Ostatnia zmiana: 8 sierpnia 2023 r. | Poprzednie wersje
Jibe i druga strona akceptująca ten aneks („Partner”) zawarły umowę na świadczenie Usług Podmiotu przetwarzającego (zwane okresowo „Umową”).
Aneks o przetwarzaniu danych (wraz z załącznikami „Aneks dotyczący przetwarzania danych”) zostaje wprowadzony przez Jibe i Partnera oraz stanowi uzupełnienie Umowy. Aneks o przetwarzaniu danych zacznie obowiązywać z dniem wejścia w życie Warunków i zastąpi wszelkie obowiązujące w danym czasie warunki związane z ich przedmiotem (w tym wszelkie warunki przetwarzania i zabezpieczania danych dotyczące Usług Podmiotu przetwarzającego).
Osoba akceptująca ten Aneks o przetwarzaniu danych w imieniu Partnera zapewnia, że: (a) jest w pełni uprawniony do podjęcia w imieniu Partnera zobowiązań wynikających z tego Aneksu o przetwarzaniu danych, (b) zapoznał się z tym Aneksem o przetwarzaniu danych i zrozumiał go oraz (c) w imieniu Partnera zgadza się na postanowienia tego Aneksu dotyczącego przetwarzania danych. Jeśli Użytkownik nie ma pełnomocnictwa do przyjmowania zobowiązań w imieniu Partnera, nie powinien akceptować tego Aneksu dotyczącego przetwarzania danych.
1. Wprowadzenie
Niniejszy Aneks o przetwarzaniu danych odzwierciedla porozumienie stron dotyczące warunków związanych z przetwarzaniem i zabezpieczaniem określonych danych w związku z Europejskim ustawodawstwem dotyczącym ochrony danych i Pozaeuropejskim ustawodawstwem dotyczącym ochrony danych.
2. Definicje i ich interpretacja
2.1. W tym Aneksie dotyczącym przetwarzania danych:
„Usługa dodatkowa” oznacza produkt, usługę lub aplikację świadczoną przez Jibe lub osobę trzecią, które (a) nie są częścią Usług Podmiotu przetwarzającego oraz (b) są dostępne do użytku w interfejsie Usług Podmiotu przetwarzającego lub są w inny sposób zintegrowane z tymi usługami.
„Dodatkowe warunki związane z Pozaeuropejskim ustawodawstwem dotyczącym ochrony danych” to dodatkowe warunki wymienione w Dodatku 3, które odzwierciedlają postanowienia umowy między stronami dotyczące przetwarzania określonych danych w związku z określonymi przepisami Pozaeuropejskiego ustawodawstwa dotyczącego ochrony danych.
„Kraj o odpowiednim stopniu ochrony” to:
(a) w przypadku danych przetwarzanych zgodnie z RODO (UE): EOG albo kraj lub region uznany za zapewniający odpowiednią ochronę danych w ramach RODO (UE);
(b) w przypadku danych przetwarzanych zgodnie z RODO (Wielka Brytania): kraj lub region uznany za zapewniający odpowiednią ochronę danych w ramach RODO (Wielka Brytania) i Ustawy o ochronie danych osobowych z 2018 r. lub
(c) w przypadku danych przetwarzanych zgodnie z przepisami szwajcarskiej FDPA (Szwajcarii) albo państwa lub terytorium, które (i) jest na liście stanów, które zapewniają odpowiedni poziom ochrony wydany przez szwajcarską Federalną Komisję ds. Ochrony Danych i Informacji (ii) zostało uznane za zapewniającą odpowiednią ochronę danych przez Szwajcarską Federalną Radę Federalną (FDPA),
„Alternatywne rozwiązanie w zakresie przesyłania danych” to rozwiązanie inne niż Standardowe klauzule umowne, które umożliwia legalne przekazywanie danych osobowych do kraju trzeciego, zgodnie z Europejskim ustawodawstwem dotyczącym ochrony danych, np. platforma do ochrony danych uznana za zapewniającą tym podmiotom odpowiednią ochronę.
„Incydent danych” oznacza naruszenie bezpieczeństwa Jibe, które prowadzi do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmiany, nieuprawnionego ujawnienia albo dostępu do Danych osobowych partnera w systemach zarządzanych przez Jibe lub w inny sposób kontrolowane. „Incydenty danych” nie obejmują nieudanych prób lub działań, które nie zagrażają bezpieczeństwu danych osobowych partnera, w tym nieudanych prób logowania, pingów, skanów portów, ataków typu „odmowa usługi” ani innych ataków sieciowych na zaporach sieciowych lub systemach sieciowych.
„Narzędzie do analizy danych” oznacza narzędzie (jeśli jest dostępne) udostępniane przez podmiot Jibe dla podmiotów danych, które umożliwia Jibe reagowanie bezpośrednio i w ujednolicony sposób na odpowiedzi na określone żądania osób, których dotyczą dane, w odniesieniu do danych osobowych partnerów (na przykład w ustawieniach reklam online lub przez wtyczkę do rezygnacji).
„EOG” to Europejski Obszar Gospodarczy.
„RODO (UE)” to Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
„Europejskie ustawodawstwo dotyczące ochrony danych” to, stosownie do przypadku: (a) RODO lub (b) szwajcarskie przepisy FDPA.
„Prawo europejskie” oznacza, stosownie do przypadku: (a) prawo UE lub państwa członkowskiego UE (jeśli unijne rozporządzenie RODO ma zastosowanie do przetwarzania Danych osobowych Partnera) lub (b) prawo brytyjskie albo obowiązujące w części Wielkiej Brytanii (jeśli rozporządzenie RODO (Wielka Brytania) ma zastosowanie do przetwarzania Danych osobowych Partnera).
„RODO” oznacza, stosownie do przypadku: (a) RODO (UE) lub (b) RODO (Wielka Brytania).
„Jibe” oznacza Podmiot Jibe będący stroną Umowy.
„Jibe Podmiot” oznacza Jibe Mobile, Inc., Jibe Mobile Limited lub jakikolwiek inny podmiot, który pośrednio lub bezpośrednio kontroluje ten podmiot, pośrednio lub bezpośrednio pozostaje w ramach kontroli nad Jibe Mobile, Inc.
„Certyfikat ISO 27001” oznacza certyfikat ISO/IEC 27001:2013 lub porównywalny certyfikat dla Usług Podmiotu przetwarzającego.
„Nowy podmiot przetwarzający dane” ma znaczenie określone w artykule 11.1 (Zgoda na zaangażowanie Podwykonawcy podmiotu przetwarzającego dane osobowe).
„Pozaeuropejskie ustawodawstwo dotyczące ochrony danych” to przepisy dotyczące ochrony danych i prywatności obowiązujące poza EOG, Szwajcarią i Wielką Brytanią.
„Adres e-mail do powiadomień” oznacza adres e-mail (jeśli go podano): (i) przekazany przez Partnera firmie Jibe lub (ii) wyznaczony przez Partnera za pomocą interfejsu Usług podmiotu przetwarzającego dane albo za pomocą innych środków przekazanych przez Jibe, aby otrzymywać określone powiadomienia od firmy Jibe dotyczące niniejszego Aneksu o przetwarzaniu danych. W celu uniknięcia wątpliwości partner ponosi odpowiedzialność za przekazanie Jibe adresu e-mail do powiadomień oraz powiadomienie Jibe o wszelkich zmianach dotyczących tego adresu.
„Dane osobowe Partnera” to dane osobowe, które są przetwarzane przez Jibe w imieniu Partnera w ramach świadczenia usług Podmiotu przetwarzającego.
„Standardowe klauzule umowne dotyczące partnerów” oznaczają Standardowe klauzule umowne dotyczące przetwarzania danych (związki między administratorem danych a podmiotem przetwarzającym), a także, w stosownych przypadkach, standardowe klauzule umowne (dotyczące podmiotów przetwarzających dane)
„Usługi związane z przetwarzaniem danych” oznaczają usługi komunikacji biznesowej RCS (opisane na stronie developers.google.com/business-communications/rcs-business-messaging).
„Standardowe klauzule umowne” oznaczają odpowiednie SKU i odpowiednie klauzule umowne dotyczące podmiotów przetwarzających (podmiot przetwarzający dane, przetwarzający, Jibe Exporter).
„Standardowe klauzule umowne dotyczące przetwarzania danych” oznaczają warunki podane na stronie business.safety.google/gdprcontrollerterms/sccs/eu-c2p-dpa.
„Standardowe klauzule umowne dotyczące przetwarzania danych” oznaczają warunki podane na stronie business.safety.google/gdprprocessorterms/sccs/p2c.
„Standardowe klauzule umowne dotyczące przetwarzania danych” oznaczają warunki podane na stronie business.safety.google/gdprprocessorterms/sccs/eu-p2p-dpa.
„Standardowe klauzule umowne dotyczące przetwarzania danych (procesor przetwarzający, Jibe Exporter)” to warunki podane na stronie business.safety.google/gdprprocessorterms/sccs/eu-p2p-intra-group.
„Dokumentacja zabezpieczeń” oznacza certyfikację ISO 27001 oraz wszelkie inne certyfikaty lub dokumentację zabezpieczeń udostępniane przez Jibe w związku z Usługami Podmiotu przetwarzającego.
„Zabezpieczenia” mają znaczenie określone w artykule 7.1.1 (Środki bezpieczeństwa Jibe).
„Podwykonawcy podmiotu przetwarzającego dane osobowe” to osoby trzecie upoważnione w ramach tego Aneksu o przetwarzaniu danych, aby mieć logiczny dostęp do danych osobowych partnerów i ich przetwarzanie w celu świadczenia części Usług Podmiotu przetwarzającego i powiązanej pomocy technicznej.
„Organ nadzorczy” oznacza, stosownie do przypadku: (a) „organ nadzorczy” w znaczeniu podanym w RODO (UE) lub (b) „Komisarza" w znaczeniu podanym w RODO (Wielka Brytania) lub Szwajcarskim Urzędzie Nadzoru Finansowego.
„Szwajcarskie przepisy FDPA” oznaczają szwajcarską federalną ustawę o ochronie danych osobowych z 19 czerwca 1992 r.
„Okres obowiązywania” to okres od Daty wejścia w życie warunków do zakończenia świadczenia przez firmę Jibe usług Usług Podmiotowych na mocy niniejszej Umowy.
„Data wejścia warunków w życie” to data wejścia w życie Umowy.
„RODO (Wielka Brytania)” to RODO (UE) w formie zmienionej i włączonej do prawa brytyjskiego na mocy ustawy o wystąpieniu z Unii Europejskiej z 2018 roku oraz obowiązujące przepisy dodatkowe wydane na mocy tej ustawy.
2.2 Terminy „administrator”, „osoba, której dotyczą dane”, „dane osobowe”, „przetwarzanie danych” i „podmiot przetwarzający dane” użyte w tym Aneksie o przetwarzaniu danych mają znaczenie określone w RODO, a terminy „importer danych” i „eksporter danych” mają znaczenie określone w odpowiednich SKU.
2.3 Słowa „zawiera” oraz „między innymi” oznaczają „w tym między innymi”. Wszystkie przykłady w tym Aneksie o przetwarzaniu danych mają charakter poglądowy i nie stanowią jedynych przykładów poszczególnych koncepcji.
2.4 Wszelkie odniesienia do ram prawnych, ustaw lub innych aktów prawnych odwołują się do ich postaci wraz z wprowadzanymi w nich co pewien czas zmianami w ramach nowelizacji.
2.5 Jeśli przetłumaczona wersja tego Aneksu o przetwarzaniu danych jest niezgodna z wersją angielską, obowiązuje wersja angielska.
3. Czas obowiązywania Aneksu o przetwarzaniu danych
Ten Aneks o przetwarzaniu danych zacznie obowiązywać w dniu Daty wejścia w życie, niezależnie od tego, czy okres obowiązywania wygasł, będzie obowiązywać do chwili, gdy Jibe usunie wszystkie Dane osobowe partnera, zgodnie z niniejszym Aneksem o przetwarzaniu danych.
4. Zastosowanie Aneksu dotyczącego przetwarzania danych
4.1. Zakres obowiązywania Europejskiego ustawodawstwa dotyczącego ochrony danych. Artykuły od 5 (Przetwarzanie danych) do 12 (Kontaktowanie się z Jibe; Przetwarzanie danych) (włącznie) obowiązują tylko w zakresie, w jakim Europejskie ustawodawstwo dotyczące ochrony danych ma zastosowanie do przetwarzania Danych osobowych partnerów, w tym:
(a) przetwarzanie odbywa się w kontekście działań realizowanych przez Partnera w Europejskim Obszarze Gospodarczym i Wielkiej Brytanii; lub
(b) Dane osobowe partnerów to dane osobowe osób, które znajdują się w Europejskim Obszarze Gospodarczym lub Wielkiej Brytanii, a przetwarzanie odnosi się do oferowania im towarów lub usług albo monitorowania ich zachowań na terenie EOG lub Wielkiej Brytanii.
4.2. Zgłoszenie do Usług Podmiotu przetwarzającego. Ten Aneks o przetwarzaniu danych obowiązuje tylko w przypadku Usług podmiotu przetwarzającego dane, w przypadku których strony zaakceptowały ten Aneks o przetwarzaniu danych (np. (a) usług podmiotów przetwarzających, których Partner kliknął, aby zaakceptować ten Aneks o przetwarzaniu danych, lub (b) jeśli Umowa zawiera ten Aneks o przetwarzaniu danych na podstawie odniesienia do Usług podmiotu przetwarzającego dane, które są przedmiotem Umowy.
4.3 Uzupełnianie warunków dodatkowych niż Europejskie ustawodawstwo dotyczące ochrony danych. Dodatkowe warunki związane z Pozaeuropejskim ustawodawstwem dotyczącym ochrony danych stanowią uzupełnienie tego Aneksu o przetwarzaniu danych.
5. Przetwarzanie danych
5.1. Role i zgodność z przepisami; autoryzacja.
5.1.1 Obowiązki Podmiotu przetwarzającego i administratora. Strony przyjmują do wiadomości i akceptują, że:
(a) Załącznik 1 opisuje temat i szczegóły przetwarzania Danych osobowych Partnera;
(b) Jibe jest podmiotem przetwarzającym Dane osobowe Partnera w ramach Europejskiego ustawodawstwa dotyczącego ochrony danych,
(c) Partner jest administratorem lub podmiotem przetwarzającym dane osobowe Klienta wynikającem z Europejskiego ustawodawstwa o ochronie danych oraz
(d) każda strona będzie przestrzegać zobowiązań wynikających z Europejskiego ustawodawstwa dotyczącego ochrony danych w odniesieniu do przetwarzania Danych osobowych partnera.
5.1.2 Partnerzy przetwarzający dane. Jeśli partner jest podmiotem przetwarzającym:
(a) Partner na bieżąco zapewnia, że odpowiedni kontroler zezwolił (i) na wykonanie instrukcji, (ii) wyznaczenie przez niego Jibe jako innego podmiotu przetwarzającego dane oraz (iii) zaangażowanie Podmiotu podmiotu przetwarzającego dane osobowe zgodnie z opisem w artykule 11 (Podwykonawcy podmiotu przetwarzającego dane osobowe);
(b) Partner natychmiast przekaże odpowiedniemu administratorowi powiadomienie wymienione w artykułach 5.4 (Powiadomienia o instrukcjach), 7.2.1 (Powiadomienie o incydentach), 11.4 (Możliwość sprzeciwania zmianom podmiotu przetwarzającego dane osobowe) lub które odnoszą się do wszelkich Standardowych klauzul umownych; oraz
(c) Partner może udostępnić odpowiedniemu administratorowi wszelkie informacje udostępniane przez Jibe na mocy art. 7.4 (Certyfikacja bezpieczeństwa), 10.5 (Informacje o centrze danych) oraz 11.2 (Informacje o podmiotach przetwarzających dane podmiotu przetwarzającego dane).
5.2. Instrukcje dla Partnera. Zawierając ten Aneks o przetwarzaniu danych, Partner nakazuje Jibe przetwarzanie Danych osobowych Partnera tylko zgodnie z obowiązującym prawem: (a) w celu świadczenia Usług Podmiotu przetwarzającego i powiązanej z nim pomocy technicznej; (b) zgodnie z opisem w niniejszych Warunkach korzystania z usługi;
5.3 Zgodność Jibe z instrukcjami Jibe będzie przestrzegać Instrukcji, chyba że zabrania tego prawo europejskie.
5.4. Powiadomienia o instrukcjach. Jibe natychmiast powiadomi partnera, jeśli jego zdaniem: (a) przepisy europejskie nie będą zgodne z instrukcją, (b) instrukcja będzie niezgodna z europejskim ustawodawstwem dotyczącym ochrony danych lub (c) Jibe nie będzie w stanie zastosować się do instrukcji, o ile w każdym przypadku nie będzie można tego zrobić. Artykuł 5.4 (Powiadomienia z instrukcjami) nie ogranicza praw ani zobowiązań żadnej ze stron zawartych w Umowie.
5.5. Usługi dodatkowe. Jeśli partner korzysta z danej usługi dodatkowej, Podmiot przetwarzający może zezwolić tej usłudze dodatkowej na dostęp do danych osobowych partnera, jeśli jest to niezbędne do interakcji tej usługi z usługami Podmiotu przetwarzającego. W razie potrzeby strony przyjmują oddzielne warunki przetwarzania danych, aby ustanowić zasady przetwarzania Danych osobowych Partnera przez Usługę dodatkową.
6. Usuwanie danych
6.1 Usuwanie w okresie obowiązywania.
6.1.1 Usługi podmiotu przetwarzającego dane z funkcją usuwania. W trakcie Okresu, jeśli:
(a) funkcjonalność Usług Podmiotu przetwarzającego obejmuje opcję usuwania przez Klienta Danych osobowych Partnera;
(b) partner korzysta z usług Podmiotu przetwarzającego do usuwania określonych Danych osobowych Partnera; oraz
(c) usunięte dane osobowe partnera nie będą mogły zostać przywrócone przez partnera (na przykład z „kosza”), a Jebe usunie dane swojego partnera ze swoich systemów najszybciej jak to możliwe, chyba że prawo europejskie wymaga przechowywania tych danych.
6.1.2 Usługi podmiotów przetwarzających bez funkcji usuwania danych. Jeśli w okresie obowiązywania Umowy usługi podmiotów przetwarzających nie będą zawierać opcji usuwania danych osobowych partnerów, Jibe będzie przestrzegać wszystkich uzasadnionych żądań dotyczących partnera, aby je usunąć, o ile będzie to możliwe z uwzględnieniem ich charakteru i funkcjonalności, chyba że prawo europejskie wymaga przechowywania tych danych. Na mocy artykułu 6.1.2 (Usługi dotyczące podmiotów przetwarzających bez funkcji usuwania danych) Jibe może pobierać opłaty (ustalone na podstawie uzasadnionych kosztów Jibe) za usunięcie danych. Przed skorzystaniem z usług Jibe przedstawi Partnerowi dalsze szczegóły wszelkich opłat, a także podstawy ich obliczania.
6.2 Usuwanie Po wygaśnięciu Okresu ważności. Po wygaśnięciu Okresu partner nakazuje Jibe usunięcie wszystkich Danych osobowych Partnera (w tym istniejących kopii) z systemów Jibe zgodnie z obowiązującym prawem. Jibe zastosuje się do tych instrukcji w najkrótszym możliwym terminie, chyba że prawo europejskie wymaga przechowywania tych danych.
7. Bezpieczeństwo danych
7.1. Zabezpieczenia i pomocy Jibe.
7.1.1 Środki bezpieczeństwa Jibe. Jibe wdroży i zapewni działania techniczne i organizacyjne w celu ochrony Danych osobowych partnera przed przypadkowym lub niezgodnym z prawem zniszczeniem, utratą, zmianą, nieautoryzowanym ujawnieniem albo dostępem w sposób opisany w Załączniku 2 („Środki bezpieczeństwa”). Jak opisano w Załączniku 2, Środki bezpieczeństwa obejmują: (a) szyfrowanie danych osobowych, (b) pomoc w zapewnianiu ciągłej poufności, integralności, dostępności i odporności systemów oraz usług Jibe, (c) pomoc w regularnym przywracaniu dostępu do danych osobowych po naruszeniu ich ochrony, a także (d) regularne testowanie skuteczności. Jibe może co jakiś czas aktualizować lub modyfikować Środki bezpieczeństwa, pod warunkiem że takie aktualizacje i modyfikacje nie spowodują pogorszenia ogólnego bezpieczeństwa Usług Podmiotu przetwarzającego.
7.1.2 Dostęp i zgodność z przepisami. Jibe (a) upoważni pracowników, wykonawców i podwykonawców do uzyskania dostępu do Danych osobowych partnerów tylko wtedy, gdy będzie to konieczne do wykonania Instrukcji. (b) podejmie odpowiednie działania w celu zapewnienia zgodności z Zabezpieczeniami oferowanymi przez pracowników, wykonawców i podwykonawców podmiotu przetwarzającego dane, a także (c) zapewni, że każda osoba upoważniona do przetworzenia Danych osobowych partnerów będzie upoważniona do ich przetworzenia.
7.1.3 Pomoc techniczna Jibe dotycząca bezpieczeństwa. Biorąc pod uwagę specyfikę przetwarzania danych osobowych partnera oraz informacje dostępne dla Jibe, Jibe pomaga partnerowi w spełnianiu wymagań Partnera (lub, w przypadku partnera jako podmiotu przetwarzającego dane), odpowiedniej kontroli administratora w zakresie bezpieczeństwa danych osobowych i ich naruszenia danych osobowych, w tym zobowiązań partnera (lub, gdy partner jest podmiotem przetwarzającym) zobowiązań wynikających z art. 32, na mocy art. 32 na mocy art.
(a) wdrożenia i utrzymania środków bezpieczeństwa zgodnie z artykułem 7.1.1 (Środki bezpieczeństwa Jibe);
(b) przestrzeganie warunków podanych w artykule 7.2 (Incydenty danych) oraz
(c) przekazanie Partnerowi dokumentacji zabezpieczeń zgodnie z artykułem 7.5.1 (Sprawdzanie dokumentacji) oraz informacji zawartych w tym Aneksie dotyczącym przetwarzania danych.
7.2. Incydenty danych.
7.2.1 Powiadomienie o wypadku. Jeśli Jibe dowie się o wypadku incydentów związanych z danymi, Jibe: (a) niezwłocznie powiadomi partnera o tych incydentach bez zbędnej zwłoki; (b) niezwłocznie podejmie uzasadnione kroki, aby zminimalizować szkody i zabezpieczyć dane osobowe partnera.
7.2.2 Szczegóły incydentu dotyczącego danych. Powiadomienia przesłane zgodnie z artykułem 7.2.1 (Powiadomienie o incydentach) opisują: charakter incydentu danych, w tym zasoby partnera, których dotyczy problem; informacje o działaniach, jakie firma Jibe podjęła lub planuje, aby rozwiązać problem z incydentem danych, a także o tym, jak zminimalizować ewentualne ryzyko; informacje o tym, jak Jibe zaleca rozwiązanie problemu przez Partnera, oraz szczegółowe informacje kontaktowe, gdzie można uzyskać informacje kontaktowe. Jeśli nie można przekazać wszystkich takich informacji jednocześnie, pierwsze powiadomienie Jibe będzie zawierać informacje, które będą dostępne w odpowiednim momencie.
7.2.3 Dostarczanie powiadomień. Jibe dostarczy powiadomienie o każdym przypadku incydentu danych na adres e-mail do powiadomień lub według uznania Jibe (w tym jeśli partner nie podał adresu e-mail do powiadomień) w inny sposób (na przykład podczas rozmowy telefonicznej lub na spotkaniu stacjonarnym). Partner jest wyłącznie odpowiedzialny za podanie Adresu e-mail do powiadomień oraz za zapewnienie, że Adres e-mail do powiadomień jest aktualny.
7.2.4. Powiadomienia ze źródeł zewnętrznych. Partner ponosi wyłączną odpowiedzialność za przestrzeganie przepisów dotyczących powiadomień o wydarzeniach mających zastosowanie do Partnera oraz za wypełnianie zobowiązań osób trzecich związanych z incydentami dotyczącymi danych.
7.2.5 Brak potwierdzenia błędu przez Jibe. Powiadomienie Jibe dotyczące Incydentu danych lub odpowiedź na nią na mocy artykułu 7.2 (Incydenty danych) nie będzie interpretowane jako potwierdzenie przez Jibe odpowiedzialności za usterkę lub odpowiedzialność w związku z Incydentem danych.
7.3 Obowiązki Klienta i ocena zabezpieczeń
7.3.1 Obowiązki w zakresie bezpieczeństwa partnera. Partner akceptuje fakt, że bez uszczerbku dla zobowiązań Jibe opisanych w artykułach 7.1 (Środki bezpieczeństwa i pomocy Jibe) oraz 7.2 (Incydenty danych):
(a) Partner jest odpowiedzialny za korzystanie z usług Podmiotu przetwarzającego, w tym:
(i) odpowiednie korzystanie z usług Podmiotu przetwarzającego w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do Danych osobowych partnerów;
(ii) zabezpieczanie danych logowania, systemów i urządzeń używanych do uwierzytelniania na koncie partnera w ramach dostępu do Usług Podmiotu przetwarzającego oraz
(b) Jibe nie ma obowiązku ochrony Danych osobowych Partnera, które Partner może przechowywać lub przenosić poza systemy Jibe i podwykonawców podmiotów przetwarzających.
7.3.2. Ocena zabezpieczeń partnera. Partner potwierdza zapoznanie się z artykułem 7.1.1 (Środki bezpieczeństwa firmy Jibe) wprowadzonymi i utrzymywanymi przez Jibe, aby zapewnić poziom bezpieczeństwa odpowiedni do ryzyka, jakie wiąże się z danymi osobowymi partnera, biorąc pod uwagę charakter, zakres, kontekst i cele przetwarzania Danych osobowych partnera, stan sztuki, koszty implementacji oraz ryzyko osobiste.
