczących przekazywania Danych Osobowych Klienta Dostawcy i/lub Usłudze, w tym dokonywania wszystkich ujawnień, uzyskiwania wszystkich zgód, zapewniania odpowiedniego wyboru oraz wdrażania odpowiednich zabezpieczeń wymaganych przez obowiązujące przepisy o ochronie danych.

6. Podprocesorzy

a. Dostawca nie będzie udostępniać, przekazywać ani przekazywać żadnych danych osobowych Klienta podprocesorowi, chyba że Klient zatwierdził podprocesora. Aktualna lista Zatwierdzonych Podprocesorów zawiera tożsamości podprocesorów, ich kraj lokalizacji oraz przewidywane zadania przetwarzania. Dostawca poinformuje Klienta co najmniej na 10 dni roboczych wcześniej i na piśmie o wszelkich planowanych zmianach w Zatwierdzonych Podprocesorach, czy to przez dodanie, czy zastąpienie podprocesora, co pozwala Klientowi mieć wystarczająco dużo czasu na zgłoszenie sprzeciwu wobec zmian przed rozpoczęciem korzystania z nowych podprocesorów przez Dostawcę. Dostawca przekaże Klientowi informacje niezbędne do umożliwienia Klientowi skorzystania z prawa do sprzeciwu wobec zmiany Zatwierdzonych Podprocesorów. Klient ma 30 dni od powiadomienia o zmianie Zatwierdzonych Podprocesorów na zgłoszenie sprzeciwu, w przeciwnym razie Klient zostanie uznany za akceptującego zmiany. Jeśli Klient zgłosi sprzeciw wobec zmiany w ciągu 30 dni od powiadomienia, Klient i Dostawca będą współpracować w dobrej wierze, aby rozwiązać sprzeciw lub obawy Klienta.

b. Przy angażowaniu podprocesora Dostawca będzie posiadał pisemną umowę z podprocesorem, która zapewnia, że podprocesor uzyskuje dostęp i używa danych osobowych Klienta (i) w zakresie niezbędnym do wykonania powierzonych mu obowiązków, oraz (ii) zgodnie z warunkami Umowy.

c. Jeśli RODO ma zastosowanie do przetwarzania danych osobowych Klienta, (i) obowiązki ochrony danych opisane w niniejszej DPA (zgodnie z art. 28 ust. 3 RODO, jeśli ma zastosowanie) są również nakładane na podprocesora, oraz (ii) umowa Dostawcy z podprocesorem będzie zawierać te obowiązki, w tym szczegóły dotyczące tego, jak Dostawca i jego podprocesor będą koordynować odpowiedzi na zapytania lub żądania dotyczące przetwarzania danych osobowych Klienta. Ponadto Dostawca udostępni na żądanie Klienta kopię swoich umów (w tym wszelkich aneksów) z podprocesorami. W zakresie niezbędnym do ochrony tajemnic handlowych lub innych informacji poufnych, w tym danych osobowych, Dostawca może przed udostępnieniem kopii zredagować tekst swojej umowy z podprocesorem.

d. Dostawca pozostaje w pełni odpowiedzialny za wszystkie obowiązki powierzane podprocesorom, w tym za działania i zaniechania podprocesorów w zakresie przetwarzania danych osobowych Klienta. Dostawca powiadomi Klienta o wszelkich niepowodzeniach podprocesorów w wypełnianiu istotnych obowiązków dotyczących danych osobowych Klienta na podstawie umowy między Dostawcą a podprocesorem.

3. Ograniczone transfery

1. Upoważnienie

Klient zgadza się, że Dostawca może przekazywać dane osobowe Klienta poza EOG, Wielką Brytanię lub inne odpowiednie terytorium geograficzne, jeśli jest to konieczne do świadczenia Usługi. Jeśli Dostawca przekazuje dane osobowe Klienta do terytorium, dla którego Komisja Europejska lub inny właściwy organ nadzorczy nie wydał decyzji o adekwatności, Dostawca wdroży odpowiednie zabezpieczenia dla transferu danych osobowych Klienta do tego terytorium zgodnie z obowiązującymi przepisami o ochronie danych.

2. Transfery spoza EOG

Klient i Dostawca zgadzają się, że jeśli RODO chroni transfer danych osobowych Klienta, transfer odbywa się od Klienta z terytorium EOG do Dostawcy spoza EOG, a transfer nie jest regulowany decyzją o adekwatności wydaną przez Komisję Europejską, to zawierając niniejszą DPA, Klient i Dostawca uznają, że podpisali SCC EOG oraz ich załączniki, które są włączone przez odniesienie. Każdy taki transfer odbywa się na podstawie SCC EOG, które są uzupełniane w następujący sposób: a. Moduł Drugi (Administrator do Podmiotu Przetwarzającego) EEA SCC ma zastosowanie, gdy Klient jest Administratorem, a Dostawca przetwarza Dane Osobowe Klienta dla Klienta jako Podmiot Przetwarzający.

b. Moduł Trzeci (Podmiot Przetwarzający do Podmiotu Podprzetwarzającego) EEA SCC ma zastosowanie, gdy Klient jest Podmiotem Przetwarzającym, a Dostawca przetwarza Dane Osobowe Klienta w imieniu Klienta jako Podmiot Podprzetwarzający.

c. Dla każdego modułu obowiązuje następujące (jeśli ma zastosowanie):

  1. Opcjonalna klauzula dokująca w Klauzuli 7 nie ma zastosowania;

  2. W Klauzuli 9 obowiązuje Opcja 2 (ogólne pisemne upoważnienie), a minimalny okres wcześniejszego powiadomienia o zmianach Podpodmiotu Przetwarzającego wynosi 10 dni roboczych;

  3. W Klauzuli 11 opcjonalny język nie ma zastosowania;

  4. Wszystkie nawiasy kwadratowe w Klauzuli 13 są usunięte;

  5. W Klauzuli 17 (Opcja 1) EEA SCC będą regulowane przez prawo Państwa Członkowskiego Regulującego;

  6. W Klauzuli 18(b) spory będą rozstrzygane przez sądy Państwa Członkowskiego Regulującego; oraz

  7. Strona tytułowa niniejszej DPA zawiera informacje wymagane w Załączniku I, Załączniku II oraz Załączniku III EEA SCC.

3. Transfery spoza UK

Klient i Dostawca zgadzają się, że jeśli UK GDPR chroni transfer Danych Osobowych Klienta, transfer odbywa się od Klienta z terytorium Zjednoczonego Królestwa do Dostawcy poza terytorium Zjednoczonego Królestwa, a transfer nie jest regulowany decyzją o adekwatności wydaną przez Sekretarza Stanu Zjednoczonego Królestwa, to zawierając niniejszą DPA, Klient i Dostawca uznają, że podpisali UK Addendum oraz ich Załączniki, które są włączone przez odniesienie. Każdy taki transfer odbywa się na podstawie UK Addendum, które jest wypełnione w następujący sposób:

a. Sekcja 3.2 niniejszej DPA zawiera informacje wymagane w Tabeli 2 UK Addendum.

b. Tabela 4 UK Addendum jest zmodyfikowana następująco: Żadna ze stron nie może zakończyć UK Addendum zgodnie z Sekcją 19 UK Addendum; w zakresie, w jakim ICO wyda zaktualizowane Zatwierdzone Addendum na podstawie Sekcji 18 UK Addendum, strony będą działać w dobrej wierze, aby odpowiednio zmienić niniejszą DPA.

c. Strona tytułowa zawiera informacje wymagane przez Załącznik 1A, Załącznik 1B, Załącznik II oraz Załącznik III UK Addendum.

4. Inne transfery międzynarodowe

W przypadku transferów Danych Osobowych, gdzie prawo szwajcarskie (a nie prawo żadnego państwa członkowskiego EOG ani Zjednoczonego Królestwa) ma zastosowanie do międzynarodowego charakteru transferu, odniesienia do RODO w Klauzuli 4 EEA SCC są, w zakresie wymaganym prawnie, zmienione na odniesienia do Szwajcarskiej Federalnej Ustawy o Ochronie Danych lub jej następcy, a pojęcie organu nadzorczego będzie obejmować Szwajcarskiego Federalnego Komisarza ds. Ochrony Danych i Informacji.

4. Reakcja na incydenty bezpieczeństwa

  1. Po uzyskaniu informacji o jakimkolwiek Incydencie Bezpieczeństwa, Dostawca będzie: (a) powiadamiać Klienta bez zbędnej zwłoki, gdy to możliwe, ale nie później niż 72 godziny po uzyskaniu informacji o Incydencie Bezpieczeństwa; (b) dostarczać terminowe informacje o Incydencie Bezpieczeństwa w miarę ich poznawania lub na rozsądne żądanie Klienta; oraz (c) niezwłocznie podejmować rozsądne kroki w celu ograniczenia i zbadania Incydentu Bezpieczeństwa. Powiadomienie lub reakcja Dostawcy na Incydent Bezpieczeństwa zgodnie z niniejszą DPA nie będzie interpretowane jako przyznanie się przez Dostawcę do jakiejkolwiek winy lub odpowiedzialności za Incydent Bezpieczeństwa.

5. Audyt i raporty

1. Prawa audytu

Dostawca przekaże Klientowi wszelkie informacje rozsądnie niezbędne do wykazania zgodności z niniejszą DPA oraz umożliwi i przyczyni się do audytów, w tym inspekcji przeprowadzanych przez Klienta, w celu oceny zgodności Dostawcy z niniejszą DPA. Jednakże Dostawca może ograniczyć dostęp do danych lub informacji, jeśli dostęp Klienta do tych informacji negatywnie wpłynąłby na prawa własności intelektualnej Dostawcy, zobowiązania dotyczące poufności lub inne zobowiązania wynikające z Obowiązujących Przepisów Prawa. Klient przyjmuje do wiadomości i zgadza się, że będzie wykonywał swoje prawa audytu na podstawie niniejszej DPA oraz wszelkich praw audytu przyznanych przez Obowiązujące Przepisy o Ochronie Danych wyłącznie poprzez nakazanie Dostawcy spełnienia wymagań dotyczących raportowania i należytej staranności określonych poniżej. Dostawca będzie przechowywał dokumentację potwierdzającą zgodność z niniejszą DPA przez 3 lata po zakończeniu obowiązywania DPA.

2. Raporty Bezpieczeństwa

Klient przyjmuje do wiadomości, że Dostawca jest regularnie audytowany pod kątem standardów określonych w Polityce Bezpieczeństwa przez niezależnych audytorów zewnętrznych. Na pisemne żądanie, Dostawca przekaże Klientowi, na zasadzie poufności, streszczenie swojej aktualnej wówczas Raportu, aby Klient mógł zweryfikować zgodność Dostawcy ze standardami określonymi w Polityce Bezpieczeństwa.

3. Należyta Staranność w Zakresie Bezpieczeństwa

Oprócz Raportu, Dostawca odpowie na uzasadnione żądania informacji składane przez Klienta w celu potwierdzenia zgodności Dostawcy z niniejszą DPA, w tym odpowiedzi na kwestionariusze dotyczące bezpieczeństwa informacji, należytej staranności i audytu, lub poprzez udzielenie dodatkowych informacji o swoim programie bezpieczeństwa informacji. Wszystkie takie żądania muszą być składane na piśmie i kierowane do Kontakt Bezpieczeństwa Dostawcy i mogą być składane tylko raz w roku.

6. Koordynacja i Współpraca

1. Odpowiedź na Zapytania

Jeśli Dostawca otrzyma jakiekolwiek zapytanie lub żądanie od kogokolwiek innego dotyczące Przetwarzania Danych Osobowych Klienta, Dostawca powiadomi Klienta o tym żądaniu i Dostawca nie udzieli odpowiedzi na to żądanie bez uprzedniej zgody Klienta. Przykładami takich zapytań i żądań są nakaz sądowy, administracyjny lub organu regulacyjnego dotyczący Danych Osobowych Klienta, gdy powiadomienie Klienta nie jest zabronione przez Obowiązujące Prawo, lub żądanie od osoby, której dane dotyczą. Jeśli Obowiązujące Prawo na to pozwala, Dostawca będzie postępować zgodnie z uzasadnionymi instrukcjami Klienta dotyczącymi tych żądań, w tym udzielać aktualizacji statusu i innych informacji racjonalnie żądanych przez Klienta. Jeśli osoba, której dane dotyczą, złoży ważne żądanie na podstawie Obowiązujących Przepisów o Ochronie Danych dotyczące usunięcia lub rezygnacji z przekazywania Danych Osobowych Klienta Dostawcy, Dostawca pomoże Klientowi w realizacji tego żądania zgodnie z Obowiązującym Prawem o Ochronie Danych. Dostawca będzie współpracować i udzielać uzasadnionej pomocy Klientowi, na koszt Klienta, w każdej odpowiedzi prawnej lub innym działaniu proceduralnym podjętym przez Klienta w odpowiedzi na żądanie osoby trzeciej dotyczące Przetwarzania Danych Osobowych Klienta przez Dostawcę na mocy niniejszej DPA.

2. DPIA i DTIA

Jeśli jest to wymagane przez Obowiązujące Przepisy o Ochronie Danych, Dostawca rozsądnie pomoże Klientowi w przeprowadzeniu wszelkich obowiązkowych ocen skutków dla ochrony danych lub ocen skutków transferu danych oraz konsultacji z odpowiednimi organami ochrony danych, biorąc pod uwagę charakter Przetwarzania i Dane Osobowe Klienta.

7. Usuwanie Danych Osobowych Klienta

1. Usuwanie przez Klienta

Dostawca umożliwi Klientowi usunięcie Danych Osobowych Klienta w sposób zgodny z funkcjonalnością Usług. Dostawca zastosuje się do tego polecenia tak szybko, jak to rozsądnie możliwe, z wyjątkiem sytuacji, gdy dalsze przechowywanie Danych Osobowych Klienta jest wymagane przez Obowiązujące Prawo.

2. Usuwanie po Wygaśnięciu DPA

a. Po wygaśnięciu DPA, Dostawca zwróci lub usunie Dane Osobowe Klienta na polecenie Klienta, chyba że dalsze przechowywanie Danych Osobowych Klienta jest wymagane lub dozwolone przez Obowiązujące Prawo. Jeśli zwrot lub zniszczenie jest niewykonalne lub zabronione przez Obowiązujące Prawo, Dostawca podejmie rozsądne starania, aby zapobiec dalszemu Przetwarzaniu Danych Osobowych Klienta i będzie nadal chronić Dane Osobowe Klienta pozostające w jego posiadaniu, opiece lub kontroli. Na przykład, Obowiązujące Prawo może wymagać, aby Dostawca kontynuował hostowanie lub Przetwarzanie Danych Osobowych Klienta. b. Jeśli Klient i Dostawca zawarli EEA SCCs lub UK Addendum jako część niniejszej DPA, Dostawca przekaże Klientowi certyfikat usunięcia Danych Osobowych opisany w Klauzuli 8.1(d) oraz Klauzuli 8.5 EEA SCCs tylko wtedy, gdy Klient o to poprosi.

8. Ograniczenie odpowiedzialności

1. Limity odpowiedzialności i zrzeczenie się odszkodowań

W maksymalnym zakresie dozwolonym przez Obowiązujące przepisy o ochronie danych, całkowita łączna odpowiedzialność każdej ze stron wobec drugiej strony wynikająca z lub związana z niniejszą DPA będzie podlegać zrzeczeniom, wyłączeniom i ograniczeniom odpowiedzialności określonym w Umowie.

Wszelkie roszczenia wobec Dostawcy lub jego podmiotów powiązanych wynikające z lub związane z niniejszą DPA mogą być wnoszone wyłącznie przez podmiot Klienta, który jest stroną Umowy.

3. Wyjątki

  1. Niniejsza DPA nie ogranicza żadnej odpowiedzialności wobec osoby fizycznej w zakresie praw tej osoby do ochrony danych zgodnie z Obowiązującymi przepisami o ochronie danych. Ponadto niniejsza DPA nie ogranicza żadnej odpowiedzialności między stronami za naruszenia EEA SCCs lub UK Addendum.

9. Konflikty między dokumentami

  1. Niniejsza DPA stanowi część i uzupełnienie Umowy. W przypadku jakiejkolwiek niespójności między niniejszą DPA, Umową lub ich częściami, część wymieniona wcześniej będzie miała pierwszeństwo nad częścią wymienioną później w odniesieniu do tej niespójności: (1) EEA SCCs lub UK Addendum, (2) niniejsza DPA, oraz (3) Umowa.

10. Okres obowiązywania Umowy

Niniejsza DPA rozpoczyna się w momencie, gdy Dostawca i Klient uzgodnią Stronę tytułową DPA oraz podpiszą lub elektronicznie zaakceptują Umowę i będzie obowiązywać do wygaśnięcia lub rozwiązania Umowy. Jednakże Dostawca i Klient pozostaną podlegali zobowiązaniom wynikającym z niniejszej DPA oraz Obowiązującym przepisom o ochronie danych do momentu, gdy Klient przestanie przekazywać Dane Osobowe Klienta Dostawcy, a Dostawca przestanie przetwarzać Dane Osobowe Klienta.

11. Prawo właściwe i wybrane sądy

Niezależnie od klauzul dotyczących prawa właściwego lub podobnych w Umowie, wszelkie interpretacje i spory dotyczące niniejszej DPA będą regulowane przez prawo Państwa Właściwego bez względu na jego przepisy kolizyjne. Ponadto, niezależnie od klauzul dotyczących wyboru forum, jurysdykcji lub podobnych w Umowie, strony zgadzają się wnieść wszelkie spory prawne, działania lub postępowania dotyczące niniejszej DPA do sądów Państwa Właściwego i każda ze stron nieodwołalnie poddaje się wyłącznej jurysdykcji tych sądów.

12. Relacja dostawcy usług

W zakresie, w jakim ma zastosowanie California Consumer Privacy Act, Cal. Civ. Code § 1798.100 i następne ("CCPA"), strony potwierdzają i zgadzają się, że Dostawca jest dostawcą usług i otrzymuje Dane Osobowe od Klienta w celu świadczenia Usługi zgodnie z Umową, co stanowi cel biznesowy. Dostawca nie będzie sprzedawać żadnych Danych Osobowych dostarczonych przez Klienta na podstawie Umowy. Ponadto Dostawca nie będzie przechowywać, używać ani ujawniać żadnych Danych Osobowych dostarczonych przez Klienta na podstawie Umowy poza niezbędnym zakresem świadczenia Usługi dla Klienta, jak określono w Umowie, lub zgodnie z Obowiązującymi przepisami o ochronie danych. Dostawca potwierdza, że rozumie ograniczenia wynikające z tego paragrafu.

13. Definicje

  1. „Obowiązujące przepisy” oznaczają przepisy prawa, zasady, regulacje, orzeczenia sądowe oraz inne wiążące wymogi właściwego organu rządowego, które mają zastosowanie do lub regulują stronę.

  2. „Obowiązujące przepisy o ochronie danych” oznaczają Obowiązujące przepisy, które regulują sposób, w jaki Usługa może przetwarzać lub wykorzystywać dane osobowe, dane osobowe identyfikujące osobę lub inny podobny termin.

  3. „Administrator” będzie miał znaczenie nadane w Obowiązujących przepisach o ochronie danych dla firmy, która określa cel i zakres Przetwarzania danych osobowych.

  4. „Strona tytułowa” oznacza dokument podpisany lub elektronicznie zaakceptowany przez strony, który zawiera niniejsze Standardowe Warunki DPA oraz identyfikuje Dostawcę, Klienta oraz przedmiot i szczegóły przetwarzania danych.

  5. „Dane osobowe Klienta” oznaczają dane osobowe, które Klient przesyła lub udostępnia Dostawcy w ramach Usługi i które są regulowane przez niniejsze DPA.

  6. „DPA” oznacza niniejsze Standardowe Warunki DPA, Stronę tytułową pomiędzy Dostawcą a Klientem oraz polityki i dokumenty wymienione lub załączone do Strony tytułowej.

  7. „Standardowe klauzule umowne EOG” oznaczają standardowe klauzule umowne załączone do Decyzji wykonawczej Komisji Europejskiej 2021/914 z dnia 4 czerwca 2021 r. dotyczącej standardowych klauzul umownych dla transferu danych osobowych do państw trzecich zgodnie z rozporządzeniem (UE) 2016/679 Parlamentu Europejskiego i Rady.

  8. „Europejski Obszar Gospodarczy” lub „EOG” oznacza państwa członkowskie Unii Europejskiej, Norwegię, Islandię i Liechtenstein.

  9. „RODO” oznacza rozporządzenie Unii Europejskiej 2016/679 wdrożone przez prawo lokalne w odpowiednim państwie członkowskim EOG.

  10. „Dane osobowe” będą miały znaczenie nadane w Obowiązujących przepisach o ochronie danych dla informacji osobowych, danych osobowych lub innego podobnego terminu.

  11. „Przetwarzanie” lub „Przetwarzać” będą miały znaczenie nadane w Obowiązujących przepisach o ochronie danych dla dowolnego użycia lub wykonania operacji komputerowej na danych osobowych, w tym metodami automatycznymi.

  12. „Podmiot przetwarzający” będzie miał znaczenie nadane w Obowiązujących przepisach o ochronie danych dla firmy, która przetwarza dane osobowe w imieniu Administratora.

  13. „Raport” oznacza raporty audytowe przygotowane przez inną firmę zgodnie ze standardami określonymi w Polityce bezpieczeństwa w imieniu Dostawcy.

  14. „Ograniczony transfer” oznacza (a) w przypadku stosowania RODO, transfer danych osobowych z EOG do kraju spoza EOG, który nie podlega decyzji Komisji Europejskiej o odpowiednim poziomie ochrony; oraz (b) w przypadku stosowania brytyjskiego RODO, transfer danych osobowych z Wielkiej Brytanii do innego kraju, który nie podlega regulacjom dotyczącym odpowiedniości przyjętym na mocy sekcji 17A brytyjskiej ustawy o ochronie danych z 2018 roku.

  15. „Incydent bezpieczeństwa” oznacza naruszenie danych osobowych, jak zdefiniowano w artykule 4 RODO.

  16. „Usługa” oznacza produkt i/lub usługi opisane w Umowie.

  17. „Dane szczególnej kategorii” będą miały znaczenie nadane w artykule 9 RODO.

  18. „Podprzetwarzający” będzie miał znaczenie nadane w Obowiązujących przepisach o ochronie danych dla firmy, która za zgodą i akceptacją Administratora wspiera Podmiot przetwarzający w przetwarzaniu danych osobowych w imieniu Administratora.

  19. „Brytyjskie RODO” oznacza rozporządzenie Unii Europejskiej 2016/679 wdrożone przez sekcję 3 brytyjskiej ustawy o wyjściu z Unii Europejskiej (Withdrawal) z 2018 roku w Wielkiej Brytanii.

  20. „Dodatek UK” oznacza międzynarodowy dodatek do transferu danych do standardowych klauzul umownych EOG wydany przez Komisarza ds. Informacji dla stron dokonujących Ograniczonych transferów na podstawie S119A(1) ustawy o ochronie danych z 2018 roku.

Kredyty

Niniejszy dokument jest pochodną Common Paper DPA Standard Terms (Wersja 1.0) i jest licencjonowany na podstawie CC BY 4.0.