Umowa o przetwarzaniu danych CiviCRM Spark

Natomiast

• (A) Spółka działa jako Podmiot przetwarzający dane.
• (B) Klient działa jako Administrator Danych.
• (C) Strony chcą zlecić podwykonawcom niektóre Usługi, które wiążą się z przetwarzaniem danych osobowych.
• (D) Strony dążą do wdrożenia umowy powierzenia przetwarzania danych, która jest zgodna z wymogami obecnych ram prawnych w odniesieniu do przetwarzania danych oraz z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych, oraz uchylająca dyrektywę 95/46/WE (ogólne rozporządzenie o ochronie danych).
• (E) Strony pragną określić swoje prawa i obowiązki.

UZGODNIONO, CO NASTĘPUJE:

• 1. Definicje i interpretacja
• 1.1 O ile nie określono inaczej w niniejszym
• 1.1.1 “Umowa” oznacza niniejszą Umowę o przetwarzaniu danych i wszystkie Harmonogramy;
• 1.1.2 “Dane osobowe Spółki” oznaczają wszelkie Dane Osobowe przetwarzane przez Zakontraktowany Podmiot Przetwarzający w imieniu Spółki na podstawie lub w związku z Umową Główną;
• 1.1.3 “Zakontraktowany podmiot przetwarzający” oznacza Podwykonawcę Przetwarzania;
• 1.1.4 “Przepisy o ochronie danych” oznaczają przepisy UE o ochronie danych oraz, w odpowiednim zakresie, przepisy dotyczące ochrony danych lub prywatności w dowolnym innym kraju;
• 1.1.5 “EOG” oznacza Europejski Obszar Gospodarczy;
• 1.1.6 “Przepisy UE o ochronie danych” oznaczają dyrektywę UE 95/46/WE, transponowaną do ustawodawstwa krajowego każdego państwa członkowskiego i z późniejszymi zmianami, zastępowanymi lub zastępowanymi, w tym przez RODO i przepisy wdrażające lub uzupełniające RODO
• 1.1.7 “RODO” oznacza ogólne rozporządzenie UE o ochronie danych 2016/679;
• 1.1.8 “Przekazywanie danych” oznacza:
• 1.1.8.1 przekazywanie Danych Osobowych Spółki ze Spółki do Zakontraktowanego Podmiotu Przetwarzającego; lub
• 1.1.8.2 dalsze przekazywanie Danych Osobowych Spółki od Podmiotu Przetwarzającego na Zlecenie do Podwykonawcy Przetwarzania lub między dwoma zakładami Podmiotu Przetwarzającego Na Zlecenie, w każdym przypadku, gdy takie przekazanie byłoby zabronione przez Przepisy o Ochronie Danych (lub przez warunki umów o przekazywaniu danych wprowadzone w celu rozwiązania ograniczeń przekazywania danych określonych w Przepisach o Ochronie Danych);
• 1.1.9 “Usługi” lub “Usługa subskrypcyjna” oznaczają usługi CiviCRM Spark świadczone przez Spółkę.
• 1.1.10 “Podwykonawca Przetwarzania” oznacza każdą osobę wyznaczoną przez lub w imieniu Podmiotu Przetwarzającego do przetwarzania Danych Osobowych w imieniu Spółki w związku z Umową.
• 1.2 Terminy “Komisja”, “Administrator”, “Osoba, której dane dotyczą”, “Państwo Członkowskie”, “Dane osobowe”, “Naruszenie ochrony danych osobowych”, “Przetwarzanie” i “Organ nadzorczy” mają takie samo znaczenie jak w RODO, a ich pokrewne terminy należy interpretować odpowiednio.

