Te tłumaczenia zostały dostarczone dla wygody, ale angielskie wersje Wszystkie kwestie prawne regulowane są przez Warunki korzystania.

Aneks do Przetwarzania Danych Klienta

Ostatnia Aktualizacja:

27 grudnia 2022

Niniejszy Aneks do Przetwarzania Danych ("APD"), datowany na 27 grudnia 2022 ("Data Wejścia w Życie"), jest integralną częścią ogólnej umowy oraz relacji określonych w Warunkach Świadczenia Usług (i wszelkich innych umowach regulujących nasze Usługi) zmienianych i uzupełnianych od czasu do czasu ("Umowa"), zawartą pomiędzy tobą ("Klient") a DreamHost ("Firma"). Wszystkie terminy pisane wielką literą, które nie zostały zdefiniowane w niniejszym APD, mają znaczenie nadane im w Umowie.

Definicje

„Podmiot powiązany” oznacza jednostkę, która bezpośrednio lub pośrednio kontroluje, jest kontrolowana przez lub znajduje się pod wspólną kontrolą z inną jednostką.
„Umowa” ma znaczenie określone w sekcji wprowadzającej.
„Kontrola” oznacza udział własnościowy, głosujący lub podobny, który stanowi pięćdziesiąt procent (50%) lub więcej całkowitych udziałów danego podmiotu. Termin „Kontrolowany” będzie odpowiednio interpretowany.
„Administrator” oznacza jednostkę, która określa cele i sposoby przetwarzania danych osobowych.
„Dane klienta” oznaczają wszelkie dane osobowe, które firma przetwarza w imieniu klienta w trakcie świadczenia usług.
„Obowiązujące przepisy o ochronie danych” oznaczają wszystkie obowiązujące przepisy o ochronie danych i prywatności, które mają zastosowanie do przetwarzania danych osobowych na mocy Umowy, w tym, ale nie wyłącznie, w stosownych przypadkach, RODO, brytyjskie przepisy o ochronie danych oraz CCPA.
„EOG” oznacza na potrzeby niniejszej DPA Europejski Obszar Gospodarczy oraz Szwajcarię.
„RODO” oznacza Rozporządzenie 2016/679 Parlamentu Europejskiego i Rady dotyczące ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych oraz uchylające dyrektywę 95/46/WE (Ogólne rozporządzenie o ochronie danych) oraz wszystkie obowiązujące implementacje tego rozporządzenia przez państwa członkowskie.
„Klauzule modelowe” oznaczają standardowe klauzule umowne dla przetwarzających dane, zatwierdzone przez Komisję Europejską, w formie określonej w Załączniku D, uzupełnione przez brytyjski dodatek dotyczący międzynarodowego transferu danych wydany przez United Kingdom Information Commissioner's Office.
„CCPA” oznacza Kalifornijską ustawę o ochronie prywatności konsumentów z 2018 roku [Sekcje 1798.100 - 1798.199 kalifornijskiego kodeksu cywilnego], z późniejszymi zmianami (w tym kalifornijską ustawą o prawach prywatności z 2020 roku) oraz regulacjami wykonawczymi.
„Dane osobowe” oznaczają wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej; możliwa do zidentyfikowania osoba fizyczna to taka, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator online lub jednego lub więcej czynników specyficznych dla fizycznych, fizjologicznych, genetycznych, psychicznych, ekonomicznych, kulturowych lub społecznych tożsamości danej osoby fizycznej.
„Naruszenie danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmiany, nieuprawnionego ujawnienia lub dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
„Przetwarzanie” oznacza każdą operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych, niezależnie od tego, czy są wykonywane w sposób zautomatyzowany, takie jak zbieranie, rejestrowanie, organizowanie, strukturyzowanie, przechowywanie, adaptacja lub modyfikacja, odzyskiwanie, konsultowanie, użytkowanie, ujawnianie poprzez transmisję, rozpowszechnianie lub w inny sposób udostępnianie, wyrównywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. Terminy „Przetwarzać”, „Przetwarza” i „Przetworzone” będą odpowiednio interpretowane.
„Procesor” oznacza jednostkę, która przetwarza dane osobowe w imieniu administratora.
„Usługi” oznaczają wszelkie produkty lub usługi świadczone przez firmę klientowi na podstawie Umowy.
„Podprocesor” oznacza stronę trzecią zaangażowaną przez firmę w celu wsparcia w realizacji jej obowiązków związanych ze świadczeniem usług zgodnie z Umową lub niniejszą DPA.
„Brytyjskie przepisy o ochronie danych” oznaczają: (i) ogólne rozporządzenie o ochronie danych Zjednoczonego Królestwa; oraz (ii) ustawę o ochronie danych z 2018 roku.

1. Zakres niniejszej DPA

Niniejsza DPA ma zastosowanie wyłącznie w zakresie, w jakim Spółka Przetwarza Dane Klienta, które podlegają Obowiązującym Przepisom o Ochronie Danych w imieniu Klienta w związku ze świadczeniem Usług na rzecz Klienta zgodnie z Umową.

2. Role i Zakres Przetwarzania

Rola Stron. W relacjach między Firmą a Klientem, Klient jest Administratorem Danych Klienta, a Firma będzie Przetwarzać Dane Klienta jedynie jako Podmiot Przetwarzający działający na rzecz Klienta. W zakresie, w jakim CCPA ma zastosowanie do Przetwarzania Danych Klienta na mocy Umowy, strony zgadzają się, że Klient jest "przedsiębiorstwem", a Firma jest "dostawcą usług", zgodnie z definicjami tych terminów w CCPA.

Przetwarzanie Danych Klienta przez Klienta. Klient zgadza się, że (i) będzie przestrzegał swoich obowiązków wynikających z obowiązujących przepisów o ochronie danych osobowych w zakresie Przetwarzania Danych Klienta oraz wszelkich instrukcji dotyczących przetwarzania wystawionych Firmie; oraz (ii) dostarczył informację oraz uzyskał (lub uzyska) wszystkie wymagane zgody i prawa na mocy obowiązujących przepisów o ochronie danych osobowych, aby Firma mogła Przetwarzać Dane Klienta zgodnie z Umową i niniejszą DPA.

Przetwarzanie Danych Klienta przez Firmę. Firma będzie Przetwarzać Dane Klienta wyłącznie do celów opisanych w niniejszej DPA i wyłącznie zgodnie z udokumentowanymi zgodnymi z prawem instrukcjami Klienta. Strony zgadzają się, że niniejsza DPA oraz Umowa określają pełne i ostateczne instrukcje Klienta dla Firmy w odniesieniu do Przetwarzania Danych Klienta, a Przetwarzanie poza zakresem tych instrukcji (jeśli jakiekolwiek wystąpi) będzie wymagało uprzedniej pisemnej zgody między Klientem a Firmą.

Szczegóły Przetwarzania. Szczegóły Przetwarzania na mocy Umowy są określone w Załączniku A.

Wyjątki. Niezależnie od wszelkich sprzecznych postanowień Umowy (w tym niniejszej DPA), Klient uznaje, że Firma ma prawo do korzystania i ujawniania danych dotyczących operacji, wsparcia i/lub korzystania z Usług do celów prowadzenia działalności gospodarczej, takich jak rozliczenia, zarządzanie kontami, wsparcie techniczne, rozwój i doskonalenie produktów oraz sprzedaż i marketing. W zakresie, w jakim takie dane wykorzystywane wyłącznie do celów biznesowych Firmy są uważane za Dane Osobowe na mocy obowiązujących przepisów o ochronie danych osobowych, Firma jest Administratorem takich danych i zgodnie z tym zapewnia, że będzie Przetwarzać takie dane zgodnie z Polityką Prywatności Firmy oraz przepisami dotyczącymi ochrony danych osobowych.

3. Podprzetwarzanie

Autoryzowani Podprzetwarzający. Klient zgadza się, że Firma może angażować Podprzetwarzających do Przetwarzania Danych Klienta w imieniu Klienta. Podprzetwarzający aktualnie angażowani przez Firmę i autoryzowani przez Klienta są dostępni w zakładce "Profil i Prywatność" w Panelu Sterowania DreamHost (lista "Podprzetwarzających").

Obowiązki Podprzetwarzających. Firma: (i) zawrze pisemne porozumienie z Podprzetwarzającym, nakładające warunki ochrony danych, które wymagają od Podprzetwarzającego ochrony Danych Klienta na standard wymagany przez Obowiązujące Prawa Ochrony Danych; oraz (ii) pozostanie odpowiedzialna za przestrzeganie obowiązków wynikających z niniejszej Umowy DPA oraz za wszelkie działania lub zaniechania Podprzetwarzającego, które powodują naruszenie przez Firmę jakichkolwiek swoich zobowiązań wynikających z niniejszej Umowy DPA.

Zmiany w Podprzetwarzających. Firma zobowiązuje się poinformować Klienta o wszelkich aktualizacjach dotyczących Podprzetwarzających poprzez zaktualizowanie listy Podprzetwarzających z pięciodniowym (5) wyprzedzeniem przed użyciem nowego Podprzetwarzającego do świadczenia Usług. Lista Podprzetwarzających zawsze będzie zawierać datę "ostatniej aktualizacji". Klient może otrzymywać powiadomienia e-mail o zmianach na liście Podprzetwarzających. Jeśli Klient nie zaakceptuje nowego Podprzetwarzającego po otrzymaniu powiadomienia o takim dodatku i Klient dostarczy Firmie pisemne powiadomienie zawierające wyjaśnienie, dlaczego nie akceptuje nowego Podprzetwarzającego w okresie pięciu (5) dni przed użyciem nowego Podprzetwarzającego do świadczenia Usług przez Firmę, wówczas Klient może zakończyć świadczenie dotkniętych Usług za pomocą pisemnego powiadomienia skierowanego do Firmy.

4. Bezpieczeństwo

Aktualizacje środków bezpieczeństwa. Klient jest odpowiedzialny za przeglądanie informacji udostępnianych przez Firmę dotyczących ochrony danych i dokonanie niezależnej oceny, czy Usługi spełniają wymagania i obowiązki prawne Klienta zgodnie z Obowiązującymi Przepisami o Ochronie Danych. Minimalne środki techniczne i organizacyjne Firmy mające na celu ochronę Danych Klienta są określone w Załączniku B ("Środki Bezpieczeństwa Informacji"). Klient przyjmuje do wiadomości, że Środki Bezpieczeństwa Informacji są przedmiotem postępu technicznego i rozwoju oraz że Firma może aktualizować lub modyfikować Środki Bezpieczeństwa Informacji od czasu do czasu, pod warunkiem że takie aktualizacje i modyfikacje nie skutkują pogorszeniem ogólnego poziomu bezpieczeństwa Usług zakupionych przez Klienta.

Personel. Firma zapewni, że każda osoba upoważniona przez Firmę do Przetwarzania Danych Klienta (w tym jej personel, agenci i upoważnieni Podprocesorzy) będzie zobowiązana do zachowania odpowiedniej poufności (czy to na mocy umowy, czy przepisów prawa). Ponadto, Firma podejmie kroki, aby zapewnić, że każda osoba upoważniona przez Firmę do dostępu do Danych Klienta, nie przetwarza tych danych, z wyjątkiem instrukcji od Klienta, chyba że taka osoba jest zobowiązana do Przetwarzania tych danych zgodnie z Obowiązującymi Przepisami o Ochronie Danych.

Odpowiedzialność Klienta. Niezależnie od powyższego, Klient zgadza się, że z wyjątkiem przypadków przewidzianych w tym DPA, Klient jest odpowiedzialny za swoje bezpieczne korzystanie z Usług.

Reakcja na naruszenie ochrony danych osobowych. Po uzyskaniu informacji o Naruszeniu Ochrony Danych Osobowych, Firma niezwłocznie powiadomi Klienta i dostarczy na bieżąco informacje dotyczące Naruszenia Ochrony Danych Osobowych, gdy tylko staną się one znane lub zgodnie z uzasadnionymi życzeniami Klienta. Firma niezwłocznie podejmie rozsądne kroki w celu złagodzenia, a tam, gdzie to możliwe, naprawienia skutków każdego Naruszenia Ochrony Danych Osobowych.

5. Raporty z Audytów

Klient przyjmuje do wiadomości, że Firma jest regularnie audytowana pod kątem zgodności z niniejszą Umową o Przetwarzaniu Danych oraz standardami bezpieczeństwa Firmy. Na uzasadnione pisemne żądanie wysłane na adres Firmy wskazany w Polityce Prywatności, Firma dostarczy Klientowi podsumowanie raportu z audytu ("Raport"), który będzie podlegał postanowieniom o poufności każdej umowy o zachowaniu poufności dostarczonej przez Firmę do podpisania przez Klienta w związku z Raportem. Firma odpowie również na wszelkie uzasadnione pisemne pytania audytowe przedstawione przez Klienta, z zastrzeżeniem, że Klient nie będzie korzystał z tego prawa częściej niż raz na dwanaście (12) miesięcy.

6. Transfery Międzynarodowe

Lokalizacje Centrów Danych. Firma może przekazywać i przetwarzać Dane Klienta w dowolnym miejscu na świecie, gdzie Firma, jej jednostki powiązane lub podprocesorzy utrzymują operacje przetwarzania. Firma zawsze zapewni odpowiedni poziom ochrony przetwarzanych Danych Klienta, zgodnie z wymogami obowiązujących przepisów dotyczących ochrony danych.

Klauzule Modelowe. W zakresie, w jakim Firma przetwarza jakiekolwiek Dane Klienta chronione przez RODO lub brytyjskie przepisy dotyczące ochrony danych na mocy Umowy i/lub dane pochodzące z EOG lub z Wielkiej Brytanii, w kraju, który nie został wyznaczony przez Komisję Europejską, Szwajcarski Federalny Urząd Ochrony Danych lub brytyjskie Biuro Komisarza ds. Informacji (w zależności od przypadku) jako zapewniający odpowiedni poziom ochrony danych osobowych, strony uznają, że Firma będzie uważana za zapewniającą odpowiednią ochronę (w rozumieniu obowiązującego prawa dotyczącego ochrony danych) dla takich Danych Klienta poprzez przestrzeganie Klauzul Modelowych. Firma zgadza się, że jest „importerem danych”, a Klient jest „eksporterem danych” w ramach Klauzul Modelowych (niezależnie od tego, że Klient jest podmiotem zlokalizowanym poza EOG). Załącznik III do Klauzul Modelowych będzie miał zastosowanie wyłącznie w odniesieniu do przekazywania Danych Klienta chronionych przez brytyjskie przepisy dotyczące ochrony danych na mocy Umowy i/lub pochodzących z Wielkiej Brytanii.

7. Zwrot lub Usunięcie Danych

Po rozwiązaniu lub wygaśnięciu Umowy, Spółka, na życzenie i potwierdzoną prośbę Klienta, zwróci lub, w maksymalnym możliwym technicznie zakresie, usunie wszystkie Dane Klienta znajdujące się w jej posiadaniu lub pod jej kontrolą. Niezależnie od powyższego, Spółka może zachować Dane Klienta lub zarchiwizować Dane Klienta na swoich systemach kopii zapasowych, gdzie wymagają tego obowiązujące przepisy prawne, zobowiązania umowne lub regulacyjne, lub gdzie Spółka ma uzasadnione interesy biznesowe wymagające zachowania niektórych lub wszystkich Danych Klienta. Spółka powinna bezpiecznie odizolować i chronić takie Dane Klienta przed dalszym Przetwarzaniem, z wyjątkiem sytuacji wymaganych przez obowiązujące prawo, umowne lub regulacyjne zobowiązania.

8. Współpraca

Usługi mogą zapewnić Klientowi szereg kontroli, które Klient może wykorzystać do pobierania, poprawiania, usuwania lub ograniczania Danych Klienta, które Klient może wykorzystać w związku z jego obowiązkami wynikającymi z Obowiązujących Przepisów o Ochronie Danych, w tym obowiązków związanych z odpowiadaniem na żądania osób, których dane dotyczą, lub właściwych organów ochrony danych. W zakresie, w jakim Klient nie jest w stanie samodzielnie uzyskać dostępu do odpowiednich Danych Klienta w ramach Usług, Firma (na koszt Klienta) zapewni rozsądną współpracę, aby pomóc Klientowi w odpowiedzi na wszelkie żądania od osób fizycznych lub właściwych organów ochrony danych dotyczące Przetwarzania Danych Osobowych na mocy Umowy. W przypadku, gdy takie żądanie zostanie bezpośrednio skierowane do Firmy, Firma nie będzie odpowiadać na takie komunikacje bez uprzedniej zgody Klienta, chyba że będzie to prawnie wymagane. Jeśli Firma będzie zobligowana do odpowiedzi na takie żądanie, Firma niezwłocznie powiadomi Klienta i dostarczy mu kopię żądania, chyba że będzie to prawnie zakazane.

Firma nie ujawni Danych Klienta żadnemu rządowi ani osobom trzecim, z wyjątkiem sytuacji, gdy konieczne jest ujawnienie takich informacji zgodnie z ważnym i wiążącym nakazem organu ścigania. W przypadku, gdy Firma zostanie zobowiązana do ujawnienia Danych Klienta organowi ścigania, Firma powiadomi Klienta o żądaniu w racjonalnym terminie, aby umożliwić Klientowi wystąpienie o nakaz ochronny lub inne odpowiednie środki, chyba że Firma będzie prawnie zakazana od upubliczniania tego faktu.

