Ostatnia zmiana: 2 listopada 2020 r.
Jibe i strony, które zaakceptowały ten aneks („Firma”), zawarły umowę o świadczenie usług procesora (z wprowadzanymi okresowo zmianami „Umowa”).
Ten Aneks dotyczący przetwarzania danych (w tym załączniki, „Aneks dotyczący przetwarzania danych”) został zawarty przez Jibe i Company i stanowi uzupełnienie Umowy. Aneks o przetwarzaniu danych wejdzie w życie z dniem stanowiącym Datę wejścia Aneksu w życie i zastąpi wszelkie obowiązujące wcześniej warunki związane z ich przedmiotem (w tym warunki przetwarzania danych i zabezpieczeń związane z usługami podmiotu przetwarzającego) od Daty wejścia Aneksu w życie.
Jeśli Użytkownik akceptuje ten Załącznik dotyczący przetwarzania danych w imieniu firmy, zapewnia, że: (a) ma pełne upoważnienie do zobowiązania firmy tym Załącznikiem dotyczącym przetwarzania danych, (b) przeczytał i zrozumiał Załącznik dotyczący przetwarzania danych oraz (c) w imieniu firmy zgadza się na postanowienia tego Załącznika. Jeśli nie masz pełnomocnictwa do przyjmowania zobowiązań w imieniu Firmy, nie akceptuj tego Załącznika do Warunków przetwarzania danych.
1. Wprowadzenie
Ten Aneks do przetwarzania danych odzwierciedla umowę między stronami dotyczącą warunków przetwarzania i zabezpieczania Danych osobowych Firmy w związku z Europejskim ustawodawstwem dotyczącym ochrony danych oraz niektórymi pozaeuropejskimi przepisami dotyczącymi ochrony danych.
2. Definicje i ich interpretacja
2.1 W tym Aneksie dotyczącym przetwarzania danych:
„Dodatkowy produkt” oznacza produkt, usługę lub aplikację udostępniane przez Jibe lub osobę trzecią, które: (a) nie wchodzą w skład Usług Podmiotu przetwarzającego; oraz (b) są dostępne do użytku w interfejsie Usług Podmiotu przetwarzającego lub są w inny sposób zintegrowane z Usługami Podmiotu przetwarzającego.
„Dodatkowe warunki związane z Pozaeuropejskim ustawodawstwem dotyczącym ochrony danych” to dodatkowe warunki wymienione w Dodatku 3, które odzwierciedlają postanowienia umowy między stronami dotyczące przetwarzania określonych danych w związku z określonymi przepisami pozaeuropejskiego ustawodawstwa dotyczącego ochrony danych.
„Podmiot stowarzyszony” to dowolny podmiot, który kontroluje daną stronę Umowy, nad którym dana strona ma kontrolę albo który pozostaje pod wspólną kontrolą z daną stroną – pośrednio lub bezpośrednio.
„Dane osobowe firmy” to dane osobowe, które są przetwarzane przez Jibe w imieniu Firmy w ramach świadczenia Usług podmiotu przetwarzającego dane.
„Naruszenie ochrony danych” oznacza naruszenie zabezpieczeń Jibe prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmiany, nieuprawnionego ujawnienia lub uzyskania dostępu do Danych osobowych firmy w systemach zarządzanych przez Jibe lub w inny sposób kontrolowanych przez tę firmę. „Naruszenia ochrony danych” nie obejmują nieudanych prób lub działań, które nie zagrażają bezpieczeństwu Danych osobowych Firmy, w tym nieudanych prób logowania, pingów, skanowania portów, ataków typu DoS i innych ataków sieciowych na zapory sieciowe lub systemy sieciowe.
„Ustawodawstwo dotyczące ochrony danych” to, stosownie do przypadku: (a) europejskie ustawodawstwo dotyczące ochrony danych lub (b) pozaeuropejskie ustawodawstwo dotyczące ochrony danych.
„Narzędzie osoby, której dotyczą dane” oznacza narzędzie (jeśli takie istnieje), udostępnione przez podmiot Jibe osobom, których dotyczą dane, które umożliwia Jibe bezpośrednie i ustandaryzowane reagowanie na określone żądania osób, których dotyczą dane, w odniesieniu do Danych osobowych firmy (np. wtyczka do przeglądarki umożliwiająca rezygnację z usług).
„EOG” to Europejski Obszar Gospodarczy.
„RODO (UE)” to Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
„Europejskie przepisy dotyczące ochrony danych” to w stosownych przypadkach: (a) rozporządzenie RODO lub (b) szwajcarska federalna ustawa o ochronie danych osobowych z 19 czerwca 1992 roku.
„Prawo europejskie lub krajowe” oznacza, stosownie do przypadku: (a) prawo UE lub państwa członkowskiego UE (jeżeli unijne rozporządzenie RODO ma zastosowanie do przetwarzania danych osobowych firmy); lub (b) prawo brytyjskie albo obowiązujące w części Wielkiej Brytanii (jeśli rozporządzenie RODO (Wielka Brytania) ma zastosowanie do przetwarzania danych osobowych firmy).
„RODO”” oznacza, stosownie do przypadku: (a) RODO (UE) lub (b) RODO (Wielka Brytania).
„Jibe” oznacza podmiot Jibe, który jest stroną Umowy.
„Podwykonawcy podmiotu stowarzyszonego Jibe” mają znaczenie określone w artykule 11.1 (Zgoda na zaangażowanie Podwykonawców podmiotu przetwarzającego dane osobowe).
„Podmiot stowarzyszony Jibe” to firma Jibe Mobile Inc., Jibe Mobile Limited lub inny podmiot stowarzyszony firmy Jibe Mobile Inc.
„Certyfikat ISO 27001” oznacza certyfikat ISO/IEC 27001:2013 lub porównywalny certyfikat dla usług dostawcy.
„Pozaeuropejskie przepisy dotyczące ochrony danych” to przepisy o ochronie danych i regulacje dotyczące prywatności obowiązujące poza Europejskim Obszarem Gospodarczym, Szwajcarią i Wielką Brytanią.
„Adres e-mail do powiadomień” oznacza adres e-mail (jeśli istnieje): (i) podany przez Firmę firmie Jibe lub (ii) wyznaczony przez Firmę w interfejsie Usług Procesora lub za pomocą innych środków udostępnionych przez Jibe w celu otrzymywania określonych powiadomień od Jibe związanych z niniejszym Dodatkiem dotyczącym przetwarzania danych. Dla jasności: firma jest odpowiedzialna za podanie Jibe Adresu e-mail do powiadomień oraz za informowanie Jibe o wszelkich zmianach w Adresach e-mail do powiadomień.
„Usługi podmiotu przetwarzającego dane” oznaczają usługi RCS Business Messaging (opisane na stronie https://developers.google.com/business-communications/rcs-business-messaging).
„Dokumentacja dotycząca bezpieczeństwa” oznacza certyfikat ISO 27001 i wszystkie inne certyfikaty bezpieczeństwa lub dokumentację, które Jibe może udostępnić w związku z usługami podmiotu przetwarzającego.
„Środki bezpieczeństwa” mają znaczenie podane w artykule 7.1.1 (Środki bezpieczeństwa Jibe).
„Standardowe klauzule umowne” oznaczają standardowe klauzule umowne Komisji Europejskiej dostępne na stronie https://privacy.google.com/businesses/gdprprocessorterms/sccs. Są to standardowe warunki ochrony danych dotyczące przesyłania danych osobowych do podmiotów przetwarzających dane z krajów trzecich, które nie zapewniają odpowiedniego poziomu ochrony danych zgodnie z artykułem 46 RODO.
„Podwykonawcy podmiotu przetwarzającego dane osobowe” oznaczają osoby trzecie upoważnione na mocy tego Aneksu do przetwarzania Danych Osobowych Firmy w celu świadczenia części Usług podmiotu przetwarzającego dane osobowe i wszelkiego powiązanego wsparcia technicznego.