• 2. Obowiązki związane z przetwarzaniem danych osobowych Spółki
• 2.1 Strony:
• 2.1.1 Przestrzegać wszystkich obowiązujących przepisów o ochronie danych podczas przetwarzania danych osobowych.
• 2.1.2 Spółka zleca Podmiotowi przetwarzającemu przetwarzanie Danych Osobowych w zakresie celu oprogramowania.
• 2.2. Biorąc pod uwagę, że wszystkie Dane Osobowe przechowywane przez Podmiot Przetwarzający Dane są dostarczane przez Klienta:
• 2.2.1 W ramach Umowy i korzystania z usług Klient będzie odpowiedzialny za przestrzeganie wszystkich wymogów, które mają do niego zastosowanie zgodnie z obowiązującymi przepisami o ochronie danych w odniesieniu do przetwarzania danych osobowych i Instrukcji, które wydaje Spółce.
• 2.2.2 W szczególności, ale bez uszczerbku dla ogólnego charakteru powyższego, Klient przyjmuje do wiadomości i zgadza się ponosić wyłączną odpowiedzialność za: (i) dokładność, jakość i legalność Danych Klienta oraz środki, za pomocą których Dane Osobowe są pozyskiwane; (ii) przestrzeganie wszystkich niezbędnych wymogów dotyczących przejrzystości i zgodności z prawem wynikających z obowiązujących przepisów o ochronie danych w zakresie gromadzenia i wykorzystywania Danych Osobowych, w tym uzyskiwanie wszelkich niezbędnych zgód i upoważnień (w szczególności do wykorzystania przez Klienta w celach marketingowych); (iii) zapewnienie prawa do przekazywania lub udostępniania Danych Osobowych Spółce w celu przetwarzania zgodnie z warunkami Umowy (w tym niniejszą Umową powierzenia); (iv) zapewnienie, że Instrukcje przekazane Spółce dotyczące przetwarzania danych osobowych są zgodne z obowiązującymi przepisami prawa, w tym z przepisami o ochronie danych; oraz (v) przestrzeganie wszystkich przepisów prawa (w tym przepisów o ochronie danych) mających zastosowanie do wszelkich wiadomości e-mail lub innych treści tworzonych, wysyłanych lub zarządzanych za pośrednictwem Usług subskrypcyjnych, w tym dotyczących uzyskiwania zgód (w razie potrzeby) na wysyłanie wiadomości e-mail, treści wiadomości e-mail i praktyk wdrażania poczty e-mail. Klient poinformuje Spółkę bez zbędnej zwłoki, jeśli nie będzie w stanie wywiązać się ze swoich obowiązków.

• 3. Personel procesora
• 3.1 Podmiot przetwarzający podejmie uzasadnione kroki w celu zapewnienia wiarygodności każdego pracownika, agenta lub kontrahenta dowolnego Podmiotu przetwarzającego, który może mieć dostęp do Danych Osobowych Spółki zapewnienie w każdym przypadku, że dostęp jest ściśle ograniczony do tych osób, które muszą znać / uzyskiwać dostęp do odpowiednich Danych Osobowych Spółki, jeśli jest to absolutnie niezbędne do celów Umowy Głównej, oraz do przestrzegania Obowiązujących przepisów prawa w kontekście obowiązków tej osoby wobec Zakontraktowanego Podmiotu Przetwarzającego, zapewniając, że wszystkie takie osoby podlegają zobowiązaniom do zachowania poufności lub zawodowym lub ustawowym zobowiązaniom do zachowania poufności.

• 4. Bezpieczeństwo
• 4.1 Biorąc pod uwagę najlepsze praktyki, koszty wdrożenia oraz charakter, zakres, kontekst i cele Przetwarzania, a także ryzyko różnego prawdopodobieństwa i dotkliwości dla praw i wolności osób fizycznych, Podmiot przetwarzający w odniesieniu do Danych Osobowych Spółki wdroży odpowiednie środki techniczne i organizacyjne w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do tego ryzyka, w tym, w stosownych przypadkach, środki, o których mowa w art. 32 ust. 1 RODO.
• 4.2 Oceniając odpowiedni poziom bezpieczeństwa, Podmiot przetwarzający bierze pod uwagę w szczególności ryzyko związane z Przetwarzaniem, w szczególności wynikające z Naruszenia Ochrony Danych Osobowych.

