Niniejsza Umowa powierzenia przetwarzania danych („DPA”) zostaje zawarta pomiędzy Administratorem a Podmiotem przetwarzającym oraz stanowi część Umowy i podlega jej postanowieniom.
Każde pojęcie pisane wielką literą, które nie zostało zdefiniowane w niniejszej DPA, ma znaczenie nadane mu w Umowie.
| „Podmiot powiązany” | oznacza każdy podmiot, który bezpośrednio lub pośrednio kontroluje stronę, jest przez nią kontrolowany lub pozostaje z nią pod wspólną kontrolą. „Kontrola”, na potrzeby tej definicji, oznacza bezpośrednie lub pośrednie posiadanie lub sprawowanie kontroli nad ponad 50% praw głosu w danej stronie; |
| „Umowa” | oznacza umowę zawartą pomiędzy Administratorem a Podmiotem przetwarzającym dotyczącą świadczenia Usług; |
| „CCPA” | oznacza California Consumer Privacy Act z 2018 r., wraz z przepisami wykonawczymi, ze zmianami wprowadzanymi od czasu do czasu; |
| „Administrator” | oznacza Klienta; |
| „Prawo ochrony danych” | oznacza wszelkie przepisy prawa i regulacje, w tym przepisy prawa i regulacje Unii Europejskiej, Europejskiego Obszaru Gospodarczego, ich państw członkowskich oraz Zjednoczonego Królestwa, wraz z wszelkimi zmianami, zastąpieniami lub odnowieniami, mające zastosowanie do przetwarzania Danych Osobowych, w tym – w odpowiednich przypadkach – Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations 2020, EU GDPR, UK GDPR, UK Data Protection Act 2018, FADP, CCPA oraz wszelkie właściwe krajowe przepisy wdrażające, regulacje i akty wykonawcze dotyczące przetwarzania Danych Osobowych oraz prywatności komunikacji elektronicznej, ze zmianami, zastąpieniami lub aktualizacjami wprowadzanymi od czasu do czasu, w tym dyrektywę o prywatności i łączności elektronicznej (2002/58/WE) oraz przepisy Privacy and Electronic Communications (EC Directive) Regulations 2003 (SI 2003/2426); |
| „Osoba, której dane dotyczą” | ma takie samo znaczenie jak w Prawie ochrony danych lub oznacza „Konsumenta” w rozumieniu CCPA; |
| „DPA” | oznacza niniejszą umowę powierzenia przetwarzania danych wraz z Załącznikami A, B i C; |
| „EOG” | oznacza Europejski Obszar Gospodarczy; |
| „EU GDPR” | oznacza rozporządzenie (UE) 2016/679 Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (ogólne rozporządzenie o ochronie danych); |
| „FADP” | oznacza nową szwajcarską federalną ustawę o ochronie danych z dnia 1 września 2023 r., ze zmianami wprowadzanymi od czasu do czasu; |
| „Dane Osobowe” | mają takie samo znaczenie jak w Prawie ochrony danych; |
| „Podmiot przetwarzający” | oznacza Spółkę, w tym – w stosownych przypadkach – każdego „Dostawcę usług” w rozumieniu CCPA; |
| „Transfer ograniczony” | oznacza: (i) gdy zastosowanie ma EU GDPR – transfer Danych Osobowych za pośrednictwem Usług z EOG, bezpośrednio lub w ramach dalszego transferu, do dowolnego państwa lub odbiorcy poza EOG, wobec którego Komisja Europejska nie wydała decyzji stwierdzającej odpowiedni stopień ochrony; oraz (ii) gdy zastosowanie ma UK GDPR – transfer Danych Osobowych za pośrednictwem Usług ze Zjednoczonego Królestwa, bezpośrednio lub w ramach dalszego transferu, do dowolnego państwa lub odbiorcy poza UK, które nie opiera się na przepisach o adekwatności zgodnie z sekcją 17A UK Data Protection Act 2018; oraz (iii) transfer Danych Osobowych za pośrednictwem Usług ze Szwajcarii, bezpośrednio lub w ramach dalszego transferu, do dowolnego państwa lub odbiorcy poza EOG i/lub Szwajcarią, wobec którego Komisja Europejska nie wydała decyzji stwierdzającej odpowiedni stopień ochrony; |
| „Usługi” | oznacza wszelkie usługi oraz aplikacje i rozwiązania programowe świadczone Administratorowi przez Podmiot przetwarzający na podstawie Umowy oraz opisane w Umowie; |
| „SCC” | oznacza: (i) gdy zastosowanie ma EU GDPR – standardowe klauzule umowne stanowiące załącznik do decyzji wykonawczej Komisji 2021/914 z dnia 4 czerwca 2021 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich, opublikowane pod adresem https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32021D0914&from=EN („EU SCC”); oraz (ii) gdy zastosowanie ma UK GDPR – standardowe klauzule ochrony danych przyjęte na podstawie art. 46 ust. 2 lit. c UK GDPR, określone w Załączniku C do niniejszej DPA („UK SCC”); oraz (iii) gdy Dane Osobowe są przekazywane ze Szwajcarii poza Szwajcarię lub EOG – EU SCC, zmienione zgodnie z wytycznymi szwajcarskiego organu ochrony danych („Swiss SCC”); |
| „Podprzetwarzający” | oznacza każdą osobę trzecią (w tym Podmioty powiązane Podmiotu przetwarzającego) zaangażowaną bezpośrednio lub pośrednio przez Podmiot przetwarzający do przetwarzania Danych Osobowych na podstawie niniejszej DPA w związku ze świadczeniem Usług na rzecz Administratora; |
| „Organ nadzorczy” | oznacza organ regulacyjny państwowy lub upoważniony przez państwo, posiadający wiążące uprawnienia prawne wobec strony; |
| „UK GDPR” | oznacza EU GDPR w zakresie, w jakim stanowi część prawa Anglii i Walii, Szkocji oraz Irlandii Północnej na mocy sekcji 3 European Union (Withdrawal) Act 2018. |
2.1. Podmiot przetwarzający zgodził się świadczyć Usługi na rzecz Administratora zgodnie z postanowieniami Umowy. W ramach świadczenia Usług Podmiot przetwarzający będzie przetwarzać Dane Klienta w imieniu Administratora. Dane Klienta mogą obejmować Dane Osobowe. Podmiot przetwarzający będzie przetwarzać i chronić takie Dane Osobowe zgodnie z postanowieniami niniejszej DPA.
3.1. Świadcząc Usługi na rzecz Administratora zgodnie z postanowieniami Umowy, Podmiot przetwarzający będzie przetwarzać Dane Osobowe wyłącznie w zakresie niezbędnym do świadczenia Usług zgodnie z postanowieniami Umowy, niniejszej DPA oraz udokumentowanymi instrukcjami Administratora zawartymi w Umowie i niniejszej DPA, aktualizowanymi od czasu do czasu.
3.2. Administrator i Podmiot przetwarzający podejmą działania w celu zapewnienia, aby każda osoba fizyczna działająca z upoważnienia Administratora lub Podmiotu przetwarzającego, mająca dostęp do Danych Osobowych, nie przetwarzała ich inaczej niż zgodnie z instrukcjami Administratora, chyba że obowiązek taki wynika z Prawa ochrony danych.
4.1. Podmiot przetwarzający może gromadzić, przetwarzać lub wykorzystywać Dane Osobowe wyłącznie w zakresie niniejszej DPA.
4.2. Podmiot przetwarzający potwierdza, że będzie przetwarzać Dane Osobowe w imieniu Administratora zgodnie z udokumentowanymi instrukcjami Administratora.
4.3. Podmiot przetwarzający niezwłocznie poinformuje Administratora, jeśli – zdaniem Podmiotu przetwarzającego – jakiekolwiek instrukcje Administratora dotyczące przetwarzania Danych Osobowych naruszają Prawo ochrony danych.
4.4. Podmiot przetwarzający zapewni, aby wszyscy pracownicy, agenci, członkowie organów oraz wykonawcy zaangażowani w obsługę Danych Osobowych: (i) byli świadomi poufnego charakteru Danych Osobowych i byli umownie zobowiązani do zachowania ich w poufności; (ii) otrzymali odpowiednie szkolenie dotyczące ich obowiązków jako podmiotu przetwarzającego; oraz (iii) byli związani postanowieniami niniejszej DPA.
4.5. Podmiot przetwarzający wdroży odpowiednie środki techniczne i organizacyjne w celu ochrony Danych Osobowych, uwzględniając stan wiedzy technicznej, koszty wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania, a także ryzyko o zróżnicowanym prawdopodobieństwie i wadze dla praw i wolności osób fizycznych.
4.6. Podmiot przetwarzający wdroży odpowiednie środki techniczne i organizacyjne, aby zapewnić poziom bezpieczeństwa odpowiadający ryzyku, w tym – w stosownych przypadkach – między innymi: (i) pseudonimizację i szyfrowanie Danych Osobowych; (ii) zdolność do zapewnienia ciągłej poufności, integralności, dostępności i odporności systemów i usług przetwarzania; (iii) zdolność do szybkiego przywrócenia dostępności i dostępu do Danych Osobowych w razie incydentu fizycznego lub technicznego; (iv) proces regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania. Przy ocenie właściwego poziomu bezpieczeństwa należy w szczególności uwzględnić ryzyka związane z przetwarzaniem, zwłaszcza wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmiany, nieuprawnionego ujawnienia lub dostępu do Danych Osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
4.7. Środki techniczne i organizacyjne wskazane w Załączniku B będą zawsze przestrzegane jako minimalny standard bezpieczeństwa. Administrator przyjmuje do wiadomości i zgadza się, że środki techniczne i organizacyjne podlegają rozwojowi i przeglądowi oraz że Podmiot przetwarzający może stosować inne odpowiednie środki niż te opisane w załącznikach do niniejszej DPA, o ile są one co najmniej równoważne środkom technicznym i organizacyjnym określonym w Załączniku B oraz adekwatne zgodnie z obowiązkami Podmiotu przetwarzającego wskazanymi w punktach 4.5 i 4.6 powyżej.
4.8. Administrator przyjmuje do wiadomości i zgadza się, że w trakcie świadczenia Usług może być konieczne, aby Podmiot przetwarzający uzyskał dostęp do Danych Osobowych w celu reagowania na problemy techniczne lub zapytania Administratora oraz zapewnienia prawidłowego działania Usług. Każdy taki dostęp Podmiotu przetwarzającego będzie ograniczony wyłącznie do tych celów.
4.9. Uwzględniając charakter przetwarzania oraz informacje dostępne Podmiotowi przetwarzającemu, Podmiot przetwarzający będzie wspierać Administratora poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych – w zakresie, w jakim jest to możliwe – w celu wypełnienia obowiązku Administratora polegającego na odpowiadaniu na wnioski dotyczące wykonywania praw Osób, których dane dotyczą, oraz w zakresie zgodności Administratora z jego obowiązkami z obszaru ochrony danych w odniesieniu do przetwarzania Danych Osobowych.
4.10. Podmiot przetwarzający nie może: (i) sprzedawać Danych Osobowych; (ii) zatrzymywać, wykorzystywać ani ujawniać Danych Osobowych do celów komercyjnych innych niż świadczenie Usług zgodnie z Umową; ani (iii) zatrzymywać, wykorzystywać ani ujawniać Danych Osobowych poza postanowieniami Umowy.
5.1. Administrator oświadcza i zapewnia, że: (i) będzie przestrzegać niniejszej DPA oraz swoich obowiązków wynikających z Prawa ochrony danych; (ii) uzyskał wszelkie niezbędne zgody, pozwolenia i upoważnienia wymagane do tego, aby Podmiot przetwarzający, jego Podmioty powiązane oraz Podprzetwarzający mogli wykonywać przysługujące im prawa lub realizować obowiązki wynikające z niniejszej DPA; oraz (iii) wszystkie Podmioty powiązane Administratora korzystające z Usług będą przestrzegać obowiązków Administratora określonych w niniejszej DPA.
5.2. Administrator wdroży odpowiednie środki techniczne i organizacyjne w celu ochrony Danych Osobowych, uwzględniając stan wiedzy technicznej, koszty wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania, a także ryzyko o zróżnicowanym prawdopodobieństwie i wadze dla praw i wolności osób fizycznych. Administrator wdroży odpowiednie środki techniczne i organizacyjne, aby zapewnić poziom bezpieczeństwa odpowiadający ryzyku, w tym – w stosownych przypadkach – między innymi: (i) pseudonimizację i szyfrowanie Danych Osobowych; (ii) zdolność do zapewnienia ciągłej poufności, integralności, dostępności i odporności systemów i usług przetwarzania; (iii) zdolność do szybkiego przywrócenia dostępności i dostępu do Danych Osobowych w razie incydentu fizycznego lub technicznego; (iv) proces regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania. Przy ocenie właściwego poziomu bezpieczeństwa należy w szczególności uwzględnić ryzyka związane z przetwarzaniem, zwłaszcza wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmiany, nieuprawnionego ujawnienia lub dostępu do Danych Osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
5.3. Administrator przyjmuje do wiadomości i zgadza się, że niektóre instrukcje Administratora – w tym pomoc Podmiotu przetwarzającego w audytach, kontrolach, DPIA lub udzielanie jakiejkolwiek pomocy w ramach niniejszej DPA – mogą skutkować dodatkowymi opłatami. W takim przypadku Podmiot przetwarzający z wyprzedzeniem poinformuje Administratora o swoich opłatach za udzielanie takiej pomocy oraz będzie uprawniony do obciążenia Administratora uzasadnionymi kosztami i wydatkami poniesionymi w związku z udzielaniem takiej pomocy, chyba że strony uzgodnią inaczej na piśmie.
6.1. Administrator przyjmuje do wiadomości i zgadza się, że Podmiot przetwarzający może angażować Podprzetwarzających w związku ze świadczeniem Usług.
6.2. Wszyscy Podprzetwarzający, którzy przetwarzają Dane Osobowe w związku ze świadczeniem Usług na rzecz Administratora, będą przestrzegać obowiązków Podmiotu przetwarzającego określonych w niniejszej DPA.
6.3. Administrator upoważnia Podmiot przetwarzający do korzystania z Podprzetwarzających wskazanych na liście Podprzetwarzających opublikowanej pod adresem: https://multiply.cloud/en/legal-resources/ w celu przetwarzania Danych Osobowych. W okresie obowiązywania niniejszej DPA Podmiot przetwarzający przekaże Administratorowi, z 30-dniowym wyprzedzeniem, powiadomienie e-mail o wszelkich zmianach na liście Podprzetwarzających przed upoważnieniem nowego lub zastępczego Podprzetwarzającego do przetwarzania Danych Osobowych w związku ze świadczeniem Usług.
6.4. Administrator może sprzeciwić się korzystaniu z nowego lub zastępczego Podprzetwarzającego, powiadamiając Podmiot przetwarzający niezwłocznie na piśmie w terminie piętnastu (15) dni od otrzymania zawiadomienia od Podmiotu przetwarzającego. Jeśli Administrator sprzeciwi się nowemu lub zastępczemu Podprzetwarzającemu, Administrator może wypowiedzieć Umowę w zakresie tych Usług, których Podmiot przetwarzający nie może świadczyć bez udziału nowego lub zastępczego Podprzetwarzającego. Podmiot przetwarzający zwróci Administratorowi wszelkie opłaty uiszczone z góry za pozostałą część okresu obowiązywania Umowy przypadającą po dacie skutecznego rozwiązania w odniesieniu do takich zakończonych Usług.
6.5. Wszyscy Podprzetwarzający, którzy przetwarzają Dane Osobowe, będą przestrzegać obowiązków Podmiotu przetwarzającego określonych w niniejszej DPA. Podmiot przetwarzający – zanim dany Podprzetwarzający rozpocznie jakiekolwiek czynności przetwarzania dotyczące Danych Osobowych – (i) powierzy każdemu Podprzetwarzającemu zadania na podstawie umowy pisemnej zawierającej zasadniczo takie same obowiązki jak obowiązki Podmiotu przetwarzającego w niniejszej DPA, egzekwowalne przez Podmiot przetwarzający; oraz (ii) zapewni, że każdy taki Podprzetwarzający będzie przestrzegać wszystkich tych obowiązków.
6.6. Administrator zgadza się, że Podmiot przetwarzający oraz jego Podprzetwarzający mogą dokonywać Transferów ograniczonych Danych Osobowych w celu świadczenia Usług na rzecz Administratora zgodnie z Umową. Podmiot przetwarzający potwierdza, że tacy Podprzetwarzający: (i) znajdują się w państwie trzecim lub na terytorium uznanym przez Komisję UE lub – w stosownych przypadkach – właściwy Organ nadzorczy za zapewniające odpowiedni poziom ochrony; lub (ii) zawarli z Podmiotem przetwarzającym właściwe SCC; lub (iii) posiadają inne, prawnie uznane odpowiednie zabezpieczenia.
7.1. Strony uzgadniają, że jeżeli pomiędzy Administratorem a Podmiotem przetwarzającym lub od Podmiotu przetwarzającego do Podprzetwarzającego dochodzi do transferu Danych Osobowych stanowiącego Transfer ograniczony, będzie on podlegać właściwym SCC.
7.2. Strony uzgadniają, że EU SCC mają zastosowanie do Transferów ograniczonych z EOG. EU SCC uznaje się za zawarte (i włączone do niniejszej DPA przez odesłanie) oraz wypełnione w następujący sposób:
7.3. Strony uzgadniają, że EU SCC – zmienione zgodnie z punktem 7.2 powyżej – zostaną dostosowane w sposób określony poniżej, gdy FADP ma zastosowanie do któregokolwiek Transferu ograniczonego:
Szwajcarski Federalny Komisarz ds. Ochrony Danych i Informacji („FDPIC”) będzie jedynym Organem nadzorczym dla Transferów ograniczonych podlegających wyłącznie FADP; Transfery ograniczone podlegające zarówno FADP, jak i EU GDPR, będą obsługiwane przez unijny Organ nadzorczy wskazany w Załączniku A do niniejszej DPA; Pojęcie „państwo członkowskie” nie może być interpretowane w sposób wyłączający Osoby, których dane dotyczą w Szwajcarii, z możliwości dochodzenia swoich praw w miejscu zwykłego pobytu (Szwajcaria) zgodnie z klauzulą 18(c) EU SCC; Gdy Transfery ograniczone podlegają wyłącznie FADP, wszystkie odniesienia do GDPR w EU SCC należy rozumieć jako odniesienia do FADP; Gdy Transfery ograniczone podlegają zarówno FADP, jak i EU GDPR, wszystkie odniesienia do GDPR w EU SCC należy rozumieć jako odniesienia do FADP w zakresie, w jakim Transfery ograniczone podlegają FADP; Swiss SCC chronią również Dane Osobowe osób prawnych do czasu wejścia w życie znowelizowanej FADP. 7.4. Strony uzgadniają, że UK SCC mają zastosowanie do Transferów ograniczonych z UK, a UK SCC uznaje się za zawarte (i włączone do niniejszej DPA przez odesłanie) zgodnie z Załącznikiem C do niniejszej DPA.
7.5. W przypadku gdy jakiekolwiek postanowienie niniejszej DPA jest bezpośrednio lub pośrednio sprzeczne z jakimikolwiek SCC, pierwszeństwo mają postanowienia właściwych SCC przed postanowieniami DPA.
8.1. Administrator może żądać sprostowania, usunięcia, zablokowania i/lub udostępnienia Danych Osobowych w trakcie obowiązywania Umowy lub po jej rozwiązaniu. Administrator przyjmuje do wiadomości i zgadza się, że Podmiot przetwarzający rozpatrzy wniosek w zakresie, w jakim jest to zgodne z prawem, oraz w rozsądnym zakresie zrealizuje taki wniosek zgodnie ze swoimi standardowymi procedurami operacyjnymi – w miarę możliwości.
