Dodatek do przetwarzania danych (DPA)
Ochrona danych osobowych osób fizycznych jest fundamentalnym prawem zgodnie z prawem UE i obecnie regulowana przez Ogólne Rozporządzenie o Ochronie Danych (Rozporządzenie (UE) 2016⁄679) (zwane dalej „RODO”). RODO określa, że przetwarzanie danych osobowych przez procesora w imieniu administratora będzie regulowane umową na piśmie, regulującą między innymi okoliczności i warunki, na jakich takie przetwarzanie może mieć miejsce.
Ten Dodatek do Przetwarzania Danych (zwany dalej „Dodatkiem” lub „DPA”) stanowi część Ogólnych Warunków Świadczenia Usług Worksection dostępnych pod adresem worksection.com/en/agreement.html, (zwane dalej „Ogólnymi Warunkami Świadczenia Usług”, aktualizowanymi od czasu do czasu) lub innej umowy regulującej korzystanie z usług Worksection („Umowa”) zawartej pomiędzy Tobą, Klientem (zdefiniowanym w Umowie — łącznie „Ty”, „Twój”, „Klient”) oraz Worksection LLC („Worksection”, „nas”, „my”, „nasze”) w celu odzwierciedlenia umowy stron w zakresie przetwarzania danych osobowych przez Worksection wyłącznie w imieniu Klienta. Obie strony będą nazywane „Stronami”, a każda z nich jako „Strona”.
Strony zgodziły się, że Worksection dostarczy Klientowi oparte na chmurze narzędzie do zarządzania projektami (dalej zwane „Usługami”), w ramach którego Worksection będzie przetwarzać określone dane osobowe w imieniu Klienta w charakterze procesora. Z tego powodu Strony uznają potrzebę zawarcia tego odrębnego Dodatku w celu regulacji przetwarzania danych osobowych przez Worksection w imieniu Klienta. Korzystając z Usług, Klient akceptuje ten DPA, a każda osoba, która zawiera Ogólne Warunki Świadczenia Usług w imieniu firmy lub innej osoby prawnej, oświadcza, że ma uprawnienia do zobowiązania tej jednostki i jej podmiotów stowarzyszonych do tych warunków, w takim przypadku terminy „Ty” i „Twój” używane w niniejszym dokumencie będą odnosiły się do takiej jednostki. Jeśli nie możesz lub nie zgadzasz się na przestrzeganie i bycie związanym tym DPA, lub nie masz uprawnień do związania Klienta lub jakiejkolwiek innej jednostki, prosimy o nieprzekazywanie nam danych osobowych.
W przypadku jakichkolwiek konfliktów między niektórymi postanowieniami tego DPA a postanowieniami Umowy, postanowienia tego DPA będą miały pierwszeństwo przed sprzecznymi postanowieniami Umowy, wyłącznie w odniesieniu do przetwarzania danych osobowych.
1. DEFINICJE
Pojęcia użyte w dużych literach, które nie zostały zdefiniowane w niniejszym dokumencie, będą miały znaczenie przypisane tym pojęciom w Umowie.
(a) „Podmiot powiązany” oznacza jakąkolwiek jednostkę, która bezpośrednio lub pośrednio kontroluje, jest kontrolowana przez lub znajduje się pod wspólną kontrolą z podmiotem, o którym mowa. „Kontrola”, w celu tej definicji, oznacza bezpośrednie lub pośrednie posiadanie lub kontrolowanie ponad 50% głosów w podmiocie, o którym mowa.
(b) „Upoważniony podmiot powiązany” oznacza dowolny z podmiotów powiązanych Klienta, któremu wyraźnie zezwolono na korzystanie z Usług na podstawie Umowy między Klientem a Worksection, ale który nie podpisał własnej umowy z Worksection i nie jest „Klientem” w rozumieniu Umowy.
© „CCPA” oznacza Ustawę o Prywatności Konsumentów Kalifornii z 2018 roku. Sekcja 1798.100.
(d) Terminy „Administrator“, „Państwo Członkowskie“, „Processor“, „Przetwarzanie” oraz „Organ Nadzorczy” będą miały to samo znaczenie, co w RODO. Terminy „Biznes”, „Cel biznesowy”, „Konsument” oraz „Dostawca usługi” będą miały to samo znaczenie, co w CCPA.
W celu wyjaśnienia, w ramach tego DPA „Administrator” będzie również oznaczać „Biznes”, a „Processor” będzie również oznaczać „Dostawcę usług”, w zakresie, w jakim CCPA ma zastosowanie. W ten sam sposób podprocesor Procesora będzie również odnosił się do pojęcia Dostawcy usług.
(e) „Prawo ochrony danych” oznacza wszelkie obowiązujące i wiążące przepisy dotyczące prywatności i ochrony danych, w tym przepisy i regulacje Unii Europejskiej, Europejskiego Obszaru Gospodarczego oraz ich państw członkowskich, Szwajcarii, Wielkiej Brytanii, Kanady i Stanów Zjednoczonych Ameryki, mające zastosowanie do przetwarzania danych osobowych na podstawie Umowy, w tym (bez ograniczeń) RODO, UK RODO oraz CCPA, mające zastosowanie do przetwarzania danych osobowych w niniejszym DPA i w mocy w momencie wykonania obowiązków przez Procesora.
(f) „Osoba, której dane dotyczą” oznacza zidentyfikowaną lub możliwą do zidentyfikowania osobę, do której odnoszą się dane osobowe.
(g) „RODO” oznacza Rozporządzenie (UE) 2016⁄679 Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych oraz w sprawie swobodnego przepływu takich danych, oraz uchylające Dyrektywę 95/46/WE (Ogólne Rozporządzenie o Ochronie Danych).
(h) „Dane osobowe” lub „Informacje osobowe” oznacza wszelkie informacje, które identyfikują, dotyczą, opisują, mogą być powiązane lub mogą być w racjonalny sposób powiązane, bezpośrednio lub pośrednio, z zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną lub Konsumentem, które są przetwarzane przez Worksection wyłącznie w imieniu Klienta, zgodnie z niniejszym DPA i Umową między Klientem a Worksection.
(i) „Usługi” oznaczają chmurową platformę operacyjną („Platforma”) oraz wszelkie inne usługi świadczone Klientowi przez Worksection na podstawie Umowy.
(j) „Dokumentacja bezpieczeństwa” oznacza dokumentację bezpieczeństwa mającą zastosowanie do przetwarzania danych osobowych przez Worksection na podstawie Umowy i tego DPA, aktualizowane od czasu do czasu i dostępne przez worksection.com/en/agreement.html lub w inny sposób udostępnione przez Worksection.
(k) „Dane wrażliwe” oznaczają dane osobowe chronione na podstawie szczególnych przepisów prawnych wymagających wyjątkowego traktowania, takich jak „szczególne kategorie danych”, „dane wrażliwe” lub inne zbliżone terminy stosowane w obowiązującym prawie o ochronie danych, które mogą obejmować którekolwiek z następujących: (a) numer ubezpieczenia społecznego, numer identyfikacji podatkowej, numer paszportu, numer prawa jazdy lub podobny identyfikator (lub jakąkolwiek jego część); (b) numer karty kredytowej lub debetowej; © dane finansowe, kredytowe, genetyczne, biometryczne lub dotyczące zdrowia; (d) informacje dotyczące pochodzenia rasowego lub etnicznego, poglądów politycznych, przekonań religijnych lub filozoficznych, członkostwa w związkach zawodowych, dane genetyczne lub biometryczne w celu unikalnego zidentyfikowania osoby fizycznej, dane dotyczące zdrowia lub życia seksualnego osoby lub orientacji seksualnej, lub dane dotyczące skazania i przestępstw; i/lub (e) hasła kont w formie niezakodowanej.
(l) „Podprocesor” oznacza dowolną stronę trzecią, która przetwarza dane osobowe na podstawie instrukcji lub pod nadzorem Worksection.
(m) „UK RODO” oznacza Ustawę o ochronie danych z 2018 roku, jak również RODO w zakresie, w jakim stanowi część prawa Anglii i Walii, Szkocji i Irlandii Północnej na mocy sekcji 3 ustawy o wyjściu z Unii Europejskiej z 2018 roku, oraz jak ją zmieniają przepisy dotyczące ochrony danych, prywatności i komunikacji elektronicznej (zmiany itp.) (regulacje dotyczące wyjścia z UE) 2019 (SI 2019⁄419).
2. PRZETWARZANIE DANYCH
2.1. Zakres i role. Ten Dodatek ma zastosowanie, gdy dane Klienta są przetwarzane przez Worksection w imieniu Klienta w ramach świadczenia Usług.
2.2. Przestrzeganie przepisów. Każda ze stron zobowiązuje się do przestrzegania wszystkich ustaw, regulacji i przepisów, które mają do niej zastosowanie i są dla niej wiążące w realizacji tego Dodatku, w tym wszystkich wymogów ustawowych dotyczących ochrony danych.
2.3. Charakter i cel przetwarzania danych. Tak długo, jak Klient korzysta z Usług, i w wyniku korzystania przez Klienta z Usług, Worksection będzie przetwarzać dane Klienta w imieniu Klienta. Dane Klienta obejmują, ale nie ograniczają się do, imion, nazwisk, adresów i informacji kontaktowych zaproszonych użytkowników Klienta, a także innych rodzajów danych osobowych, które Klient przesła do Usług w różnych projektach, zbiorach i tablicach. Dane Klienta mogą dotyczyć pracowników, dyrektorów, urzędników, klientów i podwykonawców Klienta, ale także osób trzecich, które są w jakiś sposób częścią lub związane z projektem zarządzanym przez Klienta w trakcie korzystania z Usług. Dane Klienta mogą również obejmować dane techniczne, dane dotyczące użytkowania, statystyki jakości i podobne informacje (w tym, ale nie ograniczając się do, metryk związanych z urządzeniem i lokalizacją) związane z dostępem Klienta do Usług i korzystaniem z nich.
2.4. Instrukcje dotyczące przetwarzania danych. Worksection będzie przetwarzać dane Klienta zgodnie z dokumentowanymi instrukcjami Klienta, w tym w kwestii transferów danych osobowych do kraju trzeciego lub organizacji międzynarodowej, chyba że wymagane jest coś innego przez obowiązujące prawo. Jakiekolwiek dodatkowe koszty, które wynikają w wyniku takich ograniczeń, ponosi Klient. Strony uzgadniają, że ten Dodatek stanowi pełne i ostateczne instrukcje Klienta dla Worksection w odniesieniu do przetwarzania danych Klienta. Przetwarzanie poza zakresem tego Dodatku (jeśli istnieje) będzie wymagać wcześniejszej pisemnej zgody między Worksection a Klientem na dodatkowe instrukcje dotyczące przetwarzania, w tym uzgodnienia jakichkolwiek dodatkowych opłat, które Klient zapłaci Worksection za wykonanie takich instrukcji. Klient może wypowiedzieć ten Dodatek, jeśli Worksection odmówi realizacji instrukcji Żądanych przez Klienta, które są poza zakresem tego Dodatku.
2.5. Dostęp lub użycie. Worksection nie będzie uzyskiwać dostępu do danych Klienta ani ich wykorzystywać, chyba że jest to niezbędne do utrzymania, poprawy i świadczenia Usług wymaganych przez Klienta.
2.6. Szczegóły przetwarzania. Czas trwania przetwarzania, natura i cel przetwarzania, typy danych Klienta oraz kategorie danych przetwarzanych na podstawie tego DPA są dodatkowo określone w Załączniku 1 (Szczegóły przetwarzania) do tego DPA.
2.7. Wsparcie. Biorąc pod uwagę charakter przetwarzania, Worksection będzie wspomagać Klienta poprzez odpowiednie środki techniczne i organizacyjne, o ile to możliwe, w celu zrealizowania obowiązków Klienta w odpowiedzi na żądania dotyczące wykonywania praw osoby, której dane dotyczą.
2.8. Ujawnienie. Worksection nie ujawnia danych Klienta żadnej instytucji rządowej, chyba że jest to niezbędne do przestrzegania prawa lub ważnego i wiążącego nakazu organu ścigania (takiego jak wezwanie lub nakaz sądowy). Jeśli organ ścigania wyśle do Worksection wezwanie dotyczące danych Klienta, Worksection postara się skierować organ ścigania do żądania tych danych bezpośrednio od Klienta. W ramach tego wysiłku Worksection może przekazać podstawowe informacje kontaktowe Klienta organowi ścigania. Jeśli Worksection zostanie zmuszone ujawnić dane Klienta organowi ścigania, wówczas Worksection powiadomi Klienta o żądaniu, aby umożliwić Klientowi ubieganie się o nakaz ochronny lub inne odpowiednie środki, chyba że Worksection jest prawnie zobowiązane do tego nie robić.
2.9. Personel Worksection. Worksection ogranicza swoim pracownikom dostęp do przetwarzania danych Klienta bez zezwolenia Worksection. Worksection nałoży odpowiednie obowiązki umowne na swoich pracowników, w tym odpowiednie obowiązki dotyczące poufności, ochrony danych i bezpieczeństwa danych.
2.10. Kontrola Klienta. Worksection udostępnia szereg funkcji i funkcjonalności zabezpieczeń, które Klient może zdecydować się wykorzystać. Klient jest odpowiedzialny za odpowiednie (a) skonfigurowanie Usług, (b) korzystanie z dostępnych w związku z Usługami kontroli (w tym kontroli dotyczących bezpieczeństwa) oraz © podejmowanie takich kroków, które Klient uzna za wystarczające w celu zachowania odpowiedniego bezpieczeństwa, ochrony, usunięcia i kopii zapasowych danych Klienta, co może obejmować korzystanie z technologii szyfrowania w celu ochrony danych Klienta przed nieautoryzowanym dostępem oraz rutynową archiwizację danych Klienta.
3. TRANSFERY DANYCH MIĘDZYNARODOWYCH
3.1. Transfery z EOG i Szwajcarii do krajów oferujących wystarczający poziom ochrony danych. Dane osobowe mogą być przekazywane z państw członkowskich UE, Norwegii, Liechtensteinu i Islandii (łącznie „EOG”) oraz Szwajcarii, do krajów, które oferują wystarczający poziom ochrony danych na podstawie lub zgodnie z decyzjami o odpowiedniości opublikowanymi przez odpowiednie organy ochrony danych EOG, Unii Europejskiej, państw członkowskich lub Komisji Europejskiej, lub Szwajcarii, w miarę potrzeby („Decyzje o odpowiedniości”), w stosownych przypadkach, bez dodatkowych zabezpieczeń.
3.2. Transfery do innych krajów. Jeśli przetwarzanie danych osobowych przez Worksection obejmuje transfery (bezpośrednio lub pośrednio) z EOG lub Szwajcarii do innych krajów, które nie były przedmiotem odpowiedniej Decyzji o Odpowiedniości, a takie transfery nie są wykonywane przez alternatywny uznany mechanizm zgodności, przyjęty przez Worksection w celu legalnego transferu danych osobowych (zgodnie z definicją w RODO) poza EOG lub Szwajcarii, w miarę potrzeby, wówczas mają zastosowanie „Standardowe Klauzule Umowne z 2021 roku” (zatwierdzone przez Komisję Europejską w decyzji Wdrażającej Decyzję (UE) 2021⁄914) oraz związane z nimi załączniki i appendiksy.
4. OBOWIĄZKI BEZPIECZEŃSTWA
Worksection wdroży odpowiednie środki techniczne i organizacyjne w celu ochrony danych Klienta przed przypadkowym lub bezprawnym zniszczeniem lub przypadkową utratą, zmianą, nieautoryzowanym przetwarzaniem, ujawnieniem i dostępem, które są wymagane przez obowiązujące prawo. Worksection będzie utrzymywać program bezpieczeństwa informacji (w tym przyjęcie i egzekwowanie polityk i procedur wewnętrznych) mający na celu (a) pomoc Klientowi w zabezpieczeniu danych Klienta przed przypadkową lub bezprawną utratą, dostępem lub ujawnieniem, (b) identyfikację przewidywalnych wewnętrznych zagrożeń bezpieczeństwa i nieautoryzowanego dostępu do Worksection oraz © minimalizację ryzyk bezpieczeństwa, w tym poprzez ocenę ryzyka i regularne testowanie. Worksection wyznaczy jednego lub więcej pracowników do koordynowania i odpowiadania za program bezpieczeństwa informacji. Program bezpieczeństwa informacji będzie obejmował środki dotyczące zarówno bezpieczeństwa sieci, jak i fizycznego, i będzie okresowo przeglądany przez Worksection w celu ustalenia, czy wymagane są dodatkowe lub zmienione środki bezpieczeństwa w odpowiedzi na nowe zagrożenia bezpieczeństwa lub ustalenia wygenerowane w wyniku przeglądów okresowych. Jeśli Klient zażąda, aby Worksection podjęło jakiekolwiek dodatkowe środki, Worksection uczyni to w rozsądnych granicach, jednak wszelkie dodatkowe koszty poniesie Klient. Klient potwierdza, że uznaje środki określone w Załączniku 2 za odpowiednie środki techniczne i organizacyjne w związku z przetwarzaniem danych osobowych.
5. ODPOWIEDZIALNOŚĆ KLIENTA
Klient ponosi wyłączną odpowiedzialność za przegląd informacji udostępnionych przez Worksection dotyczących bezpieczeństwa danych i dokonanie niezależnej oceny, czy Usługi spełniają wymagania Klienta, oraz za zapewnienie, że personel i konsultanci Klienta przestrzegają wytycznych dotyczących bezpieczeństwa danych.
6. AUDYT
Na żądanie Klienta i w godzinach pracy, Worksection udostępni swoje obiekty przetwarzania danych do audytu działań przetwarzania objętych Dodatkiem, który będzie przeprowadzony przez Klienta na jego koszt.
7. BEZPIECZEŃSTWO
7.1. Jeśli Worksection dowie się o (a) jakimkolwiek nielegalnym dostępie do jakichkolwiek danych Klienta przechowywanych na sprzęcie Worksection lub w obiektach Worksection; lub (b) jakimkolwiek nieautoryzowanym dostępie do takiego sprzętu lub obiektów, gdzie w każdym przypadku taki dostęp prowadzi do utraty, ujawnienia lub zmiany danych Klienta (każde zdarzenie zwane „Incydentem Bezpieczeństwa”), Worksection niezwłocznie: (a) powiadomi Klienta o Incydencie Bezpieczeństwa; oraz (b) podejmie rozsądne kroki w celu złagodzenia skutków i minimalizacji wszelkich szkód wynikających z Incydentu Bezpieczeństwa.
7.2. Klient zgadza się, że:
(i) nieudany Incydent Bezpieczeństwa nie będzie podlegał niniejszej Sekcji. Nieudany Incydent Bezpieczeństwa to taki, który nie skutkuje nieautoryzowanym dostępem do danych Klienta lub do jakiegokolwiek sprzętu lub obiektów Worksection przechowujących dane Klienta, i może obejmować, bez ograniczeń, żądania pingów i inne ataki rozgłoszeniowe na zapory ogniowe lub serwery brzegowe, skany portów, nieudane próby logowania, ataki typu denial of service, sniffing pakietów (lub inny nieautoryzowany dostęp do danych ruchu, który nie prowadzi do dostępu poza adresy IP lub nagłówki) lub podobne incydenty; oraz
(ii) zobowiązanie Worksection do zgłaszania lub reagowania na Incydent Bezpieczeństwa na mocy niniejszej Sekcji nie jest i nie będzie rozumiane jako przyznanie przez Worksection jakiejkolwiek winy lub odpowiedzialności Worksection w związku z Incydentem Bezpieczeństwa.
7.3. Powiadomienia o Incydentach Bezpieczeństwa, jeśli występują, będą dostarczane do jednego lub więcej administratorów Klienta w dowolny sposób wybrany przez Worksection, w tym za pośrednictwem e‑maila. Wyłączną odpowiedzialnością Klienta jest zapewnienie, że administratorzy Klienta utrzymują dokładne informacje kontaktowe w Worksection przez cały czas.
8. PODPROCESORZY
8.1. Upoważnieni podprocesorzy. Klient zgadza się, że Worksection może korzystać z podprocesorów w celu wypełnienia swoich obowiązków umownych w ramach tego Dodatku lub w celu świadczenia pewnych usług w swoim imieniu, takich jak świadczenie usług wsparcia. Worksection prowadzi listę podprocesorów na swojej stronie internetowej worksection.com/en/agreement.html. Worksection powiadomi Klienta o wszelkich planowanych zmianach dotyczących dodania lub zastąpienia podprocesorów, wobec których Klient może zgłosić sprzeciw. Klient jest informowany, gdy Worksection aktualizuje listę podprocesorów na swojej stronie internetowej. Jeśli Klient nie zgłosił takiego sprzeciwu w ciągu trzydziestu (30) dni od daty otrzymania powiadomienia/datę aktualizacji na stronie, przyjmuje się, że Klient nie zgłosił sprzeciwu. W przypadku sprzeciwu Klienta, Worksection ma prawo do naprawienia sprzeciwu Klienta według własnego uznania. Jeśli (i) żadna opcja naprawcza nie jest rozsądnie dostępna; lub (ii) strony nie mogły znaleźć wzajemnie akceptowalnego rozwiązania, a (iii) sprzeciw nie został usunięty w ciągu trzydziestu (30) dni po otrzymaniu sprzeciwu przez Worksection, każda ze Stron może wypowiedzieć Ogólne Warunki Świadczenia Usług ze skutkiem natychmiastowym.
8.2. Obowiązki podprocesora. W przypadku gdy Worksection upoważnia jakiegokolwiek podprocesora w opisywanym w tej Sekcji:
(i) Worksection ograniczy dostęp podprocesora do danych Klienta tylko do tego, co jest niezbędne do utrzymania Usług lub świadczenia Usług Klientowi zgodnie z Ogólnymi Warunkami Świadczenia Usług, a Worksection zabroni podprocesorowi dostępu do danych Klienta w innym celu.
(ii) Worksection nałoży odpowiednie obowiązki umowne na piśmie na podprocesora, które nie będą mniej chroniące niż niniejszy Dodatek, w tym odpowiednie obowiązki umowne dotyczące poufności, ochrony danych, bezpieczeństwa danych i praw audytowych; oraz
(iii) Worksection pozostanie odpowiedzialne za przestrzeganie obowiązków wynikających z niniejszego Dodatku oraz za jakiekolwiek działania lub zaniechania podprocesora, które spowodują, że Worksection naruszy jakiekolwiek z obowiązków Worksection wynikających z niniejszego Dodatku.
9. OBOWIĄZKI INFORMACYJNE
Jeśli dane Klienta zostaną poddane skonfiskowaniu podczas postępowania upadłościowego lub insolwencyjnego, lub podobnych działań ze strony osób trzecich w trakcie przetwarzania przez Worksection, Worksection niezwłocznie poinformuje Klienta. Worksection niezwłocznie powiadomi wszystkie odpowiednie strony w takiej sprawie (np. wierzycieli, kuratora) że wszelkie dane Klienta podlegające tym postępowaniom są własnością Klienta i jego odpowiedzialnością oraz że dane Klienta są w wyłącznej dyspozycji Klienta.
10. ZWROT I USUNIĘCIE DANYCH OSOBOWYCH
Po rozwiązaniu Umowy i zaprzestaniu świadczenia Usług, według wyboru Klienta (wynikającego z Platformy lub pisemnego powiadomienia do Processora), Procesor usunie lub zwróci Klientowi wszystkie dane osobowe, które przetwarza wyłącznie w imieniu Klienta, w sposób opisany w Umowie, a Procesor usunie istniejące kopie danych osobowych, chyba że przepisy o ochronie danych wymagają inaczej. W zakresie dozwolonym lub wymaganym przez obowiązujące prawo, Procesor może również zachować jedną kopię danych osobowych wyłącznie do celów dowodowych i/lub w celu ustalenia, dochodzenia lub obrony roszczeń prawnych i/lub w celu przestrzegania zobowiązań prawnych.
ZAŁĄCZNIK 1 — SZCZEGÓŁY PRZETWARZANIA
Kategorie osób, których dane dotyczą.
Klient może przesłać dane osobowe do Usługi, które mogą obejmować, ale nie ograniczać się do, danych osobowych związanych z następującymi kategoriami osób, których dane dotyczą:
● Zaproszeni użytkownicy Klienta
● Pracownicy Klienta
● Konsultanci Klienta
● Agenci Klienta
● Doradcy Klienta
● Partnerzy biznesowi i dostawcy Klienta (którzy są osobami fizycznymi)
Każda inna osoba trzecia, z którą Klient zdecyduje się komunikować za pośrednictwem Usługi.
Kategorie danych.
Wszelkie dane osobowe zawarte w danych Klienta, tj. dane osobowe przesyłane przez Klienta do Usług w ramach konta Worksection Klienta lub w inny sposób przetwarzane przez Worksection w imieniu Klienta, w związku z korzystaniem przez Klienta z Usług.
Klient przyjmuje do wiadomości i rozumie, że Usługi są używane do współpracy i planowania oraz że nie są zaprojektowane do przetwarzania specjalnych kategorii danych osobowych.
Czas trwania przetwarzania.
Stosownie do jakiejkolwiek sekcji DPA i/lub Umowy dotyczącej czasu trwania przetwarzania i konsekwencji wygaśnięcia lub rozwiązania, Worksection przetwarza dane osobowe zgodnie z DPA i Umową przez czas trwania Umowy, chyba że uzgodniono inaczej na piśmie. Klient samodzielnie usunie dane osobowe przesłane do Usług zgodnie ze swoimi własnymi politykami zatrzymywania danych.
Operacje przetwarzania i częstotliwość.
Przetwarzanie odbywa się ciągle, gdy Klient korzysta z Usług.
Dane osobowe mogą być przedmiotem następujących działań przetwarzania:
● przechowywanie i inne przetwarzanie niezbędne do świadczenia, utrzymania i poprawy Usług świadczonych Eksporterowi Danych;
● świadczenie wsparcia technicznego i dla Klienta Eksportera Danych;
● ujawnienia zgodnie z Umową, na mocy przepisów prawa.
Operacje podprzetwarzania.
Podprocesorzy są zaangażowani przez Worksection w celu analizy danych internetowych, systemu ERP, analizy danych klientów, wsparcia klienta, serwerów i hostingu oraz funkcjonalności e‑mailowych.
ZAŁĄCZNIK 2 – TECHNICZNE I ORGANIZACYJNE ŚRODKI BEZPIECZEŃSTWA
Środki pseudonimizacji i szyfrowania danych osobowych.
Worksection przechowuje dane klientów w szyfrowaniu przy użyciu algorytmu szyfrującego o sile równoważnej 256-bitowemu szyfrowaniu symetrycznemu lub lepszemu. Dane są szyfrowane w tranzycie przy użyciu TLS 1.2 lub nowszego.
Środki zapewniające ciągłą poufność, integralność oraz dostępność i odporność systemów i usług przetwarzania.
Infrastruktura usług Worksection rozciąga się na wiele centrów danych w różnych krajach UE oraz na Ukrainie.
Środki zabezpieczające możliwość przywrócenia dostępności i dostępu do danych osobowych w odpowiednim czasie w przypadku zdarzenia fizycznego lub technicznego.
Worksection wykonuje kopie zapasowe danych klientów w czasie rzeczywistym. Kopie zapasowe są przechowywane redundatnie w kilku centrach danych i są szyfrowane w tranzycie oraz w spoczynku z wykorzystaniem standardowych algorytmów szyfrujących o sile równoważnej 256-bitowemu szyfrowaniu symetrycznemu.
Procesy regularnego testowania w celu zapewnienia bezpieczeństwa przetwarzania.
Worksection utrzymuje program bezpieczeństwa oparty na standardach ISO 27001. Obejmuje to administracyjne, organizacyjne, techniczne i fizyczne zabezpieczenia mające na celu ochronę poufności, integralności i dostępności danych klientów. Worksection przeprowadza coroczne testy penetracyjne aplikacji i sieci przez strony trzecie.
Środki identyfikacji i autoryzacji użytkowników.
Pracownicy Worksection są zobowiązani do korzystania z unikalnych danych uwierzytelniających i sekretów do autoryzacji.
Środki ochrony danych podczas transmisji.
Dane Klienta są szyfrowane przy użyciu szyfrowania TLS 1.2 lub nowszego w czasie transmisji między klientem a Worksection oraz wewnętrznie między systemami Worksection.
Środki ochrony danych podczas przechowywania.
Dane Klienta są przechowywane w szyfrowaniu przy użyciu standardowych algorytmów szyfrujących 256-bitowych.
Środki zapewniające konfigurację systemów, w tym konfigurację domyślną.
Worksection stosuje standardy Bezpiecznego Cyklu Życia Rozwoju Oprogramowania (Secure SDLC) do przeprowadzania wielu działań związanych z bezpieczeństwem w ramach Usług na różnych etapach cyklu życia tworzenia produktu, od zbierania wymagań i projektowania produktu aż po wdrożenie produktu. Działania te obejmują, ale nie ograniczają się do, (a) przeprowadzania wewnętrznych przeglądów bezpieczeństwa przed wdrożeniem nowych usług; (b) corocznych testów penetracyjnych przez niezależne strony trzecie; oraz © modeli zagrożeń dla nowych usług w celu wykrywania ewentualnych problemów z bezpieczeństwem.
Ostatnia aktualizacja: 11 lipca 2022