• 5. Podwykonawstwo przetwarzania
• 5.1 Zgoda na zaangażowanie Podwykonawcy Przetwarzania. Podczas gdy Spółka ogranicza w jak największym stopniu korzystanie z Podwykonawców Przetwarzania, Klient wyraźnie upoważnia Podwykonawców Przetwarzania Danych Osobowych w ich imieniu. Podwykonawcy przetwarzania są zwykle ograniczeni do przetwarzania płatności, wysyłania wiadomości e-mail lub innych funkcji bezpośrednio związanych z samym CiviCRM. Spółka wyznaczyła obecnie jako Podwykonawców Przetwarzania, strony trzecie wymienione w Załączniku 1 do niniejszej Umowy powierzenia. Firma powiadomi Klienta, jeśli Podwykonawca Przetwarzania zostanie dodany lub zastąpiony, co najmniej 30 dni przed takimi zmianami, jeśli Klient wyrazi zgodę na otrzymywanie takich wiadomości e-mail przed takimi zmianami. Kliknij tutaj, aby wyrazić zgodę.
• 5.2 W przypadku, gdy Spółka angażuje Podwykonawców Przetwarzania, warunki ochrony danych na Podwykonawcach Przetwarzania zapewnią co najmniej taki sam poziom ochrony Danych Osobowych, jak te w niniejszej Umowie powierzenia (w tym, w stosownych przypadkach, Standardowe Klauzule Umowne), w zakresie mającym zastosowanie do charakteru usług świadczonych przez takich Podwykonawców Przetwarzania. Spółka pozostaje odpowiedzialna za zgodność Podwykonawców Przetwarzania.
• 5.3 Klient ponosi odpowiedzialność za każdego innego Podwykonawcę Przetwarzania, z którym współpracuje.

• 6. Wnioski osób, których dane dotyczą
• 6.1 Usługa subskrypcji zapewnia użytkownikowi szereg mechanizmów kontroli, które można wykorzystać do pobierania, poprawiania, usuwania lub ograniczania Danych osobowych, z których Klient może skorzystać, aby pomóc mu w związku z jego obowiązkami wynikającymi z przepisów o ochronie danych, w tym obowiązkami związanymi z odpowiadaniem na wnioski osób, których dane dotyczą, o skorzystanie z ich praw wynikających z obowiązujących przepisów o ochronie danych (“Wnioski osób, których dane dotyczą”).
• 6.2 W zakresie, w jakim Klient nie jest w stanie samodzielnie odpowiedzieć na Wniosek Osoby, której dane dotyczą, za pośrednictwem Usługi subskrypcji, wówczas na pisemny wniosek Użytkownika Spółka zapewni uzasadnioną pomoc, aby pomóc Klientowi odpowiedzieć na wszelkie Wnioski Osoby, której dane dotyczą, lub wnioski organów ochrony danych dotyczące Przetwarzania Danych Osobowych w ramach Umowy. Klient zwróci Spółce koszty uzasadnione z handlowego punktu widzenia wynikające z tej pomocy.
• 6.3 Jeśli wniosek osoby, której dane dotyczą, lub inna komunikacja dotycząca przetwarzania danych osobowych w ramach Umowy zostanie przekazana bezpośrednio Spółce, Spółka niezwłocznie poinformuje Klienta i doradzi Osobie, której dane dotyczą, aby złożyła wniosek do Klienta. Klient ponosi wyłączną odpowiedzialność za merytoryczną odpowiedź na wszelkie takie Wnioski osoby, których dane dotyczą, lub komunikaty dotyczące Danych Osobowych.

• 7. Naruszenie ochrony danych osobowych
• 7.1 Wszystkie strony powiadomią drugą stronę bez zbędnej zwłoki, gdy Podmiot przetwarzający dowie się o naruszeniu ochrony danych osobowych mającym wpływ na Dane osobowe, dostarczając drugiej stronie wystarczających informacji, aby umożliwić wszystkim stronom wywiązanie się z wszelkich zobowiązań do zgłaszania lub informowania osób, których dane dotyczą, o naruszeniu ochrony danych osobowych zgodnie z przepisami o ochronie danych.
• 7.2 Wszystkie strony będą współpracować i podejmować uzasadnione kroki handlowe, aby pomóc w dochodzeniu, łagodzeniu i naprawianiu każdego takiego Naruszenia Danych Osobowych.

• 8. Ocena skutków dla ochrony danych i uprzednie konsultacje z organami nadzorczymi.
• 8.1. Spółka zapewni Klientowi uzasadnioną pomoc we wszelkich ocenach skutków dla ochrony danych, oraz uprzednie konsultacje z Organami Nadzoru lub innymi właściwymi organami ds. prywatności danych, które Klient zasadnie uważa za wymagane przez art. 35 lub 36 RODO lub równoważne przepisy jakiejkolwiek innej ustawy o ochronie danych, w każdym przypadku wyłącznie w związku z Przetwarzaniem Danych Osobowych przez, oraz biorąc pod uwagę charakter Przetwarzania i dostępne informacje, Zakontraktowani przetwórcy.