8.2. Jeżeli Podmiot przetwarzający otrzyma wniosek od Osoby, której dane dotyczą, w odniesieniu do Danych Osobowych, Podmiot przetwarzający skieruje tę osobę do Administratora, o ile prawo nie zabrania mu postąpienia w inny sposób. Administrator zwróci Podmiotowi przetwarzającemu wszelkie koszty poniesione w związku z udzieleniem rozsądnej pomocy przy obsłudze wniosku Osoby, której dane dotyczą. Jeżeli Podmiot przetwarzający będzie prawnie zobowiązany do udzielenia odpowiedzi Osobie, której dane dotyczą, Administrator – w odpowiednim zakresie – w pełni będzie współpracować z Podmiotem przetwarzającym.
9.1. Podmiot przetwarzający udostępni Administratorowi wszelkie informacje w rozsądnym zakresie niezbędne do wykazania zgodności z obowiązkami w zakresie przetwarzania oraz umożliwi przeprowadzanie audytów i kontroli oraz będzie w nich współuczestniczyć.
9.2. Każdy audyt przeprowadzany na podstawie niniejszej DPA będzie polegał na analizie najnowszych raportów, certyfikatów i/lub wyciągów przygotowanych przez niezależnego audytora zobowiązanego do zachowania poufności na zasadach podobnych do tych określonych w Umowie. Jeżeli w rozsądnej ocenie Administratora takie dokumenty okażą się niewystarczające, Administrator może przeprowadzić bardziej szczegółowy audyt, który: (i) odbędzie się na koszt Administratora; (ii) będzie ograniczony do kwestii dotyczących Administratora i uzgodnionych z wyprzedzeniem; (iii) zostanie przeprowadzony w standardowych godzinach pracy Podmiotu przetwarzającego oraz po uprzednim rozsądnym zawiadomieniu nie krótszym niż 4 tygodnie, chyba że wystąpił możliwy do zidentyfikowania istotny problem; oraz (iv) zostanie przeprowadzony w sposób nienaruszający bieżącej działalności Podmiotu przetwarzającego.
9.3. Niniejsza klauzula nie modyfikuje ani nie ogranicza praw Administratora do audytu, lecz ma na celu doprecyzowanie procedur dotyczących każdego audytu przeprowadzanego na tej podstawie.
10.1. Podmiot przetwarzający powiadomi Administratora bez zbędnej zwłoki po uzyskaniu informacji o (a w każdym razie w ciągu 72 godzin od wykrycia) jakimkolwiek naruszeniu bezpieczeństwa prowadzącym do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmiany, nieuprawnionego ujawnienia lub dostępu do jakichkolwiek Danych Osobowych („Naruszenie ochrony Danych Osobowych”).
10.2. W przypadku Naruszenia ochrony Danych Osobowych Podmiot przetwarzający podejmie wszelkie komercyjnie uzasadnione działania w celu zabezpieczenia Danych Osobowych, ograniczenia skutków Naruszenia ochrony Danych Osobowych oraz wsparcia Administratora w spełnieniu obowiązków Administratora wynikających z właściwego prawa.
11.1. Podmiot przetwarzający niezwłocznie powiadomi Administratora o każdym wniosku lub skardze dotyczących przetwarzania Danych Osobowych, które negatywnie wpływają na Administratora, chyba że takie powiadomienie jest zabronione przez właściwe prawo lub odpowiednie postanowienie sądu.
11.2. Podmiot przetwarzający może sporządzać kopie i/lub przechowywać Dane Osobowe w celu spełnienia wymogów prawnych lub regulacyjnych, w tym m.in. wymogów dotyczących retencji.
11.3. Podmiot przetwarzający w rozsądnym zakresie wesprze Administratora w spełnieniu obowiązku przeprowadzania ocen skutków dla ochrony danych (DPIA), uwzględniając charakter przetwarzania oraz informacje dostępne Podmiotowi przetwarzającemu.
11.4. Administrator powiadomi Podmiot przetwarzający w rozsądnym terminie o wszelkich zmianach właściwych przepisów, kodeksów lub regulacji dotyczących ochrony danych, które mogą mieć wpływ na obowiązki umowne Podmiotu przetwarzającego. Podmiot przetwarzający odpowie w rozsądnym czasie w odniesieniu do zmian, które należy wprowadzić w postanowieniach niniejszej DPA lub w środkach technicznych i organizacyjnych w celu utrzymania zgodności. Jeżeli Podmiot przetwarzający nie jest w stanie uwzględnić niezbędnych zmian, Administrator może zakończyć świadczenie tej części lub tych części Usług, które powodują niezgodność. W zakresie, w jakim pozostałe części świadczonych Usług nie są dotknięte takimi zmianami, świadczenie tych Usług pozostaje bez zmian.
11.5. Administrator i Podmiot przetwarzający oraz – w stosownych przypadkach – ich przedstawiciele, będą współpracować, na żądanie, z Organem nadzorczym przy wykonywaniu odpowiednich obowiązków wynikających z niniejszej DPA oraz Prawa ochrony danych.
12.1. Ograniczenia odpowiedzialności określone w Umowie mają zastosowanie do wszystkich roszczeń zgłaszanych w związku z naruszeniem postanowień niniejszej DPA.
12.2. Strony uzgadniają, że Podmiot przetwarzający ponosi odpowiedzialność za wszelkie naruszenia niniejszej DPA spowodowane działaniami i zaniechaniami lub niedbalstwem Podprzetwarzających w takim samym zakresie, w jakim Podmiot przetwarzający ponosiłby odpowiedzialność, gdyby świadczył usługi każdego Podprzetwarzającego bezpośrednio na podstawie postanowień DPA, z zastrzeżeniem ograniczeń odpowiedzialności określonych w Umowie.
12.3. Strony uzgadniają, że Administrator ponosi odpowiedzialność za wszelkie naruszenia niniejszej DPA spowodowane działaniami i zaniechaniami lub niedbalstwem jego Podmiotów powiązanych tak, jakby takie działania, zaniechania lub niedbalstwo zostały popełnione przez samego Administratora.
12.4. Administrator nie jest uprawniony do dochodzenia odszkodowania więcej niż jeden raz z tytułu tej samej szkody.
13.1. Podmiot przetwarzający będzie przetwarzać Dane Osobowe wyłącznie przez okres obowiązywania DPA. Okres obowiązywania niniejszej DPA rozpoczyna się w Dacie wejścia w życie Umowy i niniejsza DPA wygasa automatycznie wraz z rozwiązaniem lub wygaśnięciem Umowy.
14.1. Podmiot przetwarzający – według wyboru Administratora – po otrzymaniu pisemnego wniosku złożonego w ciągu 30 dni od zakończenia świadczenia Usług usunie Dane Osobowe lub zwróci je Administratorowi. W każdym przypadku Podmiot przetwarzający usunie wszystkie kopie Danych Osobowych ze swoich systemów w ciągu 1 roku od daty skutecznego rozwiązania Umowy lub dezaktywacji konta Administratora, chyba że właściwe przepisy prawa lub regulacje wymagają przechowywania Danych Osobowych po rozwiązaniu.
15.1. Niniejsza DPA stanowi całość porozumienia stron w odniesieniu do jej przedmiotu.
15.2. Jeżeli którekolwiek postanowienie niniejszej DPA jest nieważne lub stanie się nieważne, nie wpływa to na skuteczność pozostałych postanowień. Za uzgodnione uznaje się ważne postanowienie, które w największym stopniu odpowiada temu, co strony zamierzały z perspektywy gospodarczej, i które zastąpi postanowienie nieważne. To samo dotyczy ewentualnych luk.
15.3. Z zastrzeżeniem odmiennych postanowień SCC, niniejsza DPA podlega prawu Anglii i Walii. Sądy Anglii mają wyłączną jurysdykcję do rozstrzygania wszelkich sporów powstałych na tle niniejszej DPA.
15.4. Strony uzgadniają, że niniejsza DPA jest włączona do Umowy i podlega jej postanowieniom.
Wykaz stron, opis przetwarzania i transferu Danych Osobowych, właściwy Organ nadzorczy
A. Wykaz stron
| oznacza Klienta. | |
| Adres: | Zgodnie z danymi Klienta wskazanymi w Umowie. |
| Imię i nazwisko, stanowisko oraz dane kontaktowe osoby kontaktowej: | Zgodnie z danymi podanymi przez Klienta na koncie i wykorzystywanymi do celów powiadomień oraz fakturowania. |
| Zgodnie z danymi podanymi przez Klienta na koncie i wykorzystywanymi do celów powiadomień oraz fakturowania. | Korzystanie z Usług. |
| Podpis i data: | Z chwilą zawarcia Umowy Eksporter uznawany jest za stronę, która podpisała SCC włączone do niniejszej DPA wraz z ich Załącznikami, z dniem wejścia w życie Umowy. |
| Rola: | Administrator. |
| Imię i nazwisko przedstawiciela (jeśli dotyczy): | Każdy przedstawiciel w UK lub UE wskazany w polityce prywatności Eksportera. |
| oznacza Multiply Software Limited. | |
| Adres: | 2 Leman Street, London, E1W 9US, United Kingdom |
| Imię i nazwisko, stanowisko oraz dane kontaktowe osoby kontaktowej: | Julien Demoor Chief Executive Officer
|
| Działania związane z danymi przekazywanymi na podstawie SCC: | Świadczenie rozwiązań chmurowych na rzecz Eksportera, w ramach których Importer przetwarza Dane Osobowe zgodnie z instrukcjami Eksportera i na warunkach Umowy. |
| Podpis i data: | Z chwilą zawarcia Umowy Eksporter uznawany jest za stronę, która podpisała SCC włączone do niniejszej DPA wraz z ich Załącznikami, z dniem wejścia w życie Umowy. |
| Rola: | Podmiot przetwarzający. |
| Kategorie Osób, których dane dotyczą: | Pracownicy, agenci, doradcy, konsultanci, freelancerzy Administratora (będący osobami fizycznymi). Użytkownicy, Podmioty powiązane oraz inni uczestnicy upoważnieni przez Administratora do uzyskania dostępu do Usług lub korzystania z nich zgodnie z postanowieniami Umowy. |
| Kategorie Danych Osobowych: | Kategorie Danych Osobowych: Administrator może przekazywać Dane Osobowe do Usług – ich zakres jest ustalany i kontrolowany przez Administratora. Dane Osobowe obejmują w szczególności, lecz nie wyłącznie:
|
| Dane wrażliwe: | Żadne dane wrażliwe nie będą przetwarzane ani przekazywane i nie mogą znajdować się w treści e-maili ani w ich załącznikach. |
| Częstotliwość przetwarzania i przekazywania (np. czy dane są przekazywane jednorazowo czy w sposób ciągły): | W sposób ciągły przez okres obowiązywania Umowy. |
| Charakter przetwarzania: | Operacje przetwarzania obejmują w szczególności, lecz nie wyłącznie:
|
| Cel(e) transferu danych i dalszego przetwarzania: | Dane Osobowe są przekazywane podwykonawcom, którzy muszą przetwarzać część Danych Osobowych, aby świadczyć swoje usługi na rzecz Podmiotu przetwarzającego w ramach Usług świadczonych przez Podmiot przetwarzający na rzecz Administratora. |
| Okres, przez jaki Dane Osobowe będą przechowywane, a jeśli to niemożliwe – kryteria stosowane do ustalenia tego okresu: | O ile nie uzgodniono inaczej na piśmie – przez okres obowiązywania Umowy, z zastrzeżeniem punktu 14 DPA. |
| W przypadku transferów do (Pod-)przetwarzających należy również wskazać przedmiot, charakter i czas trwania przetwarzania: | Lista Podprzetwarzających opublikowana pod adresem: https://multiply.cloud/en/sub-processor-list/ zawiera informacje o Danych Osobowych przetwarzanych przez każdego Podprzetwarzającego oraz usługach świadczonych przez każdego Podprzetwarzającego. |
| Wskaż właściwy organ lub organy nadzorcze (np. zgodnie z klauzulą 13 SCC) | Gdy zastosowanie ma EU GDPR: irlandzki organ ochrony danych – Data Protection Commission (DPC). Gdy zastosowanie ma UK GDPR: brytyjski organ Information Commissioner’s Office (ICO). Gdy zastosowanie ma FADP: Swiss Federal Data Protection and Information Commissioner (FDPIC). |
Załącznik B
Techniczne i organizacyjne środki bezpieczeństwa
(w tym techniczne i organizacyjne środki zapewniające bezpieczeństwo danych)
Poniżej przedstawiono opis technicznych i organizacyjnych środków wdrożonych przez Podmiot przetwarzający (w tym odpowiednich certyfikacji) w celu zapewnienia odpowiedniego poziomu bezpieczeństwa, z uwzględnieniem charakteru, zakresu, kontekstu i celu przetwarzania oraz ryzyk dla praw i wolności osób fizycznych.
W stosownych przypadkach niniejszy Załącznik B będzie stanowić Załącznik II do SCC.
| Środek | Opis |
| Środki pseudonimizacji i szyfrowania Danych Osobowych | Na potrzeby kontroli transferu stosowana jest technologia szyfrowania. Odpowiedniość technologii szyfrowania jest oceniana w odniesieniu do celu ochrony. Zarchiwizowane dane Administratora są szyfrowane „w spoczynku” z wykorzystaniem szyfrowania AES256. Dane „w tranzycie” są chronione protokołem Transport Layer Security („TLS”). |
| Środki zapewniające ciągłą poufność, integralność, dostępność i odporność systemów oraz usług przetwarzania | Dostęp do danych niezbędnych do wykonania konkretnego zadania jest zapewniany w systemach i aplikacjach przez odpowiednie role i uprawnienia. Zgodnie z zasadami „least privilege” i „need-to-know” każda rola ma tylko takie uprawnienia, które są konieczne do realizacji zadania przypisanego danej osobie. W celu utrzymania kontroli dostępu do danych, w razie potrzeby – na podstawie ryzyka – do samych Danych Osobowych stosuje się nowoczesne technologie szyfrowania, aby chronić dane wrażliwe. |
| Procesy regularnego testowania, oceny i weryfikacji skuteczności technicznych i organizacyjnych środków zapewniających bezpieczeństwo przetwarzania | Podmiot przetwarzający przeprowadza liczne audyty wewnętrzne. Dąży do automatyzacji audytów, dlatego większość monitoringu infrastruktury jest zautomatyzowana, działa 24/7 i opiera się na różnych ramach (CIS, NEST itp.). Podmiot przetwarzający przeprowadza zewnętrzny audyt bezpieczeństwa i zgodności raz w roku kalendarzowym. |
| Środki identyfikacji i autoryzacji użytkowników | Zdalny dostęp do systemów przetwarzania danych jest możliwy wyłącznie poprzez bezpieczny tunel VPN Podmiotu przetwarzającego. Po uwierzytelnieniu w bezpiecznym tunelu VPN autoryzacja odbywa się poprzez podanie unikalnej nazwy użytkownika i hasła w centralnej usłudze katalogowej. Wszystkie próby dostępu – udane i nieudane – są rejestrowane i monitorowane. |
| Środki ochrony danych podczas transmisji | Dane „w tranzycie” są chronione protokołem Transport Layer Security („TLS”). |
| Środki ochrony danych podczas przechowywania | Dane Osobowe są przechowywane wyłącznie wewnętrznie oraz na serwerach centrów danych podmiotów trzecich. Zarchiwizowane dane Administratora są szyfrowane „w spoczynku”, a dane „w tranzycie” są chronione protokołem Transport Layer Security („TLS”). |
| Środki w zakresie wewnętrznego ładu IT oraz zarządzania i nadzoru bezpieczeństwa IT | Pracownicy są instruowani, aby gromadzić, przetwarzać i wykorzystywać Dane Osobowe wyłącznie w ramach i do celów swoich obowiązków (np. świadczenia usług). Na poziomie technicznym obsługa wielu klientów obejmuje rozdział funkcji oraz odpowiednie oddzielenie środowisk testowych i produkcyjnych. Dane Osobowe Administratora są przechowywane w sposób logicznie oddzielający je od danych innych klientów. |
| Środki zapewniające minimalizację danych | Jeżeli Dane Osobowe nie są już potrzebne do celów, dla których były przetwarzane, są niezwłocznie usuwane. Należy zauważyć, że przy każdym usunięciu Dane Osobowe są początkowo tylko blokowane, a następnie trwale usuwane po pewnym opóźnieniu. Ma to na celu zapobieganie przypadkowym usunięciom lub potencjalnym, celowym szkodom. |
| Środki zapewniające jakość danych | Wszystkie dane, które posiada Podmiot przetwarzający, są dostarczane przez Administratora. Podmiot przetwarzający nie ocenia jakości danych przekazywanych przez Administratora. Podmiot przetwarzający udostępnia w ramach produktu narzędzia raportowe, które pomagają Administratorowi zrozumieć i weryfikować przechowywane dane. |
| Środki zapewniające ograniczony okres przechowywania danych | Podmiot przetwarzający stosuje schemat klasyfikacji danych dla wszystkich danych, które przechowuje, a polityka retencji określa, jak długo przechowywany jest każdy typ danych. Po usunięciu rekordu zawierającego Dane Osobowe zostaje on trwale usunięty z aktywnych baz danych. Dane są przechowywane w kopiach zapasowych do czasu ich zastąpienia nowszymi kopiami zgodnie z polityką retencji danych. |
| Środki zapewniające rozliczalność | Podmiot przetwarzający dokonuje wewnętrznego przeglądu polityk bezpieczeństwa informacji co pół roku, aby upewnić się, że są nadal aktualne i przestrzegane. Wszyscy pracownicy obsługujący dane wrażliwe muszą potwierdzić zapoznanie się z politykami bezpieczeństwa informacji. Pracownicy ci są ponownie szkoleni w zakresie polityk bezpieczeństwa informacji raz w roku. Obowiązuje polityka dyscyplinarna dla pracowników, którzy nie przestrzegają polityk bezpieczeństwa informacji. |
| Środki, które ma podjąć (Pod-)przetwarzający, aby móc udzielić pomocy Administratorowi (a w przypadku transferów od Podmiotu przetwarzającego do Podprzetwarzającego – także Eksporterowi danych). | Przekazanie Danych Osobowych osobie trzeciej (np. klientom, podwykonawcom, dostawcom usług) następuje wyłącznie wtedy, gdy istnieje odpowiednia umowa – i tylko w określonych celach. Jeśli Dane Osobowe są przekazywane poza EOG, Podmiot przetwarzający zapewnia istnienie odpowiedniego poziomu ochrony danych w miejscu docelowym lub w organizacji docelowej zgodnie z unijnymi wymogami ochrony danych, np. poprzez stosowanie umów opartych na EU SCC. |
Załącznik C
Aneks dotyczący międzynarodowego transferu danych do standardowych klauzul umownych Komisji UE
WERSJA B1.0, obowiązuje od 21 marca 2022 r.
Niniejszy Aneks został wydany przez Information Commissioner dla stron dokonujących Transferów ograniczonych. Information Commissioner uznaje, że zapewnia on Odpowiednie Zabezpieczenia dla Transferów ograniczonych, gdy zostaje zawarty jako prawnie wiążąca umowa.
Część 1: Tabele
Tabela 1: Strony
| Data rozpoczęcia | Data określona w Załączniku I zatwierdzonych EU SCC. | - |
| Strony | Eksporter (który wysyła Transfer ograniczony) | Importer (który otrzymuje Transfer ograniczony) |
| Dane stron | Pełna nazwa prawna:. Główny adres: Oficjalny numer rejestracyjny (jeśli dotyczy) (numer spółki lub podobny identyfikator): | Pełna nazwa prawna: Główny adres: Oficjalny numer rejestracyjny (jeśli dotyczy) (numer spółki lub podobny identyfikator): |
| Główny kontakt | Imię i nazwisko (opcjonalnie): Stanowisko: Dane kontaktowe, w tym e-mail: | Imię i nazwisko (opcjonalnie): Stanowisko: Dane kontaktowe, w tym e-mail: |
| Podpis (jeśli wymagany do celów sekcji 2) | - | - |
Tabela 2: Wybrane SCC, moduły i wybrane klauzule
| Aneks EU SCC | zatwierdzone EU SCC, w tym informacje w dodatku, przy czym na potrzeby niniejszego Aneksu zastosowanie mają wyłącznie następujące moduły, klauzule lub postanowienia opcjonalne zatwierdzonych EU SCC: | ||||
| Moduł | Moduł w użyciu | Klauzula 11 (Opcja) | Klauzula 9a – ogólne upoważnienie | Klauzula 9a (okres) | Czy dane osobowe otrzymane od Importera są łączone z danymi osobowymi zebranymi przez Eksportera? |
| 1 | false | nieużywane | - | - | - |
| 2 | true | nieużywane | true | 30 dni | - |
| 3 | true | nieużywane | true | 30 dni | - |
| 4 | tak/nie | nieużywane | - | - | tak/nie |
Tabela 3: Informacje w dodatku
„Informacje w dodatku” oznaczają informacje, które muszą zostać podane dla wybranych modułów zgodnie z Dodatkiem do zatwierdzonych EU SCC (z wyłączeniem danych Stron) i które na potrzeby niniejszego Aneksu zostały wskazane w:
| Załącznik 1A: Wykaz stron: zgodnie z Załącznikiem I zatwierdzonych EU SCC |
| Załącznik 1B: Opis transferu: zgodnie z Załącznikiem I zatwierdzonych EU SCC |
| Załącznik II: Środki techniczne i organizacyjne, w tym środki techniczne i organizacyjne zapewniające bezpieczeństwo danych: zgodnie z Załącznikiem II zatwierdzonych EU SCC |
Tabela 4: Zakończenie obowiązywania niniejszego Aneksu w razie zmiany zatwierdzonego Aneksu
| Zakończenie obowiązywania niniejszego Aneksu w razie zmiany zatwierdzonego Aneksu | Które Strony mogą zakończyć obowiązywanie niniejszego Aneksu zgodnie z sekcją 19: Importer Eksporter |
Część 2: Klauzule obowiązkowe
Zawarcie niniejszego Aneksu
Interpretacja niniejszego Aneksu
| Aneks | Niniejszy Aneks dotyczący międzynarodowego transferu danych, na który składa się niniejszy Aneks obejmujący Aneks EU SCC. |
| Aneks EU SCC | Wersja(e) zatwierdzonych EU SCC, do których dołączono niniejszy Aneks, zgodnie z Tabelą 2, wraz z Informacjami w dodatku. |
| Informacje w dodatku | Zgodnie z Tabelą 3. |
| Odpowiednie Zabezpieczenia | Standard ochrony danych osobowych oraz praw osób, których dane dotyczą, wymagany przez przepisy UK Data Protection Laws w przypadku dokonywania Transferu ograniczonego w oparciu o standardowe klauzule ochrony danych na podstawie art. 46 ust. 2 lit. d UK GDPR. |
| Zatwierdzony Aneks | Wzór Aneksu wydany przez ICO i przedstawiony Parlamentowi zgodnie z s119A Data Protection Act 2018 dnia 2 lutego 2022 r., w brzmieniu zmienionym zgodnie z sekcją 18. |
| Zatwierdzone EU SCC | Standardowe klauzule umowne określone w załączniku do decyzji wykonawczej Komisji (UE) 2021/914 z dnia 4 czerwca 2021 r. |
| ICO | Information Commissioner. |
| Transfer ograniczony | Transfer objęty rozdziałem V UK GDPR. |
| UK | Zjednoczone Królestwo Wielkiej Brytanii i Irlandii Północnej. |
| UK Data Protection Laws | Wszelkie przepisy dotyczące ochrony danych, przetwarzania danych osobowych, prywatności i/lub komunikacji elektronicznej obowiązujące od czasu do czasu w UK, w tym UK GDPR oraz Data Protection Act 2018. |
| UK GDPR | Zgodnie z definicją w sekcji 3 Data Protection Act 2018. |
4. Niniejszy Aneks należy zawsze interpretować w sposób zgodny z UK Data Protection Laws oraz tak, aby realizował obowiązek Stron polegający na zapewnieniu Odpowiednich Zabezpieczeń.
Jeżeli postanowienia zawarte w Aneksie EU SCC zmieniają zatwierdzone SCC w sposób niedozwolony na podstawie zatwierdzonych EU SCC lub Zatwierdzonego Aneksu, takie zmiany nie zostaną włączone do niniejszego Aneksu, a w ich miejsce zastosowanie będą miały równoważne postanowienia zatwierdzonych EU SCC.
Jeżeli występuje jakakolwiek niespójność lub sprzeczność pomiędzy UK Data Protection Laws a niniejszym Aneksem, zastosowanie mają UK Data Protection Laws.
Jeżeli znaczenie niniejszego Aneksu jest niejasne lub istnieje więcej niż jedno możliwe znaczenie, zastosowanie ma to znaczenie, które najbardziej odpowiada UK Data Protection Laws.
Wszelkie odniesienia do ustawodawstwa (lub konkretnych przepisów ustawodawstwa) oznaczają to ustawodawstwo (lub przepis) w brzmieniu zmienianym w czasie. Dotyczy to sytuacji, gdy to ustawodawstwo (lub przepis) zostało skonsolidowane, ponownie uchwalone i/lub zastąpione po zawarciu niniejszego Aneksu.
Hierarchia
Chociaż klauzula 5 zatwierdzonych EU SCC stanowi, że zatwierdzone EU SCC mają pierwszeństwo przed wszelkimi powiązanymi umowami między stronami, strony uzgadniają, że w przypadku Transferów ograniczonych obowiązuje hierarchia określona w sekcji 10.
Jeżeli występuje jakakolwiek niespójność lub sprzeczność pomiędzy Zatwierdzonym Aneksem a Aneksem EU SCC (w stosownych przypadkach), Zatwierdzony Aneks ma pierwszeństwo przed Aneksem EU SCC, chyba że (i w zakresie, w jakim) niespójne lub sprzeczne postanowienia Aneksu EU SCC zapewniają osobom, których dane dotyczą, wyższy poziom ochrony – wówczas te postanowienia mają pierwszeństwo przed Zatwierdzonym Aneksem.
Jeżeli niniejszy Aneks włącza Aneks EU SCC zawarty w celu ochrony transferów podlegających ogólnemu rozporządzeniu o ochronie danych (UE) 2016/679, Strony potwierdzają, że nic w niniejszym Aneksie nie wpływa na te Aneksy EU SCC.
Włączenie i zmiany EU SCC
a. łącznie działały dla transferów danych dokonywanych przez eksportera danych na rzecz importera danych, w zakresie, w jakim UK Data Protection Laws mają zastosowanie do przetwarzania eksportera danych przy dokonywaniu tego transferu, oraz aby zapewniały Odpowiednie Zabezpieczenia dla tych transferów;
b. sekcje 9 do 11 zastępowały klauzulę 5 (Hierarchia) Aneksu EU SCC; oraz
c. niniejszy Aneks (w tym Aneks EU SCC włączony do niego) (1) podlegał prawu Anglii i Walii oraz (2) wszelkie spory z niego wynikające były rozstrzygane przez sądy Anglii i Walii – w każdym przypadku, o ile Strony wyraźnie nie wybrały prawa i/lub sądów Szkocji lub Irlandii Północnej.
O ile Strony nie uzgodniły alternatywnych zmian spełniających wymogi sekcji 12, zastosowanie mają postanowienia sekcji 15.
Nie można wprowadzać żadnych zmian do zatwierdzonych EU SCC innych niż te, które są niezbędne do spełnienia wymogów sekcji 12.
Następujące zmiany Aneksu EU SCC (na potrzeby sekcji 12) zostają wprowadzone:
a. Odniesienia do „Klauzul” oznaczają niniejszy Aneks, obejmujący Aneks EU SCC;
b. W klauzuli 2 usuwa się słowa:
„and, with respect to data transfers from controllers to processors and/or processors to processors, standard contractual clauses pursuant to Article 28(7) of Regulation (EU) 2016/679”;
c. Klauzula 6 (Opis transferu(-ów)) zostaje zastąpiona następującym brzmieniem:
„Szczegóły transferu(-ów), a w szczególności kategorie przekazywanych danych osobowych oraz cel(e) ich przekazania, są tymi określonymi w Załączniku I.B, w przypadku gdy UK Data Protection Laws mają zastosowanie do przetwarzania eksportera danych przy dokonywaniu tego transferu.”;
d. Klauzula 8.7(i) Modułu 1 zostaje zastąpiona następującym brzmieniem:
„jest to państwo objęte przepisami o adekwatności zgodnie z sekcją 17A UK GDPR, które obejmują dalszy transfer”;
e. Klauzula 8.8(i) Modułów 2 i 3 zostaje zastąpiona następującym brzmieniem:
„dalszy transfer jest do państwa objętego przepisami o adekwatności zgodnie z sekcją 17A UK GDPR, które obejmują dalszy transfer;”
f. Odniesienia do „Regulation (EU) 2016/679”, „Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)” oraz „that Regulation” zostają zastąpione przez „UK Data Protection Laws”. Odniesienia do konkretnych artykułów „Regulation (EU) 2016/679” zostają zastąpione przez odpowiadający im artykuł lub sekcję UK Data Protection Laws;
g. Usuwa się odniesienia do rozporządzenia (UE) 2018/1725;
h. Odniesienia do „European Union”, „Union”, „EU”, „EU Member State”, „Member State” oraz „EU or Member State” zostają zastąpione przez „UK”;
i. Odniesienie do „Clause 12(c)(i)” w klauzuli 10(b)(i) Modułu 1 zostaje zastąpione przez „Clause 11(c)(i)”;
j. Klauzula 13(a) oraz część C Załącznika I nie są używane;
k. „competent supervisory authority” oraz „supervisory authority” zostają zastąpione przez „Information Commissioner”;
l. W klauzuli 16(e) podpunkt (i) zostaje zastąpiony następującym brzmieniem:
„Secretary of State wydaje regulacje zgodnie z sekcją 17A Data Protection Act 2018, które obejmują transfer danych osobowych, do którego mają zastosowanie niniejsze klauzule;”;
m. Klauzula 17 zostaje zastąpiona następującym brzmieniem:
„Niniejsze Klauzule podlegają prawu Anglii i Walii.”;
n. Klauzula 18 zostaje zastąpiona następującym brzmieniem:
„Wszelkie spory wynikające z niniejszych Klauzul będą rozstrzygane przez sądy Anglii i Walii. Osoba, której dane dotyczą, może również wytoczyć powództwo przeciwko eksporterowi danych i/lub importerowi danych przed sądem dowolnego kraju w UK. Strony zgadzają się poddać jurysdykcji tych sądów.”; oraz
o. Przypisy do zatwierdzonych EU SCC nie stanowią części Aneksu, z wyjątkiem przypisów 8, 9, 10 i 11.
Zmiany niniejszego Aneksu
Strony mogą uzgodnić zmianę klauzul 17 i/lub 18 Aneksu EU SCC tak, aby odnosiły się do prawa i/lub sądów Szkocji lub Irlandii Północnej.
Jeżeli Strony chcą zmienić format informacji zawartych w Części 1: Tabele Zatwierdzonego Aneksu, mogą to zrobić, uzgadniając zmianę na piśmie, pod warunkiem że zmiana nie obniży poziomu Odpowiednich Zabezpieczeń.
Od czasu do czasu ICO może wydać zaktualizowany Zatwierdzony Aneks, który:
a. wprowadza rozsądne i proporcjonalne zmiany do Zatwierdzonego Aneksu, w tym poprawia błędy w Zatwierdzonym Aneksie; i/lub
b. odzwierciedla zmiany w UK Data Protection Laws; Zaktualizowany Zatwierdzony Aneks określi datę rozpoczęcia, od której zmiany do Zatwierdzonego Aneksu są skuteczne, oraz to, czy Strony muszą dokonać przeglądu niniejszego Aneksu, w tym Informacji w dodatku. Niniejszy Aneks zostaje automatycznie zmieniony zgodnie z treścią zaktualizowanego Zatwierdzonego Aneksu od wskazanej daty rozpoczęcia.
a. bezpośrednich kosztów realizacji obowiązków wynikających z Aneksu; i/lub
b. ryzyka ponoszonego w związku z Aneksem,
i w każdym przypadku wcześniej podjęła rozsądne kroki w celu ograniczenia tych kosztów lub ryzyk tak, aby nie były znaczące i nieproporcjonalne, wówczas ta Strona może zakończyć obowiązywanie niniejszego Aneksu po upływie rozsądnego okresu wypowiedzenia, przekazując drugiej Stronie pisemne wypowiedzenie obejmujące ten okres przed datą rozpoczęcia obowiązywania zaktualizowanego Zatwierdzonego Aneksu.
Wow! Multiply
zwiększył liczbę wygranych w Buy Box do 80%, zwiększył sprzedaż o 32% i zwiększył zyski tam, gdzie nie mamy konkurencji. Okres próbny zakończony — teraz w pełni wykupiona subskrypcja. Wielkie dzięki!
Zacznij w zaledwie kilka kliknięć!
Odblokuj narzędzia, których potrzebujesz