Umowa o przetwarzaniu danych
Zgodnie z wymogami rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych, a także uchylenia dyrektywy 95/46/WE (zwanego dalej „RODO”), dostawca (zwany dalej „Podmiotem przetwarzającym”) i właściciel (zwany dalej „Administratorem danych”) przystępują do stosunku umownego dotyczącego przetwarzania danych w celu określenia warunków przetwarzania danych osobowych, sposobu ich ochrony, a także innych praw i obowiązków obu stron w odniesieniu do przetwarzania danych osobowych osób, których dane dotyczą, w imieniu Administratora danych podczas wykonywania przedmiotu niniejszych Warunków jako umowy głównej.
1. Przetwarzanie danych osobowych. Usługi świadczone zgodnie z niniejszymi Warunkami mogą obejmować przetwarzanie danych dotyczących zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, o których mowa w Polityce prywatności usługi dostępnej w witrynie help.eset.com (zwanych dalej „danymi osobowymi”).
2. Upoważnienie. Administrator danych upoważnia Podmiot przetwarzający do przetwarzania danych osobowych, zakładając, że:
(i) „cel przetwarzania” oznacza świadczenie usług zgodnie z niniejszymi Warunkami. Procesor może przetwarzać Dane Osobowe wyłącznie w imieniu Administratora w zakresie świadczenia usług żądanych przez Administratora. Wszelkie informacje zebrane w dodatkowych celach są przetwarzane poza stosunkiem umownym pomiędzy Administratorem a Podmiotem przetwarzającym.
(ii) okres przetwarzania oznacza okres rozpoczynający się w momencie nawiązania wzajemnej współpracy na podstawie niniejszych Warunków aż do zakończenia świadczenia usług;
(iii) Zakres i kategorie danych osobowych. Usługi są przeznaczone wyłącznie do przetwarzania ogólnych danych osobowych. Jednakże Administrator ponosi wyłączną odpowiedzialność za określenie zakresu danych osobowych.
(iv) „osoba, której dane dotyczą” oznacza osobę fizyczną będącą autoryzowanym użytkownikiem urządzeń Administratora danych;
(v) operacje przetwarzania oznaczają wszystkie operacje niezbędne do przetwarzania;
(vi) „udokumentowane instrukcje” oznaczają instrukcje opisane w niniejszych Warunkach i aneksach do nich, Polityce prywatności oraz dokumentacji usługi. Administrator odpowiada za prawną dopuszczalność przetwarzania Danych Osobowych przez Podmiot przetwarzający w zakresie odpowiednich obowiązujących przepisów prawa o ochronie danych.
3. Obowiązki Podmiotu przetwarzającego dane. Podmiot przetwarzający jest zobowiązany do:
(i) dane osobowe są przetwarzane wyłącznie na podstawie udokumentowanych poleceń i w celu określonym w Warunkach, Załącznikach, Polityce Prywatności i dokumentacji serwisowej,
(ii) poinstruowania osób upoważnionych do przetwarzania danych osobowych (dalej „Osoby upoważnione”) o ich prawach i obowiązkach wynikających z GDPR, o ich odpowiedzialności w przypadku naruszenia, a także do upewnienia się, że Osoby upoważnione zobowiązały się do zachowania poufności i przestrzegania udokumentowanych poleceń,
(vi) „udokumentowane instrukcje” oznaczają instrukcje opisane w niniejszych Warunkach i aneksach do nich, Polityce prywatności oraz dokumentacji usługi.
(iv) Podmiot będzie pomagać Administratorowi w odpowiadaniu na wnioski Podmiotów danych dotyczące ich praw. Podmiot przetwarzający nie będzie poprawiał, usuwał ani ograniczał przetwarzania Danych Osobowych bez polecenia Administratora. Wszelkie wnioski Podmiotu Danych dotyczące Danych Osobowych przetwarzanych w imieniu Administratora będą niezwłocznie przekazywane Administratorowi.
(iv) Podmiot będzie pomagać Administratorowi w powiadamianiu organu nadzorczego i Podmiotu Danych o naruszeniu ochrony danych osobowych, Podmiot przetwarzający dane powiadomi Administratora o wszelkich naruszeniach w zakresie przetwarzania lub bezpieczeństwa danych osobowych natychmiast po ich odkryciu. Podmiot przetwarzający dane będzie współpracował w rozsądnym zakresie w dochodzeniu i działaniach naprawczych dotyczących takiego naruszenia, a także podejmie rozsądne środki, aby ograniczyć dalsze negatywne konsekwencje.