W zakresie, w jakim Firma jest zobowiązana zgodnie z Obowiązującymi Przepisami o Ochronie Danych, Firma (na koszt Klienta) dostarczy rozsądnie wymagane informacje dotyczące Usług, aby umożliwić Klientowi przeprowadzenie oceny wpływu na ochronę danych lub wcześniejsze konsultacje z organami ochrony danych, zgodnie z wymogami prawa.

9. Klauzule CCPA

W zakresie, w jakim CCPA ma zastosowanie do przetwarzania danych klienta na mocy Umowy, strony zobowiązują się do przestrzegania Załącznika C.

10. Postanowienia ogólne

Wszelkie roszczenia złożone na podstawie lub w związku z niniejszym DPA będą podlegały ogólnym warunkom firmy (w tym Regulaminowi Świadczenia Usług), zaktualizowanym na Stronie Prawnej, w tym między innymi wyłączeniom i ograniczeniom określonym w Umowie. Wszelkie roszczenia przeciwko firmie lub jej Zależnym na podstawie niniejszego DPA będą wniesione wyłącznie przeciwko podmiotowi będącemu stroną Umowy. W żadnym wypadku żadna strona nie może ograniczyć swojej odpowiedzialności w odniesieniu do praw ochrony danych osobowych na mocy niniejszego DPA lub w jakikolwiek inny sposób. Klient zgadza się ponadto, że wszelkie kary regulacyjne nałożone na firmę w związku z Danymi Klienta, wynikające z niezastosowania się Klienta do jego obowiązków wynikających z niniejszego DPA lub jakichkolwiek Obowiązujących Przepisów o Ochronie Danych, będą wliczone i zredukują odpowiedzialność firmy wynikającą z Umowy, jakby była to odpowiedzialność wobec Klienta na mocy Umowy.

Nikt poza stroną niniejszego DPA, ich następcami i dozwolonymi cesjonariuszami nie będzie miał prawa do egzekwowania jakichkolwiek jego postanowień. Niniejsze DPA podlega i będzie interpretowane zgodnie z postanowieniami prawa właściwego i jurysdykcji określonymi w Umowie, chyba że Obowiązujące Przepisy o Ochronie Danych wymagają inaczej.

Strony zgadzają się, że niniejsze DPA zastąpi wszelkie istniejące DPA (w tym Klauzule Modelowe (jeśli dotyczy)), które strony mogły wcześniej zawrzeć w związku z Usługami.

Niniejsze DPA i Klauzule Modelowe zostaną rozwiązane jednocześnie i automatycznie z rozwiązaniem lub wygaśnięciem Umowy; jednakże postanowienia wymagające bezpiecznego zniszczenia Danych Osobowych i przechowywania Danych Osobowych w celu spełnienia wymogów prawnych, umownych lub regulacyjnych przetrwają rozwiązanie lub wygaśnięcie DPA przez minimalny czas wymagany do spełnienia odpowiednich obowiązków wynikających z tych postanowień.

Z wyjątkiem zmian wprowadzonych przez niniejsze DPA, Umowa pozostaje niezmieniona i w pełnej mocy. W przypadku jakiejkolwiek sprzeczności między niniejszym DPA a Umową, niniejsze DPA ma pierwszeństwo w zakresie tej sprzeczności.

Załączniki do niniejszego DPA są włączone do niniejszego DPA poprzez odniesienie do nich. W przypadku jakiejkolwiek sprzeczności między niniejszym DPA a wszelkimi Załącznikami do niniejszego DPA, niniejsze DPA ma pierwszeństwo w zakresie tej sprzeczności. Niezależnie od powyższego, w przypadku jakiejkolwiek sprzeczności między niniejszym DPA a Klauzulami Modelowymi, Klauzule Modelowe mają pierwszeństwo w zakresie tej sprzeczności.

Postanowienia niniejszego DPA są rozdzielne. Jeśli jakiekolwiek wyrażenie, klauzula lub postanowienie są nieważne lub niewykonalne w całości lub w części, taka nieważność lub niewykonalność dotyczy jedynie tego wyrażenia, klauzuli lub postanowienia, a pozostała część niniejszego DPA pozostaje w pełnej mocy i skuteczności.

Załącznik A

Szczegóły Przetwarzania

Przedmiot: Przedmiotem Przetwarzania na podstawie niniejszej Umowy Powierzenia Przetwarzania Danych (DPA) są Dane Klienta.
Czas trwania: Czas trwania Przetwarzania na podstawie niniejszej DPA między Firmą a Klientem jest określony w Sekcji 7 niniejszej DPA.
Cel i Charakter: Celem i charakterem Przetwarzania na podstawie niniejszej DPA jest świadczenie Usług dla Klienta oraz wykonywanie obowiązków Firmy wynikających z Umowy (w tym niniejszej DPA) lub innych uzgodnień między stronami.
Kategorie Podmiotów Danych: Klient może przekazywać Dane Osobowe podczas korzystania z Usług, w zakresie ustalonym i kontrolowanym przez Klienta. Może to obejmować, lecz nie ogranicza się do:
1. Prospektów, klientów, partnerów biznesowych, dostawców lub osób trzecich Klienta (którzy są osobami fizycznymi);
2. Pracowników, agentów, doradców, osób trzecich i freelancerów Klienta;
3. Pracowników lub powiązanych osób z (1) powyżej;
4. Autoryzowanych użytkowników Usług Klienta;
Rodzaje Danych Osobowych: Klient może przekazywać Dane Osobowe podczas korzystania z Usług, w zakresie ustalonym i kontrolowanym przez Klienta. Może to obejmować, lecz nie ogranicza się do, następujących kategorii: imię i nazwisko, adres, numer telefonu, data urodzenia, email i inne Dane Klienta.

Załącznik B

Środki bezpieczeństwa informacji

Poniższe punkty są uważane za minimalne wymogi bezpieczeństwa, które Firma wdrożyła w celu ochrony Danych Klienta:

Wyznaczenie jednego lub więcej pracowników odpowiedzialnych za koordynację i monitorowanie reguł i procedur związanych z technologiami informacyjnymi.
Udokumentowane polityki i procedury regulujące korzystanie przez pracowników i dostawców z systemu technologii informacyjnej.
Proces identyfikacji i reagowania na podejrzane lub znane incydenty bezpieczeństwa.
We wnątrz firmy, dane w spoczynku są zabezpieczone przez uprawnienia ról lub grup i regularnie audytowane, aby upewnić się, że osoby mają dostęp tylko do danych, których potrzebują do wykonywania swojej pracy, a konta użytkowników, którzy już nie pracują, są dezaktywowane.
Serwery są łatawone na bieżąco, aby upewnić się, że stosowane są najnowsze aktualizacje zabezpieczeń.
Protokół Transport Layer Security (TLS) jest używany wszędzie tam, gdzie to możliwe, zarówno dla ruchu internetowego, jak i e-mailowego. E-maile są również wielokrotnie filtrowane i skanowane przychodząc.
Wirtualne Sieci Prywatne (VPN) są używane do szyfrowania ruchu między wszystkimi naszymi lokalizacjami.
Zewnętrzni użytkownicy również korzystają z szyfrowanej łączności VPN, aby uzyskać dostęp do zasobów wewnętrznych, a dostęp ten jest przyznawany na podstawie użytkownika.
Wszystkie przechowywane hasła są szyfrowane.
Dane są synchronizowane między lokalizacją główną a zapasową codziennie.
Zewnętrzni audytorzy przeprowadzają coroczne audyty IT oraz przeglądają polityki i procedury.

Harmonogram C

Klauzule CCPA

Niniejszy Harmonogram ma zastosowanie do DPA tylko w zakresie, w jakim CCPA ma zastosowanie do Przetwarzania Danych Klienta na mocy Umowy. W niniejszym Harmonogramie terminy "Informacje Osobowe", "Sprzedaż", "Udostępnianie", "Cel Biznesowy" i "Cel Komercyjny" mają znaczenia nadane im w CCPA.

W zakresie, w jakim Dane Klienta stanowią Informacje Osobowe na mocy Umowy:

Firma nie będzie Sprzedawać ani Udostępniać żadnych Danych Klienta;
Firma nie będzie przechowywać, używać ani ujawniać Danych Klienta w żadnym innym celu niż określone w Umowie Cele Biznesowe, a mianowicie oferowanie nazw domen, hosting i projektowanie stron internetowych, usługi w chmurze, usługi e-mail, w tym jakikolwiek Cel Komercyjny inny niż Cele Biznesowe określone w Umowie.
Firma nie będzie przechowywać, używać ani ujawniać Danych Klienta poza bezpośrednią relacją biznesową między Klientem a Firmą.
Firma nie będzie łączyć takich Danych Klienta otrzymanych od Klienta lub w imieniu Klienta z Danymi Klienta otrzymanymi od jakiejkolwiek strony trzeciej lub w imieniu takiej strony trzeciej, z wyjątkiem wykonywania jakiegokolwiek Celu Biznesowego dozwolonego przez CCPA.
Firma będzie przestrzegać w stosownych przypadkach obowiązków nałożonych przez CCPA i zapewni ten sam poziom ochrony Danym Klienta, jakiego wymaga CCPA, w tym pomagając Klientowi w spełnianiu żądań konsumentów na mocy CCPA.
Klient ma prawo podjąć rozsądne i odpowiednie kroki, aby pomóc zapewnić, że Firma używa Danych Klienta w sposób zgodny z obowiązkami Klienta na mocy CCPA.
Firma powiadomi Klienta, jeśli uzna, że Firma nie może już spełniać swoich obowiązków na mocy CCPA. Jeśli Firma powiadomi Klienta o nieautoryzowanym użyciu Danych Klienta, w tym zgodnie z poprzednim zdaniem, Firma będzie miała prawo podjąć rozsądne i odpowiednie kroki, aby zatrzymać i naprawić takie nieautoryzowane użycie.

Załącznik D

Standardowe Klauzule

SEKCJA 1

Klauzula 1

Cel i zakres

(a) Celem niniejszych standardowych klauzul umownych jest zapewnienie zgodności z wymogami Rozporządzenia (UE) 2016/679 Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych oraz w sprawie swobodnego przepływu takich danych (Ogólne rozporządzenie o ochronie danych) w odniesieniu do przekazywania danych osobowych do państwa trzeciego.

(b) Strony:

(i) osoba fizyczna lub prawna, władza publiczna, agencja lub inna jednostka (dalej „podmiot(y)”) przekazująca dane osobowe, wymieniona w Załączniku I.A. (dalej każda „eksporter danych”), oraz
(ii) podmiot(y) w państwie trzecim, otrzymujące dane osobowe od eksportera danych, bezpośrednio lub pośrednio za pośrednictwem innego podmiotu będącego również stroną niniejszych klauzul, wymienione w Załączniku I.A. (dalej każda „importer danych”) zgodziły się na niniejsze standardowe klauzule umowne (dalej: „Klauzule”).

(d) Aneks do niniejszych Klauzul zawierający odnośne załączniki stanowi integralną część niniejszych Klauzul.

Klauzula 2

Skuteczność i niezmienność klauzul

(a) Te Klauzule określają odpowiednie zabezpieczenia, w tym egzekwowalne prawa osób, których dane dotyczą, oraz skuteczne środki prawne, zgodnie z art. 46 ust. 1 oraz art. 46 ust. 2 lit. c) Rozporządzenia (UE) 2016/679 oraz, w odniesieniu do transferów danych od administratorów danych do podmiotów przetwarzających i/lub od podmiotów przetwarzających do podmiotów przetwarzających, standardowe klauzule umowne zgodnie z art. 28 ust. 7 Rozporządzenia (UE) 2016/679, pod warunkiem że nie są one modyfikowane, z wyjątkiem wyboru odpowiedniego modułu lub dodania bądź aktualizacji informacji w Załączniku. To nie uniemożliwia Stronom włączania standardowych klauzul umownych zawartych w tych Klauzulach do szerszej umowy i/lub dodawania innych klauzul lub dodatkowych zabezpieczeń, pod warunkiem że nie są one sprzeczne, bezpośrednio lub pośrednio, z tymi Klauzulami ani nie naruszają podstawowych praw lub wolności osób, których dane dotyczą.

(b) Te Klauzule nie naruszają obowiązków, którym podlega eksporter danych na mocy Rozporządzenia (UE) 2016/679.

Klauzula 3

Beneficjenci będący osobami trzecimi

(a) Osoby, których dane dotyczą, mogą powoływać się na niniejsze Klauzule i egzekwować ich zapisy jako beneficjenci będący osobami trzecimi przeciwko eksporterowi danych i/lub importerowi danych, z następującymi wyjątkami:

(i) Klauzula 1, Klauzula 2, Klauzula 3, Klauzula 6, Klauzula 7;
(ii) Klauzula 8.1(b), 8.9(a), (c), (d) i (e);
(iii) Klauzula 9(a), (c), (d) i (e);
(iv) Klauzula 12(a), (d) i (f);
(v) Klauzula 13;
(vi) Klauzula 15.1(c), (d) i (e);
(vii) Klauzula 16(e);
(viii) Klauzula 18(a) i (b).

(b) Ustęp (a) pozostaje bez uszczerbku dla praw osób, których dane dotyczą, wynikających z Rozporządzenia (UE) 2016/679.

Klauzula 4

Interpretacja

(a) W przypadku, gdy te Klauzule używają terminów zdefiniowanych w Rozporządzeniu (UE) 2016/679, terminy te będą miały takie samo znaczenie jak w tym Rozporządzeniu.

(b) Te Klauzule powinny być czytane i interpretowane w świetle przepisów Rozporządzenia (UE) 2016/679.

(c) Te Klauzule nie powinny być interpretowane w sposób, który jest sprzeczny z prawami i obowiązkami przewidzianymi w Rozporządzeniu (UE) 2016/679.

Klauzula 5

Hierarchia

W przypadku sprzeczności między niniejszymi Klauzulami a postanowieniami związanych umów zawartych między Stronami, które istnieją w momencie akceptacji lub zawarcia niniejszych Klauzul, niniejsze Klauzule mają pierwszeństwo.

Klauzula 6

Opis transferu(ów)

Szczegóły dotyczące transferu(ów), a w szczególności kategorie przekazywanych danych osobowych oraz cel(e), w jakich są one przekazywane, zostały określone w Załączniku I.B.

Klauzula 7

Klauzula cumowania

Nie dotyczy.

SEKCJA II - ZOBOWIĄZANIA STRON

Klauzula 8

Zabezpieczenia ochrony danych

Eksporter danych gwarantuje, że podjął rozsądne środki mające na celu ustalenie, że importer danych jest w stanie, poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych, spełnić swoje obowiązki wynikające z niniejszych Klauzul.

8.1 Instrukcje

(a) Importer danych będzie przetwarzał dane osobowe wyłącznie na udokumentowane instrukcje eksportera danych. Eksporter danych może wydawać takie instrukcje przez cały czas trwania umowy.

(b) Importer danych niezwłocznie powiadomi eksportera danych, jeśli nie będzie w stanie realizować tych instrukcji.

8.2 Ograniczenie celu

Importer danych będzie przetwarzał dane osobowe wyłącznie dla określonego celu(celów) transferu, określonego w Załączniku I.B, chyba że na dalsze instrukcje eksportera danych.

8.3 Przejrzystość

Na żądanie eksporter danych udostępni kopię niniejszych Klauzul, w tym Załącznik wypełniony przez Strony, podmiotowi danych bezpłatnie. W zakresie niezbędnym do ochrony tajemnic handlowych lub innych poufnych informacji, w tym środków opisanych w Załączniku II oraz danych osobowych, eksporter danych może zaciemnić część treści Załącznika przed udostępnieniem kopii, ale dostarczy znaczące streszczenie, jeśli podmiot danych nie byłby w stanie zrozumieć jego treści lub wykonywać swoich praw. Na żądanie Strony przedstawią podmiotowi danych powody zaciemnienia, w zakresie, w jakim jest to możliwe bez ujawniania zaciemnionych informacji. Niniejsza Klauzula nie narusza obowiązków eksportera danych wynikających z artykułów 13 i 14 Rozporządzenia (UE) 2016/679.

8.4 Dokładność

Jeśli importer danych dowie się, że otrzymane dane osobowe są nieprawidłowe lub stały się nieaktualne, poinformuje o tym niezwłocznie eksportera danych. W takim przypadku importer danych będzie współpracować z eksporterem danych w celu usunięcia lub sprostowania danych.