7.4. Certyfikaty zabezpieczeń. Aby ocenić i zagwarantować ciągłość działania środków zabezpieczających, Jibe zachowa certyfikat ISO 27001 lub inne odpowiednie rozwiązania pozwalające potwierdzić efektywność tego rodzaju środków.
7.5 Kontrole i audyty zgodności
7.5.1 Sprawdzanie dokumentacji zabezpieczeń. Aby wykazać zgodność ze standardami z tego Aneksu dotyczącego przetwarzania danych przez Jibe, partner musi udostępnić dokumentację dotyczącą bezpieczeństwa.
7.5.2 Prawa audytu Partnera.
(a) Jibe zezwoli Partnerowi lub zewnętrznemu audytorowi wyznaczonemu przez Partnera na audyty (w tym kontrole) na potrzeby weryfikacji przestrzegania przez Jibe zobowiązań wynikających z tego Aneksu o przetwarzaniu danych zgodnie z sekcją 7.5.3 (Dodatkowe warunki biznesowe audytów). Podczas kontroli Jibe udostępni wszystkie informacje niezbędne do udowodnienia tej zgodności i udziału w audycie, zgodnie z artykułem 7.4 (Certyfikacja bezpieczeństwa) oraz artykułem 7.5 (Opinie i kontrole zgodności).
(b) Jeśli Standardowe klauzule umowne mają zastosowanie na mocy artykułu 10.2 (Ograniczone przesyłanie danych w Europie), Jibe zezwoli Partnerowi (lub zewnętrznemu audytorowi wyznaczonemu przez Partnera) na przeprowadzanie audytów opisanych w odpowiednich Standardowych klauzulach umownych, a w trakcie takich kontroli również udostępnienie wszystkich informacji wymaganych przez te klauzule, zgodnie z artykułem 7.5.3 (Dodatkowe warunki biznesowe audytów).
(c) Partner może również przeprowadzić kontrolę w celu sprawdzenia, czy Jibe zachowuje zgodność ze swoimi zobowiązaniami wynikającymi z tego Aneksu o przetwarzaniu danych. W tym celu musi zweryfikować dowolne certyfikaty wydane Jibe przez zewnętrznego audytora (np. certyfikat ISO 27001).
7.5.3 Dodatkowe warunki biznesowe audytu.
(a) Partner wysyła do Jibe prośbę o sprawdzenie zgodnie z artykułami 7.5.2(a) lub 7.5.2(b) w celu opisanym w artykule 12.1 (Kontaktowanie się z Jibe).
(b) Po otrzymaniu przez Jibe wniosku z punktu 7.5.3(a) – Jibe i Partner – z odpowiednim wyprzedzeniem ustalą rozsądną datę rozpoczęcia, zakres i czas trwania mechanizmów kontrolnych w zakresie bezpieczeństwa oraz poufności i będą stosowali się do wszelkich audytów w art. 7.5.2(a) lub 7.5.2(b).
(c) Jibe może pobrać opłatę (na podstawie uzasadnionych kosztów Jibe) za dowolny audyt zgodnie z artykułem 7.5.2(a) lub 7.5.2(b). Przed dokonaniem takiego audytu Jibe przekaże Partnerowi szczegółowe informacje o obowiązującej opłacie i podstawie jej obliczenia. Partner będzie odpowiedzialny za wszelkie opłaty pobierane przez zewnętrznego audytora wyznaczonego przez Partnera do przeprowadzenia takiego audytu.
(d) Jibe może zgłosić sprzeciw audytorowi zewnętrznemu wyznaczonemu przez Partnera do przeprowadzenia wszelkich audytów zgodnie z postanowieniami artykułu 7.5.2(a) lub 7.5.2(b), jeśli, zgodnie z uzasadnionym zdaniem Jibe, audytor nie będzie w odpowiednim stopniu wykwalifikowany lub niezależny konkurencyjnym Jibe lub w inny sposób oczywistym nieodpowiednim. Każde takie zgłoszenie zastrzeżeń przez Jibe będzie wymagało od partnera mianowania innego audytora lub przeprowadzenia samego audytu.
(e) Żadne z postanowień tego Aneksu o przetwarzaniu danych nie wymaga od Jibe ujawnienia informacji Partnerowi lub zewnętrznemu audytorowi ani umożliwienia Partnerowi lub zewnętrznemu audytorowi dostępu do:
(i) dane dowolnego innego partnera lub klienta Podmiotu Jibe;
(ii) wewnętrzne informacje księgowe lub finansowe dotyczące Podmiotu Jibe,
(iii) tajemnice handlowe Podmiotu Jibe;
(iv) informacje, które według uzasadnionej oceny Jibe mogą: (A) zagrażać bezpieczeństwu systemów lub obiektów Jibe; lub (B) spowodować naruszenie przez jakikolwiek podmiot Jibe zobowiązań wynikających z Europejskiego ustawodawstwa o ochronie danych lub zobowiązań w zakresie bezpieczeństwa lub prywatności wobec Partnera lub jakiejkolwiek firmy zewnętrznej; lub
(v) informacje, do których partner lub zewnętrzny audytor chcą uzyskać dostęp z powodu niezwiązanego z rzetelnym wypełnianiem zobowiązań Partnera na mocy Europejskiego ustawodawstwa dotyczącego ochrony danych.
8. Oceny wpływu i konsultacje
Biorąc pod uwagę charakter przetwarzania i informacje dostępne dla firmy Jibe, Jibe pomaga Partnerowi w przestrzeganiu zobowiązań Partnera (lub jego partnera jako podmiotu przetwarzającego dane) w obowiązkach dotyczących oceny skutków ochrony danych i wcześniejszych konsultacji, w tym (w stosownych przypadkach) zobowiązań Partnera i odpowiedniego administratora na mocy art. 35 i 36 RODO:
(a) dostarczenie dokumentacji dotyczącej bezpieczeństwa zgodnie z artykułem 7.5.1 (Sprawdzanie dokumentacji);
(b) dostarczanie informacji zawartych w tym Aneksie dotyczącym przetwarzania danych oraz
(c) dostarczanie lub udostępnianie w inny sposób, zgodnie ze standardowymi praktykami firmy Jibe, innych materiałów związanych z charakterem Usług podmiotu przetwarzającego dane i przetwarzania Danych osobowych partnera (np. materiałów w Centrum pomocy).
9. Osoba, której dotyczą dane
9.1. Odpowiedzi na żądania osób, których dotyczą dane. Jeśli Jibe otrzyma żądanie od osoby, której dotyczą dane, w odniesieniu do Danych osobowych Partnera, upoważni go do skorzystania z jego usług i poinformuje go, że:
(a) odpowiadać bezpośrednio na prośbę osoby, której dotyczą dane, zgodnie ze standardową funkcją Narzędzia do analizy danych (o ile w związku z nim poproszono taką osobą);
(b) poprosi, aby osoba, która przesłała dane, przesłała swoje żądanie do Partnera, a Partner będzie odpowiadać na takie żądanie (jeśli nie zostanie ono wysłane za pomocą Narzędzia do analizy danych);
9.2. Jibe – pomoc w zakresie prośby o pomoc wobec osób, których dotyczą dane. Jibe pomaga partnerowi (lub jego partnerowi, który jest podmiotem przetwarzającym) odpowiednim podmiotem w wypełnianiu zobowiązań wynikających z RODO w odpowiedzi na wnioski o wykorzystanie praw podmiotu, którego dotyczą dane, we wszystkich przypadkach, biorąc pod uwagę charakter przetwarzania Danych osobowych Partnera, a w stosownych przypadkach także artykuł 11 RODO, w stosownych przypadkach:
(a) funkcjonalność Usług Podmiotu przetwarzającego;
(b) przestrzeganie zobowiązań określonych w artykule 9.1 (Odpowiedzi na żądania osoby, której dotyczą dane);
(c) w stosownych przypadkach przez udostępnianie Podmiotom przetwarzającym dane.
9.3. Korekta. Jeśli partner dowie się, że jego dane osobowe są niedokładne lub nieaktualne, będzie odpowiedzialny za sprostowanie lub usunięcie tych danych, jeśli będzie to wymagane przez Europejskie ustawodawstwo dotyczące ochrony danych, w tym (gdy będzie to możliwe) za pomocą funkcji Usług Podmiotu przetwarzającego.
10. Przenoszenie danych
10.1. Matryce przetwarzania i przetwarzania danych. Z zastrzeżeniem pozostałych punktów określonych w niniejszym artykule 10 (Przesyłanie danych), Jibe może przetwarzać dane osobowe partnerów w dowolnym kraju, w którym znajdują się obiekty Jibe lub dowolnego podmiotu przetwarzającego dane.
10.2. Ograniczone przesyłanie danych w Europie. Strony przyjmują do wiadomości, że Europejskie ustawodawstwo dotyczące ochrony danych nie wymaga SKU i alternatywnego rozwiązania w zakresie przesyłania danych, aby przetwarzać dane osobowe partnerów w odpowiednim kraju lub przekazywać je do takiego kraju.
Jeśli dane osobowe partnera są przekazywane do innego kraju, a w przypadku takich transferów obowiązuje Europejski ustawodawstwo dotyczące ochrony danych („Ograniczone przesyłanie danych w Europie”), to:
(a) Jeśli Jibe wdroży Alternatywne rozwiązanie w zakresie przesyłania danych w związku z Ograniczonym przesyłaniem danych w Europie, Jibe poinformuje partnera o odpowiednim rozwiązaniu i dopilnuje, aby takie Ograniczone przesyłanie danych w Europie zostało dokonane zgodnie z tym rozwiązaniem lub
(b) Jeśli firma Jibe nie wdrożyła lub nie poinformowała Partnera, że nie korzysta już z alternatywnego rozwiązania w zakresie przesyłania danych w Europie z ograniczeniami:
(i) jeśli adres Jibe'a znajduje się w odpowiednim kraju:
(A) Standardowe klauzule umowne (podmiot przetwarzający dane – podmiot przetwarzający dane, Jibe Exporter) będą miały zastosowanie w odniesieniu do takiego Ograniczonego przesyłania danych w Europie z Jibe do podwykonawców podmiotu przetwarzającego dane osobowe oraz
(B) jeśli adres partnera nie znajduje się w odpowiednim kraju, Standardowe klauzule umowne (podmiot przetwarzający–administrator) będą obowiązywać w przypadku Ograniczonego przesyłania danych w Europie między Jibe a Partnerem (niezależnie od tego, czy partner jest administratorem czy podmiotem przetwarzającym dane);
(ii) jeśli adres Jibe znajduje się w nieodpowiednim kraju:
w odniesieniu do takiego Ograniczonego przesyłania danych między Partnerem a Jiebe zgodnie z Standardowymi klauzulami umownymi dotyczącymi administratorów (podmiotami przetwarzającymi) lub Podmiotem przetwarzającym (podmiot przetwarzający dane);
(c) odniesienia do Google LLC lub Google oraz do Użytkownika zgodnie z Standardowymi klauzulami umownymi będą odpowiednio powiązane z Jibe i Partnerem.
10.3 Środki dodatkowe i informacje dodatkowe. Firma Jibe udostępni Partnerowi informacje istotne dla Ograniczonego przesyłania danych w Europie, w tym informacje o środkach uzupełniających ochrony Danych osobowych Partnera, które opisano w artykule 7.5.1 (Przegląd dokumentacji bezpieczeństwa), Załącznik 2 (Środki bezpieczeństwa) oraz innych materiałach dotyczących charakteru Usług podmiotu przetwarzającego dane i przetwarzania Danych osobowych Partnera (np. artykułów w Centrum pomocy).
10.4 Wypowiedzenie Umowy. Jeśli partner na podstawie obecnego lub planowanego korzystania z Usług Podmiotu przetwarzającego uzna, że Alternatywne rozwiązanie w zakresie przesyłania lub odpowiednie Standardowe klauzule umowne nie zapewniają odpowiednich środków ochrony Danych osobowych partnera, może natychmiast wypowiedzieć Umowę, powiadamiając Jibe na piśmie.
10.5. Informacje z Centrum danych. Informacje o lokalizacji Centrów danych Google LLC są dostępne na stronie www.google.com/about/datacenters/locations/index.html.
11. Osoby przetwarzające dane podmiotu przetwarzającego dane osobowe
11.1. Zgoda na zaangażowanie podwykonawcy podmiotu przetwarzającego dane osobowe. Partner wyraźnie zezwala na zaangażowanie podwykonawców usług podmiotu przetwarzającego dane opisane w artykule 11.2 (Informacje o podmiotach przetwarzających dane) od daty wejścia w życie Warunków. Dodatkowo na ogół zgodnie z artykułem 11.4 (Możliwość zakwestionowania zmian dotyczących Podwykonawców Podmiotu przetwarzającego) Partner zezwala zwykle na współpracę osób trzecich z podmiotami przetwarzającymi dane („Podwykonawcy podmiotu przetwarzającego dane osobowe”).
11.2. Informacje o podmiotach przetwarzających dane. Na pisemne żądanie partnera partner Jibe udostępni informacje o podmiotach przetwarzających dane i ich lokalizacjach. Takie zgłoszenia należy przesyłać do Jibe z wykorzystaniem informacji kontaktowych podanych w sekcji 12.1 (Kontaktowanie się z Jibe).
11.3 Wymagania dotyczące zaangażowania podwykonawcy podmiotu przetwarzającego dane osobowe Podczas kontaktowania się z jakimkolwiek podmiotem przetwarzającym dane Jibe:
(a) potwierdzić w formie pisemnej, że:
(i) Podmiot przetwarzający dane osobowe uzyskuje dostęp do Danych osobowych partnera i używa ich tylko w zakresie wymaganym do realizacji zobowiązań wynikających z umów z tym podwykonawcą, zgodnie z Umową (łącznie z niniejszym Aneksem o przetwarzaniu danych) oraz
(ii) jeśli przetwarzanie Danych osobowych partnera podlega Europejskiemu ustawodawstwu dotyczącemu ochrony danych, obowiązkiem ochrony danych w niniejszym Załączniku dotyczącym przetwarzania danych (zgodnie z artykułem 28(3) RODO) jest podwykonawca podmiotu przetwarzającego dane;
(b) ponosić pełną odpowiedzialność za wszelkie zobowiązania zlecone podwykonawcy oraz za wszystkie działania i zaniechania podwykonawcy podmiotu przetwarzającego dane osobowe.
11.4. Możliwość sprzeciwienia się zmianom podmiotu przetwarzającego dane osobowe.
(a) Jeśli w Okresie obowiązywania Umowy zostanie aktywny nowy Podwykonawca podmiotu przetwarzającego dane, co najmniej 30 dni przed przetworzeniem Danych osobowych Partnera przez Podmiot przetwarzający będzie on informował partnera o zaangażowaniu (w tym nazwę i lokalizację odpowiedniego podmiotu przetwarzającego dane oraz jego działania) przez wysłanie e-maila na Adres e-mail do powiadomień.
(b) Partner może zgłosić sprzeciw wobec dowolnego Nowego Podmiotu przetwarzającego dane, wypowiedzając Umowę bez podania przyczyny natychmiast po przesłaniu Klientowi pisemnego powiadomienia, z zastrzeżeniem, że Partner powiadomi go o tym w ciągu 90 dni od otrzymania powiadomienia o zaangażowaniu Nowego podmiotu przetwarzającego dane osobowe, jak opisano w artykule 11.4(a).
12. Kontakt z Jibe – przetwarzanie danych
12.1. Kontaktowanie się z Jibe. Korzystając z praw przysługujących mu na mocy Aneksu o przetwarzaniu danych, partner może skontaktować się z Jebe, kontaktując się z przedstawicielem ochrony danych RCS firmy Jibe, z którym można się skontaktować na stronie issuetracker.google.com lub w inny sposób, w jaki może skorzystać z tego rozwiązania.
12.2. Rekordy przetwarzania danych Jibe. Jibe będzie przechowywać odpowiednią dokumentację związaną z przetwarzaniem danych zgodnie z wymogami RODO. Partner potwierdza, że zgodnie z RODO Jib jest zobowiązany do: (a) gromadzenia i przechowywania dokumentacji związanej z określonymi informacjami, w tym: (i) imienia i nazwiska oraz danych kontaktowych każdego podmiotu przetwarzającego lub administratora, w imieniu którego działa Jibe, oraz (w stosownych przypadkach) lokalnego przedstawiciela podmiotu przetwarzającego dane lub administratora danych takiego organu; W związku z tym, gdy wymaga tego i zgodnie z zapotrzebowaniem, partner przekaże Klientowi takie informacje przez Jibe za pomocą interfejsu Usług Podmiotu przetwarzającego lub w inny sposób, który został udostępniony przez Jibe, i będzie używać takiego interfejsu lub innych środków, aby zapewnić, że wszystkie podane informacje będą dokładne i aktualne.
12.3. Żądania administratora. Jeśli Jibe otrzyma prośbę lub instrukcję od osoby trzeciej, która podaje się za administratora Danych osobowych partnera, zwróci się do niej z prośbą o skontaktowanie się z Partnerem.
13. Odpowiedzialność
Jeśli Umowa podlega prawu:
(a) stanu USA – niezależnie od jakichkolwiek innych postanowień Umowy, łączna odpowiedzialność którejkolwiek ze stron wobec tej Umowy w związku z niniejszym Aneksem o przetwarzaniu danych jest ograniczona do maksymalnej kwoty pieniężnej lub kwoty płatności, na którą dana odpowiedzialność jest ograniczona w ramach niniejszej Umowy (w związku z tym wszelkie wykluczenie roszczeń z zakresu poufności lub odszkodowania z ograniczeniach wynikających z Umowy spowoduje ograniczenie lub wyłączenie odpowiedzialności z tytułu ochrony danych).
(b) jurysdykcja, która nie jest stanem Stanów Zjednoczonych, wówczas łączna odpowiedzialność stron i ich podmiotów stowarzyszonych zgodnie z niniejszym Aneksem o przetwarzaniu danych lub z nim związana podlega Umowie.
14. Skutki niniejszego Aneksu o przetwarzaniu danych
14.1. Kolejność postępowania. W przypadku wystąpienia sprzeczności lub niespójności między Standardowymi klauzulami umownymi, Dodatkowymi warunkami europejskiego ustawodawstwa o ochronie danych, niniejszym Aneksem o przetwarzaniu danych oraz pozostałą częścią Umowy obowiązują następujące zasady pierwszeństwa:
(a) Standardowe klauzule umowne;
(b) Dodatkowe warunki związane z Pozaeuropejskim ustawodawstwem dotyczącym ochrony danych;
(c) pozostała część Aneksu o przetwarzaniu danych oraz
(d) pozostała część Umowy.
Z zastrzeżeniem poprawek do niniejszego Aneksu dotyczącego przetwarzania danych, Umowa pozostaje w mocy.
14.2. Brak modyfikacji SKU. Żadne z postanowień tej Umowy (z uwzględnieniem tego Aneksu dotyczącego przetwarzania danych) nie ma na celu zmodyfikowania postanowień Standardowych klauzul umownych ani nie ma być z nim sprzeczne oraz nie ma na celu zmniejszenia podstawowych praw lub swobód osób, których dotyczą dane, wynikających z Europejskiego ustawodawstwa o ochronie danych.
14.3. Brak wpływu na Warunki dotyczące administratorów. Ten Aneks dotyczący przetwarzania danych nie ma wpływu na żadne odrębne warunki między Jibe a Partnerem, które odzwierciedlają relację administrator–usługodawca innej niż Usługi podmiotu przetwarzającego dane.
14.4. Starsze Standardowe klauzule umowne dotyczące administratorów (Wielka Brytania). Od 21 września 2022 r. lub od daty wejścia w życie Umowy, w zależności od tego, co nastąpi później, obowiązują dodatkowe warunki Standardowej klauzule umownej dotyczące transferu RODO (Wielka Brytania) oraz zastąpią i rozwiążą wszystkie standardowe klauzule umowne zatwierdzone na mocy RODO (Wielka Brytania) oraz ustawy o ochronie danych osobowych z 2018 r. („Starsze brytyjskie klauzule umowne”). Artykuł 14.4 (Starsze Standardowe klauzule umowne dotyczące administratorów w Wielkiej Brytanii) nie ma wpływu na prawa żadnej ze stron ani prawa podmiotu danych, które mogły zostać nagromadzone na mocy obowiązywania standardowych klauzul SKU brytyjskich w momencie ich obowiązywania.
15. Zmiany w tym Aneksie o przetwarzaniu danych
15.1. Zmiany w adresach URL.Od czasu do czasu Jibe może zmieniać dowolne adresy URL wymienione w tym Aneksie dotyczącym przetwarzania danych oraz w treściach dostępnych pod tym adresem URL, z wyjątkiem sytuacji, gdy Jibe może zmienić Standardowe klauzule umowne wyłącznie zgodnie z artykułami 15.2(b) – 15.2(d) (Zmiany w Aneksie o przetwarzaniu danych) lub aby uwzględnić w niniejszym Regulaminie niniejsze Warunki ochrony danych w ramach niniejszego Regulaminu ochrony danych w ramach niniejszego Regulaminu ochrony danych w ramach niniejszych Warunków,
15.2. Zmiany w Aneksie dotyczącym przetwarzania danych. Jibe może zmienić ten Aneks dotyczący przetwarzania danych, jeśli zmiana:
(a) jest wyraźnie dozwolony w tym Aneksie dotyczącym przetwarzania danych, w tym w sposób opisany w artykule 15.1 (Zmiany w adresach URL);
(b) stanowią imię i nazwisko lub nazwę osoby prawnej,
(c) jest niezbędna do spełnienia wymagań obowiązujących przepisów, orzeczeń sądowych lub wytycznych wydanych przez państwowy urząd albo agencję regulacyjną albo wynika z przyjęcia przez Jibe Alternatywnego rozwiązania w zakresie przesyłania danych lub
(d) nie powoduje pogorszenia ogólnego bezpieczeństwa Usług podmiotu przetwarzającego dane; (ii) poszerza zakres lub usuwa wszelkie ograniczenia dotyczące: (x) W przypadku Dodatkowych warunków Europejskiego ustawodawstwa o ochronie danych, prawa Jibe do korzystania z danych lub przetwarzania ich zgodnie z Dodatkowymi warunkami europejskiego ustawodawstwa o ochronie danych, które zostały przez nas jako „jako”, że .
15.3 Powiadomienie o zmianach. Jeśli Jibe zamierza zmienić ten Aneks o przetwarzaniu danych na mocy art.15.2(c) lub (d), Jibe poinformuje partnera o tym, co najmniej 30 dni (lub w krótszym terminie wymaganym do zapewnienia zgodności z obowiązującym prawem, obowiązującym przepisem wykonawczym, orzeczeniem sądowym lub wytycznymi wydanym przez państwowy urząd lub agencję regulacyjną) przed wejściem zmiany w życie: (a) wysłaniem powiadomienia przez Klienta na Adresat e-maila lub powiadomienie w powiadomieniu; Jeśli partner nie zgadza się z jakąkolwiek zmianą, może rozwiązać Umowę, pisemnie powiadamiając o tym Jibe w ciągu 90 dni od otrzymania od niej wiadomości.
Załącznik 1: temat i szczegóły przetwarzania danych
Sprawa dotycząca tematu
świadczenie przez firmę Jibe usług Podmiotu przetwarzającego i powiązanej z nim pomocy technicznej dla Partnera.
Czas przetwarzania
Okres obowiązywania plus okres od zakończenia Okresu do usunięcia wszystkich danych osobowych partnera przez Jibe zgodnie z niniejszym Aneksem o przetwarzaniu danych.
Przyroda i cel przetwarzania
Jibe będzie przetwarzać Dane osobowe partnera, w tym (w stosownych przypadkach) związane z Usługami Podmiotu przetwarzającego oraz Instrukcje, w tym gromadzenie, nagrywanie, porządkowanie, porządkowanie, przechowywanie, modyfikowanie, pobieranie, używanie, ujawnianie, kasowanie, niszczenie i niszczenie Danych osobowych partnera w celu świadczenia Usług Podmiotu przetwarzającego i związanej z nimi pomocy technicznej zgodnie z tym Aneksem dotyczącym przetwarzania danych.
Rodzaje danych osobowych
Dane osobowe dotyczące osób fizycznych przekazanych Jibe za pośrednictwem Usług przetwarzania, przez partnera (lub na jego zlecenie) lub przez Użytkowników.
Kategorie osób, których dotyczą dane
Osobami, których dotyczą dane, są osoby, których dane są przekazywane do Jibe przez Usługi Podmiotu przetwarzającego (lub na żądanie) albo przez Partnera.
Załącznik 2: Zabezpieczenia
Od daty wejścia w życie Warunków Jibe wdroży i utrzymuje Środki bezpieczeństwa opisane w niniejszym Załączniku 2. Jibe może aktualizować i modyfikować co jakiś czas te Środki bezpieczeństwa, pod warunkiem że takie aktualizacje i modyfikacje nie spowodują pogorszenia ogólnego bezpieczeństwa Usług Podmiotu przetwarzającego.
1. Centrum danych i bezpieczeństwo sieci
(a) Centra danych.
Infrastruktura. Jibe zajmuje się rozproszonymi geograficznie centrami danych. Jibe przechowuje wszystkie dane produkcyjne w bezpiecznych centrach danych.