„Organ nadzorczy” oznacza, stosownie do przypadku: (a) „organ nadzorczy” w rozumieniu RODO (UE) lub (b) „Komisarza” w rozumieniu RODO (Wielka Brytania).
„Okres obowiązywania” oznacza okres od Daty wejścia Warunków w życie do zakończenia świadczenia przez Jibe Usług podmiotu przetwarzającego na mocy Umowy.
„Data wejścia warunków w życie” oznacza datę wejścia Umowy w życie.
„Podwykonawcy podmiotu przetwarzającego dane osobowe pochodzący z zewnętrznych firm” mają znaczenie podane w artykule 11.1 (Zgoda na zaangażowanie Podwykonawców podmiotu przetwarzającego dane osobowe).
„RODO (Wielka Brytania)” oznacza RODO (UE) w formie zmienionej i włączonej do prawa brytyjskiego na mocy ustawy o wystąpieniu z Unii Europejskiej z 2018 roku (jeśli obowiązuje).
2.2 Terminy „administrator”, „osoba, której dane dotyczą”, „dane osobowe”, „przetwarzanie” i „podmiot przetwarzający” użyte w tym Załączniku do Warunków przetwarzania danych mają znaczenie określone w RODO, a terminy „importer danych” i „eksporter danych” mają znaczenie określone we Wzorcowych klauzulach umownych.
2.3 Sformułowania „w tym”, „między innymi” lub inne podobne sformułowania mają charakter ilustracyjny i nie ograniczają znaczenia słów poprzedzających te sformułowania. Wszelkie przykłady podane w tym Aneksie dotyczącym przetwarzania danych mają charakter poglądowy i nie stanowią jedynych przykładów poszczególnych koncepcji.
2.4 Wszelkie odniesienia do ram prawnych, ustaw lub innych aktów prawnych odwołują się do ich postaci wraz z wprowadzanymi w nich co pewien czas zmianami w ramach nowelizacji.
2.5 Jeśli niniejsze Warunki przetwarzania danych zostaną przetłumaczone na inny język, a wystąpi rozbieżność między tekstem angielskim a tłumaczeniem, obowiązywać będzie tekst angielski.
3. Okres obowiązywania tego aneksu dotyczącego przetwarzania danych
Ten Aneks do przetwarzania danych wejdzie w życie z dniem stanowiącym Datę wejścia w życie Warunków i niezależnie od tego, czy Okres obowiązywania wygasł, pozostanie w mocy do czasu usunięcia przez Jibe wszystkich Danych osobowych Firmy, jak to opisano w tym Aneksie do przetwarzania danych, i wygaśnie automatycznie wraz z tym usunięciem.
4. Stosowanie tego aneksu o przetwarzaniu danych
4.1 Zakres obowiązywania europejskich przepisów o ochronie danych. Sekcje 5 (Przetwarzanie danych) do 12 (Kontaktowanie się z Jibe; przetwarzanie rekordów) (włącznie) będą miały zastosowanie tylko w zakresie, w jakim Europejskie przepisy dotyczące ochrony danych obowiązują w przypadku przetwarzania Danych osobowych przez firmę, w tym:
(a) przetwarzanie odbywa się w ramach działalności jednostki organizacyjnej Firmy mającej siedzibę na terytorium EOG lub Wielkiej Brytanii; lub
(b) dane osobowe firmy to dane osobowe osób, których dane dotyczą, znajdujących się na terytorium EOG lub Wielkiej Brytanii, a przetwarzanie dotyczy oferowania takim osobom towarów lub usług albo monitorowania ich zachowania na terytorium EOG lub Wielkiej Brytanii.
4.2 Zgłoszenie do usług podmiotu przetwarzającego dane. Ten Aneks o przetwarzaniu danych będzie miał zastosowanie tylko do Usług Podmiotu przetwarzającego, w odniesieniu do których strony zgodziły się na ten Aneks o przetwarzaniu danych (np. (a) Usługi Podmiotu przetwarzającego, w odniesieniu do których Firma kliknęła, aby zaakceptować ten Aneks o przetwarzaniu danych; lub (b) jeśli Umowa włącza ten Aneks o przetwarzaniu danych przez odniesienie, Usługi Podmiotu przetwarzającego, które są przedmiotem Umowy).
4.3 Włączenie dodatkowych warunków związanych z pozaeuropejskim ustawodawstwem dotyczącym ochrony danych. Dodatkowe warunki związane z Pozaeuropejskim ustawodawstwem dotyczącym ochrony danych stanowią uzupełnienie tych Warunków przetwarzania danych.
5. Przetwarzanie danych
5.1 Role i zgodność z przepisami; upoważnienie.
5.1.1 Obowiązki podmiotu przetwarzającego i administratora. Strony przyjmują do wiadomości i zgadzają się, że:
(a) Dodatek 1 opisuje przedmiot i szczegóły przetwarzania Danych osobowych Firmy;
(b) Jibe jest podmiotem przetwarzającym Dane osobowe Firmy na mocy Europejskiego ustawodawstwa dotyczącego ochrony danych;
(c) Spółka jest administratorem lub podmiotem przetwarzającym (w stosownych przypadkach) w odniesieniu do Danych osobowych Spółki na mocy Europejskiego ustawodawstwa dotyczącego ochrony danych;
(d) każda ze stron będzie się wywiązywać z obowiązków nakładanych na nią przez Europejskie ustawodawstwo dotyczące ochrony danych w odniesieniu do przetwarzania Danych osobowych przetwarzanych przez firmę.
5.1.2 Autoryzacja przez kontrolera zewnętrznego. Jeśli firma jest podmiotem przetwarzającym, gwarantuje ona Jibe, że jej instrukcje i działania dotyczące danych osobowych firmy, w tym powołanie Jibe na podmiot przetwarzający, zostały autoryzowane przez odpowiedniego administratora.
5.2 Instrukcje firmy. Podpisując ten Aneks o przetwarzaniu danych, Firma zleca Jibe przetwarzanie danych osobowych Firmy wyłącznie zgodnie z obowiązującymi przepisami: (a) w celu świadczenia Usług Procesora i powiązanego wsparcia technicznego; (b) w sposób określony przez Firmę w ramach korzystania z Usług Procesora (w tym w ustawieniach i innych funkcjach Usług Procesora) oraz powiązanego wsparcia technicznego; (c) w sposób określony w umowie, w tym w tym Aneksie o przetwarzaniu danych; oraz (d) w sposób określony w innych pisemnych instrukcjach wydanych przez Firmę i zaakceptowanych przez Jibe jako stanowiące instrukcje na potrzeby Aneksu o przetwarzaniu danych.
5.3 Zgodność Jibe z instrukcjami. Jibe będzie przestrzegać instrukcji opisanych w sekcji 5.2 (Instrukcje firmy) (w tym w odniesieniu do transferów danych), chyba że europejskie lub krajowe przepisy, których podlega Jibe, wymagają innego przetwarzania przez Jibe danych osobowych firmy. W takim przypadku Jibe poinformuje firmę (chyba że takie przepisy zabraniają Jibe przetwarzania danych z ważnych powodów związanych z interesem publicznym).
5.4. Usługi dodatkowe. Jeśli firma korzysta z jakiegokolwiek Usługi dodatkowej, Usługi przetwarzania mogą zezwolić tej usłudze na dostęp do danych osobowych firmy w zakresie wymaganym do współpracy Usługi dodatkowej z Usługami przetwarzania. Ten Aneks dotyczący przetwarzania danych nie ma zastosowania do przetwarzania danych osobowych w związku z udostępnianiem jakiejkolwiek Usługi dodatkowej używanej przez Firmę, w tym danych osobowych przesyłanych do tej Usługi dodatkowej lub z niej.
6. Usunięcie danych
6.1 Usunięcie w trakcie Okresu obowiązywania.
6.1.1 Usługi procesora z funkcją usuwania. W trakcie Okresu, jeśli:
(a) funkcjonalność usług podmiotu przetwarzającego dane obejmuje możliwość usunięcia danych osobowych Klienta;
(b) Dane osobowe Użytkownika są usuwane przez Użytkownika za pomocą Usług Procesora; oraz
(c) usunięte dane osobowe Firmy nie mogą zostać odzyskane przez Firmę (np. z „kosza”),
wówczas Jibe usuwa takie dane osobowe firmy ze swoich systemów tak szybko, jak to jest praktycznie możliwe, chyba że prawo europejskie lub krajowe wymaga, aby dane takie były przechowywane.
6.1.2 Usługi procesora bez funkcji usuwania. Jeśli w okresie obowiązywania Umowy funkcje usług podmiotu przetwarzającego dane nie obejmują możliwości usunięcia przez firmę danych osobowych firmy, Jibe będzie spełniać wszelkie uzasadnione prośby firmy o udostępnienie takich danych, o ile jest to możliwe z uwagi na charakter i funkcjonalność usług podmiotu przetwarzającego dane. Jibe może pobierać opłatę (opartą na swoich uzasadnionych kosztach) za usunięcie danych w ramach tego artykułu 6.1.2 (Usługi podmiotu przetwarzającego bez funkcji usuwania). Jibe przekaże Firmie dodatkowe informacje na temat wszelkich obowiązujących opłat oraz podstawy ich obliczenia przed usunięciem danych.
6.2 Usuwanie po wygaśnięciu Okresu obowiązywania. Po zakończeniu Okresu obowiązywania Spółka zleca Jibe usunięcie wszystkich Danych osobowych Spółki (w tym ich kopii) z systemów Jibe zgodnie z obowiązującymi przepisami. Jibe będzie przestrzegać tej instrukcji tak szybko, jak to jest praktycznie możliwe, chyba że prawo europejskie lub krajowe wymaga, aby dane takie były przechowywane.
7. Bezpieczeństwo danych
7.1 Zabezpieczenia i pomoc Jibe.
7.1.1 Zabezpieczenia Jibe. Jibe wdroży i będzie utrzymywać środki techniczne i organizacyjne w celu ochrony danych osobowych Firmy przed przypadkowym lub niezgodnym z prawem zniszczeniem, utraceniem, zmodyfikowaniem, nieuprawnionym ujawnieniem lub dostępem, tak jak to opisano w załączniku 2 („Środki bezpieczeństwa”). Jibe może co jakiś czas aktualizować lub modyfikować Środki bezpieczeństwa, pod warunkiem że takie aktualizacje i modyfikacje nie spowodują pogorszenia ogólnego bezpieczeństwa Usług Procesora.
7.1.2 Zgodność z wymaganiami bezpieczeństwa przez pracowników Jibe.Jibe zadba o to, aby wszystkie osoby upoważnione do przetwarzania Danych osobowych Firmy zobowiązały się do zachowania poufności lub podlegały odpowiedniemu ustawowemu obowiązkowi zachowania poufności.
7.1.3 Pomoc Jibe w zakresie bezpieczeństwa. Firma zgadza się, że Jibe będzie pomagać Firmie w zapewnieniu zgodności z obowiązkami Firmy dotyczącymi bezpieczeństwa danych osobowych i naruszaniami bezpieczeństwa danych osobowych (biorąc pod uwagę charakter przetwarzania danych osobowych Firmy i informacje dostępne dla Jibe), w tym (w odpowiednich przypadkach) z obowiązkami Firmy wynikającymi z artykułów 32–34 RODO, w ramach:
(a) wdrożenie i utrzymywanie Zabezpieczeń zgodnie z artykułem 7.1.1 (Zabezpieczenia Jibe);
(b) przestrzeganie warunków artykułu 7.2 (Naruszenia ochrony danych);
(c) udostępnianie Firmie Dokumentacji zabezpieczeń zgodnie z artykułem 7.5.1 (Sprawdzanie Dokumentacji zabezpieczeń) i informacjami zawartymi w tym Aneksie dotyczącym przetwarzania danych.
7.2 Naruszenia ochrony danych.
7.2.1 Powiadomienie o naruszeniu. Jeśli firma Jibe dowie się o Naruszeniu ochrony danych, niezwłocznie powiadomi o tym firmę, a także podejmie uzasadnione kroki, aby zminimalizować szkody i zabezpieczyć dane osobowe firmy.
7.2.2 Szczegółowe informacje o naruszeniu ochrony danych. Powiadomienia przesyłane na mocy artykułu 7.2.1 (Powiadomienie o incydencie) będą w miarę możliwości zawierały opis szczegółów Naruszenia ochrony danych, w tym działania podjęte w celu zniwelowania potencjalnego ryzyka i działania, które Jibe zaleca, aby Firma podjęła w związku z Naruszeniem ochrony danych.
7.2.3 Dostarczenie powiadomienia. Jibe dostarczy powiadomienie o wystąpieniu Incydentu dotyczącego danych na adres e-mail do powiadomień lub, według uznania Jibe (w tym w przypadku, gdy firma nie podała adresu e-mail do powiadomień), za pomocą innej bezpośredniej komunikacji (np. przez telefon lub osobiście). Firma ponosi wyłączną odpowiedzialność za udostępnienie Adresu e-mail do powiadomień oraz za to, aby e-mail do powiadomień był aktualny i prawidłowy.
7.2.4 Powiadomienia od innych firm. Firma ponosi wyłączną odpowiedzialność za przestrzeganie przepisów dotyczących powiadomień o naruszeniach, które obowiązują ją oraz za wypełnianie zobowiązań wobec osób trzecich dotyczących powiadomień związanych z naruszeniami ochrony danych.
7.2.5 Brak potwierdzenia odpowiedzialności przez Jibe.Powiadomienie o Naruszeniu ochrony danych lub odpowiedź na takie powiadomienie zgodnie z tym artykułem 7.2 (Naruszenia ochrony danych) wysłane przez Jibe nie będą interpretowane jako potwierdzenie przez Jibe, że ponosi ona jakąkolwiek odpowiedzialność w związku z Naruszeniem ochrony danych.
7.3 Obowiązki i ocena bezpieczeństwa firmy.
7.3.1 Obowiązki firmy dotyczące bezpieczeństwa. Firma zgadza się, że bez uszczerbku dla zobowiązań Jibe określonych w artykułach 7.1 (Środki bezpieczeństwa i pomoc Jibe) oraz 7.2 (Naruszenia ochrony danych):
(a) Spółka jest odpowiedzialna za korzystanie z Usług Procesora, w tym:
(i) odpowiednie korzystanie z Usług Podwykonawcy w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do poziomu ryzyka dla Danych osobowych Firmy; oraz
(ii) zabezpieczenie danych uwierzytelniających do konta oraz zabezpieczenie systemów i urządzeń, których Użytkownik używa do uzyskiwania dostępu do Usług Procesora; oraz
(b) Jibe nie jest zobowiązana do ochrony Danych osobowych Firmy, które Firma przechowuje poza systemami Jibe i podwykonawców lub przenosi do takich systemów.
7.3.2 Ocena bezpieczeństwa firmy. Firma przyjmuje do wiadomości i zgadza się, że (biorąc pod uwagę stan techniki, koszty wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania danych osobowych Firmy, a także zagrożenia dla osób fizycznych) Środki bezpieczeństwa wdrożone i utrzymywane przez Jibe zgodnie z artykułem 7.1.1 (Środki bezpieczeństwa Jibe) zapewniają poziom bezpieczeństwa odpowiedni do ryzyka związanego z danymi osobowymi Firmy.
7.4 Certyfikat bezpieczeństwa. Aby ocenić i zapewnić ciągłą skuteczność Zabezpieczeń, Jibe będzie utrzymywać certyfikat ISO 27001.
7.5 Weryfikacje i kontrole zgodności.
7.5.1 Sprawdzanie Dokumentacji zabezpieczeń. Aby wykazać, że Jibe wywiązuje się ze swoich zobowiązań wynikających z tego Aneksu dotyczącego przetwarzania danych, Jibe udostępni Klientowi Dokumentację bezpieczeństwa do sprawdzenia.
