Umowa o przetwarzaniu danych
Zgodnie z wymogami rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych, a także uchylenia dyrektywy 95/46/WE (zwanego dalej „RODO”), dostawca (zwany dalej „Podmiotem przetwarzającym”) i właściciel (zwany dalej „Administratorem danych”) przystępują do stosunku umownego dotyczącego przetwarzania danych w celu określenia warunków przetwarzania danych osobowych, sposobu ich ochrony, a także innych praw i obowiązków obu stron w odniesieniu do przetwarzania danych osobowych osób, których dane dotyczą, w imieniu Administratora danych podczas wykonywania przedmiotu niniejszych Warunków jako umowy głównej.
1. Przetwarzanie danych osobowych. Usługi świadczone zgodnie z niniejszymi Warunkami mogą obejmować przetwarzanie danych dotyczących zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, o których mowa w Polityce prywatności usługi dostępnej w witrynie help.eset.com (zwanych dalej „danymi osobowymi”).
2. Upoważnienie. Administrator danych upoważnia Podmiot przetwarzający do przetwarzania danych osobowych, zakładając, że:
(i) „cel przetwarzania” oznacza świadczenie usług zgodnie z niniejszymi Warunkami. Procesor może przetwarzać Dane Osobowe wyłącznie w imieniu Administratora w zakresie świadczenia usług żądanych przez Administratora. Wszelkie informacje zebrane w dodatkowych celach są przetwarzane poza stosunkiem umownym pomiędzy Administratorem a Podmiotem przetwarzającym.
(ii) okres przetwarzania oznacza okres rozpoczynający się w momencie nawiązania wzajemnej współpracy na podstawie niniejszych Warunków aż do zakończenia świadczenia usług;
(iii) zakres i kategorie danych osobowych obejmują ogólne dane osobowe, z wyłączeniem wszelkich szczególnych kategorii danych osobowych;
(iv) „osoba, której dane dotyczą” oznacza osobę fizyczną będącą autoryzowanym użytkownikiem urządzeń Administratora danych;
(v) operacje przetwarzania oznaczają wszystkie operacje niezbędne do celów związanych z przetwarzaniem;
(vi) „udokumentowane instrukcje” oznaczają instrukcje opisane w niniejszych Warunkach i aneksach do nich, Polityce prywatności oraz dokumentacji usługi. Administrator odpowiada za prawną dopuszczalność przetwarzania Danych Osobowych przez Podmiot przetwarzający w zakresie odpowiednich obowiązujących przepisów prawa o ochronie danych.
3. Obowiązki Podmiotu przetwarzającego dane. Podmiot przetwarzający jest zobowiązany do:
(i) dane osobowe są przetwarzane wyłącznie na podstawie udokumentowanych poleceń i w celu określonym w Warunkach, Załącznikach, Polityce Prywatności i dokumentacji serwisowej,
(ii) osoby upoważnione do przetwarzania danych osobowych są zobowiązane się do zachowania poufności i postępują zgodnie z udokumentowanymi instrukcjami,
(vi) „udokumentowane instrukcje” oznaczają instrukcje opisane w niniejszych Warunkach i aneksach do nich, Polityce prywatności oraz dokumentacji usługi.
(iv) Podmiot będzie pomagać Administratorowi w odpowiadaniu na wnioski Podmiotów danych dotyczące ich praw. Podmiot przetwarzający nie będzie poprawiał, usuwał ani ograniczał przetwarzania Danych Osobowych bez polecenia Administratora. Wszelkie wnioski Podmiotu Danych dotyczące Danych Osobowych przetwarzanych w imieniu Administratora będą niezwłocznie przekazywane Administratorowi.
(iv) Podmiot będzie pomagać Administratorowi w powiadamianiu organu nadzorczego i Podmiotu Danych o naruszeniu ochrony danych osobowych,
(v) wszystkie dane osobowe zostaną usunięte lub zwrócone Administratorowi danych po zakończeniu świadczenia usług, z którymi związane jest przetwarzanie;
(vii) przechowywania aktualnego rejestru wszystkich kategorii czynności związanych z przetwarzaniem, które są wykonywane w imieniu Administratora danych;
(vii) Podmiot będzie udostępniać Administratorowi wszystkie informacje niezbędne do wykazania zgodności w ramach niniejszych Warunków i aneksów do nich, Polityki prywatności oraz dokumentacji usługi.
4. Angażowanie innego podmiotu przetwarzającego dane Podmiot przetwarzający jest upoważniony do zaangażowania innego podmiotu przetwarzającego do wykonywania określonych czynności, takich jak świadczenie usług przechowywania w chmurze i zapewnianie infrastruktury dla usługi zgodnie z niniejszymi Warunkami, niniejszym aneksem, Polityką prywatności oraz dokumentacją usługi. Obecnie Microsoft zapewnia przechowywanie i infrastrukturę w chmurze w ramach Azure Cloud Service. Nawet w takich przypadkach Podmiot przetwarzający pozostaje jedynym punktem kontaktu oraz stroną odpowiedzialną za zgodność z wymaganiami.
5. Terytorium przetwarzania. Podmiot przetwarzający zapewnia, że przetwarzanie będzie odbywać się na terytoriom Europejskiego Obszaru Gospodarczego lub kraju uznanego decyzją Komisji Europejskiej za bezpieczny, zależnie od decyzji Administratora danych. W przypadku przekazywania i przetwarzania danych poza terytorium Europejskiego Obszaru Gospodarczego lub kraju uznanego decyzją Komisji Europejskiej za bezpieczny obowiązują standardowe klauzule umowne.
6. Zabezpieczenia. Podmiot przetwarzający posiada certyfikat ISO 27001:2013 i wdraża warstwową ochronną strategię bezpieczeństwa zgodną z normą ISO 27001 podczas stosowania kontroli bezpieczeństwa na poziomie sieci, systemów operacyjnych, baz danych, aplikacji, personelu i procesów operacyjnych. Zgodność z wymogami regulacyjnymi i umownymi jest poddawana regularnym ocenom oraz przeglądom podobnie jak w przypadku innych elementów infrastruktury oraz procesów Podmiotu przetwarzającego, a także podejmowane są niezbędne kroki w celu zapewnienia zgodności w sposób ciągły. Podmiot przetwarzający zorganizował zabezpieczenia danych z wykorzystaniem systemu ISMS na podstawieISO 27001. Dokumentacja bezpieczeństwa obejmuje przede wszystkich dokumenty dotyczące zasad bezpieczeństwa informacji, bezpieczeństwa fizycznego i bezpieczeństwa sprzętu, zarządzania incydentami, postępowania w przypadku wycieku danych oraz incydentów bezpieczeństwa itp.
7. Dane kontaktowe Podmiotu przetwarzającego dane. Wszelkie powiadomienia, wnioski, żądania i inną komunikację dotyczącą ochrony danych osobowych należy kierować na adres: ESET, spol. s.r.o., do rąk: Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk.