Aneks dotyczący przetwarzania danych

1. Definicje

Terminy użyte w niniejszym DPA mają to samo znaczenie co w UK General Data Protection Regulation (UK GDPR) oraz, w stosownym zakresie, w EU GDPR. Ilekroć w DPA jest mowa o „Obowiązującym Prawie Ochrony Danych”, należy przez to rozumieć, odpowiednio: UK GDPR, Data Protection Act 2018 (ustawa o ochronie danych z 2018 r.), EU GDPR, Privacy and Electronic Communications Regulations 2003 (rozporządzenie w sprawie prywatności i łączności elektronicznej z 2003 r.) oraz wszelkie inne przepisy o ochronie danych lub wytyczne właściwego organu nadzorczego mające zastosowanie do przetwarzania danych przez strony.

2. Przedmiot i role

Przedmiotem przetwarzania na podstawie niniejszego DPA są dane osobowe przesyłane do Usług przez Klienta lub w jego imieniu, opisane szczegółowo w Załączniku A. Klient jest administratorem, a Specialist Electronics Ltd jest podmiotem przetwarzającym te dane osobowe. W przypadku gdy Specialist Electronics Ltd przetwarza dane osobowe we własnych celach (na przykład na potrzeby wewnętrznej analityki, zapobiegania oszustwom lub w celu wypełnienia obowiązków prawnych, takich jak prowadzenie dokumentacji AML/KYC), Specialist Electronics Ltd działa jako administrator, a zastosowanie ma Polityka Prywatności.

3. Obowiązki podmiotu przetwarzającego

Zobowiązujemy się:

• Przetwarzać dane osobowe wyłącznie zgodnie z udokumentowanymi instrukcjami Klienta, w tym w odniesieniu do przekazywania danych do państwa trzeciego, chyba że obowiązek przetwarzania wynika z przepisów prawa (w takim przypadku poinformujemy Klienta o tym wymogu prawnym przed przystąpieniem do przetwarzania, o ile prawo nie zabrania udzielania takich informacji z uwagi na ważny interes publiczny).
• Zapewnić, że osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania poufności lub podlegają odpowiedniemu ustawowemu obowiązkowi zachowania poufności.
• Wdrożyć wszystkie środki wymagane na mocy art. 32 UK/EU GDPR, określone szczegółowo w Załączniku B.
• Przestrzegać warunków dotyczących angażowania podprzetwarzających, określonych w klauzuli 6.
• Uwzględniając charakter przetwarzania, pomagać Klientowi za pomocą odpowiednich środków technicznych i organizacyjnych, w takim zakresie, w jakim jest to możliwe, w wywiązywaniu się z obowiązku odpowiadania na żądania podmiotów danych korzystających ze swoich praw na mocy Obowiązującego Prawa Ochrony Danych.
• Pomagać Klientowi w zapewnieniu przestrzegania obowiązków wynikających z art. 32-36 UK/EU GDPR, uwzględniając charakter przetwarzania i informacje dostępne dla nas.
• Na żądanie Klienta — usunąć lub zwrócić Klientowi wszelkie dane osobowe po zakończeniu świadczenia usług, a także usunąć istniejące kopie, chyba że Obowiązujące Prawo Ochrony Danych nakazuje ich dalsze przechowywanie.
• Udostępnić Klientowi wszelkie informacje niezbędne do wykazania zgodności z niniejszym DPA oraz umożliwiać przeprowadzanie audytów — w tym inspekcji — i uczestniczyć w nich, jeżeli są prowadzone przez Klienta lub innego audytora upoważnionego przez Klienta (z zastrzeżeniem warunków określonych w klauzuli 8).

4. Obowiązki Klienta

Klient zapewnia, że dostarczył wszystkie wymagane informacje i, w stosownym zakresie, uzyskał wszelkie niezbędne zgody od podmiotów danych, umożliwiające nam przetwarzanie ich danych osobowych na podstawie umowy i niniejszego DPA. Klient ponosi odpowiedzialność za prawidłowość przesyłanych danych osobowych, za zapewnienie, że jego instrukcje są zgodne z Obowiązującym Prawem Ochrony Danych, oraz za ocenę zgodności z prawem ujawnienia danych osobowych Specialist Electronics Ltd na podstawie niniejszego DPA.

5. Bezpieczeństwo

Wdrożymy i będziemy utrzymywać środki techniczne i organizacyjne określone w Załączniku B. Możemy aktualizować te środki od czasu do czasu, pod warunkiem że poziom bezpieczeństwa nie zostanie istotnie obniżony.

6. Podprzetwarzający

7. Przekazywanie danych za granicę

W przypadku gdy przetwarzanie danych osobowych na podstawie niniejszego DPA wiąże się z przekazaniem danych osobowych poza Zjednoczone Królestwo lub Europejski Obszar Gospodarczy do kraju, który nie jest objęty decyzją stwierdzającą odpowiedni stopień ochrony, strony zobowiązują się stosować UK International Data Transfer Agreement lub standardowe klauzule umowne UE (Moduł drugi: od administratora do podmiotu przetwarzającego) („SCCs”), uzupełnione w razie potrzeby o UK Addendum do SCCs. SCCs są włączone do niniejszego DPA przez odniesienie. W przypadku konfliktu między niniejszym DPA a SCCs, SCCs mają pierwszeństwo.

8. Audyty

Na żądanie Klienta i nie częściej niż raz w roku kalendarzowym (z wyjątkiem przypadków wymaganych po naruszeniu ochrony danych osobowych) udostępnimy informacje niezbędne w rozsądnym zakresie do wykazania naszej zgodności z niniejszym DPA, w tym poprzez odpowiedź na pisemny kwestionariusz audytowy oraz udostępnienie wyników odpowiednich certyfikacji i raportów audytowych stron trzecich (takich jak ISO 27001 lub SOC 2, jeżeli je posiadamy). Wszelkie audyty na miejscu będą przeprowadzane na koszt Klienta przez niezależnego audytora zewnętrznego zaakceptowanego przez Specialist Electronics Ltd w rozsądnym zakresie, z co najmniej 30-dniowym wyprzedzeniem, w normalnych godzinach pracy, w sposób niekolidujący w nieracjonalnym stopniu z naszą działalnością ani nienarażający danych osobowych innych klientów.

9. Naruszenie ochrony danych osobowych

Powiadomimy Klienta bez zbędnej zwłoki (a w każdym razie w ciągu 72 godzin) po uzyskaniu informacji o naruszeniu ochrony danych osobowych dotyczącym danych osobowych Klienta. Powiadomienie zawierać będzie, w zakresie dostępnym w danym momencie: opis charakteru naruszenia (w tym kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz rekordów, których dotyczy naruszenie), dane kontaktowe do uzyskania dalszych informacji, opis prawdopodobnych konsekwencji oraz opis środków podjętych lub proponowanych w celu zaradzenia naruszeniu i złagodzenia jego negatywnych skutków.

10. Żądania podmiotów danych

Jeżeli podmiot danych zwróci się do nas bezpośrednio z żądaniem wykonania przysługujących mu praw na mocy Obowiązującego Prawa Ochrony Danych w odniesieniu do danych osobowych przetwarzanych przez nas w imieniu Klienta, poinformujemy podmiot danych o konieczności bezpośredniego kontaktu z Klientem i (o ile jest to zgodne z naszymi obowiązkami prawnymi) przekażemy żądanie Klientowi. Będziemy pomagać Klientowi w odpowiadaniu na takie żądania za pomocą odpowiednich środków technicznych i organizacyjnych, uwzględniając charakter przetwarzania.

11. Zwrot lub usunięcie danych

Po rozwiązaniu umowy podstawowej, zgodnie z wyborem Klienta zgłoszonym nam na piśmie w terminie 30 dni od rozwiązania, zwrócimy lub usuniemy dane osobowe Klienta, w tym wszystkie kopie, chyba że obowiązujące prawo nakazuje ich dalsze przechowywanie. W przypadku gdy dane osobowe są przechowywane z przyczyn prawnych, będziemy nadal stosować do nich niniejszy DPA.

12. Odpowiedzialność

Odpowiedzialność każdej ze stron na podstawie niniejszego DPA podlega ograniczeniom odpowiedzialności określonym w umowie podstawowej, chyba że Obowiązujące Prawo Ochrony Danych stanowi inaczej.

13. Pierwszeństwo

W przypadku konfliktu między niniejszym DPA a umową podstawową, niniejszy DPA ma pierwszeństwo w zakresie konfliktu, z wyjątkiem przypadków wyraźnie wskazanych w SCCs.

Załącznik A — Opis przetwarzania

Przedmiot

Świadczenie Usług na rzecz Klienta zgodnie z umową podstawową.

Czas trwania

Na czas obowiązywania umowy oraz przez każdy okres, przez który przechowujemy dane osobowe zgodnie z niniejszym DPA lub obowiązującym prawem.

Charakter i cel

Hosting, przetwarzanie, przechowywanie, przesyłanie i tworzenie kopii zapasowych danych osobowych w związku ze świadczeniem Usług; uwierzytelnianie użytkowników; składanie, realizacja i obsługa zamówień; analityka; bezpieczeństwo.

Kategorie podmiotów danych

Użytkownicy końcowi Klienta (zazwyczaj osoby fizyczne nabywające produkty od Klienta za pośrednictwem Usług), pracownicy Klienta i upoważnione osoby kontaktowe oraz wszelkie inne osoby fizyczne, których dane osobowe Klient przesyła do Usług.

Kategorie danych osobowych

Dane kontaktowe (imię i nazwisko, adres e-mail, numer telefonu, adres), dane konta, dane dotyczące zamówień, metadane płatności, treść korespondencji, dane weryfikacji tożsamości (w stosownych przypadkach), dane urządzenia i połączenia, telemetria bezpieczeństwa.

Szczególne kategorie danych

Wizerunki dokumentów tożsamości, które mogą zawierać dane biometryczne; informacje o obywatelstwie, które mogą figurować w dokumentach tożsamości.

Załącznik B — Środki techniczne i organizacyjne

• Szyfrowanie: TLS 1.2 lub wyższy dla danych w tranzycie; AES-256 dla danych przechowywanych w chmurze; szyfrowanie na poziomie kolumn dla pól o wysokiej wrażliwości tam, gdzie jest to właściwe.
• Zarządzanie tożsamością i dostępem: unikalne identyfikatory użytkowników; kontrola dostępu oparta na zasadzie minimalnych uprawnień i rolach; obowiązkowe uwierzytelnianie wieloskładnikowe dla kont administratorów.
• Separacja: dokumenty tożsamości przechowywane w zaszyfrowanym magazynie obiektów odizolowanym od bazy danych aplikacji; oddzielne środowiska deweloperskie, testowe i produkcyjne.
• Rejestrowanie i monitorowanie: ustrukturyzowane dzienniki audytu dla zdarzeń istotnych z punktu widzenia bezpieczeństwa; alerty dotyczące anomalnych wzorców; przechowywanie dzienników z ograniczonym dostępem.
• Zarządzanie podatnościami: skanowanie zależności pod kątem podatności; okresowe skanowanie infrastruktury; udokumentowany harmonogram aktualizacji z krótszymi poziomami SLA dla krytycznych podatności.
• Reagowanie na incydenty: udokumentowany plan reagowania na incydenty; dyżury telefoniczne; procedury powiadamiania o naruszeniach zgodne z niniejszym DPA.
• Kopie zapasowe: regularne szyfrowane kopie zapasowe; testowane procedury przywracania; ograniczony dostęp do nośników kopii zapasowych.
• Personel: zobowiązania do zachowania poufności przy zatrudnieniu; coroczne szkolenia z zakresu bezpieczeństwa; odwoływanie dostępów przy zakończeniu współpracy.
• Zarządzanie dostawcami: należyta staranność przed nawiązaniem współpracy z podmiotami przetwarzającymi; pisemne umowy przetwarzania spełniające wymogi art. 28 UK GDPR; okresowa ponowna ocena.
• Ciągłość działania: redundantna infrastruktura; udokumentowane cele czasu odtworzenia; okresowe ćwiczenia z zakresu ciągłości działania.