Ostatnia zmiana: 2 listopada 2020 r.
Jibe i kontrahent zgadzający się na ten aneks („Firma”) zawarli umowę o świadczenie Usług Podmiotu przetwarzającego (zwane dalej „Umową”).
Aneks o przetwarzaniu danych (wraz z załącznikami „Aneks dotyczący przetwarzania danych”) jest zawierany przez Jibe and Company i uzupełnia umowę. Ten Aneks o przetwarzaniu danych zacznie obowiązywać z dniem wejścia w życie Warunków i zastąpi wszystkie obowiązujące wcześniej warunki związane z ich przedmiotem (w tym te dotyczące przetwarzania i zabezpieczania danych dotyczące Usług Podmiotu przetwarzającego).
Jeśli akceptujesz ten Aneks o przetwarzaniu danych w imieniu swojej firmy, oświadczasz, że: (a) masz pełnomocnictwo do podpisania tego Aneksu o przetwarzaniu danych, (b) przeczytałeś(-aś) i zrozumiałeś(-aś) ten Aneks o przetwarzaniu danych oraz (c) w imieniu Twojej firmy akceptujesz ten aneks. Jeśli nie masz pełnomocnictwa do przyjmowania zobowiązań w imieniu firmy, nie przyjmuj tego Aneksu o przetwarzaniu danych.
1. Wprowadzenie
Ten Aneks dotyczący przetwarzania danych odzwierciedla porozumienie między stronami dotyczące warunków przetwarzania i zabezpieczania Danych osobowych Firmy w związku z Europejskim ustawodawstwem dotyczącym ochrony danych oraz określonymi przepisami Pozaeuropejskiego ustawodawstwa dotyczącego ochrony danych.
2. Definicje i ich interpretacja
2.1 W tym Aneksie o przetwarzaniu danych:
„Produkt dodatkowy” to produkt, usługa lub aplikacja świadczona przez Jibe lub osobę trzecią, które (a) nie są częścią Usług Podmiotu przetwarzającego oraz (b) są dostępne do użytku w interfejsie Usług Podmiotu przetwarzającego lub w inny sposób są zintegrowane z tymi usługami.
„Dodatkowe warunki związane z Pozaeuropejskim ustawodawstwem dotyczącym ochrony danych” to dodatkowe warunki wymienione w Dodatku 3, które odzwierciedlają postanowienia umowy między stronami dotyczące przetwarzania określonych danych w związku z określonymi przepisami Pozaeuropejskiego ustawodawstwa dotyczącego ochrony danych.
„Podmiot stowarzyszony” to podmiot, który kontroluje daną stronę Umowy, nad którym dana strona ma kontrolę albo który pośrednio lub bezpośrednio pozostaje pod wspólną kontrolą z daną stroną.
„Dane osobowe firmy” to dane osobowe, które są przetwarzane przez Jibe w imieniu Firmy w ramach świadczenia Usług Podmiotu przetwarzającego przez Jibe.
„Incydent danych” oznacza naruszenie bezpieczeństwa Jibe prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do Danych osobowych Firmy w systemach zarządzanych przez Jibe lub kontrolowanych w inny sposób. Termin „Incydenty danych” nie obejmuje nieudanych prób lub działań, które nie zagrażają bezpieczeństwu danych osobowych firmy, w tym nieudanych prób zalogowania się, pingów, skanowania portów, ataków typu DoS i innych ataków sieciowych na zaporach sieciowych lub systemach sieciowych.
„Ustawodawstwo dotyczące ochrony danych” to: (a) Europejskie ustawodawstwo dotyczące ochrony danych lub (b) Europejskie ustawodawstwo dotyczące ochrony danych.
„Narzędzie do przesyłania danych” oznacza narzędzie (jeśli jest dostępne) udostępniane przez podmiot Jibe podmiotom danych, które umożliwiają Jibe bezpośrednie i standardowe reagowanie na określone prośby osób, których dotyczą, w odniesieniu do danych osobowych firmy (na przykład wtyczkę do przeglądarki, która umożliwia rezygnację).
„EOG” to Europejski Obszar Gospodarczy.
„RODO (UE)” to Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
„Europejskie ustawodawstwo dotyczące ochrony danych” to, stosownie do przypadku: (a) RODO lub (b) szwajcarska federalna ustawa o ochronie danych osobowych z 19 czerwca 1992 r.
„Prawo europejskie lub krajowe” to, stosownie do przypadku: (a) prawo UE lub państwa członkowskiego UE (jeśli unijne rozporządzenie RODO ma zastosowanie do przetwarzania Danych osobowych firmy) lub (b) prawo brytyjskie albo obowiązujące w części Wielkiej Brytanii (jeśli RODO ma zastosowanie do przetwarzania Danych osobowych w Wielkiej Brytanii).
„RODO”” oznacza, stosownie do przypadku: (a) RODO (UE) lub (b) RODO (Wielka Brytania).
„Jibe” oznacza Podmiot Jibe, który jest stroną Umowy.
„Podwykonawcy podmiotu stowarzyszonego Jibe” mają znaczenie podane w artykule 11.1 (Zgoda na zaangażowanie podwykonawcy podmiotu przetwarzającego dane osobowe).
„Jibe Entity” oznacza firmę Jibe Mobile Inc, Jibe Mobile Limited lub dowolny inny podmiot stowarzyszony Jibe Mobile Inc.
„Certyfikacja ISO 27001” to certyfikat ISO/IEC 27001:2013 lub porównywalny certyfikat dla podmiotów przetwarzających.
„Pozaeuropejskie ustawodawstwo dotyczące ochrony danych” to przepisy dotyczące ochrony danych lub prywatności obowiązujące poza EOG, Szwajcarią i Wielką Brytanią.
„Adres e-mail do powiadomień” to adres e-mail (jeśli) (i) przekazany Firmie przez Jibe, lub (ii) wyznaczony przez Firmę za pomocą interfejsu Usług Podmiotu przetwarzającego lub podobny w celu otrzymywania powiadomień od Jibe dotyczących Aneksu o przetwarzaniu danych. Obowiązkiem firmy jest podanie Jibe adresu e-mail do powiadomień i zawiadomienie go o aktualizacjach adresu e-mail do powiadomień.
„Usługi związane z przetwarzaniem danych” oznaczają usługi komunikacji biznesowej RCS (zgodnie z opisem na https://developers.google.com/business-communications/rcs-business-messaging).
„Dokumentacja zabezpieczeń” oznacza certyfikat ISO 27001 i inne certyfikaty lub dokumentację zabezpieczeń, które firma Jibe może udostępnić w związku z usługami procesora.
„Środki bezpieczeństwa” zostały zdefiniowane w Sekcji 7.1.1 (Środki bezpieczeństwa Jibe).
„Standardowe klauzule umowne” to standardowe klauzule umowne Komisji Europejskiej dostępne pod adresem https://privacy.google.com/businesses/gdprprocessorterms/sccs, które są standardowymi warunkami ochrony danych osobowych dla podmiotów przetwarzających dane zebranych w krajach zewnętrznych, które nie zapewniają odpowiedniego poziomu ochrony danych. Przepisy te obejmują artykuł 46 RODO (UE).
„Podwykonawcy podmiotu przetwarzającego dane osobowe” to osoby trzecie upoważnione w niniejszym Aneksie o przetwarzaniu danych do uzyskania logicznego dostępu do Danych osobowych firmy i ich przetwarzania w celu świadczenia usług związanych z usługami Podmiotu przetwarzającego dane i wszelkich powiązanych usług pomocy technicznej.
„Organ nadzorczy” oznacza, stosownie do przypadku: (a) „organ nadzorczy” w znaczeniu podanym w RODO (UE) lub (b) „Komisarza" w znaczeniu podanym w RODO (Wielka Brytania).
„Okres obowiązywania” oznacza okres od Daty wejścia w życie do końca świadczenia Usług Podmiotu przetwarzającego przez Jibe na mocy Umowy.
„Data wejścia warunków w życie” oznacza datę wejścia w życie Umowy.
„Podwykonawcy podmiotu przetwarzającego dane osobowe” mają znaczenie określone w artykule 11.1 (Zgoda na wykorzystanie danych przez Podwykonawcę podmiotu przetwarzającego dane osobowe).
„RODO (Wielka Brytania)” to RODO (UE) zmienione i włączone do prawa brytyjskiego na mocy ustawy o wystąpieniu z Unii Europejskiej z 2018 roku (jeśli obowiązuje).
2.2 Terminy „administrator”, „osoba, której dotyczą dane”, „dane osobowe”, „przetwarzanie danych” użyte w tym Aneksie o przetwarzaniu danych mają znaczenie określone w RODO, a hasła „importer danych” i „eksporter danych” mają znaczenie określone w standardowych klauzulach umownych.
2.3 Terminy „w tym”, „uwzględnij” lub inne podobne zwroty mają charakter poglądowy i nie ograniczają sensu słów poprzedzających te terminy. Wszelkie przykłady w tym Aneksie o przetwarzaniu danych mają charakter poglądowy i nie stanowią jedynych przykładów poszczególnych koncepcji.
2.4 Wszelkie odniesienia do ram prawnych, ustaw lub innych aktów prawnych odwołują się do ich postaci wraz z wprowadzanymi w nich co pewien czas zmianami w ramach nowelizacji.
2.5 Jeśli te Zasady przetwarzania danych zostaną przetłumaczone na inny język i wystąpi rozbieżność między tekstem angielskim a przetłumaczonym, rozstrzygający będzie tekst angielski.
3. Czas trwania tego Aneksu o przetwarzaniu danych
Ten Aneks o przetwarzaniu danych zacznie obowiązywać z dniem wejścia w życie Warunków, niezależnie od tego, czy upłynęło jego okres obowiązywania, i pozostanie usunięty ze wszystkich danych osobowych firmy Jibe zgodnie z niniejszym Aneksem.
4. Stosowanie tego Aneksu o przetwarzaniu danych
4.1. Stosowanie Europejskiego ustawodawstwa dotyczącego ochrony danych. Artykuły od 5 (przetwarzanie danych) do 12 (kontaktowanie się z Jibe; przetwarzanie dokumentacji) (włącznie) mają zastosowanie tylko w zakresie, w jakim Europejskie ustawodawstwo dotyczące ochrony danych obowiązuje w przypadku przetwarzania Danych osobowych firmy, w tym w tych przypadkach:
(a) przetwarzanie odbywa się w ramach działalności spółki z Europejskiego Obszaru Gospodarczego lub Wielkiej Brytanii;
(b) Dane osobowe firmy to dane osobowe osób, które znajdują się w Europejskim Obszarze Gospodarczym lub w Wielkiej Brytanii, a przetwarzanie odnosi się do oferowania towarów lub usług albo monitorowania ich zachowań na terenie EOG lub Wielkiej Brytanii.
4.2. Zakres obowiązywania Usług dotyczących podmiotów przetwarzających. Ten Aneks o przetwarzaniu danych ma zastosowanie tylko do usług podmiotów przetwarzających dane, w przypadku których strony zaakceptowały ten Aneks o przetwarzaniu danych (np. (a) usług Podmiotu przetwarzającego dane, których Firma zaakceptowała, lub (b) jeśli Umowa zawiera ten Aneks o przetwarzaniu danych na mocy odniesienia, Usługi Podmiotu przetwarzającego, które są przedmiotem Umowy).
4.3. Dodatkowych warunków nieeuropejskich ustawodawstwa dotyczącego ochrony danych. Dodatkowe warunki związane z Pozaeuropejskim ustawodawstwem dotyczącym ochrony danych stanowią uzupełnienie tych Warunków przetwarzania danych.
5. Przetwarzanie danych
5.1 Role i zgodność z przepisami; Upoważnienie.
5.1.1 Obowiązki Podmiotu przetwarzającego i administratora. Strony przyjmują do wiadomości i zgadzają się, że:
(a) Załącznik 1 opisuje temat i szczegóły przetwarzania Danych osobowych firmy;
(b) Jibe jest podmiotem przetwarzającym Dane osobowe Firmy zgodnie z Europejskim ustawodawstwem dotyczącym ochrony danych.
(c) jako firma przetwarzająca lub przetwarzająca odpowiednio Dane osobowe Firmy zgodnie z Europejskim ustawodawstwem dotyczącym ochrony danych oraz
(d) każda ze stron wypełni swoje zobowiązania wynikające z Europejskiego ustawodawstwa dotyczącego ochrony danych w odniesieniu do przetwarzania Danych osobowych firmy.
5.1.2 Autoryzacja przez kontroler innej firmy. Jeśli Firma jest podmiotem przetwarzającym, gwarantuje firmie Jibe, że instrukcje i działania w odniesieniu do Danych osobowych Firmy, w tym wyznaczenie Jibe jako innego podmiotu przetwarzającego dane, zostały zatwierdzone przez odpowiedni podmiot.
5.2. Instrukcje dla firmy. Zgadzając się na ten Aneks o przetwarzaniu danych, Firma zobowiązuje się do przetwarzania Danych osobowych Firmy tylko zgodnie z obowiązującym prawem: (a) w celu świadczenia Usług Podmiotu przetwarzającego i powiązanych usług pomocy technicznej; (b) zgodnie z opisem w Umowie, w tym dokumencie, w tym dokumencie, w tym dokumencie, w tym dokumencie,
5.3 Zgodność Jibe z instrukcjami Jibe będzie przestrzegać instrukcji opisanych w Sekcji 5.2 (Instrukcje dla firmy) (w tym w odniesieniu do przekazywania danych), chyba że prawo europejskie lub krajowe, z którym wiąże się Jibe, wymaga innego przetworzenia Danych osobowych przez firmę Jibe, w takim przypadku Jibe poinformuje o tym firmę (chyba że takie prawo zabrania Jibe robienia tego ze względu na ważny interes publiczny).
5.4. Usługi dodatkowe. Jeśli Firma korzysta z jakiejkolwiek Usługi dodatkowej, Usługi Podmiotu przetwarzającego mogą zezwolić tej Usłudze dodatkowej na dostęp do Danych osobowych Firmy w celu współpracy tych Usług dodatkowych z Usługami Podmiotu przetwarzającego. Niniejszy Aneks o przetwarzaniu danych nie dotyczy przetwarzania danych osobowych w związku z dostarczaniem przez jakąkolwiek Dodatkową usługę, w tym danych osobowych przesłanych do tej usługi dodatkowej lub z niej.
6. Usuwanie danych
6.1. Usuwanie w Okresie obowiązywania.
6.1.1 Usługi podmiotów przetwarzających z funkcjami usuwania. W Okresie obowiązywania, jeśli:
(a) działanie Usług Podmiotu przetwarzającego obejmuje opcję usunięcia Danych osobowych Firmy przez Firmę;
(b) Firma używa Usług Podmiotu przetwarzającego do usunięcia określonych Danych osobowych Firmy;
(c) nie będzie można odzyskać usuniętych Danych osobowych Firmy (na przykład z „kosza”),
Następnie Jibe usunie takie dane osobowe ze swoich systemów tak szybko, jak to możliwe, chyba że prawo europejskie lub krajowe wymaga przechowywania tych danych.
6.1.2 Usługi Podmiotu przetwarzającego bez funkcji usuwania. W trakcie obowiązywania Warunków, jeśli w Okresie obowiązywania Usługi nie będą dostępne do usuwania Danych osobowych Firmy przez Firmę, Jibe zastosuje się do wszelkich uzasadnionych próśb pochodzących od Firmy, mających na celu ułatwienie usunięcia danych, biorąc pod uwagę charakter i funkcje tych Usług. Jibe może pobierać opłatę (na podstawie uzasadnionych kosztów Jibe) za usunięcie danych zgodnie z artykułem 6.1.2 (Usługi dotyczące podmiotów przetwarzających bez funkcji usuwania). Przed dokonaniem takiego usunięcia Jibe przekaże Firmie dodatkowe informacje o obowiązujących opłatach i podstawie ich obliczania.
6.2. Usunięcie po wygaśnięciu hasła. Po upłynięciu Okresu obowiązywania firma zobowiązuje firmę Jibe do usunięcia wszystkich danych osobowych (w tym istniejących kopii) z systemów Jibe zgodnie z obowiązującym prawem. Jibe zastosuje się do tych instrukcji w najkrótszym możliwym terminie, chyba że wymagają tego przepisy obowiązujące w Europie lub kraju.
7. Bezpieczeństwo danych
7.1 Środki bezpieczeństwa i pomoc w Jibe
7.1.1 Zabezpieczenia Jibe. Jibe wdroży i zapewni działania techniczne oraz organizacyjne w celu ochrony danych osobowych przed przypadkowym lub bezprawnym zniszczeniem, utratą, zmianą, nieuprawnionym ujawnieniem lub dostępem opisanym w dodatku 2 („Środki bezpieczeństwa”). Jibe może okresowo aktualizować lub modyfikować środki bezpieczeństwa, o ile takie aktualizacje i modyfikacje nie prowadzą do pogorszenia jakości usług.
{0/}
7.1.3 Pomoc dotycząca bezpieczeństwa Jibe. Firma akceptuje, że Jibe pomaga jej w spełnianiu obowiązków związanych z bezpieczeństwem danych osobowych i naruszeń danych osobowych (z uwzględnieniem charakteru przetwarzania danych osobowych i informacji dostępnych dla Jibe), w tym (w stosownych przypadkach) o obowiązkach Firmy wynikających z artykułów od 32 do 34 (w tym) RODO:
(a) wdrożenie i zachowanie środków bezpieczeństwa zgodnie z artykułem 7.1.1 (Środki bezpieczeństwa Jibe);
(b) przestrzeganie warunków wymienionych w artykule 7.2 (Incydenty danych) oraz
(c) przekaże Firmie dokumentację dotyczącą zabezpieczeń zgodnie z artykułem 7.5.1 (Przegląd dokumentacji bezpieczeństwa) i informacjami zawartymi w tym Aneksie o przetwarzaniu danych.
7.2. Incydenty danych.
7.2.1 Powiadomienie o incydentach. Jeśli Jibe dowie się o incydentie danych, Jibe: (a) bezzwłocznie i niezwłocznie powiadomi firmę o wypadku, a (b) niezwłocznie podejmie uzasadnione kroki, aby zminimalizować szkody i zabezpieczyć dane osobowe firmy.
7.2.2 Szczegóły incydentu dotyczącego danych. Powiadomienia wysyłane zgodnie z sekcją 7.2.1 (Incydent powiadomienia) opisują w miarę możliwości szczegółowe informacje na temat incydentu danych, w tym opis działań podejmowanych w celu eliminowania potencjalnych zagrożeń i kroków podejmowanych przez firmę Jibe.
{0/} Ponosisz wyłączną odpowiedzialność za podanie adresu e-mail dla powiadomień oraz sprawdzenie, czy adres e-mail do powiadomień jest aktualny.
7.2.4 Powiadomienia osób trzecich. Firma ponosi wyłączną odpowiedzialność za przestrzeganie przepisów dotyczących powiadomień o incydentach dotyczących Firmy oraz wypełnianie zobowiązań dotyczących powiadomień od osób trzecich związanych z incydentami dotyczącymi danych.
7.2.5 Potwierdzenie przez Jibe.Jibe o błędzie wynikającym z postanowienia artykułu 7.2 (Incydenty danych) lub reagowanie na nie w związku z Incydentem danych nie będzie interpretowane jako uznanie przez Jibe odpowiedzialności za ewentualne incydenty.
7.3 Obowiązki dotyczące bezpieczeństwa i oceny Firmy.
7.3.1 Obowiązki dotyczące bezpieczeństwa. Firma akceptuje fakt, że bez uszczerbku dla zobowiązań Jibe opisanych w artykułach 7.1 (Środki bezpieczeństwa i pomoc firmy Jibe) oraz 7.2 (Incydenty danych):
(a) Firma odpowiada za korzystanie z usług Podmiotu przetwarzającego, w tym:
(i) odpowiednie korzystanie z Usług Podmiotu przetwarzającego w celu zapewnienia poziomu bezpieczeństwa odpowiedniego dla Danych osobowych Firmy;
(ii) zabezpieczać dane uwierzytelniające, systemy i urządzenia do uwierzytelniania konta używanego przez firmę do uzyskania dostępu do Usług Podmiotu przetwarzającego oraz
(b) Jibe nie ma obowiązku ochrony Danych osobowych Firmy, które zdecydowała się przechowywać ani przenosić poza systemami Jibe i jej podmiotów przetwarzających dane.
7.3.2 Ocena zabezpieczeń Firmy. Firma przyjmuje do wiadomości i zgadza się, że (biorąc pod uwagę aktualny stan zaawansowania, koszty implementacji, przyrodę, zakres, kontekst i cele przetwarzania Danych osobowych Firmy, a także ryzyko związane z poszczególnymi osobami), środki bezpieczeństwa zastosowane i utrzymywane przez Jibe w artykule 7.1.1 (Środki bezpieczeństwa Jibe) zapewniają poziom danych osobowych odpowiednich dla firmy.
7.4 Certyfikacja bezpieczeństwa. Aby ocenić i zapewnić ciągłość działania zabezpieczeń, Jibe zachowa certyfikat ISO 27001.
7.5 Kontrole i audyty zgodności.
7.5.1 Sprawdzanie dokumentacji zabezpieczeń. Aby potwierdzić, że firma Jibe wypełnia swoje zobowiązania wynikające z tego Aneksu o przetwarzaniu danych, Jibe udostępni Klientowi dokumentację zabezpieczeń.
7.5.2 Prawa do kontroli Firmy.
(a) Firma Jibe zezwoli firmie lub jej audytorowi wyznaczonemu przez firmę na przeprowadzenie audytów (w tym audytów) w celu zweryfikowania jej zgodności z obowiązkami wynikającymi z tego Aneksu o przetwarzaniu danych zgodnie z artykułem 7.5.3 (Dodatkowe warunki biznesowe dla audytów).Jibe przyczyni się do takich audytów jak opisano w artykułach 7.4 (Certyfikacja bezpieczeństwa) i Niniejsza wersja kontroli (5). Raporty dotyczące audytów.
(b) Jeśli zgodnie z artykułem 10.2 (Przesyłanie danych) zastosowanie mają standardowe klauzule umowne, firma Jibe zezwoliła Firmie lub zewnętrznemu audytorowi wyznaczonemu przez nią na przeprowadzanie audytów zgodnie ze standardowymi klauzulami umownymi zgodnie z artykułem 7.5.3 (Dodatkowe warunki biznesowe dotyczące audytów).
(c) Może też przeprowadzić kontrolę, aby sprawdzić, czy Jibe spełnia swoje obowiązki wynikające z tego Aneksu o przetwarzaniu danych, sprawdzając certyfikat wystawiony dla certyfikacji ISO 27001 (która odzwierciedla wynik audytu przeprowadzonego przez zewnętrznego audytora).
7.5.3 Dodatkowe warunki biznesowe dotyczące kontroli.
(a) Firma prześle do Jibe prośbę o sprawdzenie audytu zgodnie z artykułem 7.5.2(a) lub 7.5.2(b) – zgodnie z artykułem 12.1 (Kontaktowanie się z Jibe).
(b) Po otrzymaniu od Jibe prośby z punktu 7.5.3(a) Jibe i Firma z wyprzedzeniem omówią i uzgodnią uzasadnioną datę rozpoczęcia kontroli, jej zakres i kontrolę oraz bezpieczeństwo związane z postępowaniami zgodnie z artykułem 7.5.2(a) lub 7.5.2(b).
(c) Jibe może pobrać opłatę (na podstawie uzasadnionych kosztów Jibe) za dowolny audyt na mocy sekcji 7.5.2(a) lub 7.5.2(b).Jibe poda Firmie szczegóły dotyczące obowiązujących opłat oraz podstawę ich obliczenia przed dokonaniem takiego audytu. Firma odpowiada za uiszczanie wszelkich opłat pobieranych przez zewnętrznego audytora wyznaczonego przez Firmę do przeprowadzenia takiego audytu.
(d) Jibe może zgłosić sprzeciw wobec zewnętrznego audytora wyznaczonego przez Firmę do przeprowadzenia audytu zgodnie z artykułem 7.5.2(a) lub 7.5.2(b), jeśli audytor, zgodnie z uzasadnioną opinią Jibe, nie ma odpowiednich kwalifikacji lub jest niezależny, w sposób oczywisty nie jest odpowiedni. Każde takie zgłoszenie zastrzeżeń Jibe wymaga od firmy wyznaczenia innego audytora lub przeprowadzenia audytu.
(e) Żadne informacje zawarte w niniejszym Aneksie o przetwarzaniu danych nie wymagają ujawnienia przez firmę Jibe jej zewnętrznego lub zewnętrznego audytora ani zezwolenia firmie lub jej niezależnemu audytorowi na dostęp do:
(i) dane innych klientów Podmiotu Jibe;
(ii) wewnętrzne informacje księgowe lub finansowe dotyczące Podmiotu Jibe;
(iii) tajemnice handlowe podmiotu Jibe;
(iv) wszelkie informacje, które, według uzasadnionej oceny Jibe, mogą: (A) naruszyć bezpieczeństwo systemów lub obiektów Jibe, albo (B) spowodować naruszenie dowolnych zobowiązań Jibe przez Europejskie ustawodawstwo dotyczące ochrony danych lub zobowiązań dotyczących bezpieczeństwa i prywatności danych Firmy lub dowolnej osoby trzeciej;
(v) informacje, do których dostęp Firma lub jej zewnętrzny audytor chce uzyskać dostęp z powodu niezwiązanego z rzetelnym wypełnianiem zobowiązań Firmy na mocy Europejskiego ustawodawstwa dotyczącego ochrony danych.
7.5.4 Brak modyfikacji standardowych klauzul umownych. Jeśli standardowe art. 10.2 (Przesyłanie danych) mają zastosowanie do standardowych klauzul umownych, żadna część tego artykułu 7.5 (Recenzje i audyty zgodności) nie zmienia ani nie modyfikuje żadnych praw ani zobowiązań firmy lub Jibe zgodnie z standardowymi klauzulami umownymi.
8. Oceny wpływu i konsultacje
Firma akceptuje, że Jibe pomaga firmie w spełnianiu obowiązków związanych z oceną ochrony danych i wcześniejszymi konsultacjami (z uwzględnieniem charakteru przetwarzania oraz informacji dostępnych dla Jibe), w tym (w odpowiednich przypadkach) zobowiązań Firmy wynikających z artykułów 35 i 36 RODO przez:
(a) dostarczenie dokumentacji zabezpieczeń zgodnie z artykułem 7.5.1 („Sprawdzanie dokumentacji bezpieczeństwa”);
(b) podanie informacji zawartych w tym Aneksie o przetwarzaniu danych;
(c) udostępnianie lub przekazywanie w inny sposób, zgodnie ze standardowymi praktykami Jibe, innych materiałów dotyczących charakteru Podmiotów przetwarzających dane i przetwarzania Danych osobowych Firmy (np. materiałów w Centrum pomocy).
9. Prawa osób, których dotyczą dane
9.1. Odpowiedzi na żądania osób, których dotyczą dane. Gdy Jibe otrzyma od podmiotu danych żądanie dotyczące danych osobowych firmy, Jibe:
(a) gdy żądanie jest przesyłane za pomocą narzędzia do przetwarzania danych, należy odpowiedzieć bezpośrednio na tę prośbę zgodnie ze standardowymi funkcjami tego narzędzia;
(b) jeśli prośba nie została zgłoszona za pomocą narzędzia podmiotu danych, należy poprosić osobę, której dotyczą dane, aby przesłała tę prośbę do firmy, a firma będzie odpowiedzialna za odpowiedź na taką prośbę.
9.2 Pomoc w zakresie prośby o pomoc od osoby, która je uzyskała Firma akceptuje, że Jibe będzie pomagać firmie w wypełnianiu obowiązków związanych z przetwarzaniem prośby przez podmioty danych (z uwzględnieniem charakteru przetwarzania Danych osobowych przez firmę oraz, w odpowiednich przypadkach, zgodnie z artykułem 11 RODO), w tym (w stosownych przypadkach) do odpowiadania na wnioski dotyczące egzekwowania praw osób, których dotyczą dane, w rozdziale III:
(a) zapewnianie funkcji Usług Podmiotu przetwarzającego;
(b) przestrzegania zobowiązań zawartych w artykule 9.1 (Reakcje na żądania osób, których dotyczą dane);
(c) udostępniania Usług Podmiotu danych za pomocą Podmiotów przetwarzających.
10. Przenoszenie danych
10.1. Obiekty dotyczące przetwarzania i przechowywania danych. Firma akceptuje, że zgodnie z artykułem 10.2 (Przesyłanie danych) Firma Jibe może przechowywać i przetwarzać Dane osobowe Firmy w dowolnym kraju, w którym firma Jibe lub dowolny z jej podmiotów przetwarzających dane je przechowuje.
10.2. Przesyłanie danych.
Jeśli przechowywanie lub przetwarzanie Danych osobowych firmy wiąże się z przeniesieniem Danych osobowych Firmy z Europejskiego Obszaru Gospodarczego, Szwajcarii lub Wielkiej Brytanii do dowolnego kraju, który nie podlega odpowiedniej decyzji w świetle Europejskiego ustawodawstwa dotyczącego ochrony danych:
(a) Firma (jako eksporter danych) zostanie zawarta w standardowych klauzulach umownych zawartych z Jibe (jako importer danych);
(b) przeniesienia będą podlegać standardowym klauzulom umownym;
(c) odniesienia do Google LLC i Klienta w standardowych klauzulach umownych będą odpowiednio obowiązywać w Jibe oraz firmie.
10.3. Informacje o Centrum danych. Informacje na temat lokalizacji centrów danych Google można znaleźć na stronie www.google.com/about/datacenters/locations/index.html.
11. Osoby przetwarzające dane
11.1. Zgoda na zaangażowanie podwykonawcy podmiotu przetwarzającego dane osobowe. Firma wyraźnie upoważnia dewelopera do współpracy Podmiotów stowarzyszonych z firmą Jibe jako podwykonawców („Podwykonawcy podmiotu przetwarzającego dane osobowe klientów”). Poza tym firma zazwyczaj upoważnia podmioty trzecie do przetwarzania danych („Podmiot przetwarzający dane osób trzecich”). Jeśli standardowe klauzule umowne mają zastosowanie na mocy sekcji 10.2 (Przenoszenie danych), Firma wyraża zgodę na utworzenie powyższych danych z podpisem Klienta.
11.2. Informacje o podmiotach przetwarzających dane. Na pisemną prośbę Firmy Jibe dostarczy informacje dotyczące podmiotów przetwarzających dane i ich lokalizacji. Takie prośby muszą być wysyłane do Jibe zgodnie z informacjami kontaktowymi określonymi w sekcji 12.1 (Kontaktowanie się z Jibe).
11.3. Wymagania dotyczące podwykonawców podmiotu przetwarzającego dane osobowe. W przypadku zaangażowania podwykonawcy firmy Jibe:
(a) zapewnić w formie pisemnej, że:
i
(ii) jeśli Ogólne rozporządzenie o ochronie danych ma zastosowanie do przetwarzania Danych osobowych firmy, wobec tego podmiotu przetwarzającego dane nakłada ono obowiązek ochrony danych zgodnie z artykułem 28(3) RODO;
(b) ponosi pełną odpowiedzialność za wszelkie zobowiązania zlecone podwykonawcom oraz za działania i zaniechania Podwykonawcy.
11.4. Możliwość sprzeciwania się zmianom podmiotu przetwarzającego dane osobowe.
(a) Gdy w trakcie Okresu zacznie obowiązywać nowy podmiot przetwarzający dane firmy zewnętrznej, Jibe powiadomi firmę o zaangażowaniu (w tym imię i nazwisko oraz lokalizację podmiotu przetwarzającego dane oraz działania, które będzie wykonywać), wysyłając wiadomość e-mail na adres e-mail do powiadomień co najmniej 30 dni przed przetworzeniem danych osobowych firmy przez nowy podmiot przetwarzający.
(b) Firma może wyrazić sprzeciw wobec dowolnego nowego podmiotu przetwarzającego dane z innych firm zewnętrznych, wypowiedząc Umowę ze skutkiem natychmiastowym na piśmie, pod warunkiem, że Firma powiadomi takiego Klienta w ciągu 90 dni od powiadomienia o zaangażowaniu nowego Podwykonawcy zewnętrznego zgodnie z opisem w artykule 11.4(a). To prawo do rozwiązania Umowy jest jedynym i wyłącznym świadczeniem, jakie przysługuje Firmie w przypadku sprzeciwu wobec jakiegokolwiek nowego podmiotu przetwarzającego dane.
12. Kontakt z Jibe; przetwarzanie danych
12.1. Kontaktowanie się z Jibe. Firma może skontaktować się z Jibe w sprawie tego Aneksu o przetwarzaniu danych przez osobę kontaktową ds. ochrony danych RCS Jibe, z którą można skontaktować się na stronie http://issuetracker.google.com lub w inny sposób, w jakim Jibe może okresowo oferować.
12.2. Rekordy przetwarzania danych Jibe Firma potwierdza, że zgodnie z RODO musi: (a) gromadzić i przechowywać niektóre informacje, w tym imię i nazwisko oraz dane kontaktowe każdego podmiotu przetwarzającego lub administratora, w imieniu którego działa Jibe, oraz (w odpowiednich przypadkach) lokalnego przedstawiciela lub administratora danych podmiotu przetwarzającego dane lub administratora oraz (b) udostępniać takie informacje organowi nadzorczemu. W stosownych przypadkach Firma dostarczy odpowiednie informacje firmie Jibe za pomocą interfejsu usług Podmiotu przetwarzającego lub za pomocą innych środków określonych przez Jibe oraz użyje tych interfejsów lub innych środków do zapewnienia, że wszystkie podane informacje będą dokładne i aktualne.
13. Odpowiedzialność
13.1. Limit odpowiedzialności. Niezależnie od jakichkolwiek innych postanowień Umowy, łączna odpowiedzialność którejkolwiek ze stron w związku z niniejszym Aneksem o przetwarzaniu danych jest ograniczona do maksymalnej kwoty pieniężnej lub kwoty płatności, na mocy której odpowiedzialność tej strony jest ograniczona zgodnie z tą Umową (a wszelkie wyłączenie odpowiedzialności wynikające z zachowania poufności lub odszkodowania wynikające z Umowy nie wynika z ograniczeń związanych z odpowiedzialnością wynikającej z ograniczenia europejskiego). Żadne postanowienie w tym artykule 13 (Odpowiedzialność) nie wyłącza ani nie ogranicza odpowiedzialności żadnej ze stron za (a) śmierć lub uszkodzenie ciała spowodowane przez niedbalstwo lub zaniedbanie jej pracowników bądź przedstawicieli, (b) oszustwo lub świadome wprowadzenie w błąd albo (c) sprawę, w przypadku której nie można wyłączyć ani ograniczyć odpowiedzialności na mocy obowiązującego prawa.
13.2. Odpowiedzialność w przypadku zastosowania standardowych klauzul umownych Jeśli na mocy artykułu 10.2 (Przesyłanie danych) zastosowanie mają standardowe klauzule umowne, łączna odpowiedzialność każdej ze stron i jej Podmiotów stowarzyszonych wobec drugiej strony oraz jej Podmiotów stowarzyszonych wynikającej z Umowy lub jej standardowych klauzul umownych podlega postanowieniom artykułu 13.1 (Limit odpowiedzialności).
14. Beneficjenci będący osobami trzecimi
Jeśli Podmiot stowarzyszony jest stroną standardowych klauzul umownych, które mają zastosowanie zgodnie z artykułem 10.2 (Przesyłanie danych), taki Podmiot będzie beneficjentem będącym osobą trzecią, zgodnie z artykułami 6.2 (Usunięcie po wygaśnięciu), 7.5 (Opinie i kontrola zgodności z przepisami), 9.1 (Odpowiedzi na prośby o przekazanie danych), 1. (1.) Transfer)1. W zakresie, w jakim artykuł 14 (Beneficjenci będący osobą trzecią) powoduje konflikt lub jest niezgodny z postanowieniami innych klauzul Umowy, zastosowanie będzie miał artykuł 14 (Beneficjenci będący osobami trzecimi).
15. Skutki tego Aneksu o przetwarzaniu danych
W razie jakichkolwiek sprzeczności lub niespójności między standardowymi klauzulami umownymi, Dodatkowymi warunkami europejskich przepisów o ochronie danych, tym Aneksem o przetwarzaniu danych a pozostałymi Umowami obowiązuje następująca hierarchia ważności:
(a) standardowych klauzul umownych;
(b) Dodatkowe warunki związane z Pozaeuropejskim ustawodawstwem dotyczącym ochrony danych;
(c) do końca obowiązywania tych Warunków przetwarzania danych oraz
(d) pozostała część Umowy.
Jeśli niniejsza Umowa (w tym dowolny Załącznik) zostanie przetłumaczona na dowolny język, a przetłumaczony tekst będzie w konflikcie lub niespójny z tekstem w języku angielskim, obowiązywać będzie tekst w języku angielskim.
Z zastrzeżeniem zmian zawartych w tym Aneksie o przetwarzaniu danych Umowa pozostaje w mocy.
16. Zmiany w tym Aneksie o przetwarzaniu danych
16.1. Zmiany adresów URL. Od czasu do czasu Jibe może zmieniać dowolne adresy URL wymienione w tym Aneksie o przetwarzaniu danych oraz treści znajdujące się pod dowolnym adresem URL, z wyjątkiem Jibe może zmieniać standardowe klauzule umowne tylko zgodnie z sekcjami 16.2(b) – 16.2(d) (Zmiany w Zasadach przetwarzania danych) lub włączyć w tym przypadku zapisy w standardowych zapisach europejskiego wykorzystania tych danych w trybie Standard.
16.2. Zmiany w Zasadach przetwarzania danych. Jibe może zmienić ten Aneks o przetwarzaniu danych, jeśli zmiana:
(a) jest wyraźnie dozwolony w tym Aneksie o przetwarzaniu danych, w tym w sposób opisany w artykule 16.1 (Zmiany w adresach URL);
(b) odzwierciedla zmianę nazwy lub formy podmiotu prawnego;
(c) jest niezbędna do spełnienia wymagań obowiązujących przepisów, orzeczeń sądowych lub wytycznych wydanych przez państwowy urząd bądź agencję regulacyjną albo
(d) jego lub innych osób, m
16.3. Powiadomienie o zmianach. Jeśli Jibe zamierza zmienić ten Aneks o przetwarzaniu danych na mocy sekcji 16.2(c) lub (d), Jibe poinformuje firmę o tym z co najmniej 30-dniowym wyprzedzeniem (lub w krótszym czasie wymaganym na zapewnienie zgodności z obowiązującym prawem, orzeczeniem sądowym lub orzeczeniem sądowym wydanym przez państwowy urząd bądź agencję regulacyjną) za pomocą: (a) wysłania Firmie e-maila z powiadomieniem na adres e-mail do powiadomienia lub W przypadku sprzeciwu wobec tej zmiany Firma może ją wypowiedzieć na piśmie, powiadamiając Jibe w ciągu 90 dni od otrzymania powiadomienia o takiej zmianie.
Załącznik 1: temat i szczegóły przetwarzania danych
Temat
Świadczenie przez firmę Jibe usług Podmiotu przetwarzającego oraz wszelkie powiązane wsparcie techniczne dla Firmy.
Czas przetwarzania
Okres obowiązywania oraz okres od jego wygaśnięcia do usunięcia wszystkich Danych osobowych firmy przez Jibe zgodnie z niniejszym Aneksem o przetwarzaniu danych.
Przyroda i cel przetwarzania
Jibe będzie przetwarzać Dane osobowe Firmy w celu świadczenia Usług Podmiotu przetwarzającego dane i wszelkich związanych z nimi pomocy technicznej zgodnie z niniejszym Aneksem o przetwarzaniu danych (w odpowiednich przypadkach dotyczących Usług Podmiotu przetwarzającego oraz instrukcji opisanych w artykule 5.2 (Instrukcje dla firmy), gromadzenia, nagrywania, porządkowania, przechowywania, modyfikowania, pobierania, używania, ujawniania, kasowania i niszczenia Danych przez Firmę.
Rodzaje danych osobowych
Dane osobowe osób fizycznych, które zostały przekazane Jibe za pomocą Usług przetwarzania, przez firmę (lub na jej polecenie) przez użytkowników lub przez użytkowników końcowych firmy.
Kategorie osób, których dotyczą dane
Podmiotami danych są osoby, którym dane Jibe zostały przekazane przez Usługi przetwarzania przez firmę (lub na jej polecenie) przez użytkowników albo od użytkowników końcowych firmy.
Załącznik 2: Zabezpieczenia
Od daty wejścia w życie Warunków Jibe wdroży i zapewni środki dotyczące bezpieczeństwa wymienione w tym Załączniku 2. Jibe może okresowo aktualizować lub modyfikować tego typu zabezpieczenia, pod warunkiem, że takie aktualizacje i zmiany nie spowodują pogorszenia ogólnego bezpieczeństwa Usług Podmiotu przetwarzającego.
1. Centrum danych i bezpieczeństwo sieci
(a) Centra danych.
Infrastruktura. Jibe zajmuje się centrami danych rozproszonymi geograficznie. Jibe przechowuje wszystkie dane produkcyjne w bezpiecznych centrach danych.
Nadmiarowość Systemy infrastruktury zostały zaprojektowane tak, aby wyeliminować pojedyncze punkty awarii i minimalizować wpływ przewidywanych zagrożeń dla środowiska. Nadmiarowość zapewnia 2 obwody, przełączniki, sieci lub inne niezbędne urządzenia. Usługi związane z przetwarzaniem danych pozwalają Jibe bezproblemowo wykonywać określone działania zapobiegawcze i korygujące. Wszystkie wyposażenie i sprzęt środowiskowy mają udokumentowane procedury konserwacyjne, które opisują szczegóły dotyczące procesu i częstotliwości wydajności zgodnie ze specyfikacją wewnętrzną lub producenta. Konserwacja sprzętu prewencyjnego i korygującego jest zaplanowana w ramach standardowego procesu zgodnie z udokumentowanymi procedurami.
Zasilanie. Systemy elektryczne centrum danych zostały zaprojektowane z myślą o nadmiarowości i utrzymaniu się bez wpływu na ciągłe działanie, przez 24 godziny na dobę i 7 dni w tygodniu. W większości przypadków w centrach danych udostępniane są podstawowe i alternatywne źródła zasilania, z których każdy ma taką samą pojemność. Zapasowa energia jest dostarczana przez różne mechanizmy, takie jak akumulatory zasilające (UPS), które zapewniają niezawodną ochronę w przypadku przerw w użyciu, przerw w zasilaniu, napięcia, stanu zasilania, częstotliwości częstotliwości nietolerancji. W przypadku przerw w zasilaniu sieci zasilającej jest z myślą o zapewnianiu zasilania zasilania centrum danych w pełnej pojemności przez maksymalnie 10 minut, aż systemy generatorów Diesla zaczną obowiązywać. Generatory diesla mogą się uruchamiać automatycznie w ciągu kilku sekund, co pozwala zapewnić wystarczającą ilość energii elektrycznej do pełnego naładowania centrum danych w ciągu kilku dni.
Systemy operacyjne serwerów. Serwery Jibe korzystają ze wzmocnionych systemów operacyjnych, które są dostosowane do specyficznych dla firmy potrzeb serwerów. Dane są przechowywane przy użyciu zastrzeżonych algorytmów, aby zwiększyć bezpieczeństwo i nadmiarowość. Firma Jibe stosuje proces weryfikacji kodu, aby zwiększyć bezpieczeństwo kodu służącego do świadczenia usług procesora i ulepszyć usługi zabezpieczeń w środowiskach produkcyjnych.
Ciągłość działania. Jibe replikuje dane z wielu systemów, aby chronić je przed przypadkowym zniszczeniem lub utratą. Jibe opracował i regularnie planuje i testuje swoje plany dotyczące ciągłości działania/odzyskiwania awaryjnego.
(b) Sieci i transmisja.
Transmisja danych. Centra danych są zazwyczaj połączone za pomocą szybkich linków prywatnych, aby zapewnić szybkie i bezpieczne przesyłanie danych między centrami danych. Ma to na celu zapobieganie odczytywaniu, kopiowaniu, zmienianiu lub usuwaniu danych bez upoważnienia w trakcie przesyłania plików elektronicznych bądź transportu bądź zapisu ich na nośniku danych. Jibe przesyła dane przez standardowe protokoły internetowe.
Zewnętrzny atak. Aby chronić zewnętrzną przestrzeń ataku, zespół Jibe wykorzystuje wiele warstw urządzeń sieciowych i system wykrywania włamań. Jibe rozważa potencjalne wektory ataku i wykorzystujemy odpowiednie technologie wbudowane w zewnętrzne systemy.
Wykrywanie włamań. Wykrywanie prób włamań ma na celu analizowanie działań związanych z atakami i zapewnianie informacji wystarczających do reagowania na incydenty. Wykrywanie włamań z wykorzystaniem Jibe obejmuje:
Ścisła kontrola rozmiaru i struktury ataku atakującego Jibe za pomocą środków zapobiegawczych.
stosowanie inteligentnych mechanizmów wykrywania w punktach wejścia danych;
Stosujemy technologie, które automatycznie eliminują niektóre niebezpieczne sytuacje.
Reagowanie na incydenty. Jibe monitoruje różne kanały komunikacji pod kątem incydentów bezpieczeństwa, a personel bezpieczeństwa Jibe szybko reaguje na znane incydenty.
Technologie szyfrowania. Jibe udostępnia szyfrowanie HTTPS (nazywane też połączeniem SSL lub TLS). Serwery Jibe obsługują efemeryczne krzywe eliptyczne Wymiana kluczy kryptograficznych Diffie Hellman podpisane kluczami RSA i ECDSA. Te doskonałe metody utajnienia przekazywania (PFS) pomagają chronić ruch i minimalizować wpływ przejętego klucza lub przełomu kryptograficznego.
2. Ustawienia dostępu i witryny
(a) Ustawienia witryny.
Operacja zabezpieczająca centrum danych na miejscu. Centra danych Jibe dbają o bezpieczeństwo danych na miejscu i zajmują się wszystkimi funkcjami bezpieczeństwa w fizycznych centrach danych przez całą dobę, 7 dni w tygodniu. Personel ds. bezpieczeństwa na miejscu monitoruje kamery monitoringu „CCTV” i wszystkie systemy alarmowe. Personel operacyjny ds. bezpieczeństwa znajdujący się na miejscu regularnie pilnuje wewnętrznych i zewnętrznych patrolów centrum danych.
Procedury dostępu do Centrum danych. Jibe obsługuje formalne procedury dostępu do centrów danych. Centra danych znajdują się w obiektach wymagających dostępu do karty elektronicznej za pomocą klucza oraz alarmów powiązanych z operacjami bezpieczeństwa znajdującymi się na miejscu. Wszyscy uczestnicy centrum danych muszą potwierdzić swoją tożsamość i przedstawić dowód tożsamości na miejscu. Tylko upoważnieni pracownicy, wykonawcy i goście mogą wchodzić do centrów danych. Tylko upoważnieni pracownicy i wykonawcy mogą prosić o dostęp do kluczy elektronicznych z użyciem karty elektronicznej. Prośby o dostęp do kluczy elektronicznych kart danych należy składać z wyprzedzeniem i pisemnie oraz wymagać zatwierdzenia menedżera zgłaszającego prośbę i dyrektora centrum danych. Wszyscy inni uczestnicy wymagający tymczasowego dostępu do centrum danych muszą: (i) uzyskać wcześniej zgodę menedżerów centrum danych na korzystanie z konkretnego centrum danych i wewnętrznych obszarów, które chcą odwiedzić; (ii) zalogować się w placówkach bezpieczeństwa na miejscu; oraz (iii) podać odniesienie do zatwierdzonego rekordu dostępu do danych, w którym osoba fizyczna jest uznana za zatwierdzoną.
Urządzenia na terenie centrum danych. Centra danych Jibe korzystają z elektronicznego kluczyka i systemu kontroli dostępu biometrycznego połączonego z alarmem systemu. System kontroli dostępu monitoruje i rejestruje elektroniczny klucz każdej karty oraz kiedy uzyskuje dostęp do drzwi granicznych, dostawy i odbioru oraz innych ważnych obszarów. Nieautoryzowane działania i nieudane próby dostępu są rejestrowane przez system kontroli dostępu i w razie potrzeby analizowane. Autoryzowany dostęp w operacjach biznesowych i centrach danych jest ograniczony ze względu na strefy i obowiązki osoby fizycznej. Drzwi przeciwpożarowe w centrach danych są alarmowane. Kamery CCTV działają zarówno wewnątrz centrów danych, jak i poza nimi. Pozycja kamer została zaprojektowana tak, aby obejmować obszary strategiczne, w tym m.in. obwód, drzwi do centrum danych oraz dostawę/odbieranie. Personel ds. bezpieczeństwa działający na miejscu zarządza sprzętem do monitoringu, nagrywaniem i kontrolą. Bezpieczne kable w centrach danych łączą sprzęt CCTV. Aparaty nagrywają u klienta na miejscu przez całą dobę, 7 dni w tygodniu. Dane aktywności są przechowywane przez co najmniej 7 dni na podstawie aktywności.
(b) Kontrola dostępu.
Personel ds. bezpieczeństwa infrastruktury. Firma Jibe dysponuje zasadami dotyczącymi bezpieczeństwa i utrzymuje je w firmie, a także w ramach pakietu szkoleniowego przeznaczonego dla pracowników. Osoby odpowiedzialne za bezpieczeństwo infrastruktury w Jibe są odpowiedzialne za stałe monitorowanie infrastruktury zabezpieczeń Jibe, weryfikację usług procesorów i reagowanie na incydenty związane z bezpieczeństwem.
Kontrola dostępu i zarządzanie uprawnieniami. Administratorzy i użytkownicy firmowi muszą uwierzytelnić się za pomocą centralnego systemu uwierzytelniania lub za pomocą systemu logowania jednokrotnego, aby móc korzystać z usług procesora.
Procesy i zasady dostępu do danych – zasady dostępu. Wewnętrzne zasady i metody dostępu do danych w Jibe zapobiegają nieupoważnionym osobom i systemom, które mają dostęp do systemów używanych do przetwarzania danych osobowych. Jibe projektuje swoje systemy tak, aby: (i) zezwalać upoważnionym osobom na dostęp do danych, do których ma uprawnienia dostępu, oraz (ii) zagwarantować, że dane osobowe nie mogą być odczytywane, kopiowane, zmieniane ani usuwane bez zezwolenia podczas przetwarzania, użytkowania i nagrywania. Systemy zostały zaprojektowane w taki sposób, aby wykrywać właściwy dostęp. Jibe stosuje scentralizowany system zarządzania dostępem do kontrolowania dostępu pracowników do serwerów produkcyjnych i zapewnia dostęp tylko do ograniczonej liczby autoryzowanych pracowników. Protokół LDAP, Kerberos i zastrzeżony system wykorzystujący certyfikaty SSH zostały zaprojektowane, aby zapewnić Jibe bezpieczne i elastyczne mechanizmy dostępu. Mechanizmy te umożliwiają przydzielanie tylko zatwierdzonych uprawnień dostępu do hostów witryn, dzienników, danych i informacji o konfiguracji. Jibe wymaga używania unikalnych identyfikatorów użytkowników, silnych haseł, uwierzytelniania dwuskładnikowego i uważnego monitorowania list dostępu w celu ograniczenia potencjału nieuprawnionego użycia konta. Przyznawanie lub modyfikowanie uprawnień dostępu zależy od obowiązków wykwalifikowanego personelu, wymagań dotyczących obowiązków zawodowych oraz niezbędnych uprawnień do wykonywania zadań. Przyznawanie lub modyfikowanie uprawnień dostępu musi być również zgodne z wewnętrznymi zasadami i szkoleniem Jibe. Zatwierdzeniami zarządzają narzędzia do przepływu pracy, które rejestrują wszystkie zmiany w rejestrach. Dostęp do systemów jest logowany na potrzeby utworzenia ścieżki kontroli dla odpowiedzialności. W przypadku haseł używanych do uwierzytelniania (np. logowania się do stacji roboczych) wdrażane są zasady dotyczące haseł zgodne z co najmniej standardowymi standardami branżowymi. Te standardy obejmują ograniczenia ponownego użycia haseł i wystarczającą ich siłę.
3. Dane
(a) Przechowywanie, izolacja i uwierzytelnianie.
Jibe przechowuje dane w środowisku wielu najemców na serwerach należących do Jibe. Dane, baza danych usług procesora i architektura systemu są replikowane w wielu centrach danych rozproszonych geograficznie. Jibe logicznie izoluje dane każdego klienta. Centralny system uwierzytelniania jest używany we wszystkich usługach procesora, aby zwiększyć jednolite bezpieczeństwo danych.
(b) Wskazówki dotyczące wycofanych dysków i ich zniszczenia
Niektóre dyski zawierające dane mogą mieć problemy z wydajnością, błędy lub awarie sprzętu, które prowadzą do ich wyłączenia („Wycofany dysk”). Każdy dysk zamknięty podlega szeregowi procesów niszczenia danych („Wskazówki dotyczące niszczenia danych”) przed opuszczeniem lokalizacji Jibe w celu ponownego użycia lub zniszczenia. Wykluczone dyski zostały usunięte w ramach wieloetapowego procesu, a co najmniej dwa niezależne walidatory zostały zweryfikowane. Wyniki wymazywania są rejestrowane na podstawie numeru seryjnego wycofanego dysku w celu śledzenia. Na koniec usunięty dysk usunięty zostanie udostępniony do zasobów reklamowych w celu ponownego użycia i ponownego wdrożenia. Jeśli ze względu na awarię sprzętu nie można wymazać dysku, można go bezpiecznie przechowywać do czasu jego zniszczenia. Każda instytucja jest regularnie weryfikowana pod kątem zgodności z wytycznymi dotyczącymi niszczenia danych.
4. Bezpieczeństwo pracowników
Pracownicy Jibe muszą zachowywać się w sposób zgodny z wytycznymi firmy dotyczącymi poufności, etyki w firmie, odpowiedniego użytkowania i standardów zawodowych. Jibe przeprowadza w odpowiednim zakresie odpowiednie sprawdzenia przeszłości w zakresie dozwolonym przez prawo oraz zgodnie z obowiązującymi lokalnymi przepisami prawa pracy i przepisami ustawowymi.
Personel jest zobowiązany do zawarcia umowy o zachowaniu poufności i musi potwierdzić zapoznanie się z polityką prywatności Jibe oraz przestrzeganiem tych zasad. Personel jest przeszkolony w zakresie bezpieczeństwa. Obsługiwanie danych osobowych przez pracowników jest wymagane w celu spełnienia dodatkowych wymagań odpowiednich do ich roli. Pracownicy Jibe nie będą przetwarzać Danych osobowych Firmy bez zgody
5. Zabezpieczenia podmiotu przetwarzającego dane osobowe
Przed wprowadzeniem podmiotów przetwarzających dane osobowe firma Jibe przeprowadza kontrolę zabezpieczeń i prywatności podmiotów przetwarzających dane, aby zagwarantować odpowiedni poziom ochrony i prywatność danych w zakresie dostępu do danych oraz zakresu oferowanych usług. Po ocenie ryzyka związanego z podmiotem przetwarzającym dane zgodnie z wymaganiami opisanymi w artykule 11.3 (Wymagania dotyczące zaangażowania podwykonawcy podmiotu przetwarzającego dane osobowe) podwykonawca musi podpisać odpowiednie umowy dotyczące bezpieczeństwa, poufności i prywatności.
Załącznik 3: Dodatkowe warunki związane z europejskim ustawodawstwem dotyczącym ochrony danych
Te Dodatkowe warunki związane z Pozaeuropejskim ustawodawstwem dotyczącym ochrony danych stanowią uzupełnienie tych Zasad przetwarzania danych:
- Aneks do dostawcy usług CCPA na stronie privacy.google.com/businesses/gdprprocessorterms/ccpa (z 27 sierpnia 2020 r.)
- Aneks dotyczący ustawy LGPD na stronie privacy.google.com/businesses/gdprprocessorrterms/lgpd (z 27 sierpnia 2020 r.)
Zasady przetwarzania danych w Jibe, wersja 2.0
27 sierpnia 2020 r.