Umowa o przetwarzaniu danych

Wersja 2.1.0

Strony:

  • Zarejestrowana organizacja, która zgłosiła się do programu PowerDMARC, zwana dalej "Kontrolerem".

I

  •  MENAINFOSEC, Inc. z siedzibą i głównym miejscem prowadzenia działalności w Delaware, Stany Zjednoczone Ameryki, zwana dalej "Przetwarzającym";

Preambuła:

  1. Kontroler zawarł z Przetwarzającym jedną lub więcej umów dotyczących świadczenia przez Przetwarzającego różnych usług na rzecz Kontrolera lub zawrze taką umowę. Ta umowa lub te umowy łącznie są dalej nazywane "UmowąGłówną".
  2. W ramach wykonywania Umowy Głównej Przetwarzający będzie przetwarzał dane, za które Administrator jest i pozostaje odpowiedzialny. Dane te obejmują dane osobowe w rozumieniu ogólnego rozporządzenia o ochronie danych (UE 2016/679), dalej zwanego "GDPR".
  3. Mając na uwadze postanowienia art. 28 ust. 3 GDPR, Strony pragną określić w niniejszej Umowie warunki, na jakich te dane osobowe będą przetwarzane.

Umowa:

  • Zakres
    1. Niniejsza Umowa ma zastosowanie w zakresie, w jakim w ramach świadczenia usług na podstawie Umowy Głównej wykonywana jest jedna lub więcej operacji przetwarzania danych, które są ujęte w Załączniku 1.
    2. Operacje przetwarzania, o których mowa w załączniku nr 1, któresą wykonywane w ramach świadczenia usług, zwane są dalej: "Operacjami Przetwarzania". Przetwarzane w związku z tym dane osobowe to: 'Dane Osobowe'.
    3. Wszystkie pojęcia występujące w niniejszej Umowie mają znaczenie nadane im w GDPR.
    4. Jeśli więcej i inne dane osobowe są przetwarzane na polecenie Administratora lub jeśli są one przetwarzane w inny sposób niż opisany w niniejszej klauzuli, niniejsza Umowa ma zastosowanie w jak największym stopniu również do tych Operacji Przetwarzania.
    5. Załączniki stanowią część niniejszej Umowy. Składają się one z:

Załącznik 1 Operacje Przetwarzania, Dane Osobowe oraz okresy przechowywania;