• 9. Usunięcie lub zwrot danych osobowych

• 9.1 Spółka usunie lub zwróci wszystkie Dane Klienta, w tym Dane Osobowe (w tym ich kopie) Przetwarzane zgodnie z niniejszą Umową po zakończeniu lub wygaśnięciu Usługi Subskrypcji zgodnie z naszymi Warunkami Specyficznymi dla Produktu. Niniejszy warunek ma zastosowanie z wyjątkiem sytuacji, gdy obowiązujące prawo zobowiązuje Nas do zachowania niektórych lub wszystkich Danych Klienta lub gdy zarchiwizowaliśmy Dane Klienta w systemach kopii zapasowych, które to dane będziemy bezpiecznie izolować i chronić przed dalszym Przetwarzaniem i usuwać zgodnie z naszymi praktykami usuwania. Możesz poprosić o usunięcie swojego hostingu CiviCRM Spark po wygaśnięciu lub zakończeniu subskrypcji, wysyłając prośbę do spark@civicrm.org. Możesz pobrać swoje Dane Klienta z usługi CiviCRM Spark, pobierając kopię zapasową z interfejsu administracyjnego CiviCRM.

• 10. Wykazanie zgodności, prawa do audytu

• 10.1 Spółka udostępni Klientowi na żądanie wszelkie informacje niezbędne do wykazania zgodności z niniejszą Umową oraz umożliwi i przyczyni się do audytów audytora upoważnionego przez Klienta w związku z Przetwarzaniem Danych Osobowych przez Zakontraktowanych Podmiotów Przetwarzających.
• 10.2 Na pisemny wniosek Klienta Spółka udzieli pisemnych odpowiedzi (na zasadzie poufności) na wszystkie uzasadnione prośby o informacje złożone przez Użytkownika niezbędne do potwierdzenia zgodności z niniejszą Umową powierzenia, pod warunkiem, że Klient nie skorzysta z tego prawa częściej niż raz w roku kalendarzowym, chyba że Klient ma uzasadnione podstawy, aby podejrzewać nieprzestrzeganie DPA.

• 11. Przekazywanie danych
• 11.1 Spółka nie może przekazywać ani zezwalać na przekazywanie Danych do krajów spoza UE i/lub Europejskiego Obszaru Gospodarczego (EOG) bez uprzedniej pisemnej zgody Klienta. Jeżeli dane osobowe przetwarzane na mocy niniejszej Umowy są przekazywane z kraju w Europejskim Obszarze Gospodarczym do kraju spoza Europejskiego Obszaru Gospodarczego, Strony zapewniają odpowiednią ochronę danych osobowych. Aby to osiągnąć, Strony, o ile nie uzgodniono inaczej, opierają się na zatwierdzonych przez UE standardowych klauzulach umownych dotyczących przekazywania danych osobowych.

• 12. Warunki ogólne
• 12.1 Poufność. Każda ze Stron musi zachować w tajemnicy niniejszą Umowę i informacje, które otrzymuje na temat drugiej Strony i jej działalności w związku z niniejszą Umową (“Informacje Poufne”) i nie może wykorzystywać ani ujawniać tych Informacji Poufnych bez uprzedniej pisemnej zgody drugiej Strony, z wyjątkiem zakresu, w jakim: (a) ujawnienie jest wymagane przez prawo; b) odpowiednie informacje są już publicznie dostępne.
• 12.2 Powiadomienia. Wszystkie powiadomienia i komunikaty przekazywane na mocy niniejszej Umowy muszą mieć formę pisemną i będą dostarczane osobiście, wysyłane pocztą elektroniczną na adres e-mail podany w nagłówku niniejszej Umowy na inny adres, o którym Strony informowały od czasu do czasu zmieniając adres.

• 13. Prawo właściwe i jurysdykcja
• 13.1 Niniejsze klauzule podlegają prawu jednego z państw członkowskich UE, pod warunkiem że takie prawo zezwala na prawa beneficjenta będącego osobą trzecią. Strony uzgadniają, że niniejsze klauzule będą regulowane zgodnie z “Podmiotem Zamawiającym; Prawo właściwe; Sekcja “Zawiadomienie” Warunków szczególnych dotyczących jurysdykcji lub, jeśli taka sekcja nie określa państwa członkowskiego UE, zgodnie z prawem Republiki Irlandii (bez odniesienia do zasad kolizji prawa)
• 13.2 Wszelkie spory wynikające z niniejszych klauzul będą rozstrzygane przez sądy Państwa Członkowskiego UE.

Wykaz podwykonawców przetwarzania