(v) zgodnie z postanowieniem Administratora, wszystkie dane osobowe zostaną usunięte lub zwrócone Administratorowi danych po zakończeniu okresu przetwarzania. Administrator zobowiązuje się poinformować Podmiot przetwarzający dane o swojej decyzji w ciągu dziesięciu (10) dni po zakończeniu okresu przetwarzania. Niniejsze postanowienie nie wpływa na prawo Podmiotu przetwarzającego dane do zachowania danych osobowych w stopniu wymaganym do celów archiwizacji w związku z interesem publicznym, badaniami naukowymi, celami statystycznymi lub do ustalenia, wykonania lub obrony roszczeń prawnych.
(vii) przechowywania aktualnego rejestru wszystkich kategorii czynności związanych z przetwarzaniem, które są wykonywane w imieniu Administratora danych;
(vii) Podmiot będzie udostępniać Administratorowi wszystkie informacje niezbędne do wykazania zgodności w ramach niniejszych Warunków i aneksów do nich, Polityki prywatności oraz dokumentacji usługi. W przypadku audytu lub kontroli przetwarzania danych osobowych po stronie Administratora jest on zobowiązany do pisemnego powiadomienia Podmiotu przetwarzającego dane co najmniej trzydzieści (30) dni przed planowanym audytem lub kontrolą.
4. Angażowanie innego podmiotu przetwarzającego dane Podmiot przetwarzający jest upoważniony do zaangażowania innego podmiotu przetwarzającego do wykonywania określonych czynności, takich jak świadczenie usług przechowywania w chmurze i zapewnianie infrastruktury dla usługi zgodnie z niniejszymi Warunkami, niniejszym aneksem, Polityką prywatności oraz dokumentacją usługi. Obecnie Microsoft zapewnia przechowywanie i infrastrukturę w chmurze w ramach Azure Cloud Service. Nawet w takich przypadkach Podmiot przetwarzający pozostaje jedynym punktem kontaktu oraz stroną odpowiedzialną za zgodność z wymaganiami. Administrator niniejszym zobowiązuje się poinformować Podmiot przetwarzający dane o dodaniu lub wymianie innego administratora w celu możliwości zgłoszenia sprzeciwu.
5. Terytorium przetwarzania. Podmiot przetwarzający zapewnia, że przetwarzanie będzie odbywać się na terytoriom Europejskiego Obszaru Gospodarczego lub kraju uznanego decyzją Komisji Europejskiej za bezpieczny, zależnie od decyzji Administratora danych. W przypadku przekazywania i przetwarzania danych poza terytorium Europejskiego Obszaru Gospodarczego lub kraju uznanego decyzją Komisji Europejskiej za bezpieczny obowiązują standardowe klauzule umowne.
6. Zabezpieczenia. Podmiot przetwarzający posiada certyfikat ISO 27001:2013 i wdraża warstwową ochronną strategię bezpieczeństwa zgodną z normą ISO 27001 podczas stosowania kontroli bezpieczeństwa na poziomie sieci, systemów operacyjnych, baz danych, aplikacji, personelu i procesów operacyjnych. Zgodność z wymogami regulacyjnymi i umownymi jest poddawana regularnym ocenom oraz przeglądom podobnie jak w przypadku innych elementów infrastruktury oraz procesów Podmiotu przetwarzającego, a także podejmowane są niezbędne kroki w celu zapewnienia zgodności w sposób ciągły. Podmiot przetwarzający zorganizował zabezpieczenia danych z wykorzystaniem systemu ISMS na podstawieISO 27001. Dokumentacja bezpieczeństwa obejmuje przede wszystkich dokumenty dotyczące zasad bezpieczeństwa informacji, bezpieczeństwa fizycznego i bezpieczeństwa sprzętu, zarządzania incydentami, postępowania w przypadku wycieku danych oraz incydentów bezpieczeństwa itp.
7. Środki techniczne i organizacyjne. Podmiot przetwarzający dane będzie chronić dane osobowe przed przypadkowym i bezprawnym uszkodzeniem i zniszczeniem, przypadkową utratą, zmianą, nieupoważnionym dostępem i ujawnieniem. W tym celu Podmiot przetwarzający dane zastosuje odpowiednie środki techniczne i organizacyjne odpowiadające trybowi przetwarzania i zagrożeniom związanym z przetwarzaniem dla praw osób, których dane dotyczą, zapewniając zgodność z wymaganiami GDPR. Szczegółowy opis środków technicznych i organizacyjnych można znaleźć w Polityce bezpieczeństwa.
8. Dane kontaktowe Podmiotu przetwarzającego dane. Wszelkie powiadomienia, wnioski, żądania i inną komunikację dotyczącą ochrony danych osobowych należy kierować na adres: ESET, spol. s.r.o., do rąk: Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk.