Załącznik dotyczący przetwarzania danych

Ostatnia zmiana: 8 sierpnia 2023 r. | Wcześniejsze wersje

Jibe i strony zawierające niniejszy aneks („Partner”) zawarły umowę na świadczenie Usług Procesora (wraz z wprowadzanymi okresowo zmianami „Umowa”).

Ten Aneks dotyczący przetwarzania danych (wraz z załącznikami, „Aneksem dotyczącym przetwarzania danych”) został zawarty przez Jibe i Partnera i stanowi uzupełnienie Umowy. Aneks o przetwarzaniu danych wejdzie w życie z dniem stanowiącym Datę wejścia Aneksu w życie i zastąpi wszelkie obowiązujące wcześniej warunki związane z ich przedmiotem (w tym warunki przetwarzania danych i zabezpieczeń związane z usługami podmiotu przetwarzającego) od Daty wejścia Aneksu w życie.

Jeśli Użytkownik akceptuje ten Aneks dotyczący przetwarzania danych w imieniu Partnera, zapewnia, że: (a) jest w pełni uprawniony do podjęcia w imieniu Partnera zobowiązań wynikających z tego Aneksu, (b) zapoznał się z treścią tego Aneksu i ją zrozumiał oraz (c) w imieniu Partnera akceptuje postanowienia tego Aneksu. Jeśli nie masz pełnomocnictwa do zaciągania zobowiązań w imieniu Partnera, nie akceptuj tego aneksu do umowy o przetwarzaniu danych.

1. Wprowadzenie

Ten Aneks dotyczący przetwarzania danych odzwierciedla postanowienia umowy między stronami dotyczące przetwarzania i zabezpieczania określonych danych w związku z europejskim ustawodawstwem dotyczącym ochrony danych oraz pozaeuropejskim ustawodawstwem dotyczącym ochrony danych.

2. Definicje i ich interpretacja

2.1 W tym Aneksie dotyczącym przetwarzania danych:

Usługa dodatkowa” oznacza produkt, usługę lub aplikację udostępniane przez Jibe lub osobę trzecią, które: (a) nie wchodzą w skład Usług Podmiotu przetwarzającego; oraz (b) są dostępne do korzystania w interfejsie Usług Podmiotu przetwarzającego lub są w inny sposób zintegrowane z Usługami Podmiotu przetwarzającego.

Dodatkowe warunki związane z pozaeuropejskim ustawodawstwem dotyczącym ochrony danych” to dodatkowe warunki wymienione w Dodatku 3, które odzwierciedlają postanowienia umowy między stronami dotyczące przetwarzania określonych danych w związku z określonymi przepisami pozaeuropejskiego ustawodawstwa dotyczącego ochrony danych.

Kraj o odpowiednim stopniu ochrony” to:

(a) w przypadku danych przetwarzanych zgodnie z RODO (UE): EOG albo kraj lub region uznany za zapewniający odpowiednią ochronę danych w ramach RODO (UE);

(b) w przypadku danych przetwarzanych zgodnie z RODO (Wielka Brytania): Wielka Brytania albo kraj lub region uznany za zapewniający odpowiednią ochronę danych w ramach RODO (Wielka Brytania) i Ustawy o ochronie danych osobowych z 2018 r. lub

(c) w przypadku danych przetwarzanych zgodnie ze szwajcarską federalną ustawą o ochronie danych: Szwajcaria albo kraj lub region (i) znajdujący się na liście państw, których przepisy zapewniają odpowiedni poziom ochrony, opublikowanej przez szwajcarskiego federalnego komisarza ds. ochrony danych i informacji lub (ii) uznany przez szwajcarską Radę Federalną za zapewniający odpowiednią ochronę danych na podstawie szwajcarskiej federalnej ustawy o ochronie danych, w każdym przypadku inny niż na podstawie opcjonalnych ram ochrony danych.

Alternatywne rozwiązanie w zakresie przesyłania danych” to rozwiązanie inne niż standardowe klauzule umowne, które umożliwia legalne przekazywanie danych osobowych do kraju trzeciego zgodnie z Europejskim ustawodawstwem dotyczącym ochrony danych, na przykład ramy ochrony danych uznane za zapewniające odpowiednią ochronę przez uczestniczące podmioty lokalne.

Naruszenie ochrony danych” oznacza naruszenie zabezpieczeń Jibe prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmiany, nieuprawnionego ujawnienia lub uzyskania dostępu do Danych osobowych Partnera w systemach zarządzanych przez Jibe lub w inny sposób kontrolowanych przez Jibe. „Naruszenia ochrony danych” nie obejmują nieudanych prób lub działań, które nie zagrażają bezpieczeństwu Danych osobowych Partnera, w tym nieudanych prób logowania, pingów, skanowania portów, ataków typu DoS i innych ataków sieciowych na zapory sieciowe lub systemy sieciowe.

Narzędzie dla osoby, której dotyczą dane” oznacza narzędzie (jeśli takie istnieje), udostępnione przez podmiot z grupy Jibe osobom, których dotyczą dane, które umożliwia Jibe bezpośrednie i ustandaryzowane odpowiadanie na określone żądania osób, których dotyczą dane, w odniesieniu do Danych osobowych partnera (np. ustawienia reklam online lub wtyczka do rezygnacji w przeglądarce).

EOG” to Europejski Obszar Gospodarczy.

RODO (UE)” to rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

Europejskie przepisy dotyczące ochrony danych” to, stosownie do przypadku: (a) RODO lub (b) szwajcarska federalna ustawa o ochronie danych.

Prawo europejskie” oznacza, stosownie do przypadku: (a) prawo UE lub państwa członkowskiego UE (jeżeli rozporządzenie RODO ma zastosowanie do przetwarzania Danych osobowych partnera) lub (b) prawo brytyjskie albo obowiązujące w części Wielkiej Brytanii (jeśli rozporządzenie RODO (Wielka Brytania) ma zastosowanie do przetwarzania Danych osobowych partnera).

RODO” oznacza, stosownie do przypadku: (a) RODO (UE) lub (b) RODO (Wielka Brytania).

Jibe” oznacza podmiot Jibe będący stroną Umowy.

Podmiot Jibe” to Jibe Mobile, Inc., Jibe Mobile Limited lub inny podmiot, który kontroluje bezpośrednio lub pośrednio, jest kontrolowany bezpośrednio lub pośrednio lub pozostaje pod wspólną kontrolą z Jibe Mobile, Inc.

Certyfikat ISO 27001” oznacza certyfikat ISO/IEC 27001:2013 lub porównywalny certyfikat usług procesora.

Nowy Podwykonawca podmiotu przetwarzającego dane osobowe” ma znaczenie określone w artykule 11.1 (Zgoda na zaangażowanie Podwykonawców podmiotu przetwarzającego dane osobowe).

Pozaeuropejskie przepisy dotyczące ochrony danych” to przepisy o ochronie danych i regulacje dotyczące prywatności obowiązujące poza Europejskim Obszarem Gospodarczym, Szwajcarią i Wielką Brytanią.

Adres e-mail do powiadomień” oznacza adres e-mail (jeśli dotyczy): (i) podany przez Partnera firmie Jibe lub (ii) wyznaczony przez Partnera za pomocą interfejsu użytkownika Usług Procesora lub za pomocą innych środków udostępnionych przez Jibe w celu otrzymywania określonych powiadomień od Jibe związanych z niniejszym Załącznikiem dotyczącym przetwarzania danych. Partner jest odpowiedzialny za podanie Jibe Adresu e-mail do powiadomień oraz za informowanie Jibe o wszelkich zmianach w Adresie e-mail do powiadomień.

Dane osobowe Partnera” to dane osobowe, które są przetwarzane przez Jibe w imieniu Partnera w ramach świadczenia Usług podmiotu przetwarzającego.

Standardowe klauzule umowne dotyczące partnera” oznacza standardowe klauzule umowne dotyczące administratora i podmiotu przetwarzającego, standardowe klauzule umowne dotyczące podmiotu przetwarzającego i administratora lub standardowe klauzule umowne dotyczące podmiotu przetwarzającego i podmiotu przetwarzającego (w stosownych przypadkach).

Usługi procesora” oznaczają usługi RCS Business Messaging (opisane na stronie developers.google.com/business-communications/rcs-business-messaging).

Standardowe klauzule umowne” oznaczają standardowe klauzule umowne dotyczące partnera lub standardowe klauzule umowne (podmiot przetwarzający do podmiotu przetwarzającego, Jibe Exporter), w odpowiednich przypadkach.

Standardowe klauzule umowne dotyczące administratorów i podmiotów przetwarzających dane (administrator–podmiot przetwarzający)” to warunki dostępne na stronie business.safety.google/gdprcontrollerterms/sccs/eu-c2p-dpa.

Standardowe klauzule umowne dotyczące procesora danych i administratora danych” to warunki dostępne na stronie business.safety.google/gdprprocessorterms/sccs/p2c.

Standardowe klauzule umowne dotyczące procesora (SCC)” to warunki dostępne na stronie business.safety.google/gdprprocessorterms/sccs/eu-p2p-dpa.

Standardowe klauzule umowne (procesor-procesor, eksporter Jibe)” to warunki podane na stronie business.safety.google/gdprprocessorterms/sccs/eu-p2p-intra-group.

Dokumentacja dotycząca bezpieczeństwa” oznacza certyfikat ISO 27001 i wszystkie inne certyfikaty bezpieczeństwa lub dokumentację, które Jibe może udostępnić w związku z usługami procesora.

Środki bezpieczeństwa” mają znaczenie podane w artykule 7.1.1 (Środki bezpieczeństwa Jibe).

Podwykonawcy podmiotu przetwarzającego dane osobowe” oznaczają osoby trzecie upoważnione na mocy tego Aneksu dotyczącego przetwarzania danych do uzyskiwania logicznego dostępu do Danych Osobowych Partnera i ich przetwarzania w celu świadczenia części Usług podmiotu przetwarzającego dane osobowe oraz wszelkich powiązanych usług wsparcia technicznego.

Organ nadzorczy” oznacza, stosownie do przypadku: (a) „organ nadzorczy” w rozumieniu RODO (UE) lub (b) „Komisarza” w rozumieniu RODO (Wielka Brytania) lub szwajcarskiej ustawy FDPA.

Szwajcarska federalna ustawa o ochronie danych” to federalna ustawa o ochronie danych z 19 czerwca 1992 r. (Szwajcaria).

Okres obowiązywania” oznacza okres od daty wejścia Warunków w życie do zakończenia świadczenia przez Jibe usług procesora na mocy Umowy.

Data wejścia warunków w życie” oznacza datę wejścia Umowy w życie.

RODO (Wielka Brytania)” oznacza RODO (UE) w formie zmienionej i włączonej do prawa brytyjskiego na mocy ustawy o wystąpieniu z Unii Europejskiej z 2018 roku oraz obowiązujące przepisy dodatkowe wydane na mocy tej ustawy.

2.2 Terminy „administrator”, „osoba, której dane dotyczą”, „dane osobowe”, „przetwarzanie” i „podmiot przetwarzający” użyte w tym Aneksie do Polityki przetwarzania danych mają znaczenie określone w RODO, a terminy „importer danych” i „eksporter danych” mają znaczenie określone w Standardowych klauzulach umownych.

2.3 Słowa „w tym” i „w tym” oznaczają „w tym między innymi”. Wszelkie przykłady podane w tym Aneksie dotyczącym przetwarzania danych mają charakter poglądowy i nie stanowią jedynych przykładów poszczególnych koncepcji.

2.4 Wszelkie odniesienia do ram prawnych, ustaw lub innych aktów prawnych odwołują się do ich postaci wraz z wprowadzanymi w nich co pewien czas zmianami w ramach nowelizacji.

2.5 Jeśli przetłumaczona wersja tego Aneksu do Polityki przetwarzania danych jest niezgodna z wersją angielską, obowiązuje wersja angielska.

3. Okres obowiązywania tego aneksu dotyczącego przetwarzania danych

Ten Aneks do przetwarzania danych wejdzie w życie z dniem stanowiącym Datę wejścia Warunków w życie i niezależnie od tego, czy Okres obowiązywania wygasł, pozostanie w mocy do czasu usunięcia przez Jibe wszystkich Danych osobowych Partnera zgodnie z opisem w tym Aneksie do przetwarzania danych i wygaśnie automatycznie wraz z tym usunięciem.

4. Stosowanie tego aneksu o przetwarzaniu danych

4.1 Zakres obowiązywania europejskich przepisów o ochronie danych. Sekcje 5 (Przetwarzanie danych) do 12 (kontaktowanie się z Jibe; przetwarzanie rekordów) (łącznie) będą miały zastosowanie tylko w zakresie, w jakim Europejskie przepisy dotyczące ochrony danych obowiązują w przypadku przetwarzania Danych osobowych Partnera, w tym jeśli:

(a) przetwarzanie odbywa się w ramach działalności jednostki organizacyjnej partnera mającej siedzibę na terytorium EOG lub Wielkiej Brytanii; lub

(b) dane osobowe partnera to dane osobowe osób, których dane dotyczą, znajdujących się na terytorium EOG lub Wielkiej Brytanii, a przetwarzanie dotyczy oferowania takim osobom towarów lub usług albo monitorowania ich zachowania na terytorium EOG lub Wielkiej Brytanii.

4.2 Zgłoszenie do usług podmiotu przetwarzającego dane. Ten Aneks dotyczący przetwarzania danych ma zastosowanie tylko do Usług procesora, w przypadku których strony zgodziły się na ten Aneks dotyczący przetwarzania danych (np. (a) Usługi procesora, w przypadku których Partner kliknął, aby zaakceptować ten Aneks dotyczący przetwarzania danych; lub (b) jeśli umowa włącza przez odniesienie ten Aneks dotyczący przetwarzania danych, Usługi procesora, które są przedmiotem Umowy).

4.3 Włączenie dodatkowych warunków związanych z pozaeuropejskim ustawodawstwem dotyczącym ochrony danych. Dodatkowe warunki związane z Pozaeuropejskim ustawodawstwem dotyczącym ochrony danych stanowią uzupełnienie tego Załącznika dotyczącego przetwarzania danych.

5. Przetwarzanie danych

5.1 Role i zgodność z przepisami; upoważnienie.

5.1.1 Obowiązki podmiotów przetwarzających i administratorów. Strony przyjmują do wiadomości i zgadzają się, że:

(a) Dodatek 1 opisuje przedmiot i szczegóły przetwarzania Danych osobowych Partnera;

(b) Jibe jest podmiotem przetwarzającym Dane osobowe Partnera na mocy Europejskiego ustawodawstwa dotyczącego ochrony danych;

(c) Partner jest administratorem lub podmiotem przetwarzającym (w stosownych przypadkach) w odniesieniu do Danych osobowych Partnera zgodnie z Europejskim ustawodawstwem dotyczącym ochrony danych;

(d) każda ze stron będzie się wywiązywać z obowiązków nakładanych na nią przez Europejskie ustawodawstwo dotyczące ochrony danych w odniesieniu do przetwarzania Danych osobowych Partnera.

5.1.2 Partnerzy będący podmiotami przetwarzającymi. Jeśli partner jest podmiotem przetwarzającym:

(a) Partner na bieżąco zapewnia, że odpowiedni administrator zatwierdził: (i) instrukcje, (ii) wyznaczenie Jibe przez Partnera jako innego podmiotu przetwarzającego dane oraz (iii) zaangażowanie przez Jibe Podwykonawców podmiotu przetwarzającego dane osobowe zgodnie z artykułem 11 (Podwykonawcy podmiotu przetwarzającego dane osobowe);

(b) Partner niezwłocznie przekaże odpowiedniemu administratorowi wszelkie powiadomienia otrzymane od Jibe na mocy artykułów 5.4 (Powiadomienia o instrukcjach), 7.2.1 (Powiadomienia o incydentach), 11.4 (Możliwość wyrażenia sprzeciwu wobec zmian dotyczących podwykonawców) lub odnoszące się do jakichkolwiek standardowych klauzul umownych; oraz

(c) Partner może udostępnić odpowiedniemu administratorowi wszelkie informacje udostępniane przez Jibe na mocy artykułów 7.4 (Certyfikat bezpieczeństwa), 10.5 (Informacje o centrum danych) i 11.2 (Informacje o podwykonawcach).

5.2 Instrukcje partnera. Podpisując niniejszy Aneks o przetwarzaniu danych, Partner zleca Jibe przetwarzanie Danych Osobowych Partnera wyłącznie zgodnie z obowiązującymi przepisami: (a) w celu świadczenia Usług Procesora i powiązanego z nimi wsparcia technicznego; (b) w sposób określony przez Partnera w ramach korzystania z Usług Procesora (w tym w ustawieniach i innych funkcjach Usług Procesora) oraz w związku z powiązanym z nimi wsparciem technicznym; (c) w sposób określony w Umowie, w tym w tym Aneksie o przetwarzaniu danych; oraz (d) w sposób określony w innych pisemnych instrukcjach wydanych przez Partnera i zaakceptowanych przez Jibe jako stanowiące instrukcje na potrzeby niniejszego Aneksu o przetwarzaniu danych (zbiorczo „Instrukcje”).

5.3 Zgodność Jibe z instrukcjami. Jibe będzie przestrzegać Instrukcji, chyba że jest to zabronione przez europejskie przepisy.

5.4. Powiadomienia o instrukcjach. Jibe niezwłocznie powiadomi Partnera, jeśli w jego opinii: (a) europejskie przepisy zabraniają Jibe przestrzegania Instrukcji; (b) Instrukcja jest niezgodna z europejskimi przepisami o ochronie danych; lub (c) Jibe nie jest w inny sposób w stanie przestrzegać Instrukcji, chyba że takie powiadomienie jest zabronione przez europejskie przepisy. Ten artykuł 5.4 (Powiadomienia o instrukcjach) nie ogranicza praw ani zobowiązań żadnej ze stron zawartych w Umowie.

5.5 Usługi dodatkowe. Jeśli Partner korzysta z jakiegokolwiek Usługi dodatkowej, Usługi procesora mogą zezwolić tej Usługi dodatkowej na dostęp do danych osobowych Partnera w zakresie wymaganym do interakcji Usługi dodatkowej z Usługami procesora. W razie potrzeby strony zawrą odrębne warunki przetwarzania danych, aby określić, jak Usługa dodatkowa będzie przetwarzać Dane osobowe Partnera.

6. Usunięcie danych

6.1 Usunięcie w trakcie Okresu obowiązywania.

6.1.1 Usługi podmiotu przetwarzającego z funkcją usuwania. W trakcie Okresu, jeśli:

(a) funkcjonalność usług podmiotu przetwarzającego dane obejmuje możliwość usunięcia danych osobowych partnera;

(b) Partner korzysta z usług Procesora, aby usunąć określone Dane osobowe Partnera;

(c) Partner nie może odzyskać usuniętych danych osobowych (na przykład z kosza), Jibe usunie takie dane osobowe z swoich systemów tak szybko, jak to jest praktycznie możliwe, chyba że prawo europejskie wymaga ich przechowywania.

6.1.2 Usługi podmiotu przetwarzającego bez funkcji usuwania. W okresie obowiązywania Umowy, jeśli funkcjonalność usług procesora nie obejmuje opcji umożliwiającej Partnerowi usunięcie danych osobowych Partnera, Jibe będzie spełniać wszelkie uzasadnione żądania Partnera dotyczące ułatwienia takiego usunięcia, o ile jest to możliwe z uwagi na charakter i funkcjonalność usług procesora oraz o ile nie wymagają tego przepisy europejskie. Jibe może pobierać opłatę (na podstawie uzasadnionych kosztów Jibe) za usunięcie danych na mocy tego artykułu 6.1.2 (Usługi procesora bez funkcji usuwania). Przed usunięciem danych Jibe przekaże Partnerowi dodatkowe informacje na temat wszelkich obowiązujących opłat oraz podstaw ich obliczenia.

6.2 Usuwanie po zakończeniu Okresu obowiązywania. Po zakończeniu Okresu obowiązywania Partner zleca Jibe usunięcie wszystkich Danych osobowych Partnera (w tym ich kopii) z systemów Jibe zgodnie z obowiązującymi przepisami. Jibe wykona to polecenie w najszybszym możliwym terminie nie dłuższym niż maksymalny okres 180 dni, chyba że przechowywania danych wymagają przepisy europejskie.

7. Bezpieczeństwo danych

7.1 Zabezpieczenia i pomoc Jibe.

7.1.1 Zabezpieczenia Jibe. Jibe wdroży i będzie utrzymywać środki techniczne oraz organizacyjne w celu ochrony danych osobowych partnera przed przypadkowym lub niezgodnym z prawem zniszczeniem, utratą, zmianą, nieuprawnionym ujawnieniem lub dostępem, jak to opisano w załączniku 2 („Zabezpieczenia”). Jak opisano w Załączniku 2, środki bezpieczeństwa obejmują: (a) szyfrowanie danych osobowych, (b) zapewnianie nieprzerwanej poufności, integralności, dostępności i odporności systemów i usług Jibe, (c) szybkie przywracanie dostępu do danych osobowych po naruszeniu oraz (d) regularne testowanie skuteczności. Jibe może co jakiś czas aktualizować lub modyfikować Środki bezpieczeństwa, pod warunkiem że takie aktualizacje i zmiany nie spowodują pogorszenia ogólnego bezpieczeństwa Usług Procesora.

7.1.2 Dostęp i zgodność z zasadami. Jibe: (a) upoważni swoich pracowników, kontrahentów i Podwykonawców podmiotu przetwarzającego dane osobowe do uzyskiwania dostępu do Danych osobowych Partnera wyłącznie w zakresie ściśle niezbędnym do wykonywania Poleceń; (b) podejmie odpowiednie działania, aby zapewnić przestrzeganie Zabezpieczeń przez swoich pracowników, kontrahentów i Podwykonawców podmiotu przetwarzającego dane osobowe w zakresie odpowiednim do zakresu ich działań; oraz (c) zadba o to, aby wszystkie osoby upoważnione do przetwarzania Danych osobowych Partnera zobowiązały się do zachowania poufności lub były objęte odpowiednimi przepisami ustawowymi w tym zakresie.

7.1.3 Pomoc Jibe w zakresie bezpieczeństwa. Biorąc pod uwagę charakter przetwarzania Danych osobowych partnera oraz informacje dostępne dla Jibe, Jibe pomoże partnerowi w zapewnieniu zgodności z obowiązkami partnera (lub – jeśli partner jest podmiotem przetwarzającym – obowiązkami odpowiedniego administratora) dotyczącymi bezpieczeństwa danych osobowych i naruszenia bezpieczeństwa danych osobowych, w tym obowiązkami partnera (lub – jeśli partner jest podmiotem przetwarzającym – obowiązkami odpowiedniego administratora) wynikającymi z artykułów 32–34 RODO, w szczególności:

(a) wdrożenie i utrzymywanie Zabezpieczeń zgodnie z artykułem 7.1.1 (Zabezpieczenia Jibe);

(b) przestrzeganie warunków artykułu 7.2 (Naruszenia ochrony danych);

(c) udostępnienie Dokumentacji zabezpieczeń zgodnie z artykułem 7.5.1 (Sprawdzanie Dokumentacji zabezpieczeń) i informacjami zawartymi w tym Aneksie dotyczącym przetwarzania danych.

7.2 Naruszenia ochrony danych.

7.2.1 Powiadomienie o naruszeniach. Jeśli firma Jibe dowie się o Naruszeniu ochrony danych, niezwłocznie powiadomi o tym Partnera i podejmie uzasadnione kroki, aby zminimalizować szkody i zabezpieczyć Dane osobowe Partnera.

7.2.2 Szczegółowe informacje o naruszeniu ochrony danych. Powiadomienia wysyłane na mocy artykułu 7.2.1 (Powiadomienie o incydencie) będą zawierać: charakter Naruszenia ochrony danych, w tym informacje o tym, które zasoby Partnera zostały naruszone; informacje o czynnościach podjętych przez Jibe lub planowanych w celu rozwiązania Naruszenia ochrony danych i ograniczenia potencjalnego ryzyka; informacje o czynnościach, które Jibe zaleca, aby Partner podjął w celu rozwiązania Naruszenia ochrony danych; oraz informacje o miejscu, w którym można uzyskać więcej informacji. Jeśli nie można dostarczyć wszystkich tych informacji w tym samym czasie, początkowe powiadomienie ze strony Jibe będzie zawierało dostępne w danym czasie informacje, a pozostałe informacje zostaną dostarczone niezwłocznie, gdy staną się dostępne.

7.2.3 Dostarczenie powiadomienia. Jibe przekaże powiadomienie o naruszeniu ochrony danych na adres e-mail do powiadomień lub, według własnego uznania (w tym, jeśli partner nie poda adresu e-mail do powiadomień), za pomocą innego bezpośredniego kanału komunikacji (np. przez telefon lub podczas osobistego spotkania). Partner ponosi wyłączną odpowiedzialność za podanie Adresu e-mail do powiadomień oraz za to, aby e-mail do powiadomień był aktualny i prawidłowy.

7.2.4 Powiadamianie osób trzecich. Partner ponosi wyłączną odpowiedzialność za przestrzeganie przepisów dotyczących powiadomień o Naruszeniu ochrony danych oraz za wypełnianie zobowiązań wobec osób trzecich dotyczących powiadomień związanych z Naruszeniem ochrony danych.

7.2.5 Brak przyjęcia odpowiedzialności przez Jibe. Powiadomienie o Naruszeniu ochrony danych zgodnie z tym artykułem 7.2 (Naruszenia ochrony danych) wysłane przez firmę Jibe lub udzielona przez nią odpowiedź na takie powiadomienie nie będą interpretowane jako potwierdzenie ze strony firmy Jibe, że ponosi ona jakąkolwiek odpowiedzialność w związku z Naruszeniem ochrony danych.

7.3 Obowiązki i ocena bezpieczeństwa partnera.

7.3.1 Obowiązki partnera dotyczące bezpieczeństwa. Partner zgadza się, że bez uszczerbku dla zobowiązań Jibe określonych w artykułach 7.1 (Środki bezpieczeństwa i pomoc Jibe) oraz 7.2 (Naruszenia ochrony danych):

(a) Partner jest odpowiedzialny za korzystanie z Usług Procesora, w tym:

(i) odpowiednie korzystanie z Usług Procesora w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do poziomu ryzyka dla Danych osobowych Partnera;

(ii) zabezpieczenie danych uwierzytelniających do konta oraz zabezpieczenie systemów i urządzeń, których Partner używa do uzyskiwania dostępu do Usług Procesora; oraz

(b) Firma Jibe nie jest zobowiązana do ochrony Danych osobowych Partnera, które Partner przechowuje poza systemami firmy Jibe i jej podwykonawców lub przenosi do takich systemów.

7.3.2 Ocena bezpieczeństwa partnera. Partner potwierdza, że Zasady bezpieczeństwa wdrożone i utrzymywane przez Jibe zgodnie z opisem w sekcji 7.1.1 (Zabezpieczenia Jibe) zapewniają poziom bezpieczeństwa odpowiedni do ryzyka związanego z danymi osobowymi Partnera, biorąc pod uwagę charakter, zakres, kontekst i cele przetwarzania danych osobowych Partnera; stan techniki; koszty wdrożenia; oraz zagrożenia dla osób fizycznych.

7.4 Certyfikat bezpieczeństwa. Aby ocenić i zapewnić ciągłą skuteczność Zabezpieczeń, Jibe będzie utrzymywać certyfikat ISO 27001 lub inne odpowiednie środki potwierdzające skuteczność Zabezpieczeń.

7.5 Weryfikacje i kontrole zgodności.

7.5.1 Sprawdzanie Dokumentacji zabezpieczeń. Aby wykazać, że Jibe wywiązuje się z obowiązków wynikających z tego Aneksu do Umowy o przetwarzaniu danych, udostępni Partnerowi Dokumentację bezpieczeństwa do sprawdzenia.

7.5.2 Prawa partnera do kontroli.

(a) Jibe zezwoli Partnerowi lub zewnętrznemu audytorowi wyznaczonemu przez Partnera na przeprowadzanie audytów (w tym inspekcji) w celu weryfikacji zgodności Jibe z obowiązkami wynikającymi z niniejszego Załącznika dotyczącego przetwarzania danych zgodnie z artykułem 7.5.3 (Dodatkowe warunki biznesowe dotyczące kontroli). Podczas kontroli firma Jibe udostępni wszystkie informacje niezbędne do wykazania, że zobowiązania są przestrzegane, oraz będzie współpracować przy przeprowadzaniu kontroli zgodnie z artykułem 7.4 (Certyfikat zgodności) i tym artykułem 7.5 (Weryfikacje i kontrole zgodności).

(b) Jeśli standardowe klauzule umowne obowiązują zgodnie z sekcją 10.2 (Ograniczone przesyłanie danych w Europie), Jibe zezwoli Partnerowi (lub zewnętrznemu audytorowi wyznaczonemu przez Partnera) na przeprowadzenie audytów zgodnie z opisem w obowiązujących standardowych klauzulach umownych i w ramach tych audytów udostępni wszystkie informacje wymagane przez te standardowe klauzule umowne zgodnie z sekcją 7.5.3 (Dodatkowe warunki biznesowe dotyczące kontroli).

(c) Partner może też przeprowadzić audyt w celu sprawdzenia, czy firma Jibe przestrzega swoich zobowiązań wynikających z tego Załącznika dotyczącego przetwarzania danych, przez sprawdzenie certyfikatów wydanych firmie Jibe przez zewnętrznych audytorów (np. certyfikatu ISO 27001).

7.5.3 Dodatkowe warunki biznesowe dotyczące kontroli.

(a) Partner prześle do Jibe żądanie przeprowadzenia kontroli zgodnie z artykułem 7.5.2(a) lub 7.5.2(b) zgodnie z opisem w sekcji 12.1 (Kontaktowanie się z Jibe).

(b) Po otrzymaniu przez Jibe wniosku zgodnie z artykułem 7.5.3(a) Jibe i Partner z wyprzedzeniem omówią i uzgodnią uzasadnioną datę rozpoczęcia, zakres i czas trwania każdej kontroli przeprowadzanej zgodnie z artykułem 7.5.2(a) lub 7.5.2(b) oraz odnoszące się do takiej kontroli opcje zabezpieczeń i poufności.

(c) Jibe może pobierać za każdą kontrolę przeprowadzoną na mocy artykułu 7.5.2 (a) lub 7.5.2(b) opłatę(wynikającą z uzasadnionych kosztów Jibe). Przed przeprowadzeniem takiej kontroli Jibe przekaże Partnerowi dodatkowe informacje na temat wszelkich obowiązujących opłat oraz podstaw ich obliczenia. Partner będzie odpowiedzialny za wszelkie opłaty pobierane przez zewnętrznego audytora za przeprowadzenie takiego audytu.

(d) Jibe może sprzeciwić się mianowaniu przez Partnera audytora zewnętrznego do przeprowadzenia kontroli na mocy artykułu 7.5.2(a) lub 7.5.2(b), jeśli audytor ten nie jest – według uzasadnionej opinii Jibe – odpowiednio wykwalifikowany lub niezależny, jest konkurentem Jibe lub jest w inny sposób ewidentnie nieodpowiedni. Każde takie zgłoszenie zastrzeżeń przez Jibe będzie wymagało od Partnera wyznaczenia innego audytora lub przeprowadzenia kontroli samodzielnie.

(e) Żadne z postanowień tego Załącznika dotyczącego przetwarzania danych nie wymaga od Jibe ujawniania informacji Partnerowi ani jego zewnętrznemu audytorowi ani zezwalania Partnerowi lub jego zewnętrznemu audytorowi na dostęp do:

(i) żadnych danych żadnego innego partnera ani klienta Podmiotu Jibe;

(ii) wewnętrznych informacji księgowych lub finansowych Podmiotu Jibe;

(iii) tajemnicy handlowej Podmiotu Jibe;

(iv) informacji, które według rozsądnego osądu Jibe mogą: (A) zagrozić bezpieczeństwu systemów lub pomieszczeń Podmiotu należącego do Jibe lub (B) spowodować, że Podmiot należący do Jibe naruszy swoje zobowiązania wynikające z europejskiego ustawodawstwa dotyczącego ochrony danych lub zobowiązania dotyczące bezpieczeństwa bądź prywatności wobec Partnera lub jakiejkolwiek osoby trzeciej; lub

(v) informacje, do których Partner lub jego zewnętrzny audytor chcą uzyskać dostęp z powodu niezwiązanego z rzetelnym wypełnianiem zobowiązań Partnera na mocy europejskich przepisów o ochronie danych.

8. Oceny wpływu i konsultacje

Biorąc pod uwagę charakter przetwarzania i informacje dostępne Jibe, firma ta pomoże Partnerowi w zapewnieniu zgodności z obowiązkami Partnera (lub – jeśli Partner jest podmiotem przetwarzającym – odpowiednich obowiązków administratora) w zakresie oceny skutków dla ochrony danych i wcześniejszych konsultacji, w tym (w odpowiednich przypadkach) obowiązków Partnera lub odpowiednich obowiązków administratora wynikających z artykułów 35 i 36 RODO, poprzez:

(a) dostarczanie Dokumentacji zabezpieczeń zgodnie z artykułem 7.5.1 (Sprawdzanie Dokumentacji zabezpieczeń);

(b) dostarczanie informacji zawartych w tym Aneksie dotyczącym przetwarzania danych; oraz

(c) udostępnianie lub przekazywanie w inny sposób, zgodnie ze standardowymi praktykami Jibe, innych materiałów związanych z charakterem Usług Podmiotu przetwarzającego i przetwarzania Danych osobowych Partnera (np. materiałów w Centrum pomocy).

9. Prawa osoby, której dotyczą dane

9.1 Odpowiedzi na żądania osób, których dotyczą dane. Jeśli Jibe otrzyma żądanie od osoby, której dotyczą dane, w odniesieniu do Danych osobowych Partnera, Partner upoważnia Jibe, a Jibe oświadcza, że:

(a) bezpośrednio odpowiedzieć na żądanie osoby, której dotyczą dane, zgodnie ze standardową funkcjonalnością Narzędzia dla osób, których dotyczą dane (jeśli żądanie zostało złożone za pomocą Narzędzia dla osób, których dotyczą dane); lub

(b) zaleci osobie, której dotyczą dane, aby przesłała żądanie do Partnera, a Partner będzie odpowiedzialny za udzielenie odpowiedzi na takie żądanie (jeśli nie zostało ono złożone za pomocą Narzędzia dla osób, których dotyczą dane).

9.2 Pomoc Jibe dotycząca żądań osób, których dotyczą dane Jibe będzie pomagać Partnerowi (lub – jeśli Partner jest podmiotem przetwarzającym – odpowiedniemu administratorowi) w wypełnianiu obowiązków wynikających z RODO w zakresie odpowiadania na żądania osób, których dotyczą dane, w odniesieniu do wykonywania ich praw przez:

(a) udostępnianie funkcji Usług Procesora;

(b) wypełnianie zobowiązań określonych w artykule 9.1 (Odpowiadanie na żądania osób, których dotyczą dane); oraz

(c) udostępnianie w stosownych przypadkach Narzędzi osób, których dotyczą dane, w ramach Usług przetwarzającego.

9.3 Sprostowanie. Jeśli Partner dowie się, że jakiekolwiek Dane osobowe Partnera są niedokładne lub nieaktualne, będzie odpowiedzialny za poprawienie lub usunięcie tych danych, jeśli jest to wymagane przez europejskie przepisy dotyczące ochrony danych, w tym (jeśli są dostępne) za pomocą funkcji Usług podmiotu przetwarzającego.

10. Przenoszenie danych

10.1 Miejsca przechowywania i przetwarzania danych. Z zastrzeżeniem postanowień pozostałych części tego artykułu 10 (Przesyłanie danych) firma Jibe może przetwarzać dane osobowe partnera w dowolnym kraju, w którym firma Jibe lub jej podwykonawcy mają swoje obiekty.

10.2 Ograniczone przesyłanie danych w Europie. Strony uznają, że europejskie ustawodawstwo dotyczące ochrony danych nie wymaga stosowania standardowych klauzul umownych ani alternatywnego rozwiązania w zakresie przesyłania danych w celu przetwarzania Danych osobowych partnera lub ich przekazania do kraju o odpowiednim stopniu ochrony.

Jeśli Dane osobowe Partnera są przesyłane do innego kraju i przesyłanie te podlega Europejskim przepisom dotyczącym ochrony danych („Ograniczone przesyłanie danych w Europie”), to:

(a) jeśli Jibe wdroży Alternatywny sposób przesyłania danych w związku z Ograniczonym przesyłaniem danych w Europie, Jibe poinformuje o tym Partnera i zapewni, że Ograniczone przesyłanie danych w Europie będzie odbywać się zgodnie z tym rozwiązaniem; lub

(b) Jeśli Jibe nie wdroży Alternatywnego rozwiązania w zakresie przesyłania danych w związku z Ograniczonym przesyłaniem danych w Europie lub poinformuje Partnera o rezygnacji z jego dalszego stosowania, wówczas:

(i) jeśli adres Jibe znajduje się w odpowiednim kraju:

(A) Standardowe klauzule umowne (podmiot przetwarzający do podmiotu przetwarzającego, eksporter Jibe) będą miały zastosowanie do Ograniczonego przesyłania danych w Europie z Jibe do podwykonawców; oraz

(B) oprócz tego, jeśli adres Partnera nie znajduje się w odpowiednim kraju, obowiązują Standardowe klauzule umowne (podmiot przetwarzający–administrator) w odniesieniu do ograniczonych transferów danych w ramach Unii Europejskiej między Jibe a Partnerem (niezależnie od tego, czy Partner jest administratorem czy podmiotem przetwarzającym);

(ii) jeśli adres Jibe nie znajduje się w odpowiednim kraju:

Standardowe klauzule umowne administratora–podmiotowi przetwarzającemu lub Standardowe klauzule umowne podmiotu przetwarzającego–podmiotowi przetwarzającemu (w zależności od tego, czy Partner jest administratorem czy podmiotem przetwarzającym) będą miały zastosowanie do Ograniczonego przesyłania danych w Europie między Partnerem a Jibe; oraz

(c) odniesienia do Google LLC lub Google oraz do Ciebie w dowolnych Standardowych klauzulach umownych będą oznaczać odpowiednio Jibe i Partnera.

10.3 Dodatkowe rozwiązania i informacje. Jibe przekaże Partnerowi informacje dotyczące Ograniczonego przesyłania danych w Europie, w tym informacje o dodatkowych środkach ochrony Danych osobowych Partnera, opisane w sekcji 7.5.1 (sprawdzanie dokumentacji bezpieczeństwa), w Dodatku 2 (środki bezpieczeństwa) i w innych materiałach dotyczących charakteru Usług procesora oraz przetwarzania Danych osobowych Partnera (np. artykuły w Centrum pomocy).

10.4 Wypowiedzenie Umowy. Jeśli partner na podstawie bieżącego lub planowanego korzystania z usług dostawcy stwierdzi, że alternatywne rozwiązanie do przenoszenia danych lub SCC nie zapewniają odpowiednich zabezpieczeń danych osobowych partnera, może natychmiast rozwiązać Umowę, pisemnie informując o tym Jibe.

10.5 Informacje o centrum danych. Informacje o lokalizacji centrów danych Google LLC są dostępne na stronie www.google.com/about/datacenters/locations/index.html.

11. Podwykonawcy podmiotu przetwarzającego dane osobowe

11.1 Zgoda na zaangażowanie Podwykonawców podmiotu przetwarzającego dane osobowe. Partner wyraźnie zezwala na zaangażowanie Podwykonawców wymienionych w artykule 11.2 (Informacje o Podwykonawcach podmiotu przetwarzającego dane osobowe) na dzień odpowiadający Dacie wejścia Warunków w życie. Ponadto Partner zasadniczo zezwala na angażowanie innych osób trzecich jako Podwykonawców podmiotu przetwarzającego dane osobowe („Nowych Podwykonawców podmiotu przetwarzającego dane osobowe”) z zastrzeżeniem artykułu 11.4 (Możliwość wyrażenia sprzeciwu wobec zmian w wybranym Podwykonawcy podmiotu przetwarzającego dane osobowe).

11.2 Informacje o Podwykonawcach podmiotu przetwarzającego dane osobowe. Na piśmiennym żądaniu Partnera Jibe przekaże informacje o podwykonawcach i ich lokalizacjach. Wszelkie takie prośby należy przesyłać do Jibe za pomocą danych kontaktowych podanych w sekcji 12.1 (Kontakt z Jibe).

11.3 Wymagania stawiane Podwykonawcom podmiotu przetwarzającego dane osobowe. Angażując jakiegokolwiek Podwykonawcę podmiotu przetwarzającego dane osobowe, Jibe:

(a) zadbać za pomocą umowy pisemnej, aby:

(i) Podwykonawca podmiotu przetwarzającego dane osobowe uzyskiwał dostęp do danych osobowych Partnera i używał ich wyłącznie w zakresie niezbędnym do wypełnienia powierzonych mu obowiązków oraz robił to zgodnie z Umową (w tym Aneksem dotyczącym przetwarzania danych); oraz

(ii) jeśli przetwarzanie danych osobowych partnera podlega europejskiemu ustawodawstwu dotyczącym ochrony danych, na Podwykonawcę podmiotu przetwarzającego dane osobowe nałożone zostały obowiązki dotyczące ochrony danych określone w tym Aneksie dotyczącym przetwarzania danych (o ile mają zastosowanie na mocy art. 28 ust. 3 RODO);

(b) zachowa pełną odpowiedzialność za wszelkie obowiązki zlecone Podwykonawcy oraz wszelkie jego działania i zaniechania.

11.4 Możliwość wyrażenia sprzeciwu wobec zmian dotyczących Podwykonawców podmiotu przetwarzającego dane osobowe.

(a) Jeśli w trakcie Okresu obowiązywania zostanie zaangażowany Nowy Podwykonawca, to na co najmniej 30 dni przed rozpoczęciem przetwarzania przez Nowego Podwykonawcę jakichkolwiek Danych Osobowych Partnera Jibe poinformuje Partnera o zaangażowaniu (w tym o nazwie i lokalizacji odpowiedniego podwykonawcy oraz o działalności, którą będzie on wykonywać), wysyłając e-maila na adres e-mail podany w powiadomieniu.

(b) Partner może sprzeciwić się użyciu Nowego Podwykonawcy przez natychmiastowe rozwiązanie Umowy bez podania przyczyny po pisemnym powiadomieniu Jibe, pod warunkiem że Partner przekaże takie powiadomienie w ciągu 90 dni od powiadomienia go o zaangażowaniu Nowego Podwykonawcy zgodnie z artykułem 11.4(a).

12. Kontaktowanie się z Jibe; rejestry przetwarzania

12.1 Kontakt z Jibe Wykonując swoje prawa na mocy niniejszego Aneksu dotyczącego przetwarzania danych, Partner może skontaktować się z Jibe za pomocą danych kontaktowych osoby odpowiedzialnej za ochronę danych RCS, z którą można się skontaktować na stronie issuetracker.google.com lub w inny sposób udostępniony przez Jibe.

12.2 Rejestry przetwarzania Jibe. Jibe będzie prowadzić odpowiednią dokumentację swoich czynności przetwarzania zgodnie z wymogami RODO. Partner przyjmuje do wiadomości, że zgodnie z RODO Jibe jest zobowiązana: (a) do zbierania i przechowywania zapisów niektórych informacji, w tym: (i) nazwy i danych kontaktowych każdego podmiotu przetwarzającego lub administratora, w imieniu którego działa Jibe, oraz (w stosownych przypadkach) przedstawiciela lokalnego podmiotu przetwarzającego lub administratora oraz inspektora ochrony danych; oraz (ii) w stosownych przypadkach zgodnie z obowiązującymi SKU organu nadzorczego partnera; (b) do udostępniania tych informacji każdemu organowi nadzorczemu. W związku z tym, o ile to wymagane i w odpowiednich przypadkach, Partner przekaże te informacje Jibe za pomocą interfejsu użytkownika usług procesora lub za pomocą innych środków udostępnionych przez Jibe, a także użyje tego interfejsu lub innych środków, aby zapewnić, że wszystkie podane informacje będą dokładne i aktualne.

12.3 Żądania administratora. Jeśli Jibe otrzyma żądanie lub polecenie od osoby trzeciej, która twierdzi, że jest administratorem Danych osobowych Partnera, Jibe poleci takiej osobie trzeciej skontaktowanie się z Partnerem.

13. Odpowiedzialność

Jeśli Umowa podlega przepisom prawa:

(a) stan w Stanach Zjednoczonych Ameryki, to niezależnie od innych postanowień Umowy łączna odpowiedzialność każdej ze stron na mocy lub w związku z tym Załącznikiem dotyczącym przetwarzania danych będzie ograniczona do maksymalnej kwoty pieniężnej lub kwoty płatności, na jaką ogranicza się odpowiedzialność tej strony na mocy Umowy (a zatem wyłączenie klauzuli poufności lub roszczenia odszkodowego z tytułu ograniczenia odpowiedzialności określonego w Umowie nie będzie mieć zastosowania do roszczeń wynikających z Umowy w związku z europejskimi lub nieeuropejskimi przepisami o ochronie danych); lub

(b) jurysdykcji, która nie jest stanem w Stanach Zjednoczonych, łączna odpowiedzialność stron i ich podmiotów stowarzyszonych na mocy tego Aneksu o przetwarzaniu danych lub w związku z nim będzie podlegać Umowie.

14. Skutki tego aneksu dotyczącego przetwarzania danych

14.1 Porządek pierwszeństwa. Jeśli wystąpi konflikt lub niespójność między Standardowymi klauzulami umownymi, Dodatkowymi warunkami dotyczącymi pozaeuropejskiego ustawodawstwa o ochronie danych, tym Aneksem dotyczącym przetwarzania danych a pozostałymi postanowieniami Umowy, obowiązuje następująca kolejność pierwszeństwa:

(a) klauzule SKU;

(b) Dodatkowe warunki związane z Pozaeuropejskim ustawodawstwem dotyczącym ochrony danych;

(c) pozostałości Aneksu dotyczącego przetwarzania danych;

(d) pozostałe części Umowy.

Z zastrzeżeniem zmian w tym Aneksie o przetwarzaniu danych Umowa pozostaje w mocy.

14.2 Brak modyfikacji standardowych klauzul umownych. Żadne z postanowień tej Umowy (w tym Aneksu dotyczącego przetwarzania danych) nie ma na celu zmodyfikowania postanowień Standardowych klauzul umownych ani nie ma być z nimi sprzeczne oraz nie ma na celu naruszenia podstawowych praw lub swobód osób, których dotyczą dane, wynikających z Europejskiego ustawodawstwa o ochronie danych.

14.3 Brak wpływu na Warunki dotyczące administratorów. Ten Aneks dotyczący przetwarzania danych nie będzie miał wpływu na żadne odrębne warunki między Jibe a Partnerem odzwierciedlające relacje administratora wobec administratora w przypadku usługi innej niż usługi Przetwarzającego.

14.4 Starsze Standardowe klauzule umowne dotyczące administratorów (Wielka Brytania). Od 21 września 2022 r. lub od daty wejścia w życie Umowy (w zależności od tego, co nastąpi później) będą obowiązywać warunki uzupełniające SCC dotyczące przeniesienia danych zgodnie z RODO (Wielka Brytania). Zastąpią one i zakończą obowiązywanie wszelkich standardowych klauzul umownych zatwierdzonych na podstawie RODO (Wielka Brytania) i Ustawy o ochronie danych osobowych z 2018 r., które zostały wcześniej zawarte przez Partnera i Jibe („Starsze SCC (Wielka Brytania)”). Ten artykuł 14.4 (Stare standardowe klauzule umowne w stosunku do Wielkiej Brytanii) nie ma wpływu na prawa żadnej ze stron ani prawa osób, których dotyczą dane, które mogły powstać na mocy starych standardowych klauzul umownych w stosunku do Wielkiej Brytanii w okresie ich obowiązywania.

15. Zmiany w Aneksie dotyczącym przetwarzania danych

15.1 Zmiany adresów URL. Od czasu do czasu Jibe może zmienić dowolny adres URL wymieniony w tym Aneksie dotyczącym przetwarzania danych oraz zawartość pod tym adresem URL, z tym że Jibe może zmienić standardowe klauzule umowne wyłącznie zgodnie z artykułami 15.2(b)–15.2(d) (Zmiany w Aneksie dotyczącym przetwarzania danych) lub wprowadzić nową wersję standardowych klauzul umownych, która może zostać przyjęta zgodnie z europejskimi przepisami o ochronie danych, w taki sposób, aby nie wpływać na ważność standardowych klauzul umownych zgodnie z europejskimi przepisami o ochronie danych.

15.2 Zmiany w Aneksie dotyczącym przetwarzania danych. Jibe może zmienić ten Aneks o przetwarzaniu danych, jeśli zmiana:

(a) jest wyraźnie dozwolona przez ten Aneks dotyczący przetwarzania danych, w tym zgodnie z opisem w artykule 15.1 (Zmiany dotyczące adresów URL);

(b) dotyczy imienia i nazwiska lub nazwy bądź formy osoby prawnej;

(c) jest niezbędna do spełnienia wymagań obowiązujących przepisów, orzeczeń sądowych lub wytycznych wydanych przez państwowy urząd bądź agencję regulacyjną albo wynika z przyjęcia przez firmę Jibe Alternatywnego rozwiązania w zakresie przesyłania danych;

(d) nie (i) spowodują pogorszenia ogólnego poziomu bezpieczeństwa Usług Procesora; (ii) nie rozszerzają zakresu ani nie znoszą żadnych ograniczeń dotyczących: (x) w przypadku Dodatkowych warunków dotyczących nieeuropejskiego ustawodawstwa dotyczącego ochrony danych – praw Jibe do używania lub przetwarzania danych w zakresie Dodatkowych warunków dotyczących nieeuropejskiego ustawodawstwa dotyczącego ochrony danych lub (y) w przypadku pozostałych części Aneksu dotyczącego przetwarzania danych – przetwarzania przez Jibe Danych osobowych Partnera zgodnie z opisem w artykule 5.3 (Zgodność Jibe z instrukcjami); ani (iii) w inny sposób nie mają istotnego negatywnego wpływu na prawa Partnera wynikające z tego Aneksu dotyczącego przetwarzania danych, zgodnie z rozsądną oceną Jibe.

15.3 Powiadomienie o zmianach. Jeśli Jibe zamierza wprowadzić zmiany w tym Załączniku dotyczącym przetwarzania danych zgodnie z paragrafem 15.2 c lub d, powiadomi o tym Partnera co najmniej 30 dni (lub w krótszym terminie, jeśli będzie to wymagane ze względu na obowiązujące przepisy, obowiązujące przepisy, nakaz sądowy lub wytyczne wydane przez organ państwowy lub instytucję) przed wejściem zmian w życie, wysyłając e-maila na adres e-mail podany w powiadomieniu lub powiadamiąc Partnera za pomocą interfejsu użytkownika Usług procesora. Jeśli Partner sprzeciwia się takiej zmianie, może wypowiedzieć Umowę bez podania przyczyny, przesyłając Jibe pisemne powiadomienie w ciągu 90 dni od otrzymania powiadomienia o zmianie.

Dodatek 1. Przedmiot i szczegóły przetwarzania danych

Temat

Świadczenie przez Jibe Usług przetwarzających i wszelkiej związanej z nimi pomocy technicznej Partnerowi.

Czas przetwarzania

Okres obowiązywania i okres od jego zakończenia do momentu usunięcia przez Jibe wszystkich Danych osobowych Partnera zgodnie z niniejszym Załącznikiem dotyczącym przetwarzania danych.

Charakter i cel przetwarzania

Jibe będzie przetwarzać Dane osobowe Partnera, w tym (w stosunku do charakteru Usług procesora i Instrukcji) zbierać, rejestrować, organizować, strukturyzować, przechowywać, modyfikować, pobierać, używać, ujawniać, łączyć, kasować i niszczyć Dane osobowe Partnera w celu świadczenia Usług procesora oraz wszelkiego powiązanego z nimi wsparcia technicznego na rzecz Partnera zgodnie z tym Załącznikiem dotyczącym przetwarzania danych.

Rodzaje danych osobowych

Dane osobowe osób fizycznych przekazane Jibe za pomocą usług przetwarzania przez partnera (lub na jego zlecenie) lub przez użytkowników końcowych partnera.

Kategorie osób, których dotyczą dane

Dotyczy to osób, których dane są przekazywane do Jibe za pomocą usług podmiotu przetwarzającego (lub na jego zlecenie) lub przez Partnera.

Załącznik 2. Środki bezpieczeństwa

Od Dnia wejścia w życie Warunków Jibe będzie wdrażać i utrzymywać środki bezpieczeństwa opisane w tym Załączniku 2. Jibe może co jakiś czas aktualizować lub modyfikować takie Środki bezpieczeństwa, pod warunkiem że takie aktualizacje i zmiany nie spowodują pogorszenia ogólnego bezpieczeństwa Usług Procesora.

1. Bezpieczeństwo centrum danych i sieci

(a) Centrum danych.

Infrastruktura. Usługa Jibe utrzymuje rozproszone geograficznie centra danych. Jibe przechowuje wszystkie dane produkcyjne w bezpiecznych pod względem fizycznym centrach danych.

Nadmiarowość. Systemy infrastruktury zostały zaprojektowane tak, aby wyeliminować pojedyncze punkty awarii i zminimalizować wpływ przewidywanych zagrożeń środowiskowych. Podwójne obwody, przełączniki, sieci i inne niezbędne urządzenia zapewniają redundancję. Usługi procesora mają umożliwić Jibe przeprowadzanie określonych rodzajów konserwacji zapobiegawczej i korekcyjnej bez zakłóceń. Wszystkie urządzenia i instalacje środowiskowe mają udokumentowane procedury konserwacji zapobiegawczej, które szczegółowo opisują proces i częstotliwość wykonywania konserwacji zgodnie ze specyfikacjami producenta lub specyfikacjami wewnętrznymi. Konserwacja zapobiegawcza i naprawcza sprzętu centrum danych jest planowana zgodnie ze standardowym procesem zgodnie z udokumentowanymi procedurami.

Zasilanie. Systemy zasilania elektrycznego w centrach danych są zaprojektowane tak, aby były nadmiarowe i można je było konserwować bez wpływu na ciągłą pracę przez 24 godziny na dobę i 7 dni w tygodniu. W większości przypadków w centrum danych dla kluczowych elementów infrastruktury zapewniamy zarówno podstawowe, jak i awaryjne źródło zasilania o równej mocy. Zasilanie awaryjne jest zapewniane przez różne mechanizmy, takie jak baterie podtrzymujące napięcie (UPS), które zapewniają niezawodne zabezpieczenie przed przerwami w dostawie prądu, awariami zasilania, przepięciami, niedopięciami i nieprawidłowymi częstotliwościami. Jeśli nastąpi przerwa w dostawie prądu, zasilanie awaryjne ma za zadanie zapewnić centrum danych pełną moc do zasilania przez maksymalnie 10 minut, do czasu aż systemy generatorów awaryjnych przejmą kontrolę. Generatory mogą automatycznie uruchamiać się w ciągu kilku sekund, aby zapewnić wystarczającą moc elektryczną na wypadek awarii, która pozwoli na działanie centrum danych z pełną wydajnością przez kilka dni.

Systemy operacyjne serwerów. Serwery Jibe korzystają z systemów operacyjnych o wzmocnionych zabezpieczeniach, które są dostosowywane do unikalnych potrzeb firmy. Dane są przechowywane za pomocą zastrzeżonych algorytmów, aby zwiększyć bezpieczeństwo i nadmiarowość danych. Jibe stosuje proces weryfikacji kodu w celu zwiększenia bezpieczeństwa kodu używanego do świadczenia Usług procesora i ulepszania usług z zakresu bezpieczeństwa w środowiskach produkcyjnych.

Ciągłość działania. Jibe replikuje dane w wielu systemach, aby chronić je przed przypadkowym zniszczeniem lub utratą. Firma Jibe opracowała i regularnie testuje plany ciągłości działania oraz programy odtwarzania awaryjnego.

Technologie szyfrowania. Zasady bezpieczeństwa Jibe wymagają szyfrowania wszystkich danych użytkownika, w tym danych osobowych, w spoczynku. Dane są często szyfrowane na wielu poziomach w produkcyjnym zbiorze usług przechowywania danych w centrum danych, w tym na poziomie sprzętowym, bez konieczności podejmowania jakichkolwiek działań przez partnerów czy klientów. Użycie wielu warstw szyfrowania zapewnia nadmiarową ochronę danych i pozwala Jibe wybrać optymalne podejście na podstawie wymagań aplikacji. Wszystkie dane osobowe są szyfrowane na poziomie pamięci masowej, zwykle przy użyciu algorytmu AES256. Jibe używa wspólnych bibliotek kryptograficznych, które zawierają zweryfikowany moduł FIPS 140-2, aby konsekwentnie stosować szyfrowanie w usługach procesora.

(b) Sieci i skrzynie biegów.

Przesyłanie danych. Centra danych są zwykle połączone za pomocą szybkich połączeń prywatnych, aby zapewnić bezpieczny i szybki transfer danych między centrami danych. Ma to na celu zapobieganie odczytowi, kopiowaniu, modyfikowaniu lub usuwaniu danych bez autoryzacji podczas przesyłania elektronicznego. Jibe przesyła dane za pomocą standardowych protokołów internetowych.

Zewnętrzna powierzchnia ataku. Jibe używa wielu warstw urządzeń sieciowych i systemów wykrywania włamań, aby chronić zewnętrzną powierzchnię ataku. Jibe bierze pod uwagę potencjalne kierunki ataków i wprowadza odpowiednie technologie do systemów zewnętrznych.

Wykrywanie włamań. Wykrywanie włamań ma na celu dostarczenie informacji o trwających atakach i odpowiednich informacji umożliwiających reagowanie na incydenty. Wykrywanie włamań w Jibe obejmuje:

  1. ścisłe kontrolowanie rozmiaru i składu powierzchni ataku Jibe za pomocą środków zapobiegawczych;

  2. stosowanie inteligentnych mechanizmów wykrywania w miejscach wprowadzania danych;

  3. stosowanie technologii, które automatycznie rozwiązują pewne niebezpieczne sytuacje;

Reagowanie na incydenty. Jibe monitoruje różne kanały komunikacji pod kątem incydentów związanych z bezpieczeństwem, a jego pracownicy ds. bezpieczeństwa reagują niezwłocznie na znane incydenty.

Technologie szyfrowania. Jibe udostępnia szyfrowanie HTTPS (nazywane też połączeniem TLS). Serwery Jibe obsługują tymczasową wymianę kluczy kryptograficznych Diffiego-Hellmana z krzywą eliptyczną, podpisaną przy użyciu RSA i ECDSA. Te metody oparte na zasadzie perfekcyjnego forward secrecy (PFS) pomagają chronić ruch i minimalizować wpływ przejęcia klucza lub przełomu w kryptografii.

2. Dostęp i kontrola witryny

(a) Ustawienia witryny.

Bezpieczeństwo centrum danych na miejscu. Centra danych Jibe zapewniają bezpieczeństwo na miejscu, odpowiadając za wszystkie funkcje zabezpieczeń w fizycznych centrach danych przez 24 godziny na dobę, 7 dni w tygodniu. Personel ochrony na miejscu pracy monitoruje kamery telewizji przemysłowej (CCTV) i wszystkie systemy alarmowe. Personel ochrony na miejscu regularnie patroluje centrum danych od wewnątrz i zewnątrz.

Procedury dostępu do centrum danych. Firma Jibe stosuje formalne procedury dostępu, aby umożliwić fizyczny dostęp do centrów danych. Centra danych są zlokalizowane w obiektach, do których dostęp wymaga elektronicznego klucza karty, a alarmy są połączone z systemem bezpieczeństwa na miejscu. Wszyscy wchodzący do centrum danych muszą się wylegitymować i przedstawić dowód tożsamości pracownikom ochrony. Do centrów danych mają dostęp tylko upoważnieni pracownicy, podwykonawcy i goście. Tylko upoważnione osoby i podwykonawcy mogą poprosić o dostęp do tych pomieszczeń za pomocą karty dostępu. Prośby o dostęp do klucza karty elektronicznej centrum danych muszą być składane z wyprzedzeniem i w pisemnej formie. Muszą być zatwierdzone przez upoważnionego pracownika centrum danych. Wszyscy inni uczestnicy, którzy potrzebują tymczasowego dostępu do centrum danych, muszą: (i) uzyskać wcześniejsze zatwierdzenie od menedżerów centrum danych w przypadku konkretnego centrum danych i obszarów wewnętrznych, które chcą odwiedzić; (ii) zalogować się w miejscowych operacjach bezpieczeństwa; oraz (iii) odwołać się do zatwierdzonego rekordu dostępu do centrum danych, który identyfikuje daną osobę jako osobę zatwierdzoną.

Urządzenia zabezpieczające centrum danych na miejscu. Centrum danych Jibe wykorzystuje system kontroli dostępu za pomocą karty elektronicznej i systemu biometrycznego, który jest połączony z alarmem systemowym. System kontroli dostępu monitoruje i rejestruje każdy klucz elektroniczny oraz czas otwierania drzwi na obwodzie, otwierania i zamknięcia oraz inne ważne obszary. Nieautoryzowana aktywność i nieudane próby uzyskania dostępu są rejestrowane przez system kontroli dostępu i w odpowiednich przypadkach badane. Dostęp autoryzowany w ramach operacji biznesowych i centrów danych jest ograniczony na podstawie stref i obowiązków służbowych danej osoby. Drzwi przeciwpożarowe w centrach danych są wyposażone w alarm. Kamery CCTV są używane zarówno wewnątrz, jak i na zewnątrz centrów danych. Umieszczenie kamer zostało zaprojektowane tak, aby obejmować obszary strategiczne, w tym obwód, drzwi do budynku centrum danych oraz wysyłkę/odbiór. Personel operacyjny ochrony na miejscu zarządza sprzętem do monitorowania, nagrywania i sterowania CCTV. Bezpieczne kable w centrach danych łączące sprzęt CCTV. Kamery nagrywają na miejscu za pomocą cyfrowych rejestratorów wideo przez całą dobę, 7 dni w tygodniu. Dane z monitoringu są przechowywane przez co najmniej 7 dni na podstawie aktywności.

(b) Kontrola dostępu.

Infrastruktura zespołu ds. bezpieczeństwa. Firma Jibe ma i utrzymuje politykę bezpieczeństwa dla swoich pracowników oraz wymaga od nich szkolenia z zakresu bezpieczeństwa w ramach pakietu szkoleń. Pracownicy ds. bezpieczeństwa infrastruktury firmy Jibe są odpowiedzialni za ciągły monitoring infrastruktury bezpieczeństwa Jibe, sprawdzanie usług procesora i reagowanie na incydenty związane z bezpieczeństwem.

kontrola dostępu i zarządzanie uprawnieniami. Administratorzy i użytkownicy partnera muszą uwierzytelnić się za pomocą centralnego systemu uwierzytelniania lub systemu logowania jednokrotnego, aby korzystać z usług procesora.

Wewnętrzne procesy i zasady dostępu do danych – zasady dostępu. Wewnętrzne procesy i zasady dostępu do danych w usłudze Jibe mają na celu zapobieganie uzyskiwaniu przez osoby lub systemy nieuprawnione dostępu do systemów służących do przetwarzania danych osobowych. Firma Jibe dąży do tego, aby jej systemy: (i) zezwalali na dostęp do danych tylko autoryzowanych osób; oraz (ii) zapewniały, że dane osobowe nie mogą być odczytywane, kopiowane, zmieniane ani usuwane bez autoryzacji podczas przetwarzania, użytkowania i po zapisaniu. Systemy są zaprojektowane tak, aby wykrywać wszelkie nieodpowiednie próby uzyskania dostępu. Jibe używa scentralizowanego systemu zarządzania dostępem, aby kontrolować dostęp pracowników do serwerów produkcyjnych, i udostępnia go tylko ograniczonej liczbie autoryzowanych pracowników. LDAP, Kerberos i własny system wykorzystujący certyfikaty cyfrowe zostały zaprojektowane tak, aby zapewnić Jibe bezpieczne i elastyczne mechanizmy dostępu. Te mechanizmy zostały zaprojektowane tak, aby przyznawać tylko zatwierdzone prawa dostępu do hostów witryn, dzienników, danych i informacji konfiguracyjnych. Aby zminimalizować ryzyko nieautoryzowanego korzystania z konta, Jibe wymaga używania unikalnych identyfikatorów użytkowników, silnych haseł, uwierzytelniania dwuskładnikowego i uważnie monitorowanych list dostępu. Przyznawanie i modyfikowanie praw dostępu odbywa się na podstawie obowiązków służbowych upoważnionego personelu, wymagań dotyczących obowiązków służbowych niezbędnych do wykonywania upoważnionych zadań oraz zasady „tylko osoby, które muszą wiedzieć”. Przyznawanie i modyfikowanie praw dostępu musi być zgodne z wewnętrzną polityką i szkoleniami dotyczącymi dostępu do danych w Jibe. Zatwierdzenia są zarządzane przez narzędzia do obsługi przepływu pracy, które przechowują logi kontroli wszystkich zmian. Dostęp do systemów jest rejestrowany w logach, aby umożliwić śledzenie działań użytkowników. W przypadku, gdy do uwierzytelniania używane są hasła (np. do logowania się na stacje robocze), wdrożono zasady dotyczące haseł, które są zgodne z co najmniej standardowymi zasadami branżowymi. Te standardy obejmują ograniczenia dotyczące ponownego używania haseł i wystarczającej siły hasła.

3. Data

(a) przechowywanie, izolowanie i uwierzytelnianie danych.

Jibe przechowuje dane w środowisku obejmującym wielu najemców na serwerach należących do Google LLC. Dane, baza danych usług procesora i architektura systemu plików są replikowane między wieloma centrami danych znajdującymi się w różnych miejscach na świecie. Jibe logicznie izoluje dane każdego partnera lub klienta. Centralny system uwierzytelniania jest używany we wszystkich usługach procesora w celu zwiększenia jednolitej ochrony danych.

(b) Dyski wycofane z użycia i wytyczne dotyczące ich niszczenia.

Niektóre dyski zawierające dane mogą mieć problemy z wydajnością, błędy lub awarie sprzętu, które powodują ich wycofanie z eksploatacji („Wycofany dysk”). Każdy wycofany dysk podlega serii procesów niszczenia danych (zgodnie z wytycznymi dotyczącymi niszczenia danych) przed opuszczeniem obiektów Jibe w celu ponownego wykorzystania lub zniszczenia. Dyski wycofane z użycia są usuwane w wielestopniowym procesie i potwierdzane przez co najmniej 2 niezależnych weryfikatorów. Wyniki kasowania są rejestrowane przez numer seryjny wycofanego dysku w celu śledzenia. Na koniec wyczyszczony dysk wycofany jest z asortymentu, aby można było go ponownie wykorzystać i wdrożyć. Jeśli z powodu awarii sprzętu nie można wymazać wycofanego dysku, jest on bezpiecznie przechowywany do czasu, aż będzie można go zniszczyć. Każda lokalizacja jest regularnie kontrolowana pod kątem zgodności z wytycznymi dotyczącymi niszczenia danych.

(c) Dane pseudonimizowane.

Dane reklam online są zwykle powiązane z identyfikatorami internetowymi, które same w sobie są uważane za „pseudonimizowane” (tzn. nie można ich przypisać do konkretnej osoby bez użycia dodatkowych informacji). Jibe stosuje solidny zestaw zasad oraz mechanizmów kontroli technicznej i organizacyjnej, aby zapewnić rozdzielność danych pseudonimizowanych i informacji umożliwiających identyfikację użytkownika (czyli informacji, które można wykorzystać bezpośrednio do zidentyfikowania lub skontaktowania się z daną osobą albo do precyzyjnego zlokalizowania jej), takich jak dane z konta Jibe. Zasady Jibe zezwalają na przepływ informacji między pseudonimami i danymi umożliwiającymi identyfikację tylko w ściśle określonych okolicznościach.

(d) Uruchom opinie.

Przed wprowadzeniem nowych produktów i funkcji na rynek Jibe przeprowadza ich przegląd. Obejmuje to sprawdzenie zgodności z zasadami ochrony prywatności przeprowadzane przez przeszkolonych inżynierów. Podczas sprawdzania prywatności inżynierowie ds. prywatności sprawdzają, czy są przestrzegane wszystkie obowiązujące zasady i wytyczne Jibe, w tym między innymi zasady dotyczące pseudonimizowania oraz przechowywania i usuwania danych.

4. Bezpieczeństwo pracowników

Pracownicy Jibe muszą postępować zgodnie z wytycznymi firmy dotyczącymi poufności, etyki biznesowej, odpowiedniego użytkowania i standardów zawodowych. Jibe przeprowadza odpowiednie sprawdzenie przeszłości w uzasadnionym zakresie dozwolonym przez prawo oraz zgodnie z obowiązującymi lokalnymi przepisami prawa pracy i przepisami ustawowymi.

Personel musi podpisać umowę o zachowaniu poufności i potwierdzić, że zapoznał się z zasadami zachowania poufności i prywatności Jibe oraz że będzie ich przestrzegać. Personel przechodzi szkolenia z zakresu bezpieczeństwa. Osoby, które mają dostęp do danych osobowych partnera, muszą spełnić dodatkowe wymagania odpowiednie do ich roli. Pracownicy Jibe nie będą przetwarzać danych osobowych partnera bez autoryzacji.

5. Bezpieczeństwo podwykonawcy podmiotu przetwarzającego dane osobowe

Przed wdrożeniem podwykonawców Jibe przeprowadza audyt ich praktyk dotyczących bezpieczeństwa i prywatności, aby mieć pewność, że zapewniają one odpowiedni poziom bezpieczeństwa i prywatności w stosunku do dostępu do danych i zakresu usług, które mają świadczyć. Gdy Jibe oceni ryzyko związane z podwykonawcą, podmiot ten musi zawrzeć odpowiednie warunki umowy dotyczące bezpieczeństwa, poufności i ochrony prywatności z uwzględnieniem wymagań określonych w artykule 11.3 (Wymagania dotyczące zaangażowania podwykonawcy).

Dodatek 3. Dodatkowe warunki związane z Pozaeuropejskim ustawodawstwem dotyczącym ochrony danych

Podane niżej Dodatkowe warunki związane z Pozaeuropejskim ustawodawstwem dotyczącym ochrony danych stanowią uzupełnienie tego Załącznika do Polityki przetwarzania danych:

Odniesienia do Google LLC lub Google w Załączniku do ustawy LGPD dotyczącym podmiotów przetwarzających dane oraz Załączniku do amerykańskich przepisów stanowych o ochronie prywatności będą odnosić się do Jibe.

Aneks dotyczący przetwarzania danych w usłudze Jibe, wersja 4.0

Poprzednie wersje