8.5 Czas trwania przetwarzania oraz usunięcie lub zwrot danych

Przetwarzanie przez importera danych będzie miało miejsce tylko przez okres określony w Załączniku I.B. Po zakończeniu świadczenia usług przetwarzania, importer danych, wedle wyboru eksportera danych, usunie wszystkie przetwarzane dane osobowe na rzecz eksportera danych i potwierdzi eksporterowi danych, że to zrobił, lub zwróci eksporterowi dane osobowe i usunie istniejące kopie. Do momentu usunięcia lub zwrotu danych, importer danych będzie nadal zapewniać zgodność z niniejszymi Klauzulami. W przypadku lokalnych przepisów obowiązujących importera danych, które zabraniają zwrotu lub usunięcia danych osobowych, importer danych gwarantuje, że nadal będzie zapewniał zgodność z niniejszymi Klauzulami i przetwarzał je wyłącznie w zakresie i przez czas wymagany przez te lokalne przepisy. Niniejsza Klauzula pozostaje bez uszczerbku dla Klauzuli 14, w szczególności obowiązku importera danych wynikającego z Klauzuli 14(e) powiadamiania eksportera danych przez cały czas trwania umowy, jeśli ma powody, by sądzić, że podlega przepisom lub praktykom, które nie są zgodne z wymaganiami określonymi w Klauzuli 14(a).

8.6 Bezpieczeństwo przetwarzania

(a) Importer danych oraz, w trakcie przesyłania, także eksporter danych wdrożą odpowiednie środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa danych, w tym ochrony przed naruszeniem bezpieczeństwa prowadzącym do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmiany, nieautoryzowanego ujawnienia lub dostępu do tych danych (zwane dalej "naruszeniem danych osobowych"). W ocenie odpowiedniego poziomu bezpieczeństwa Strony wezmą pod uwagę stan techniki, koszty wdrożenia, charakter, zakres, kontekst i cele przetwarzania oraz ryzyka związane z przetwarzaniem dla podmiotów danych. Strony w szczególności rozważą zastosowanie szyfrowania lub pseudonimizacji, w tym w czasie przesyłania, gdy cel przetwarzania można osiągnąć w ten sposób. W przypadku pseudonimizacji dodatkowe informacje umożliwiające przypisanie danych osobowych do konkretnego podmiotu danych będą, w miarę możliwości, pozostawały wyłącznie pod kontrolą eksportera danych. W celu spełnienia swoich obowiązków wynikających z tego paragrafu, importer danych wdroży co najmniej środki techniczne i organizacyjne określone w Załączniku II. Importer danych będzie przeprowadzał regularne kontrole, aby zapewnić, że te środki nadal zapewniają odpowiedni poziom bezpieczeństwa.

(b) Importer danych zapewni dostęp do danych osobowych członkom swojego personelu jedynie w zakresie niezbędnym do realizacji, zarządzania i monitorowania umowy. Upewni się, że osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania poufności lub podlegają odpowiedniemu ustawowemu obowiązkowi poufności.

(c) W przypadku naruszenia danych osobowych przetwarzanych przez importera danych zgodnie z niniejszymi Klauzulami, importer danych podejmie odpowiednie środki w celu zaradzenia naruszeniu, w tym środki łagodzące jego negatywne skutki. Importer danych powiadomi również eksportera danych bez zbędnej zwłoki po uzyskaniu informacji o naruszeniu. Takie powiadomienie powinno zawierać szczegóły punktu kontaktowego, w którym można uzyskać więcej informacji, opis charakteru naruszenia (w tym, w miarę możliwości, kategorie i szacunkową liczbę podmiotów danych i rejestrów danych osobowych, których dotyczy naruszenie), jego prawdopodobne konsekwencje oraz środki podjęte lub proponowane w celu zaradzenia naruszeniu, w tym, w stosownych przypadkach, środki łagodzące jego możliwe negatywne skutki. Jeśli i w zakresie, w jakim nie jest możliwe podanie wszystkich informacji jednocześnie, początkowe powiadomienie powinno zawierać dostępne wówczas informacje, a dalsze informacje powinny być dostarczane w miarę ich dostępności, bez zbędnej zwłoki.

(d) Importer danych będzie współpracować z i pomagać eksporterowi danych w celu umożliwienia eksporterowi danych spełnienia jego obowiązków wynikających z Rozporządzenia (UE) 2016/679, w szczególności obowiązku powiadomienia odpowiedniego organu nadzorczego oraz dotkniętych naruszeniem podmiotów danych, biorąc pod uwagę charakter przetwarzania i informacje dostępne importerowi danych.

8.7 Dane wrażliwe

W przypadku transferu obejmującego dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, członkostwo w związkach zawodowych, dane genetyczne, dane biometryczne w celu jednoznacznej identyfikacji osoby fizycznej, dane dotyczące zdrowia, życia seksualnego lub orientacji seksualnej osoby fizycznej, lub dane dotyczące wyroków skazujących i przestępstw (zwane dalej "danymi wrażliwymi"), importer danych zastosuje opisane w Załączniku I.B specyficzne ograniczenia i/lub dodatkowe zabezpieczenia.

8.8 Przekazywanie danych do dalszych podmiotów

Importer danych ujawni dane osobowe stronom trzecim wyłącznie na udokumentowane instrukcje eksportera danych. Ponadto dane mogą być ujawnione stronom trzecim znajdującym się poza Unią Europejską (w tym samym kraju co importer danych lub w innym kraju trzecim, zwanym dalej "dalsze przekazanie"), jeśli osoba trzecia jest związana lub zgadza się być związana tymi Klauzulami, na odpowiednich warunkach, lub jeśli:

dalsze przekazanie następuje do kraju korzystającego z decyzji stwierdzającej odpowiedni stopień ochrony zgodnie z artykułem 45 Rozporządzenia (UE) 2016/679, które obejmuje dalsze przekazanie;
osoba trzecia zapewnia odpowiednie zabezpieczenia zgodnie z artykułami 46 lub 47 Rozporządzenia (UE) 2016/679 dotyczące przetwarzania w danej sytuacji;
dalsze przekazanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń prawnych w kontekście konkretnych postępowań administracyjnych, regulacyjnych lub sądowych; lub
dalsze przekazanie jest niezbędne w celu ochrony żywotnych interesów podmiotu danych lub innej osoby fizycznej.

Wszelkie dalsze przekazania są uzależnione od przestrzegania przez importera danych wszystkich innych zabezpieczeń wynikających z niniejszych Klauzul, w szczególności ograniczenia celu.

8.9 Dokumentacja i zgodność

(a) Importer danych niezwłocznie i odpowiednio odpowie na zapytania eksportera danych dotyczące przetwarzania na podstawie niniejszych Klauzul.

(b) Strony muszą być w stanie wykazać zgodność z tymi Klauzulami. W szczególności importer danych będzie prowadził odpowiednią dokumentację dotyczącą działań przetwarzania prowadzonych na rzecz eksportera danych.

(c) Importer danych udostępni eksporterowi danych wszelkie informacje niezbędne do wykazania zgodności z obowiązkami określonymi w niniejszych Klauzulach i na żądanie eksportera danych, zgodzi się i przyczyni do audytów działań przetwarzania objętych niniejszymi Klauzulami, w rozsądnych odstępach czasu lub w przypadku wskazań niezgodności. Przy podejmowaniu decyzji o przeglądzie lub audycie, eksporter danych może uwzględnić odpowiednie certyfikaty posiadane przez importera danych.

(d) Eksporter danych może zdecydować się na przeprowadzenie audytu we własnym zakresie lub zlecenie niezależnemu audytorowi. Audyty mogą obejmować inspekcje w siedzibie lub w obiektach fizycznych importera danych i będą, jeśli to stosowne, przeprowadzane z odpowiednim wyprzedzeniem.

(e) Strony udostępnią informacje, o których mowa w paragrafach (b) i (c), w tym wyniki wszelkich audytów, na żądanie odpowiedniego organu nadzorczego.

Klauzula 9

Korzystanie z podprzetwórców

(a) OGÓLNE PISEMNE UPRAWNIENIE Importer danych posiada ogólne uprawnienie eksportera danych do angażowania podprzetwórców z uzgodnionej listy. Importer danych zobowiązany jest poinformować eksportera danych na piśmie o wszelkich zamierzonych zmianach na tej liście poprzez dodanie lub wymianę podprzetwórców co najmniej pięć (5) dni wcześniej, dając w ten sposób eksporterowi danych wystarczający czas na zgłoszenie sprzeciwu wobec takich zmian przed zaangażowaniem podprzetwórców. Importer danych dostarczy eksporterowi danych niezbędne informacje umożliwiające eksporterowi danych skorzystanie z prawa do sprzeciwu.

(b) Jeśli importer danych angażuje podprzetwórcę do przeprowadzania określonych czynności przetwarzania (w imieniu eksportera danych), czyni to na podstawie pisemnej umowy, która w swej treści przewiduje te same zobowiązania w zakresie ochrony danych, jakie są wiążące dla importera danych na mocy niniejszych Klauzul, w tym w zakresie praw beneficjentów trzecich dla podmiotów danych3. Strony uzgadniają, że poprzez wypełnienie obowiązków wynikających z niniejszej Klauzuli importer danych spełnia swoje zobowiązania wynikające z Klauzuli 8.8. Importer danych upewni się, że podprzetwórca spełnia ciążące na importerze danych obowiązki wynikające z niniejszych Klauzul.

(c) Importer danych na żądanie eksportera danych dostarczy kopię takiej umowy z podprzetwórcą oraz wszelkich późniejszych zmian eksporterowi danych. W zakresie koniecznym do ochrony tajemnic handlowych lub innych poufnych informacji, w tym danych osobowych, importer danych może zaciemnić treść umowy przed udostępnieniem kopii.

(d) Importer danych pozostaje w pełni odpowiedzialny wobec eksportera danych za wykonanie zobowiązań podprzetwórcy wynikających z umowy zawartej z importerem danych. Importer danych poinformuje eksportera danych o jakimkolwiek nie wypełnieniu zobowiązań przez podprzetwórcę wynikających z tej umowy.

(e) Importer danych uzgodni z podprzetwórcą klauzulę o prawach beneficjenta trzeciego, na mocy której w przypadku faktycznego zniknięcia importera danych, zaprzestania jego istnienia prawnego lub jego upadłości eksporter danych będzie miał prawo do rozwiązania umowy z podprzetwórcą oraz wydania polecenia podprzetwórcy usunięcia lub zwrotu danych osobowych.

Klauzula 10

Prawa osoby, której dane dotyczą

(a) Importer danych niezwłocznie powiadomi eksportera danych o każdym żądaniu otrzymanym od osoby, której dane dotyczą. Nie odpowie na to żądanie samodzielnie, chyba że został do tego upoważniony przez eksportera danych.

(b) Importer danych udzieli pomocy eksporterowi danych w wypełnianiu jego obowiązków związanych z odpowiadaniem na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw zgodnie z Rozporządzeniem (UE) 2016/679. W tym zakresie Strony określą w Załączniku II odpowiednie środki techniczne i organizacyjne, uwzględniając charakter przetwarzania, za pomocą których pomoc zostanie udzielona, oraz zakres i stopień wymaganej pomocy.

(c) W ramach wypełniania swoich obowiązków zgodnie z ustępami (a) i (b), importer danych będzie przestrzegał instrukcji eksportera danych.

Klauzula 11

Środki zaradcze

(a) Importer danych poinformuje podmioty danych w sposób przejrzysty i łatwo dostępny, poprzez indywidualne zawiadomienie lub na swojej stronie internetowej, o punkcie kontaktowym upoważnionym do rozpatrywania skarg. Będzie on niezwłocznie zajmował się wszelkimi skargami otrzymanymi od podmiotu danych.

(b) W przypadku sporu między podmiotem danych a jedną ze Stron dotyczącego zgodności z niniejszymi Klauzulami, Strona ta dołoży wszelkich starań, aby rozwiązać problem polubownie i w terminowy sposób. Strony będą nawzajem informować się o takich sporach i, w stosownych przypadkach, współpracować w celu ich rozwiązania.

(c) W przypadku, gdy podmiot danych powołuje się na prawo osoby trzeciej zgodnie z Klauzulą 3, importer danych przyjmie decyzję podmiotu danych o:

wniesieniu skargi do organu nadzorczego w państwie członkowskim jego/jej stałego zamieszkania lub miejsca pracy, lub do właściwego organu nadzorczego zgodnie z Klauzulą 13;
skierowaniu sporu do właściwych sądów w rozumieniu Klauzuli 18.

(d) Strony akceptują, że podmiot danych może być reprezentowany przez organizację non-profit, organizację społeczną lub stowarzyszenie na warunkach określonych w Artykule 80(1) Rozporządzenia (UE) 2016/679.

(e) Importer danych przestrzega decyzji, która jest wiążąca zgodnie z obowiązującym prawem UE lub prawa państwa członkowskiego.

(f) Importer danych zgadza się, że wybór dokonany przez podmiot danych nie narusza jego materialnych i proceduralnych praw do dochodzenia środków ochrony prawnej zgodnie z obowiązującymi przepisami prawa.

Klauzula 12

Odpowiedzialność

(a) Każda Strona ponosi odpowiedzialność wobec drugiej Strony/Stron za wszelkie szkody, jakie spowoduje naruszenie niniejszych Klauzul.

(b) Importer danych ponosi odpowiedzialność wobec podmiotu danych, a podmiot danych ma prawo do odszkodowania za wszelkie materialne lub niematerialne szkody spowodowane przez importera danych lub jego podprocesora naruszające prawa osoby trzeciej wynikające z niniejszych Klauzul.

(c) Niezależnie od postanowień ustępu (b), eksporter danych ponosi odpowiedzialność wobec podmiotu danych, a podmiot danych ma prawo do odszkodowania za wszelkie materialne lub niematerialne szkody spowodowane przez eksportera danych lub importera danych (lub jego podprocesora) naruszające prawa osoby trzeciej wynikające z niniejszych Klauzul. Nie narusza to odpowiedzialności eksportera danych oraz, w przypadku gdy eksporter danych jest przetwarzającym działającym w imieniu administratora, odpowiedzialności administratora wynikającej z Rozporządzenia (UE) 2016/679 lub Rozporządzenia (UE) 2018/1725, w zależności od przypadku.

(d) Strony uzgadniają, że jeśli eksporter danych ponosi odpowiedzialność na mocy ustępu (c) za szkody spowodowane przez importera danych (lub jego podprocesora), ma prawo do zwrotu od importera danych tej części odszkodowania, która odpowiada odpowiedzialności importera danych za szkodę.

(e) W przypadku, gdy więcej niż jedna Strona jest odpowiedzialna za szkodę wyrządzoną podmiotowi danych wskutek naruszenia niniejszych Klauzul, wszystkie odpowiedzialne Strony ponoszą solidarną odpowiedzialność, a podmiot danych ma prawo do wniesienia powództwa przeciwko każdej z tych Stron.

(f) Strony uzgadniają, że jeśli jedna ze Stron ponosi odpowiedzialność na mocy ustępu (e), ma prawo do zwrotu od pozostałych Stron tej części odszkodowania, która odpowiada ich odpowiedzialności za szkodę.

(g) Importer danych nie może powoływać się na działania podprocesora, aby uniknąć własnej odpowiedzialności.

Klauzula 13

Nadzór

(a) [W przypadku, gdy eksporter danych ma siedzibę w Państwie Członkowskim UE:] Organ nadzorczy odpowiedzialny za zapewnienie zgodności eksportera danych z Rozporządzeniem (UE) 2016/679 w odniesieniu do transferu danych, jak wskazano w Załączniku I.C, będzie pełnił funkcję właściwego organu nadzorczego.

[W przypadku, gdy eksporter danych nie ma siedziby w Państwie Członkowskim UE, ale podlega terytorialnemu zakresowi stosowania Rozporządzenia (UE) 2016/679 zgodnie z jego artykułem 3(2) i wyznaczył przedstawiciela zgodnie z artykułem 27(1) Rozporządzenia (UE) 2016/679:] Organ nadzorczy Państwa Członkowskiego, w którym ustanowiono przedstawiciela w rozumieniu artykułu 27(1) Rozporządzenia (UE) 2016/679, jak wskazano w Załączniku I.C, będzie pełnił funkcję właściwego organu nadzorczego.

[W przypadku, gdy eksporter danych nie ma siedziby w Państwie Członkowskim UE, ale podlega terytorialnemu zakresowi stosowania Rozporządzenia (UE) 2016/679 zgodnie z jego artykułem 3(2), ale nie musi wyznaczać przedstawiciela zgodnie z artykułem 27(2) Rozporządzenia (UE) 2016/679:] Organ nadzorczy jednego z Państw Członkowskich, w którym znajdują się osoby, których dane osobowe są przekazywane na mocy tych Klauzul w związku z oferowaniem im towarów lub usług, lub których zachowanie jest monitorowane, jak wskazano w Załączniku I.C, będzie pełnił funkcję właściwego organu nadzorczego.

(b) Importer danych zgadza się poddać jurysdykcji właściwego organu nadzorczego i współpracować z nim w wszelkich procedurach mających na celu zapewnienie zgodności z tymi Klauzulami. W szczególności, importer danych zgadza się odpowiadać na zapytania, poddać się audytom i stosować się do środków przyjętych przez organ nadzorczy, w tym działań naprawczych i kompensacyjnych. Importer danych dostarczy organowi nadzorczemu pisemne potwierdzenie, że niezbędne działania zostały podjęte.

SEKCJA III - PRAWO LOKALNE I OBOWIĄZKI W PRZYPADKU DOSTĘPU PRZEZ WŁADZE PUBLICZNE

Klauzula 14

Prawo lokalne i praktyki wpływające na zgodność z Klauzulami

(a) Strony oświadczają, że nie mają powodów, by sądzić, że przepisy prawne i praktyki w kraju trzecim, do którego przesyłane są dane, mające zastosowanie do przetwarzania danych osobowych przez importera danych, w tym wszelkie wymogi dotyczące ujawniania danych osobowych lub środki zezwalające na dostęp dla organów publicznych, uniemożliwiają importerowi danych wypełnianie jego obowiązków wynikających z niniejszych Klauzul. Opiera się to na zrozumieniu, że przepisy prawne i praktyki, które respektują istotę fundamentalnych praw i wolności oraz nie przekraczają tego, co jest konieczne i proporcjonalne w demokratycznym społeczeństwie do ochrony jednego z celów wymienionych w artykule 23(1) Rozporządzenia (UE) 2016/679, nie są sprzeczne z niniejszymi Klauzulami.

(b) Strony oświadczają, że składając gwarancję, o której mowa w ustępie (a), uwzględniły w szczególności następujące elementy:

(i) szczególne okoliczności transferu, w tym długość łańcucha przetwarzania, liczbę zaangażowanych podmiotów oraz używane kanały transmisji; planowane przekształcenia transferu; rodzaj odbiorcy; cel przetwarzania; kategorie i format przesyłanych danych osobowych; sektor gospodarki, w którym odbywa się transfer; lokalizację przechowywania przesyłanych danych;
(ii) przepisy prawne i praktyki kraju trzeciego przeznaczenia - w tym te wymagające ujawnienia danych organom publicznym lub zezwalające na dostęp takich organów - istotne w kontekście szczególnych okoliczności transferu, oraz ograniczenia i zabezpieczenia stosowne w tych przypadkach;
(iii) wszelkie istotne zabezpieczenia umowne, techniczne lub organizacyjne wdrożone w celu uzupełnienia zabezpieczeń wynikających z niniejszych Klauzul, w tym środki stosowane podczas transmisji oraz do przetwarzania danych osobowych w kraju przeznaczenia.

(c) Importer danych oświadcza, że przy przeprowadzaniu oceny zgodnie z ustępem (b) dołożył wszelkich starań, aby dostarczyć eksporterowi danych odpowiednie informacje i zgadza się na dalszą współpracę z eksporterem danych w celu zapewnienia zgodności z niniejszymi Klauzulami.

(d) Strony zgadzają się udokumentować ocenę zgodnie z ustępem (b) i udostępnić ją na żądanie właściwemu organowi nadzorczemu.

(e) Importer danych zgadza się na niezwłoczne powiadomienie eksportera danych, jeśli po zaakceptowaniu niniejszych Klauzul i przez cały okres trwania umowy, uzna, że podlega lub stał się podlegający przepisom prawnym lub praktykom niezgodnym z wymogami określonymi w ustępie (a), w tym w wyniku zmiany przepisów prawnych kraju trzeciego lub środka (takiego jak żądanie ujawnienia), wskazujących na zastosowanie takich przepisów w praktyce, niezgodnym z wymaganiami ustępu (a).

(f) Po powiadomieniu zgodnie z ustępem (e), lub jeśli eksporter danych z innego powodu uzna, że importer danych nie może już wypełniać swoich obowiązków wynikających z niniejszych Klauzul, eksporter danych niezwłocznie określi odpowiednie środki (np. techniczne lub organizacyjne, aby zapewnić bezpieczeństwo i poufność), które mają zostać przyjęte przez eksportera danych i/lub importera danych w celu rozwiązania sytuacji. Eksporter danych wstrzyma transfer danych, jeśli uzna, że nie można zapewnić odpowiednich zabezpieczeń dla takiego transferu, lub jeśli dostanie takie polecenie od właściwego organu nadzorczego. W takim przypadku eksporter danych ma prawo do rozwiązania umowy, o ile dotyczy ona przetwarzania danych osobowych na podstawie niniejszych Klauzul. Jeśli umowa obejmuje więcej niż dwie Strony, eksporter danych może skorzystać z tego prawa do rozwiązania tylko w odniesieniu do danej Strony, chyba że Strony uzgodnią inaczej. W przypadku rozwiązania umowy na mocy niniejszej Klauzuli, stosuje się Klauzulę 16(d) i (e).

Klauzula 15

Obowiązki importera danych w przypadku dostępu przez organy publiczne

15.1 Powiadomienie

(a) Importer danych zobowiązuje się powiadomić eksportera danych i, o ile to możliwe, podmiot danych niezwłocznie (jeśli to konieczne przy pomocy eksportera danych), jeśli:

(i) otrzyma prawnie wiążące żądanie od organu publicznego, w tym sądowych władz, na podstawie prawa kraju docelowego, dotyczące ujawnienia danych osobowych przekazywanych zgodnie z niniejszymi Klauzulami; takie powiadomienie powinno zawierać informacje o żądanych danych osobowych, żądającym organie, podstawie prawnej żądania i udzielonej odpowiedzi; lub
(ii) dowie się o jakimkolwiek bezpośrednim dostępie organów publicznych do danych osobowych przekazywanych zgodnie z niniejszymi Klauzulami zgodnie z prawem kraju docelowego; takie powiadomienie powinno zawierać wszystkie dostępne importerowi informacje.

(b) Jeśli importer danych ma zakaz powiadamiania eksportera danych i/lub podmiotu danych na podstawie prawa kraju docelowego, importer danych zobowiązuje się do podjęcia wszelkich starań w celu uzyskania odstąpienia od zakazu, w celu jak najszybszego przekazania jak największej ilości informacji. Importer danych zobowiązuje się udokumentować swoje starania, aby móc je wykazać na żądanie eksportera danych.

(c) Jeżeli prawo kraju docelowego na to pozwala, importer danych zobowiązuje się przekazywać eksporterowi danych, w regularnych odstępach czasu przez cały okres trwania umowy, jak najwięcej istotnych informacji dotyczących otrzymanych żądań (w szczególności liczby żądań, rodzaju żądanych danych, organu/osób żądających, czy żądania zostały zakwestionowane i wynik tych sporów, itp.).

(d) Importer danych zobowiązuje się zachować informacje zgodnie z akapitami (a) do (c) przez czas trwania umowy i udostępniać je właściwemu organowi nadzorczemu na żądanie.

(e) Akapity (a) do (c) nie naruszają obowiązku importera danych wynikającego z Klauzuli 14(e) i Klauzuli 16, aby niezwłocznie powiadomić eksportera danych w przypadku, gdy nie jest w stanie przestrzegać niniejszych Klauzul.

15.2 Przegląd legalności i minimalizacja danych

(a) Importer danych zobowiązuje się przeglądać legalność żądania ujawnienia, w szczególności czy mieści się ono w granicach uprawnień przyznanych żądającemu organowi publicznemu, oraz zakwestionować żądanie, jeśli po dokładnej ocenie stwierdzi, że istnieją uzasadnione podstawy do uznania, że żądanie jest niezgodne z prawem kraju docelowego, obowiązującymi zobowiązaniami międzynarodowymi i zasadami międzynarodowej grzeczności. Importer danych zobowiązuje się, na tych samych warunkach, wykorzystać możliwości odwoławcze. Przy kwestionowaniu żądania, importer danych powinien dążyć do uzyskania środków tymczasowych w celu zawieszenia skutków żądania do czasu, gdy właściwy organ sądowy rozstrzygnie jego meritum. Nie powinien ujawniać żądanych danych osobowych do czasu, aż będzie to wymagane zgodnie z obowiązującymi przepisami proceduralnymi. Wymogi te nie naruszają obowiązków importera danych wynikających z Klauzuli 14(e).

(b) Importer danych zobowiązuje się udokumentować swoją ocenę prawną oraz wszelkie zakwestionowanie żądania ujawnienia i, w zakresie dopuszczalnym zgodnie z prawem kraju docelowego, udostępniać dokumentację eksporterowi danych. Powinien również udostępniać ją właściwemu organowi nadzorczemu na żądanie.

(c) Importer danych zobowiązuje się dostarczać minimalną ilość informacji dopuszczalnych przy odpowiedzi na żądanie ujawnienia, opierając się na rozsądnej interpretacji żądania.

SEKCJA IV - POSTANOWIENIA KOŃCOWE

Klauzula 16

Niezgodność z Klauzulami i rozwiązanie umowy

(a) Importer danych niezwłocznie poinformuje eksportera danych, jeżeli z jakiegokolwiek powodu nie będzie w stanie spełnić wymagań wynikających z Klauzul.

(b) W przypadku naruszenia Klauzul przez importera danych lub braku możliwości ich spełnienia, eksporter danych zawiesi transfer danych osobowych do importera danych do czasu ponownego zapewnienia zgodności lub rozwiązania umowy. Postanowienia Klauzuli 14(f) pozostają nienaruszone.

(c) Eksporter danych ma prawo do rozwiązania umowy, w zakresie dotyczącym przetwarzania danych osobowych na mocy tych Klauzul, gdy:

(i) eksporter danych zawiesił transfer danych osobowych do importera danych zgodnie z ust. (b), a zgodność z Klauzulami nie została przywrócona w rozsądnym czasie, nie później niż w ciągu miesiąca od zawieszenia;
(ii) importer danych w sposób istotny lub uporczywy narusza Klauzule; lub
(iii) importer danych nie wywiązuje się z wiążącego orzeczenia właściwego sądu lub organu nadzorczego dotyczącego jego obowiązków wynikających z Klauzul.

W takich przypadkach eksporter danych poinformuje właściwy organ nadzorczy o takiej niezgodności. Jeśli umowa obejmuje więcej niż dwie Strony, eksporter danych może skorzystać z prawa do rozwiązania umowy tylko w odniesieniu do odpowiedniej Strony, chyba że Strony uzgodniły inaczej.

(d) Dane osobowe przekazane przed rozwiązaniem umowy zgodnie z ust. (c) zostaną natychmiast zwrócone eksporterowi danych lub trwale usunięte, według wyboru eksportera danych. Powyższe dotyczy również wszelkich kopii danych. Importer danych potwierdzi eksporterowi danych usunięcie danych. Do momentu usunięcia lub zwrotu danych, importer danych będzie nadal zapewniał zgodność z Klauzulami. W przypadku, gdy lokalne przepisy obowiązujące importera danych uniemożliwiają zwrot lub usunięcie przekazanych danych osobowych, importer danych gwarantuje, że będzie nadal przestrzegał Klauzul i przetwarzał dane tylko w zakresie i przez czas wymagany przez te lokalne przepisy.

(e) Każda ze Stron może wycofać swoje zgody na związanie się Klauzulami w przypadku, gdy (i) Komisja Europejska przyjmie decyzję zgodnie z art. 45(3) Rozporządzenia (UE) 2016/679 dotyczącą transferu danych osobowych, do których mają zastosowanie te Klauzule; lub (ii) Rozporządzenie (UE) 2016/679 stanie się częścią ram prawnych kraju, do którego dane osobowe są transferowane. Powyższe nie narusza innych obowiązków dotyczących przetwarzania danych na podstawie Rozporządzenia (UE) 2016/679.

Klauzula 17

Prawo właściwe

Niniejsze Klauzule będą regulowane prawem jednego z państw członkowskich UE, pod warunkiem że takie prawo przewiduje prawa osób trzecich jako beneficjentów. Strony uzgadniają, że będzie to prawo Irlandii.

Klauzula 18

Wybór forum i jurysdykcji

(a) Wszelkie spory wynikające z niniejszych Klauzul będą rozstrzygane przez sądy państwa członkowskiego UE.

(b) Strony uzgadniają, że takimi sądami będą sądy Republiki Irlandii.

(c) Podmiot danych może również wszcząć postępowanie sądowe przeciwko eksporterowi danych i/lub importerowi danych przed sądami państwa członkowskiego, w którym ma on/ona swoje miejsce zwykłego pobytu.

(d) Strony zgadzają się poddać się jurysdykcji takich sądów.

Przypisy

Tam, gdzie eksportujący dane jest podmiotem przetwarzającym podlegającym Rozporządzeniu (UE) 2016/679 i działa na rzecz instytucji lub organu Unii jako administratora danych, poleganie na tych Klauzulach podczas angażowania innego podmiotu przetwarzającego (podprzetwarzanie), który nie podlega Rozporządzeniu (UE) 2016/679, również zapewnia zgodność z artykułem 29 ustęp 4 Rozporządzenia (UE) 2018/1725 Parlamentu Europejskiego i Rady z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy, biura i agencje Unii oraz swobodnego przepływu takich danych, oraz w sprawie uchylenia Rozporządzenia (WE) nr 45/2001 i Decyzji nr 1247/2002/WE (Dz. U. L 295, 21.11.2018, s. 39), o ile te Klauzule i obowiązki w zakresie ochrony danych określone w umowie lub innym akcie prawnym między administratorem a podmiotem przetwarzającym zgodnie z artykułem 29 ustęp 3 Rozporządzenia (UE) 2018/1725 są zrównane. Dotyczy to w szczególności przypadków, gdy administrator i podmiot przetwarzający polegają na standardowych klauzulach umownych zawartych w Decyzji 2021/915.
Porozumienie o Europejskim Obszarze Gospodarczym (Porozumienie EOG) przewiduje rozszerzenie wewnętrznego rynku Unii Europejskiej na trzy państwa EOG: Islandię, Liechtenstein i Norwegię. Unijne przepisy dotyczące ochrony danych, w tym Rozporządzenie (UE) 2016/679, są objęte Porozumieniem EOG i zostały włączone do Aneksu XI do niego. Dlatego każde ujawnienie przez importera danych osobowych stronom trzecim znajdującym się w EOG nie kwalifikuje się jako dalsze przekazanie na potrzeby tych Klauzul.
Wymóg ten może zostać spełniony przez przystąpienie podprzetwarzającego do tych Klauzul w odpowiednim Module, zgodnie z Klauzulą 7.
W odniesieniu do wpływu takich przepisów prawa i praktyk na zgodność z tymi Klauzulami można rozważyć różne elementy jako część całościowej oceny. Takie elementy mogą obejmować istotne i udokumentowane praktyczne doświadczenie z wcześniejszymi przypadkami wniosków o ujawnienie ze strony organów publicznych lub brak takich wniosków, obejmujące wystarczająco reprezentatywny okres czasu. Odnosi się to w szczególności do wewnętrznych zapisów lub innych dokumentów sporządzanych na bieżąco zgodnie z należytą starannością i poświadczanych na poziomie wyższego kierownictwa, pod warunkiem, że te informacje mogą być legalnie udostępniane stronom trzecim. Jeśli na takim praktycznym doświadczeniu polega się w celu stwierdzenia, że importer danych nie będzie pozbawiony możliwości przestrzegania tych Klauzul, musi być ono poparte innymi istotnymi, obiektywnymi elementami, a Strony muszą starannie rozważyć, czy te elementy razem mają wystarczającą wagę pod względem ich wiarygodności i reprezentatywności, aby wesprzeć ten wniosek. W szczególności Strony muszą uwzględnić, czy ich praktyczne doświadczenie jest potwierdzone i nie jest sprzeczne z publicznie dostępnymi lub w inny sposób dostępnymi, wiarygodnymi informacjami na temat istnienia lub braku wniosków w tym samym sektorze i/lub stosowania prawa w praktyce, takich jak orzecznictwo i raporty niezależnych organów nadzorczych.

ANEKS

ZAŁĄCZNIK I

A. LISTA STRON

Eksporter danych: [Tożsamość i dane kontaktowe eksportera danych oraz, w stosownych przypadkach, jego inspektora ochrony danych i/lub przedstawiciela w Unii Europejskiej]

Nazwa: [Nazwa klienta zgodna z danymi w koncie DreamHost]

Adres: [Adres klienta zgodny z danymi w koncie DreamHost]

Imię, nazwisko, stanowisko i dane kontaktowe osoby kontaktowej: [Klient zgodnie z powyższą definicją]

Działania związane z przekazywanymi danymi na mocy niniejszych Klauzul: Jak opisano w niniejszym Załączniku, DPA i Umowie.

Podpis i data: [Zapisywany cyfrowo w momencie utworzenia konta i zgodnie z Warunkami korzystania z usług]

Rola (administrator/przetwarzający): Administrator.

Importer danych: [Tożsamość i dane kontaktowe importera danych, w tym dane osoby odpowiedzialnej za ochronę danych]

Nazwa: DreamHost

Adres: PMB #327, 417 Associated Rd., Brea, CA 92821-5802

Imię, nazwisko, stanowisko i dane kontaktowe osoby kontaktowej:

Do wiadomości: Inspektor Ochrony Danych

Email: privacypolicy@dreamhost.com

Działania związane z przekazywanymi danymi na mocy niniejszych Klauzul: Jak opisano w niniejszym Załączniku, DPA i Umowie.

Podpis i data: [Zapisywany cyfrowo w momencie utworzenia konta i zgodnie z Warunkami korzystania z usług]

Rola (administrator/przetwarzający): Przetwarzający.

B. OPIS PRZEKAZYWANIA DANYCH

Kategorie osób, których dane osobowe są przekazywane