Nadmiarowość Systemy infrastruktury zostały zaprojektowane tak, aby eliminować pojedyncze punkty awarii i zminimalizować wpływ przewidywanych zagrożeń dla środowiska. Nadmiarowość jest zapewniana przez podwójne obwody, przełączniki, sieci lub inne niezbędne urządzenia. Usługi procesora zostały zaprojektowane w taki sposób, aby umożliwiać Jibe przeprowadzanie określonych rodzajów konserwacji i zapobiegawczych zakłóceń. Wszystkie urządzenia i sprzęt środowiskowy mają udokumentowane procedury prewencyjne, które szczegółowo opisują proces i częstotliwość wydajności zgodnie z wewnętrznymi specyfikacjami producenta lub wewnętrznymi. Konserwacja sprzętu do centrum danych jest prewencyjna i korygująca, zgodnie ze udokumentowanymi procedurami.
Zasilanie. Systemy elektryczne centrum danych zostały zaprojektowane tak, aby były nadmiarowe i łatwe w utrzymaniu bez wpływu na działanie trybu ciągłego – przez całą dobę, 7 dni w tygodniu. W większości przypadków w centrum danych są udostępniane podstawowe i alternatywne źródła zasilania, z których każde ma taką samą pojemność. Moc kopii zapasowej jest zapewniana za pomocą różnych mechanizmów, takich jak baterie zasilacza stałego (UPS), które zapewniają niezawodną ochronę w przypadku przerw w użyciu zasilania, przerw w dostawie, pod napięciem, w warunkach częstotliwości nietolerancji. W przypadku przerw w dostawie prądu zasilanie zasilania jest przekazywane z maksymalną wydajnością do 10 minut, aż pojawią się systemy generatora. Generatory mogą się automatycznie uruchamiać w ciągu kilku sekund, aby zapewnić wystarczającą energię elektryczną do pełnego uruchomienia centrum danych przez zwykle kilka dni.
Systemy operacyjne serwera. Serwery Jibe korzystają ze wzmocnionych systemów operacyjnych, które są dostosowane do specjalnych potrzeb serwera. Dane są przechowywane za pomocą własnych algorytmów, aby poprawić bezpieczeństwo i nadmiarowość. Firma Jibe stosuje proces weryfikacji kodu, aby zwiększyć bezpieczeństwo kodu służącego do świadczenia usług przetwarzających dane i zwiększać bezpieczeństwo usług w środowiskach produkcyjnych.
Ciągłość działania. Jibe replikuje dane z wielu systemów, aby chronić je przed przypadkowym zniszczeniem lub utratą. Firma Jibe opracowała i regularnie planuje działania i planuje ciągłość działania lub programy odtwarzania awaryjnego.
Technologie szyfrowania. Zasady bezpieczeństwa Jibe nakładają wymagania dotyczące szyfrowania wszystkich danych użytkownika, w tym danych osobowych. Dane są często szyfrowane na wielu poziomach w stosie produkcyjnym Jibe w centrach danych, m.in. na poziomie sprzętu, bez konieczności udziału partnerów lub klientów. Korzystanie z wielu warstw szyfrowania zapewnia nadmiarową ochronę danych i umożliwia Jibe wybór optymalnego podejścia na podstawie wymagań aplikacji. Wszystkie dane osobowe są szyfrowane na poziomie pamięci, zwykle za pomocą AES256. Jibe korzysta ze wspólnych bibliotek kryptograficznych, które zawierają moduł weryfikacji FIPS 140-2 firmy Jibe do spójnego szyfrowania w usługach procesora.
(b) Sieci i transmisje.
Przesyłanie danych. Centra danych są zwykle połączone za pomocą szybkich linków prywatnych, aby zapewnić bezpieczne i szybkie przesyłanie danych między centrami danych. Ma to na celu zapobieganie odczytywaniu, kopiowaniu, zmianie i usuwaniu danych bez ich autoryzacji podczas transportu elektronicznego. Jibe przesyła dane przez standardowe protokoły internetowe.
Powierzchnia ataku. Aby chronić zewnętrzne urządzenia przed atakami, stosuje się kilka warstw urządzeń sieciowych i funkcję wykrywania włamań. Jibe uwzględnia potencjalne wektory ataku i wykorzystujemy odpowiednie technologie wbudowane w zewnętrzne systemy.
Wykrywanie włamań. Wykrywanie włamań ma na celu informowanie o bieżących działaniach związanych z atakami i zapewnianie informacji niezbędnych do reagowania na incydenty. Wykrywanie włamań obejmuje:
Ścisła kontrola rozmiaru i zawartości ataku w Jibe poprzez środki zapobiegawcze.
stosowanie inteligentnych elementów sterujących w punktach wejścia danych;
Stosujemy technologie, które automatycznie eliminują pewne niebezpieczne sytuacje.
Reagowanie na incydenty. Jibe monitoruje różne kanały komunikacji pod kątem incydentów bezpieczeństwa, a personel bezpieczeństwa Jibe reaguje natychmiast na znane incydenty.
Technologie szyfrowania. Jibe udostępnia szyfrowanie HTTPS (nazywane też połączeniem TLS). Serwery Jibe obsługują krzywe efemeryczne krzywych eliptycznych Diffiego Hellmana poddawanych kluczami kryptograficznymi podpisanych za pomocą RSA i ECDSA. Te doskonałe metody tajnego przekazywania (PFS) pomagają chronić ruch i minimalizować wpływ przejętego klucza lub kryptografii.
2. Dostęp do witryny i ustawienia kontroli dostępu
(a) Kontrola nad witryną.
Na miejscu operacja ta sama. Centra danych Jibe dbają o zabezpieczenia wszystkich obiektów bezpieczeństwa znajdujących się na miejscu przez 24 godziny na dobę, 7 dni w tygodniu. Personel bezpieczeństwa na miejscu monitoruje kamery monitoringu (CCTV) i wszystkie systemy alarmowe. Na miejscu regularnie pracują wewnętrzne i zewnętrzne patroly centrum bezpieczeństwa.
Procedury dostępu do Centrum danych. Jibe prowadzi formalne procedury dostępu, które umożliwiają fizyczny dostęp do centrów danych. Centra danych znajdują się w obiektach, które wymagają dostępu do kluczyka elektronicznego, oraz alarmów powiązanych z działalnością ochrony na miejscu. Wszyscy uczestnicy centrum danych muszą się przedstawić, a także potwierdzić swoją tożsamość podczas operacji przeprowadzanych na miejscu. Tylko autoryzowani pracownicy, kontrahenci i turyści mogą wstęp do centrów danych. Tylko upoważnieni pracownicy i wykonawcy mogą prosić o dostęp do kluczy elektronicznych przy użyciu kart elektronicznych. Prośby o dostęp do kluczy elektronicznych kart kredytowych w centrach danych muszą być wysyłane z wyprzedzeniem i na piśmie oraz wymagać zatwierdzenia przez upoważnionych specjalistów centrum danych. Inni uczestnicy, którzy wymagają tymczasowego dostępu do centrum danych, muszą: (i) uzyskać wcześniej zgodę menedżerów centrum danych na dane centrum danych i obszary wewnętrzne, które chcą odwiedzić; (ii) zalogować się w placówce bezpieczeństwa na miejscu oraz (iii) odwoływać się do zatwierdzonego rekordu dostępu do centrum danych, aby zidentyfikować daną osobę jako zatwierdzoną.
na urządzeniu Urządzenia do bezpieczeństwa danych. Centra danych Jibe korzystają z elektronicznych kluczy kart i systemów biometrycznych kontroli dostępu, które są połączone z alarmem systemowym. System kontroli dostępu monitoruje i rejestruje elektroniczny kluczyk każdej osoby oraz uzyskuje dostęp do drzwi, granicy, przesyłek i innych obszarów krytycznych. Nieautoryzowana aktywność i próby nieudanego dostępu są rejestrowane przez system kontroli dostępu i odpowiednio analizowane. Autoryzowany dostęp w ramach działalności biznesowej i centrów danych jest ograniczony w zależności od stref i obowiązków pracowników. Drzwi przeciwpożarowe w centrach danych są niepokojące. Kamery CCTV działają zarówno w centrach danych, jak i poza nimi. Pozycja kamer została zaprojektowana tak, aby obejmowała strategiczne obszary, w tym m.in. granicę, drzwi do centrum danych oraz dostawę/odbiór. Personel operacyjny ds. bezpieczeństwa na miejscu zarządza sprzętem monitoringu, nagrywaniem i sterowaniem sprzętem. W centrach danych znajdują się bezpieczne kable łączące sprzęt CCTV. Kamery na miejscu nagrywają cyfrową kamerą wideo przez całą dobę, 7 dni w tygodniu. Dane aktywności są przechowywane przez co najmniej 7 dni na podstawie aktywności.
(b) Kontrola dostępu.
Personel bezpieczeństwa infrastruktury Firma Jibe stosuje i utrzymuje zasadę zabezpieczeń dla swoich pracowników oraz wymaga szkolenia bezpieczeństwa w ramach pakietu szkoleniowego dla pracowników. Pracownicy odpowiedzialny za bezpieczeństwo infrastruktury Jibe są odpowiedzialni za bieżące monitorowanie infrastruktury zabezpieczeń Jibe, weryfikowanie Usług Podmiotu przetwarzającego i reagowanie na incydenty związane z bezpieczeństwem.
Kontrola dostępu i zarządzanie uprawnieniami. Administratorzy i partnerzy partnera muszą uwierzytelniać się za pomocą centralnego systemu uwierzytelniania lub systemu logowania jednokrotnego, aby móc używać Usług Podmiotu przetwarzającego.
Procesy i zasady dostępu do danych wewnętrznych – zasady dostępu Wewnętrzne procesy i zasady dostępu do danych firmy Jibe uniemożliwiają dostęp upoważnionym osobom lub systemom do systemów dostępu do danych osobowych. Jibe chce zaprojektować swoje systemy tak, aby: (i) zezwalać tylko upoważnionym osobom na dostęp do danych, do których ma uprawnienia dostępu, oraz (ii) zapewnić, że dane osobowe nie będą mogły być odczytywane, kopiowane, zmieniane ani usuwane bez upoważnienia podczas ich przetwarzania, wykorzystywania i nagrywania. Systemy zostały zaprojektowane w taki sposób, aby wykrywać nieprawidłowy dostęp. Jibe stosuje scentralizowany system zarządzania dostępem do kontrolowania dostępu pracowników do serwerów produkcyjnych i daje dostęp tylko do ograniczonej liczby uprawnionych pracowników. LDAP, Kerberos i zastrzeżony system wykorzystujący certyfikaty cyfrowe zostały zaprojektowane w celu zapewnienia Jibe bezpiecznych i elastycznych mechanizmów dostępu. Mechanizmy te zostały tak zaprojektowane, aby przyznawać tylko zatwierdzone uprawnienia dostępu do hostów witryn, logów, danych i informacji o konfiguracji. Jibe wymaga stosowania unikalnych identyfikatorów użytkowników, silnych haseł, uwierzytelniania dwuskładnikowego i uważnie monitorowanych list dostępu, aby zminimalizować możliwość nieautoryzowanego użycia konta. Przyznawanie lub modyfikowanie uprawnień dostępu opiera się na: obowiązkach autoryzowanych pracowników, wymaganiach dotyczących pracy niezbędnych do wykonywania autoryzowanych zadań i konieczności ich znajomości. Przyznawanie lub modyfikowanie uprawnień dostępu musi być też zgodne z wewnętrznymi zasadami i szkoleniem Jibe dotyczącymi danych. Zatwierdzenia są zarządzane za pomocą narzędzi do obsługi przepływu pracy, które przechowują rekordy kontrolne wszystkich zmian. Dostęp do systemów jest logowany, aby utworzyć ścieżkę audytu umożliwiającą rozliczanie. W przypadku haseł używanych do uwierzytelniania (na przykład podczas logowania się na stacjach roboczych) stosowane są zasady dotyczące haseł zgodne z co najmniej jedną ze standardowych praktyk branżowych. Standardy te obejmują ograniczenia dotyczące ponownego użycia hasła i jego wystarczającą siłę.
3. Dane
(a) Przechowywanie, izolacja i uwierzytelnianie.
Jibe przechowuje dane w środowisku z wieloma najemcami na serwerach należących do Google LLC. Baza danych i architektura systemu plików są replikowane między wieloma rozproszonymi geograficznie centrami danych. Jibe izoluje dane każdego partnera lub klienta. We wszystkich usługach procesora przetwarzany jest centralny system uwierzytelniania, który zapewnia jednolite bezpieczeństwo danych.
(b) Wytyczne dotyczące wycofanych dysków i niszczenia dysków.
Na niektórych dyskach zawierających dane mogą wystąpić problemy z wydajnością, błędy lub awarie sprzętu, które spowodowały jego wycofanie („wycofany dysk”). Każdy usunięty dysk jest poddawany szeregowi procesów niszczenia danych („Wskazówki dotyczące niszczenia danych”) przed opuszczeniem lokalizacji Jibe w celu ponownego wykorzystania lub zniszczenia. Dyski, które zostały wycofane, są kasowane w ramach wieloetapowego procesu, który został sprawdzony przez co najmniej 2 niezależne weryfikatory. Wyniki wymazywania są rejestrowane w celu śledzenia przez numer seryjny wycofanego dysku. Na koniec wykasowany dysk wycofany jest w zasobach reklamowych do ponownego użycia i wdrożenia. Jeśli z powodu awarii sprzętu nie będzie można usunąć dysku, który został usunięty, będzie on bezpiecznie przechowywany, dopóki nie zostanie zniszczony. Każda placówka jest regularnie kontrolowana w celu monitorowania zgodności z wytycznymi dotyczącymi niszczenia danych.
(c) Dane pseudonimowe.
Dane dotyczące reklam online są zwykle powiązane z identyfikatorami online, które same są uważane za „pseudonimowe” (tzn. nie można ich przypisać konkretnej osobie, bez użycia dodatkowych informacji). Jibe ma rozbudowany zestaw zasad oraz technicznych i organizacyjnych narzędzi kontrolnych, które pozwalają oddzielić informacje pseudonimowe od danych umożliwiających identyfikację użytkowników (tj. informacje, które można wykorzystać bezpośrednio do zidentyfikowania lub skontaktowania się z konkretną osobą), takie jak dane konta Jibe. Zasady Jibe zezwalają na przepływ informacji między pseudonimowymi i umożliwiającymi identyfikację osób tylko w ściśle określonych okolicznościach.
(d) Sprawdzanie opinii.
Jibe przed publikacją sprawdza nowe produkty i funkcje. Obejmuje to kontrolę prywatności przeprowadzaną przez specjalnie przeszkolonych inżynierów ds. prywatności. Podczas weryfikacji prywatności inżynierowie prywatności dbają o przestrzeganie wszystkich obowiązujących zasad i wytycznych Jibe, w tym m.in. zasad dotyczących pseudonimizacji oraz przechowywania i usuwania danych.
4. Bezpieczeństwo pracowników
Pracownicy Jibe są zobowiązani do postępowania w sposób zgodny z wytycznymi firmy dotyczącymi poufności, etyki w firmie, odpowiedniego użytkowania i standardów zawodowych. Jibe przeprowadza odpowiednie sprawdzenie przeszłości pracowników w zakresie dozwolonym prawnie oraz zgodnie z obowiązującymi lokalnymi przepisami prawa pracy i ustawami.
Pracownicy muszą podpisać umowę o zachowaniu poufności, a także potwierdzić zapoznanie się z polityką prywatności Jibe i przestrzeganie jej. Personel jest szkolony w zakresie bezpieczeństwa. Personel obsługujący dane osobowe partnera musi spełnić dodatkowe wymagania odpowiednie do jego roli. Pracownicy Jibe nie będą przetwarzać danych osobowych partnerów bez ich zgody.
5. Zabezpieczenia podwykonawcy podmiotu przetwarzającego dane osobowe
Przed rozpoczęciem obsługi podwykonawców Jibe przeprowadza audyty praktyk dotyczące zabezpieczeń i prywatności podmiotów przetwarzających, aby upewnić się, że podwykonawcy podmiotu przetwarzającego dane zapewniają poziom bezpieczeństwa i prywatności odpowiedni dla ich dostępu do danych i zakresu oferowanych przez nie usług. Gdy Jibe oceni ryzyko związane z podwykonawcą podmiotu przetwarzającego dane osobowe, podwykonawca podmiotu przetwarzającego dane osobowe będzie musiał zawrzeć odpowiednie warunki w zakresie bezpieczeństwa, poufności i prywatności, zgodnie z wymaganiami określonymi w artykule 11.3 (Wymagania dotyczące zaangażowania podwykonawcy podmiotu przetwarzającego dane osobowe).
Załącznik 3: Dodatkowe warunki związane z Pozaeuropejskim ustawodawstwem dotyczącym ochrony danych
Dodatkowe warunki związane z Pozaeuropejskim ustawodawstwem dotyczącym ochrony danych stanowią uzupełnienie tego Aneksu o przetwarzaniu danych:
- Aneks dotyczący procesora w ustawie LGPD na stronie business.safety.google/processorterms/lgpd (z 27 sierpnia 2020 r.)
- Załącznik do amerykańskich przepisów stanowych na stronie business.safety.google/processorterms/us-state-laws (z 12 grudnia 2022 r.)
Odniesienia do Google LLC i Google w Aneksie dotyczącym podmiotów przetwarzających przepisy ustawy LGPD oraz do amerykańskich przepisów stanowych odnoszą się do Jibe.
Aneks dotyczący przetwarzania danych w Jibe, wersja 4.0