7.5.2 Prawa firmy do kontroli.
(a) Jibe zezwoli Firmie lub zewnętrznemu audytorowi wyznaczonemu przez Firmę na przeprowadzenie kontroli (w tym inspekcji) w celu sprawdzenia, czy Jibe przestrzega swoich zobowiązań wynikających z tego Aneksu dotyczącego przetwarzania danych zgodnie z artykułem 7.5.3 (Dodatkowe warunki biznesowe dotyczące kontroli).Jibe będzie uczestniczyć w takich kontrolach zgodnie z artykułem 7.4 (Certyfikat bezpieczeństwa) i tym artykułem 7.5 (Weryfikacje i kontrole zgodności).
(b) Jeśli obowiązują standardowe klauzule umowne określone w artykule 10.2 (Przekazywanie danych), Jibe zezwoli Firmie lub zewnętrznemu audytorowi wyznaczonemu przez Firmę na przeprowadzenie audytów zgodnie z standardowymi klauzulami umownymi określonymi w artykule 7.5.3 (Dodatkowe warunki biznesowe dotyczące audytów).
(c) może też przeprowadzić audyt w celu sprawdzenia, czy firma Jibe przestrzega swoich zobowiązań wynikających z tego Załącznika dotyczącego przetwarzania danych, przez zażądanie i sprawdzenie certyfikatu wydanego w ramach certyfikacji ISO 27001 (który odzwierciedla wynik audytu przeprowadzonego przez zewnętrznego audytora).
7.5.3 Dodatkowe warunki biznesowe dotyczące kontroli.
(a) Firma wyśle do Jibe żądanie przeprowadzenia kontroli zgodnie z artykułem 7.5.2(a) lub 7.5.2(b) zgodnie z opisem w sekcji 12.1 (Kontaktowanie się z Jibe).
(b) Po otrzymaniu przez Jibe żądania zgodnie z artykułem 7.5.3(a) Jibe i Firma z wyprzedzeniem omówią i uzgodnią uzasadnioną datę rozpoczęcia, zakres i czas trwania każdej kontroli przeprowadzanej zgodnie z artykułem 7.5.2(a) lub 7.5.2(b) oraz odnoszące się do takiej kontroli opcje zabezpieczeń i poufności.
(c) Jibe może pobierać opłatę (obejmującą uzasadnione koszty Jibe) za każdą kontrolę przeprowadzoną na mocy artykułu 7.5.2(a) lub 7.5.2(b).Jibe przekaże Firmie szczegółowe informacje na temat wszelkich obowiązujących opłat, a także podstawy ich obliczania przed przeprowadzeniem takiej kontroli. Firma będzie odpowiedzialna za wszelkie opłaty pobierane przez zewnętrznego audytora wyznaczonego przez Firmę za przeprowadzenie takiego audytu.
(d) Jibe może sprzeciwić się mianowaniu przez Firmę audytora zewnętrznego do przeprowadzenia kontroli na mocy artykułu 7.5.2(a) lub 7.5.2(b), jeśli audytor ten nie jest – według uzasadnionej opinii Jibe – odpowiednio wykwalifikowany lub niezależny, jest konkurentem Jibe lub jest w inny sposób ewidentnie nieodpowiedni. Każde takie zgłoszenie zastrzeżeń przez Jibe będzie wymagało od firmy wyznaczenia innego audytora lub przeprowadzenia kontroli samodzielnie.
(e) Żadne z postanowień tego Załącznika dotyczącego przetwarzania danych nie wymaga od Jibe ujawniania firmie ani zewnętrznemu audytorowi informacji o danych ani zezwalania firmie ani zewnętrznemu audytorowi na dostęp do:
(i) żadnych danych jakiegokolwiek klienta będącego Podmiotem Jibe;
(ii) wewnętrznych informacji księgowych lub finansowych Podmiotu Jibe;
(iii) tajemnicy handlowej Podmiotu Jibe;
(iv) wszelkie informacje, które według uzasadnionego przekonania Jibe: (A) mogą zagrozić bezpieczeństwu systemów lub pomieszczeń Podmiotu Jibe; lub (B) mogą spowodować, że Podmiot Jibe naruszy swoje zobowiązania wynikające z Europejskiego ustawodawstwa dotyczącego ochrony danych lub zobowiązania dotyczące bezpieczeństwa lub prywatności wobec Firmy lub jakiejkolwiek osoby trzeciej; lub
(v) informacje, do których firma lub jej zewnętrzny audytor chcą uzyskać dostęp z powodu niezwiązanego z rzetelnym wypełnianiem zobowiązań firmy na mocy przepisów Europejskiego ustawodawstwa dotyczącego ochrony danych.
7.5.4 Brak zmian standardowych klauzul umownych. Jeśli obowiązują standardowe klauzule umowne określone w artykule 10.2 (Przekazywanie danych), żadne z postanowień tego artykułu 7.5 (Sprawdzanie i kontrola zgodności) nie zmienia ani nie modyfikuje żadnych praw ani zobowiązań Spółki ani Jibe wynikających ze standardowych klauzul umownych.
8. Oceny wpływu i konsultacje
Firma zgadza się, że Jibe pomoże jej w zapewnieniu zgodności z obowiązkami firmy dotyczącymi oceny skutków dla ochrony danych i wcześniejszych konsultacji (biorąc pod uwagę charakter przetwarzania i informacje dostępne dla Jibe), w tym (w odpowiednich przypadkach) obowiązków firmy wynikających z artykułów 35 i 36 RODO, poprzez:
(a) dostarczanie Dokumentacji zabezpieczeń zgodnie z artykułem 7.5.1 (Sprawdzanie Dokumentacji zabezpieczeń);
(b) dostarczanie informacji zawartych w tym Aneksie dotyczącym przetwarzania danych; oraz
(c) udostępnianie lub przekazywanie w inny sposób, zgodnie ze standardowymi praktykami Jibe, innych materiałów związanych z charakterem Usług Procesora i przetwarzania Danych osobowych Firmy (np. materiałów w Centrum pomocy).
9. Prawa osoby, której dotyczą dane
9.1 Odpowiedzi na żądania osób, których dotyczą dane. Jeśli Jibe otrzyma żądanie od osoby, której dotyczą dane, w odniesieniu do danych osobowych firmy, Jibe:
(a) jeśli prośba została wysłana za pomocą Narzędzia dla osób, których dotyczą dane, odpowiedz bezpośrednio na prośbę osoby, której dotyczą dane, zgodnie ze standardową funkcjonalnością tego narzędzia; lub
(b) jeśli żądanie nie zostało złożone za pomocą Narzędzia dla osób, których dotyczą dane, zaleć osobie, której dotyczą dane, aby przesłała żądanie do Firmy, a Firma będzie odpowiedzialna za udzielenie odpowiedzi na takie żądanie.
9.2 Pomoc Jibe dotycząca żądań osób, których dotyczą dane Firma zgadza się, że Jibe będzie pomagać Firmie w spełnianiu wszelkich zobowiązań Firmy do odpowiadania na żądania osób, których dotyczą dane (biorąc pod uwagę charakter przetwarzania danych osobowych Firmy i w stosownych przypadkach art. 11 RODO), w tym (w stosownych przypadkach) zobowiązań Firmy do odpowiadania na żądania osób, których dotyczą dane, w stosunku do wykonywania ich praw w ramach rozdziału III RODO, poprzez:
(a) udostępnianie funkcji Usług Procesora;
(b) wypełnianie zobowiązań określonych w artykule 9.1 (Odpowiadanie na żądania osób, których dotyczą dane); oraz
(c) udostępnianie w stosownych przypadkach Narzędzi osób, których dotyczą dane, w ramach Usług Podmiotu przetwarzającego.
10. Przenoszenie danych
10.1 Miejsca przechowywania i przetwarzania danych. Firma wyraża zgodę na to, aby Jibe, z zastrzeżeniem postanowień artykułu 10.2 (Przesyłanie danych), przechowywała i przetwarzała dane osobowe firmy w dowolnym kraju, w którym firma Jibe lub którykolwiek z jej Podwykonawców ma swoje obiekty.
10.2 Przesyłanie danych.
Jeśli przechowywanie lub przetwarzanie danych osobowych firmy obejmuje przesyłanie danych osobowych firmy z Europejskiego Obszaru Gospodarczego, Szwajcarii lub Wielkiej Brytanii do kraju trzeciego, który nie jest objęty decyzją stwierdzającą odpowiedni stopień ochrony na mocy europejskich przepisów dotyczących ochrony danych:
(a) uznaje się, że firma (jako eksporter danych) zawarła ze spółką Jibe (jako importerem danych) standardowe klauzule umowne;
(b) przeniesienie danych będzie podlegać standardowym klauzulom umownym;
(c) odniesienia do Google LLC i Klienta w standardowych klauzulach umownych będą odpowiednio odwoływać się do Jibe i Spółki.
10.3 Informacje o centrum danych. Informacje o lokalizacji centrów danych Google są dostępne na stronie www.google.com/about/datacenters/locations/index.html.
11. Podwykonawcy podmiotu przetwarzającego dane osobowe
11.1 Zgoda na zaangażowanie Podwykonawców podmiotu przetwarzającego dane osobowe. Firma wyraźnie zezwala na zaangażowanie podmiotów stowarzyszonych Jibe jako Podwykonawców podmiotu przetwarzającego dane osobowe („Podwykonawcy podmiotu stowarzyszonego Jibe”). Firma zezwala również na zaangażowanie innych podmiotów jako Podwykonawców podmiotu przetwarzającego dane osobowe („Podwykonawcy podmiotu przetwarzającego dane osobowe”). Jeśli standardowe klauzule umowne określone w artykule 10.2 (Przekazywanie danych) mają zastosowanie, powyższe upoważnienia stanowią uprzednią pisemną zgodę firmy na zlecenie przez Jibe przetwarzania danych osobowych firmy przez podwykonawcę.
11.2 Informacje o Podwykonawcach podmiotu przetwarzającego dane osobowe. Na piśmie prośbę firmy Jibe udostępni informacje dotyczące podwykonawców i ich lokalizacji. Wszelkie takie prośby należy przesyłać do Jibe za pomocą danych kontaktowych podanych w sekcji 12.1 (Kontakt z Jibe).
11.3 Wymagania stawiane Podwykonawcom podmiotu przetwarzającego dane osobowe. Angażując jakiegokolwiek Podwykonawcę podmiotu przetwarzającego dane osobowe, Jibe:
(a) zadbać za pomocą umowy pisemnej, aby:
(i) Podwykonawca podmiotu przetwarzającego dane osobowe uzyskiwał dostęp do Danych osobowych Spółki i używał ich wyłącznie w zakresie niezbędnym do wypełnienia powierzonych mu obowiązków oraz robił to zgodnie z Umową (w tym Aneksem dotyczącym przetwarzania danych) i, w stosownych przypadkach zgodnie z artykułem 10.2 (Przekazywanie danych) – Standardowymi Klauzulami Umowmi; oraz
(ii) jeśli RODO ma zastosowanie do przetwarzania Danych osobowych Firmy, na Podwykonawcę podmiotu przetwarzającego dane osobowe nałożone zostały obowiązki dotyczące ochrony danych określone w art. 28 ust. 3 RODO;
(b) zachowa pełną odpowiedzialność za wszelkie obowiązki zlecone Podwykonawcy oraz wszelkie jego działania i zaniechania.
11.4 Możliwość wyrażenia sprzeciwu wobec zmian dotyczących Podwykonawców podmiotu przetwarzającego dane osobowe.
(a) Gdy w okresie obowiązywania Umowy zostanie zaangażowany nowy Podwykonawca Podmiot Przetwarzający Dane Osobowe, Jibe poinformuje o tym Spółkę (w tym o nazwie i lokalizacji odpowiedniego Podwykonawcy Podmiotu Przetwarzającego Dane Osobowe oraz o działalności, którą będzie on wykonywać), wysyłając e-maila na adres e-mail do wysyłania powiadomień co najmniej 30 dni przed rozpoczęciem przetwarzania przez nowego Podwykonawcę Podmiotu Przetwarzającego Dane Osobowe jakichkolwiek danych osobowych Spółki.
(b) Spółka może sprzeciwić się użyciu nowego Podwykonawcy podmiotu przetwarzającego dane osobowe, natychmiast wypowiedzeniem Umowy w pisemnym powiadomieniu do Jibe, pod warunkiem że Spółka przekaże takie powiadomienie w ciągu 90 dni od poinformowania o zaangażowaniu nowego Podwykonawcy podmiotu przetwarzającego dane osobowe zgodnie z opisem w artykule 11.4(a). To prawo do wypowiedzenia jest jedynym i wyłącznym roszczeniem Spółki, jeśli Spółka sprzeciwia się jakiemukolwiek nowemu Podwykonawcy zewnętrznemu.
12. Kontaktowanie się z Jibe; rejestry przetwarzania
12.1 Kontakt z Jibe Firma może kontaktować się z Jibe w sprawie tego Aneksu dotyczącego przetwarzania danych za pomocą danych kontaktowych Jibe ds. ochrony danych RCS, z którymi można się skontaktować na stronie http://issuetracker.google.com lub w inny sposób, który może być co jakiś czas udostępniany przez Jibe.
12.2 Rejestry przetwarzania Jibe. Firma uznaje, że zgodnie z RODO Jibe jest zobowiązana: (a) zbierać i przechowywać określone informacje, w tym nazwy i dane kontaktowe każdego podmiotu przetwarzającego lub administratora, w imieniu którego działa Jibe, oraz (w stosownych przypadkach) lokalnego przedstawiciela takiego podmiotu przetwarzającego lub administratora i inspektora ochrony danych; oraz (b) udostępniać te informacje każdemu organowi nadzorczemu. W związku z tym, o ile jest to wymagane i odpowiednie, Spółka przekaże takie informacje Jibe za pomocą interfejsu użytkownika usług procesora lub za pomocą innych środków udostępnionych przez Jibe, a także użyje tego interfejsu użytkownika lub innych środków, aby zapewnić, że wszystkie podane informacje są dokładne i aktualne.
13. Odpowiedzialność
13.1 Ograniczenie odpowiedzialności. Niezależnie od innych postanowień Umowy łączna odpowiedzialność każdej ze stron wobec drugiej strony na mocy lub w związku z tym Załącznikiem dotyczącym przetwarzania danych będzie ograniczona do maksymalnej kwoty pieniężnej lub kwoty płatności, na jaką ograniczona jest odpowiedzialność tej strony na mocy Umowy (a zatem wyłączenie odpowiedzialności z tytułu tajemnicy przedsiębiorstwa lub roszczenia o odszkodowanie z tytułu ograniczenia odpowiedzialności wynikającego z Umowy nie będzie mieć zastosowania do roszczeń wynikających z Umowy w odniesieniu do europejskich przepisów o ochronie danych lub nieeuropejskich przepisów o ochronie danych). Żadne z postanowień tego artykułu 13 (Obowiązek) nie wyłącza ani nie ogranicza odpowiedzialności żadnej ze stron za: (a) śmierć lub uszkodzenie ciała spowodowane przez jej zaniedbanie lub zaniedbanie jej pracowników bądź przedstawicieli; (b) oszustwo lub celowe wprowadzenie w błąd; lub (c) sprawy, za które odpowiedzialność nie może być wyłączona ani ograniczona na mocy obowiązującego prawa.
13.2 Odpowiedzialność w przypadku obowiązywania standardowych klauzul umownych. Jeśli standardowe klauzule umowne określone w sekcji 10.2 (Przekazywanie danych) mają zastosowanie, łączna odpowiedzialność każdej ze stron i jej podmiotów stowarzyszonych wobec drugiej strony i jej podmiotów stowarzyszonych wynikająca z niniejszej Umowy i standardowych klauzul umownych jest ograniczona zgodnie z sekcją 13.1 (Ograniczenie odpowiedzialności).
14. Beneficjenci będący osobami trzecimi
Jeśli podmiot stowarzyszony danej strony jest stroną standardowych klauzul umownych, które mają zastosowanie zgodnie z artykułem 10.2 (Przesyłanie danych), ten podmiot stowarzyszony będzie beneficjentem zewnętrznym artykułów 6.2 (Usuwanie danych po wygaśnięciu umowy), 7.5 (Sprawdzanie i audyt zgodności), 9.1 (Odpowiadanie na żądania osób, których dotyczą dane), 10.2 (Przesyłanie danych), 11.1 (Zgoda na współpracę z podwykonawcą) i 13.2 (Odpowiedzialność w przypadku obowiązywania standardowych klauzul umownych). W zakresie, w jakim ten artykuł 14 (Beneficjenci będący osobami trzecimi) koliduje lub jest niezgodny z postanowieniami innych klauzul Umowy, zastosowanie będzie miał ten artykuł 14 (Beneficjenci będący osobami trzecimi).
15. Skutki tego aneksu dotyczącego przetwarzania danych
W przypadku konfliktu lub niespójności między Standardowymi klauzulami umownymi, Dodatkowymi warunkami dotyczącymi pozaeuropejskiego ustawodawstwa o ochronie danych, tym Aneksem dotyczącym przetwarzania danych i pozostałymi zapisami Umowy obowiązuje następująca kolejność ważności:
(a) standardowe klauzule umowne;
(b) Dodatkowe warunki związane z Pozaeuropejskim ustawodawstwem dotyczącym ochrony danych;
(c) pozostałe postanowienia tych Zasad przetwarzania danych;
(d) pozostałe części Umowy.
Jeśli niniejsza Umowa (w tym Aneks) została przetłumaczona na inny język i przetłumaczony tekst jest sprzeczny z tekstem angielskim lub niezgodny z tym tekstem, obowiązuje tekst angielski.
Z zastrzeżeniem zmian w tym Aneksie o przetwarzaniu danych Umowa pozostaje w mocy.
16. Zmiany w Aneksie dotyczącym przetwarzania danych
16.1 Zmiany adresów URL Jibe może okresowo zmieniać adresy URL wymienione w tym dodatku dotyczącym przetwarzania danych oraz zawartość dostępną pod tymi adresami URL, z tym że Jibe może zmieniać standardowe klauzule umowne tylko zgodnie z sekcjami 16.2(b)–16.2(d) (Zmiany warunków przetwarzania danych) lub włączać nową wersję standardowych klauzul umownych, które mogą być stosowane zgodnie z europejskimi przepisami o ochronie danych, w taki sposób, aby nie wpływać na ważność standardowych klauzul umownych zgodnie z europejskimi przepisami o ochronie danych.
16.2 Zmiany Warunków przetwarzania danych. Jibe może zmienić ten Aneks o przetwarzaniu danych, jeśli zmiana:
(a) jest wyraźnie dozwolona przez ten Aneks o przetwarzaniu danych, w tym zgodnie z opisem w art. 16.1 (Zmiany dotyczące adresów URL);
(b) dotyczy imienia i nazwiska lub nazwy bądź formy osoby prawnej;
(c) jest niezbędna do spełnienia wymagań obowiązujących przepisów, nakazów sądowych lub wytycznych wydanych przez państwowy urząd lub agencję regulacyjną albo
(d) nie (i) spowodują pogorszenia ogólnego poziomu bezpieczeństwa Usług Procesora; (ii) nie rozszerzają zakresu ani nie znoszą żadnych ograniczeń dotyczących (x) w przypadku Warunków dodatkowych dotyczących nieeuropejskiego ustawodawstwa dotyczącego ochrony danych – praw Jibe do używania lub przetwarzania w inny sposób danych w zakresie Warunków dodatkowych dotyczących nieeuropejskiego ustawodawstwa dotyczącego ochrony danych lub (y) w przypadku pozostałych Warunków przetwarzania danych – przetwarzania przez Jibe Danych osobowych Firmy zgodnie z opisem w artykule 5.3 (Zgodność Jibe z instrukcjami); ani (iii) nie mają istotnego negatywnego wpływu na prawa Firmy wynikające z tego Aneksu o przetwarzaniu danych, zgodnie z rozsądnym uznaniem Jibe.
16.3 Powiadomienie o zmianach. Jeśli Jibe zamierza zmienić niniejszą Umowę dodatkową dotyczącą przetwarzania danych zgodnie z sekcją 16.2 c lub d, Jibe poinformuje o tym Spółkę z co najmniej 30-dniowym wyprzedzeniem (lub krótszym, jeśli będzie to wymagane w celu zapewnienia zgodności z obowiązującymi przepisami prawa, przepisami, nakazem sądowym lub wytycznymi wydanymi przez organ nadzoru lub urząd państwowy) przed wejściem zmiany w życie: (a) wysyłając e-maila na adres e-mail podany w powiadomieniu lub (b) ostrzegając Spółkę za pomocą interfejsu użytkownika Usług procesora. Jeśli firma sprzeciwi się takiej zmianie, może wypowiedzieć Umowę, składając Jibe pisemne oświadczenie w ciągu 90 dni od otrzymania powiadomienia o zmianie.
Dodatek 1. Przedmiot i szczegóły przetwarzania danych
Temat
Świadczenie przez Jibe Usług Procesora i wszelkiej związanej z nimi pomocy technicznej Firmie.
Czas przetwarzania
Okres obowiązywania i okres od jego zakończenia do momentu usunięcia przez Jibe wszystkich danych osobowych Firmy zgodnie z niniejszym Załącznikiem dotyczącym przetwarzania danych.
Charakter i cel przetwarzania
Jibe będzie przetwarzać Dane osobowe Klienta w celu świadczenia Usług podmiotu przetwarzającego dane oraz wszelkich powiązanych usług wsparcia technicznego na rzecz Klienta zgodnie z tym Aneksem dotyczącym przetwarzania danych (w tym, w przypadku usług podmiotu przetwarzającego dane i instrukcji opisanych w sekcji 5.2 (Instrukcje Klienta), gromadzenia, rejestrowania, organizowania, strukturyzowania, przechowywania, modyfikowania, pobierania, używania, ujawniania, łączenia, kasowania i niszczenia Danych osobowych Klienta).
Rodzaje danych osobowych
dane osobowe osób fizycznych przekazane Jibe za pomocą usług przetwarzania przez Firmę lub użytkowników końcowych Firmy.
Kategorie osób, których dotyczą dane
Dotyczy to osób, których dane są przekazywane do Jibe za pomocą Usług Przetwarzania przez (lub na zlecenie) Firmy lub użytkowników końcowych Firmy.
Załącznik 2. Środki bezpieczeństwa
Od Dnia wejścia w życie Warunków Jibe będzie wdrażać i utrzymywać środki bezpieczeństwa opisane w tym Załączniku 2. Jibe może co jakiś czas aktualizować lub zmieniać takie Środki bezpieczeństwa, pod warunkiem że takie aktualizacje i zmiany nie spowodują pogorszenia ogólnego bezpieczeństwa Usług Procesora.
1. Bezpieczeństwo centrum danych i sieci
(a) centra danych.
Infrastruktura. Usługa Jibe utrzymuje rozproszone geograficznie centra danych. Jibe przechowuje wszystkie dane produkcyjne w bezpiecznych pod względem fizycznym centrach danych.
Nadmiarowość. Systemy infrastruktury zostały zaprojektowane tak, aby wyeliminować pojedyncze punkty awarii i zminimalizować wpływ przewidywanych zagrożeń środowiskowych. Podwójne obwody, przełączniki, sieci i inne niezbędne urządzenia zapewniają redundancję. Usługi procesora mają umożliwić Jibe przeprowadzanie określonych rodzajów konserwacji zapobiegawczej i korekcyjnej bez zakłóceń. Wszystkie urządzenia i instalacje środowiskowe mają udokumentowane procedury konserwacji zapobiegawczej, które szczegółowo opisują proces i częstotliwość wykonywania konserwacji zgodnie ze specyfikacjami producenta lub specyfikacjami wewnętrznymi. Konserwacja zapobiegawcza i naprawcza sprzętu centrum danych jest planowana zgodnie ze standardowym procesem zgodnie z udokumentowanymi procedurami.
Zasilanie. Systemy zasilania elektrycznego centrum danych są zaprojektowane tak, aby były nadmiarowe i można je było konserwować bez wpływu na ciągłą pracę przez 24 godziny na dobę i 7 dni w tygodniu. W większości przypadków w centrum danych dla kluczowych elementów infrastruktury zapewniamy zarówno podstawowe, jak i awaryjne źródło zasilania o równej mocy. Zasilanie awaryjne jest zapewniane przez różne mechanizmy, takie jak baterie podtrzymujące napięcie (UPS), które zapewniają niezawodne zabezpieczenie przed przerwami w dostawie prądu, awariami zasilania, przepięciami, niedopięciami i nieprawidłowymi częstotliwościami. Jeśli nastąpi przerwa w dostawie energii elektrycznej, zasilanie awaryjne ma zapewnić pełną moc dla centrum danych przez maksymalnie 10 minut, do czasu aż systemy generatorów diesla przejmą kontrolę. Generatory diesla mogą automatycznie uruchamiać się w ciągu kilku sekund, aby zapewnić wystarczającą moc elektryczną na potrzeby działania centrum danych z pełną wydajnością przez kilka dni.
Systemy operacyjne serwerów. Serwery Jibe korzystają z systemów operacyjnych o wzmocnionych zabezpieczeniach, które są dostosowywane do unikalnych potrzeb firmy. Dane są przechowywane za pomocą zastrzeżonych algorytmów, aby zwiększyć bezpieczeństwo i nadmiarowość danych. Jibe stosuje proces weryfikacji kodu w celu zwiększenia bezpieczeństwa kodu używanego do świadczenia Usług procesora i ulepszania usług z zakresu bezpieczeństwa w środowiskach produkcyjnych.
Ciągłość działania firmy. Jibe replikuje dane w wielu systemach, aby chronić je przed przypadkowym zniszczeniem lub utratą. Firma Jibe opracowała i regularnie planuje oraz testuje programy ciągłości działania i odtwarzania awaryjnego.
(b) Sieci i skrzynie biegów.
Przesyłanie danych. Centra danych są zwykle połączone za pomocą prywatnych połączeń o wysokiej przepustowości, co umożliwia bezpieczny i szybki transfer danych między centrami danych. Ma to na celu zapobieganie odczytywaniu, kopiowaniu, modyfikowaniu lub usuwaniu danych bez autoryzacji podczas przesyłania elektronicznego lub transportu albo zapisywania na nośniku danych. Jibe przesyła dane za pomocą standardowych protokołów internetowych.
Zewnętrzna powierzchnia ataku. Jibe używa wielu warstw urządzeń sieciowych i wykrywania włamań, aby chronić zewnętrzną powierzchnię ataku. Jibe bierze pod uwagę potencjalne kierunki ataków i wprowadza odpowiednie technologie do systemów zewnętrznych.
Wykrywanie włamań. Wykrywanie włamań ma na celu dostarczenie informacji o trwających atakach i odpowiednich informacji umożliwiających reagowanie na incydenty. Wykrywanie włamań w Jibe obejmuje:
ścisłe kontrolowanie rozmiaru i składu powierzchni ataku Jibe za pomocą środków zapobiegawczych;
stosowanie inteligentnych mechanizmów wykrywania w miejscach wprowadzania danych;
stosowanie technologii, które automatycznie rozwiązują pewne niebezpieczne sytuacje;
Reagowanie na incydenty. Jibe monitoruje różne kanały komunikacji pod kątem incydentów związanych z bezpieczeństwem, a osoby z zespołu ds. bezpieczeństwa w firmie Jibe będą niezwłocznie reagować na znane incydenty.
Technologie szyfrowania. Jibe udostępnia szyfrowanie HTTPS (nazywane też połączeniem SSL lub TLS). Serwery Jibe obsługują tymczasową wymianę kluczy kryptograficznych Diffiego-Hellmana na krzywej eliptycznej, podpisaną przy użyciu algorytmu RSA i ECDSA. Te metody oparte na perfekcyjnym szyfrowaniu wstecz (PFS) pomagają chronić ruch i minimalizować wpływ przejętego klucza lub przełomu w kryptografii.
2. Dostęp i kontrola witryny
(a) Ustawienia witryny.
Bezpieczeństwo centrum danych na miejscu. Centra danych Jibe zapewniają na miejscu operacje bezpieczeństwa odpowiedzialne za wszystkie funkcje bezpieczeństwa fizycznego centrum danych przez 24 godziny na dobę, 7 dni w tygodniu. Personel ochrony na miejscu monitoruje kamery telewizji dozorowej (CCTV) i wszystkie systemy alarmowe. Personel operacyjny ochrony na miejscu regularnie patroluje wewnątrz i na zewnątrz centrum danych.
Procedura dostępu do centrum danych. Firma Jibe stosuje formalne procedury dostępu, aby umożliwić fizyczny dostęp do centrów danych. Centra danych są zlokalizowane w obiektach, do których dostęp wymaga elektronicznego klucza karty, a alarmy są połączone z systemem bezpieczeństwa na miejscu. Wszyscy wchodzący do centrum danych muszą się wylegitymować i przedstawić dowód tożsamości pracownikom ochrony. Do centrów danych mają dostęp tylko upoważnieni pracownicy, podwykonawcy i goście. Tylko upoważnione osoby i podwykonawcy mogą poprosić o dostęp do tych pomieszczeń za pomocą karty dostępu. Żądania dostępu do klucza karty elektronicznej centrum danych muszą być przesyłane z wyprzedzeniem i w formie pisemnej. Muszą być zatwierdzone przez menedżera wnoszącego prośbę i dyrektora centrum danych. Wszyscy inni uczestnicy, którzy potrzebują tymczasowego dostępu do centrum danych, muszą: (i) uzyskać wcześniejszą zgodę menedżerów centrum danych na dostęp do konkretnego centrum danych i obszarów wewnętrznych, które chcą odwiedzić; (ii) zalogować się w operacjach bezpieczeństwa na miejscu; oraz (iii) odnieść się do zatwierdzonego rekordu dostępu do centrum danych, który identyfikuje daną osobę jako osobę zatwierdzoną.
Urządzenia zabezpieczające centrum danych na miejscu. Centra danych Jibe korzystają z elektronicznego klucza karty i systemu kontroli dostępu biometrycznego połączonego z systemem alarmowym. System kontroli dostępu monitoruje i rejestruje karty kluczy elektronicznych poszczególnych osób oraz czas, w którym uzyskują dostęp do drzwi zewnętrznych, obszarów wysyłki i odbioru oraz innych ważnych obszarów. Nieautoryzowane działania i nieudane próby uzyskania dostępu są rejestrowane przez system kontroli dostępu i w odpowiednich przypadkach badane. Dostęp do zasobów w ramach działalności biznesowej i centrum danych jest ograniczony na podstawie stref i obowiązków służbowych danej osoby. Drzwi przeciwpożarowe w centrach danych są wyposażone w alarm. Kamery CCTV działają zarówno wewnątrz, jak i na zewnątrz centrów danych. Umieszczenie kamer zostało zaprojektowane tak, aby obejmować obszary strategiczne, w tym między innymi obwód, drzwi do budynku centrum danych oraz wysyłki i dostawy. Personel operacyjny ochrony na miejscu zarządza monitoringiem CCTV, nagrywaniem i sprzętem kontrolnym. Zabezpiecz kable w centrach danych, aby łączyły one urządzenia CCTV. Kamery nagrywają na miejscu za pomocą cyfrowych rejestratorów wideo przez całą dobę, 7 dni w tygodniu. Dane z monitoringu są przechowywane przez co najmniej 7 dni.