  • Przedmiot:
    1. Kontroler ma i zachowuje pełną kontrolę nad Danymi osobowymi. Jeżeli Administrator nie przetwarza Danych Osobowych samodzielnie za pomocą systemów Przetwarzającego, Przetwarzający będzie przetwarzał je wyłącznie na podstawie pisemnych instrukcji Administratora, na przykład w odniesieniu do wszelkich Danych Osobowych przekazywanych stronom trzecim poza Unią Europejską. Umowa Główna jest traktowana jako ogólna instrukcja w tym zakresie.
    2. Operacje Przetwarzania są wykonywane wyłącznie w związku z Umową Główną. Przetwarzający nie będzie przetwarzał Danych Osobowych w sposób inny niż przewidziany w Umowie Głównej. W szczególności Przetwarzający nie może wykorzystywać Danych Osobowych do własnych celów.
    3. Przetwarzający będzie wykonywał Operacje Przetwarzania w sposób właściwy i z należytą starannością.
  • Środki bezpieczeństwa
    1. Przetwarzający podejmuje wszelkie techniczne i organizacyjne środki bezpieczeństwa, które są od niego wymagane na mocy GDPR, a w szczególności na mocy art. 32 GDPR.
    2. Przetwarzający zapewni, że osoby, nie tylko pracownicy, które uczestniczą w Operacjach Przetwarzania u Przetwarzającego, są zobowiązane do zachowania poufności w odniesieniu do Danych Osobowych.
  • Naruszenia danych & Ocena wpływu na prywatność
    1. Przetwarzający powiadomi Administratora o każdym "naruszeniu ochrony danych osobowych" w rozumieniu art. 4 pkt 12 GDPR. Naruszenie takie zwane jest dalej: "Naruszeniem Danych".
    2. Przetwarzający przekaże Kontrolerowi w odpowiednim czasie wszystkie informacje, które posiada i które są niezbędne do wypełnienia obowiązków wynikających z art. 33 GDPR. W tym celu Przetwarzający musi dostarczyć odpowiednie informacje tak szybko, jak to możliwe w standardowym formacie, który zostanie określony przez Przetwarzającego. Oznacza to, że Przetwarzający informuje Administratora Danych o Naruszeniu Danych tak szybko, jak to możliwe, jeśli jest oczywiste, że Naruszenie Danych może spowodować zagrożenie dla praw i wolności osób fizycznych. Jeżeli jest oczywiste, że Naruszenie Danych prawdopodobnie nie spowoduje zagrożenia dla praw i wolności osób fizycznych, Przetwarzający ma prawo powiadomić Administratora Danych w późniejszym terminie, pod warunkiem, że powiadomienie nastąpi bez zbędnej zwłoki. Jeżeli istnieje powód do wątpliwości, czy Naruszenie Danych prawdopodobnie spowoduje zagrożenie dla praw i wolności osób fizycznych, Przetwarzający powiadomi Administratora Danych o Naruszeniu Danych tak szybko, jak to możliwe.
    3. Wyłącznie do Administratora danych należy decyzja, czy Naruszenie Danych stwierdzone u Przetwarzającego należy zgłosić holenderskiemu organowi ds. danych osobowych i/lub osobie, której dane dotyczą.
  • Zaangażowanie podwykonawców przetwarzania danych
    1. Przy wykonywaniu Operacji Przetwarzania Przetwarzający nie jest uprawniony do angażowania strony trzeciej jako podwykonawcy przetwarzania bez uprzedniej zgody Kontrolera. Zgoda Administratora może również dotyczyć określonej kategorii podwykonawców przetwarzania.
    2. Jeżeli Kontroler udzieli zgody, Przetwarzający musi zapewnić, że odpowiednia strona trzecia zawrze umowę, w której będzie przestrzegać co najmniej tych samych zobowiązań prawnych i wszelkich dodatkowych zobowiązań, jakie ma Przetwarzający na mocy niniejszej Umowy.
    3. W przypadku gdy zgoda dotyczy określonego rodzaju strony trzeciej, Przetwarzający informuje Kontrolera o zaangażowanych przez niego podwykonawcach przetwarzania. Kontroler może wówczas sprzeciwić się uzupełnieniom lub zamianom w odniesieniu do podwykonawców Przetwarzającego.
  • Obowiązek zachowania poufności
    1. Przetwarzający zachowa Dane Osobowe w poufności. Przetwarzający zapewnia, że Dane Osobowe nie będą bezpośrednio ani pośrednio dostępne dla osób trzecich. Termin "osoby trzecie" obejmuje również personel Podmiotu przetwarzającego, o ile nie jest konieczne, aby zapoznał się on z Danymi osobowymi. Zakaz ten nie ma zastosowania, jeśli w niniejszej Umowie zawarto odmienne postanowienia i/lub jeśli przepisy ustawowe lub wyrok nakazują ujawnienie danych.
    2. Przetwarzający poinformuje Administratora Danych o każdym wniosku strony innej niż osoba, której dane dotyczą, o dostęp, przekazanie lub inną formę żądania i przekazania Danych Osobowych wbrew obowiązkowi zachowania poufności zawartemu w niniejszej klauzuli, chyba że Przetwarzającemu zabraniają tego przepisy prawa. W przypadku żądań osoby, której dane dotyczą, Przetwarzający przekaże te żądania Administratorowi lub skieruje osobę, której dane dotyczą, do Administratora.
  • Okresy przechowywania i usuwanie
    1. Kontroler jest odpowiedzialny za określenie okresów przechowywania Danych Osobowych. O ile Dane Osobowe znajdują się pod kontrolą Kontrolera (np. w przypadku usług hostingowych), sam je usunie w odpowiednim czasie.
    2. W przypadku rozwiązania Umowy Głównej lub gdy Przetwarzający usunie Dane Osobowe po upływie okresu zatrzymania, o którym mowa w Załączniku 1, według uznania Kontrolera, przekaże mu je, chyba że Dane Osobowe muszą być zatrzymane dłużej, np. w związku z (ustawowymi) obowiązkami Przetwarzającego, lub gdy Kontroler zażąda, aby Dane Osobowe były zatrzymane dłużej, a Przetwarzający i Kontroler osiągną porozumienie co do kosztów i innych warunków dłuższego zatrzymania, przy czym to ostatnie nie narusza odpowiedzialności Kontrolera za przestrzeganie ustawowych okresów zatrzymania. Wszelkie przekazywanie danych do Kontrolera odbywa się na koszt Kontrolera.
    3. W przypadku, gdy Administrator zażąda usunięcia Konta i danych za pośrednictwem chronionego loginu, Przetwarzający usunie Dane Osobowe w ciągu trzydziestu dni od żądania usunięcia Konta i danych, według uznania Administratora, przekaże mu je, chyba że Dane Osobowe muszą być przechowywane dłużej, np. w związku z (ustawowymi) obowiązkami Przetwarzającego, lub jeśli Administrator zażąda, aby Dane Osobowe były przechowywane dłużej, a Przetwarzający i Administrator osiągną porozumienie w sprawie kosztów i innych warunków dłuższego przechowywania, przy czym to ostatnie nie narusza odpowiedzialności Administratora za przestrzeganie ustawowych okresów przechowywania. Wszelkie przekazywanie danych do Kontrolera odbywa się na koszt Kontrolera.
    4. Przetwarzający na żądanie Kontrolera oświadczy, że usunięcie, o którym mowa w poprzednim ustępie, miało miejsce. Kontroler może na własny koszt sprawdzić, czy rzeczywiście miało to miejsce. Do takiej weryfikacji ma zastosowanie punkt 10niniejszej Umowy. W zakresie, w jakim jest to konieczne, Podmiot przetwarzający poinformuje wszystkich podwykonawców przetwarzających Dane osobowe o rozwiązaniu Umowy głównej i poleci im działać zgodnie z jej postanowieniami.
    5. O ile strony nie uzgodnią inaczej, Administrator sam zadba o stworzenie kopii zapasowej Danych Osobowych.
  • Prawa osoby, której dotyczą dane 
    1. Jeśli sam Kontroler ma dostęp do Danych Osobowych, powinien on sam spełnić wszystkie żądania podmiotu danych dotyczące Danych Osobowych. Przetwarzający niezwłocznie przekazuje Kontrolerowi wszelkie żądania otrzymane przez Przetwarzającego.
    2. Tylko wtedy, gdy to, co zamierzono w poprzednim ustępie jest niemożliwe, Przetwarzający będzie w pełni i w odpowiednim czasie współpracował z Kontrolerem w celu:
    3. zapewnić osobie, której dane dotyczą, dostęp do jej odpowiednich Danych osobowych po uzyskaniu zgody i zgodnie z instrukcjami Administratora,
    4. usuwać lub poprawiać Dane Osobowe,
    5. wykazać, że dane osobowe zostały usunięte lub poprawione, jeśli są nieprawidłowe (lub, w przypadku gdy administrator nie zgadza się, że dane osobowe są nieprawidłowe, odnotować fakt, że podmiot danych uważa swoje dane osobowe za nieprawidłowe)
    6. dostarczać Kontrolerowi lub osobie trzeciej wyznaczonej przez Kontrolera odpowiednie Dane Osobowe w ustrukturyzowanej, zwykłej i nadającej się do odczytu maszynowego formie oraz
    7. umożliwić Administratorowi w inny sposób wywiązanie się z obowiązków wynikających z GDPR lub innych obowiązujących przepisów w zakresie przetwarzania Danych Osobowych.
    8. Koszty i wymogi współpracy, o której mowa w poprzednim ustępie, są ustalane wspólnie przez strony. W przypadku braku uzgodnień w tym zakresie koszty ponosi Kontroler.
  • Odpowiedzialność
    1. Kontroler jest w szczególności odpowiedzialny i z tego tytułu ponosi pełną odpowiedzialność za (określony cel) Operacji Przetwarzania, wykorzystanie i zawartość Danych Osobowych, udostępnianie ich osobom trzecim, czas przechowywania Danych Osobowych, sposób przetwarzania i środki zastosowane w tym celu.
    2. Przetwarzający ponosi odpowiedzialność wobec Kontrolera zgodnie z postanowieniami Umowy Głównej. Weryfikacja
      1. Kontroler ma prawo raz w roku na własny koszt sprawdzić przestrzeganie postanowień niniejszej Umowy lub zlecić ich sprawdzenie niezależnemu biegłemu rewidentowi lub zarejestrowanemu informatykowi.
      2. Przetwarzający dostarczy Kontrolerowi wszelkie informacje niezbędne do wykazania, że obowiązki wynikające z art. 28 GDPRzostały spełnione. Jeśli strona trzecia zaangażowana przez Kontrolera wyda polecenie, które w opinii Przetwarzającego stanowi naruszenie GDPR, Przetwarzający niezwłocznie poinformuje o tym Kontrolera.
      3. Kontrola Kontrolera będzie zawsze ograniczona do systemów Przetwarzającego wykorzystywanych do Operacji Przetwarzania. Informacje uzyskane podczas weryfikacji będą traktowane przez Kontrolera w sposób poufny i będą wykorzystywane wyłącznie do sprawdzenia zgodności Podmiotu przetwarzającego z obowiązkami wynikającymi z niniejszej Umowy, a informacje lub ich części zostaną usunięte tak szybko, jak to możliwe. Kontroler gwarantuje, że wszelkie zaangażowane strony trzecie również podejmą te zobowiązania.
    3. Pozostałe przepisy
      1. Wszelkie zmiany w niniejszej umowie są ważne tylko wtedy, gdy zostały uzgodnione przez strony w formie pisemnej.
      2. Strony dostosują niniejszą Umowę do wszelkich zmienionych lub uzupełnionych przepisów, dodatkowych instrukcji odpowiednich organów i rosnącego wglądu w stosowanie GDPR (na przykład przez, ale nie wyłącznie, orzecznictwo lub raporty), wprowadzenia standardowych przepisów i/lub innych wydarzeń lub spostrzeżeń, które wymagają takiego dostosowania.
      3. Niniejsza Umowa obowiązuje tak długo, jak długo obowiązuje Umowa Główna. Postanowienia niniejszej Umowy pozostają w mocy w zakresie, w jakim jest to niezbędne do rozliczenia niniejszej Umowy oraz w zakresie, w jakim mają one przetrwać rozwiązanie niniejszej Umowy. Do tej ostatniej kategorii postanowień należą m.in. postanowienia dotyczące poufności i sporów.
      4. Niniejsza Umowa ma pierwszeństwo przed wszelkimi innymi umowami pomiędzy Administratorem danych a Przetwarzającym.
      5. Niniejsza umowa jest regulowana wyłącznie przez prawo holenderskie.
      6. Spory związane z niniejszą umową strony poddają pod rozstrzygnięcie wyłącznie Sądu Okręgowego w Amsterdamie.

Załącznik 1

Operacje przetwarzania danych osobowych i okresy ich przechowywania

Niniejszy załącznik stanowi część Porozumienia o Przetwarzaniu i musi być parafowany przez strony.

  • Dane osobowe, które strony zamierzają przetwarzać:
    • Nazwa
    • Adres e-mail
    • Dane korpusu danych kryminalistycznych DMARC (RUF, maile niezgodne z DMARC)
  • Wykorzystanie (= metoda(y) przetwarzania) Danych Osobowych oraz cele i środki przetwarzania:
    • PowerDMARC przetwarza przychodzące raporty DMARC. W ramach specyfikacji DMARC istnieją dwa rodzaje raportów:
      • Raporty zbiorcze
        Raporty te zawierają dane o liczbie wiadomości wysyłanych codziennie dla Twojej domeny (domen) na określony adres IP, łącznie z wynikami kontroli SPF i DKIM dla tych wiadomości. Raporty zbiorcze nie zawierają danych osobowych.
      • Raporty kryminalistyczne
        Raporty kryminalistyczne są wysyłane przez ograniczoną liczbę nadawców raportów DMARC. Są to kopie konkretnych wiadomości, które nie przeszły kontroli DMARC. Treść tych wiadomości może zawierać informacje umożliwiające identyfikację osoby (PII). PowerDMARC oferuje kilka metod przechowywania tych wiadomości:

        • Default: Domyślnie treść wiadomości jest usuwana i przechowywane są tylko nagłówki.
        • Zaszyfrowane: Klient może załadować publiczny klucz PGP w oprogramowaniu PowerDMARC. Cała przychodząca wiadomość zostanie zaszyfrowana przy użyciu tego klucza. Klient jest w stanie odszyfrować dane za pomocą swojego klucza prywatnego i hasła.
        • Niezaszyfrowane: Po konkretnym potwierdzeniu i zaakceptowaniu PowerDMARC jako procesora danych, klient będzie mógł przechowywać pełną treść wiadomości niezaszyfrowaną w oprogramowaniu PowerDMARC.

Warunki użytkowania i okresy przechowywania (różnych rodzajów) Danych osobowych:

  • Licencja: Wszystkie licencje z wyjątkiem podstawowej wersji darmowej
  • Przechowywanie danych: 365 dni