(b) kontrola dostępu.
Infrastruktura zespołu ds. bezpieczeństwa. Firma Jibe ma i utrzymuje politykę bezpieczeństwa dla swoich pracowników oraz wymaga od nich szkolenia z zakresu bezpieczeństwa w ramach pakietu szkoleń. Pracownicy ds. bezpieczeństwa infrastruktury firmy Jibe są odpowiedzialni za ciągły monitoring infrastruktury bezpieczeństwa Jibe, sprawdzanie usług procesora oraz reagowanie na incydenty związane z bezpieczeństwem.
kontrola dostępu i zarządzanie uprawnieniami. Aby móc korzystać z usług procesora, administratorzy i użytkownicy firmy muszą uwierzytelnić się za pomocą centralnego systemu uwierzytelniania lub systemu pojedynczego logowania.
Wewnętrzne procesy i zasady dostępu do danych – zasady dostępu. Wewnętrzne procesy i zasady dostępu do danych firmy Jibe mają na celu zapobieganie uzyskiwaniu przez osoby lub systemy nieupoważnione dostępu do systemów służących do przetwarzania danych osobowych. Firma Jibe dąży do tego, aby jej systemy: (i) zezwalali na dostęp do danych tylko osobom upoważnionym; oraz (ii) zapewniały, że dane osobowe nie mogą być odczytywane, kopiowane, zmieniane ani usuwane bez upoważnienia podczas przetwarzania, użytkowania i po zapisaniu. Systemy są zaprojektowane tak, aby wykrywać wszelkie nieodpowiednie próby uzyskania dostępu. Jibe używa scentralizowanego systemu zarządzania dostępem, aby kontrolować dostęp pracowników do serwerów produkcyjnych, i udostępnia go tylko ograniczonej liczbie autoryzowanych pracowników. LDAP, Kerberos i zastrzeżony system wykorzystujący certyfikaty SSH zostały zaprojektowane tak, aby zapewnić Jibe bezpieczne i elastyczne mechanizmy dostępu. Te mechanizmy zostały zaprojektowane tak, aby przyznawać tylko zatwierdzone prawa dostępu do hostów witryn, logów, danych i informacji konfiguracyjnych. Aby zminimalizować ryzyko nieautoryzowanego korzystania z konta, Jibe wymaga stosowania unikalnych identyfikatorów użytkowników, silnych haseł, uwierzytelniania dwuskładnikowego i starannie monitorowanych list dostępu. Przyznawanie lub modyfikowanie praw dostępu zależy od obowiązków służbowych upoważnionego personelu, wymagań dotyczących obowiązków służbowych niezbędnych do wykonywania upoważnionych zadań oraz zasady „tylko osoby, które muszą wiedzieć”. Przyznawanie i modyfikowanie praw dostępu musi być zgodne z wewnętrznymi zasadami i szkoleniami dotyczącymi dostępu do danych w Jib. Zatwierdzenia są zarządzane przez narzędzia do zarządzania przepływem pracy, które przechowują zapisy kontrolne wszystkich zmian. Dostęp do systemów jest rejestrowany, aby umożliwić śledzenie działań użytkowników. W przypadku, gdy hasła są używane do uwierzytelniania (np. logowania się na stacjach roboczych), wdrożono zasady dotyczące haseł, które są zgodne z co najmniej standardowymi praktykami branżowymi. Te standardy obejmują ograniczenia dotyczące ponownego używania haseł i wystarczającej siły hasła.
3. Data
(a) przechowywanie danych, izolacja i uwierzytelnianie.
Jibe przechowuje dane w środowisku obejmującym wielu najemców na serwerach należących do Jibe. Dane, baza danych Processor Services i architektura systemu plików są replikowane między wieloma centrami danych znajdującymi się w różnych miejscach na świecie. Jibe logicznie izoluje dane każdego klienta. W przypadku wszystkich usług przetwarzających stosuje się centralny system uwierzytelniania, aby zapewnić jednolity poziom bezpieczeństwa danych.
(b) Wycofane dyski i wskazówki dotyczące niszczenia dysków.
Niektóre dyski zawierające dane mogą mieć problemy z wydajnością, błędy lub awarie sprzętu, które powodują ich wycofanie z użycia („Wycofany z użycia dysk”). Każdy wycofany z użycia dysk podlega serii procesów niszczenia danych („Wytyczne dotyczące niszczenia danych”) przed opuszczeniem obiektów Jibe w celu ponownego wykorzystania lub zniszczenia. Dyski wycofane z użycia są usuwane w ramach wieloetapowego procesu, a ich usunięcie jest weryfikowane przez co najmniej 2 niezależnych weryfikatorów. Wyniki kasowania są rejestrowane na podstawie numeru seryjnego wycofanego dysku. Na koniec skasowany dysk wycofany jest z inwentarza, aby można było go ponownie wykorzystać i wdrożyć. Jeśli z powodu awarii sprzętu nie można wymazać zutylizowanego dysku, jest on bezpiecznie przechowywany do czasu jego zniszczenia. Każda lokalizacja jest regularnie kontrolowana pod kątem zgodności z wytycznymi dotyczącymi niszczenia danych.
4. Bezpieczeństwo pracowników
Pracownicy Jibe muszą postępować zgodnie z wytycznymi firmy dotyczącymi poufności, etyki biznesowej, odpowiedniego użytkowania i standardów zawodowych. Jibe przeprowadza odpowiednie sprawdzenie przeszłości w uzasadnionym zakresie dozwolonym przez prawo i zgodnie z obowiązującymi lokalnymi przepisami prawa pracy i ustawodawstwa.
Personel musi podpisać umowę o zachowaniu poufności i potwierdzić, że zapoznał się z zasadami poufności i prywatności Jibe oraz że będzie ich przestrzegać. Personel przechodzi szkolenia z zakresu bezpieczeństwa. Osoby, które mają dostęp do danych osobowych firmy, muszą spełnić dodatkowe wymagania odpowiednie do ich roli. Pracownicy Jibe nie będą przetwarzać danych osobowych firmy bez autoryzacji.
5. Bezpieczeństwo podwykonawcy podmiotu przetwarzającego dane osobowe
Przed wdrożeniem Podwykonawców podmiotu przetwarzającego dane osobowe Jibe przeprowadza audyt dotyczący zabezpieczeń i praktyk dotyczących prywatności tych podmiotów, aby upewnić się, że zapewniają one odpowiedni poziom bezpieczeństwa i prywatności w stosunku do dostępu do danych oraz zakresu usług, które mają świadczyć. Gdy Jibe oceni ryzyko przedstawione przez Podwykonawcę podmiotu przetwarzającego dane osobowe, Podwykonawca jest zobowiązany do zawarcia odpowiednich postanowień umownych dotyczących bezpieczeństwa, poufności i prywatności, z zastrzeżeniem wymagań określonych w sekcji 11.3 (Wymagania dotyczące zaangażowania podwykonawcy podmiotu przetwarzającego dane osobowe).
Dodatek 3. Dodatkowe warunki związane z Pozaeuropejskim ustawodawstwem dotyczącym ochrony danych
Podane niżej Dodatkowe warunki związane z Pozaeuropejskim ustawodawstwem dotyczącym ochrony danych stanowią uzupełnienie tych Warunków przetwarzania danych:
- Aneks dotyczący dostawcy usług, którego dotyczy ustawa CCPA, dostępny na stronie privacy.google.com/businesses/gdprprocessorterms/ccpa (z dnia 27 sierpnia 2020 r.).
- Załącznik do umowy powierzenia danych w ramach ustawy LGPD dostępny na stronie privacy.google.com/businesses/gdprprocessorrterms/lgpd (z dnia 27 sierpnia 2020 r.)
Zasady przetwarzania danych w usłudze Jibe, wersja 2.0
27 sierpnia 2020 r.