UMOWA PRZETWARZANIA DANYCH

UMOWA PRZETWARZANIA DANYCH

AAS At Work B.V.

Składająca się z:

  • Część 1. Oświadczenie Data Pro
  • Część 2. Standardowe klauzule przetwarzania

OŚWIADCZENIE DATA PRO

Niniejsze Oświadczenie Data Pro, wraz ze Standardowymi Klauzulami Przetwarzania, stanowi umowę przetwarzania dla produktu lub usług AAS At Work B.V.

INFORMACJE OGÓLNE

1. Oświadczenie Data Pro zostało opracowane przez AAS At Work B.V., Bergen 2, 4844 EN Terheijden. W razie pytań dotyczących niniejszego Oświadczenia Data Pro lub ochrony danych prosimy o kontakt z A. Hendriksem, albert@aasatwork.nl.

2. Oświadczenie Data Pro obowiązuje od 1 maja 2018 roku. Regularnie dostosowujemy opisane w tym Oświadczeniu środki bezpieczeństwa, jeśli zajdzie taka potrzeba, aby być przygotowanym na zmiany i na bieżąco reagować na kwestie związane z ochroną danych. Będziemy informować o nowych wersjach za pomocą naszych standardowych kanałów.

USŁUGA NAViDocs OCR

3. Niniejsze Oświadczenie Data Pro odnosi się do Usługi NAViDocs OCR.

4. Usługa NAViDocs OCR to aplikacja typu Software as a Service (SAAS), mająca na celu automatyczne przetwarzanie dokumentów dla systemów Microsoft Dynamics NAV i Business Central.

5. Usługa NAViDocs OCR została zaprojektowana w celu ekstrakcji tekstu z dostarczonych dokumentów/obrazów cyfrowych i zwrócenia go klientowi.

6. Produkt/usługa nie uwzględnia przetwarzania specjalnych danych osobowych ani danych dotyczących skazań karnych i wykroczeń. Przetwarzanie tych danych za pomocą wspomnianego produktu lub usługi przez klienta odbywa się wyłącznie na ryzyko klienta.

7. Przetwarzający zastosował zasady ochrony prywatności już na etapie projektowania produktu/usługi w następujący sposób:

  • Użytkownicy mogą samodzielnie przesyłać pliki w różnych formatach (pdf, jpeg itd.) oraz, w razie potrzeby, zmieniać i usuwać dane w ramach własnego środowiska Dynamics NAV/Business Central.
  • Przetwarzający nie sprawdza danych i będzie je przeglądał jedynie na życzenie klienta, np. jeśli będzie to konieczne do udzielenia odpowiedzi na zapytanie do skierowane helpdesku.

8. Przetwarzający korzysta ze Standardowych Klauzul Przetwarzania Data Pro, które można znaleźć pod adresem www.dataprocode.nl.

9. Przetwarzający przetwarza dane osobowe swoich klientów w obrębie UE/EOG.

10. Przetwarzający nie korzysta z podwykonawców przetwarzania.

11. Przetwarzający wspiera klienta w realizacji próśb osób, których dane dotyczą, związanych z ekstrakcją tekstu z dokumentów dostarczonych przez klienta w formacie pdf oraz obrazach.

12. Po zakończeniu umowy z klientem, przetwarzający usunie dane osobowe, które przetwarzał dla klienta, w ciągu 3 miesięcy, w sposób uniemożliwiający ich dalsze wykorzystanie oraz dostęp.

13. Po zakończeniu umowy z klientem, przetwarzający zwróci wszystkie dane osobowe, które przetwarzał dla klienta, w ciągu 3 miesięcy.

Polityka Bezpieczeństwa

14. Przetwarzający podjął następujące środki bezpieczeństwa w celu ochrony swojego produktu lub usługi:

  • Dostęp do usługi NAViDocs OCR odbywa się przez bezpieczne połączenie (SSL) z uwierzytelnieniem dwuetapowym.
  • Definiowalne przez użytkownika uprawnienia dostępu.
  • Użytkownicy muszą regularnie zmieniać swoje hasła, co najmniej raz na sześć miesięcy.
  • Ścisła separacja danych każdego klienta.
  • Anonimizacja dostarczonych dokumentów/obrazów.
  • Usuwanie dostarczonych dokumentów/obrazów po okresie 3 miesięcy.

15. Przetwarzający dostosował się do następującego Systemu Zarządzania Bezpieczeństwem Informacji (ISMS):

  • NEN 7510, NEN 7512, NEN 7513 (dla sektora ochrony zdrowia; o ile ma to zastosowanie).

Protokół Naruszenia Danych

16. W przypadku wystąpienia jakiegokolwiek incydentu, przetwarzający zastosuje poniższy protokół naruszenia danych, aby zapewnić, że klient zostanie poinformowany o incydentach:

  • Istnieje procedura wewnętrznego zgłaszania incydentów. Jeśli przetwarzający odkryje naruszenie danych w swojej organizacji, niezwłocznie poinformuje klienta, kontaktując się z wyznaczoną do tego osobą. Przetwarzający dostarczy jak najwięcej istotnych informacji, w tym opis incydentu, charakter naruszenia, rodzaj danych osobowych lub kategorii osób, których dane dotyczą, szacunkową liczbę osób, których dane dotyczą, oraz bazy danych, które mogły być zaangażowane, wskazanie, kiedy incydent miał miejsce i co się wydarzyło.
  • Powiadomienie do klientów będzie dokonane w ciągu 4 godzin, jeśli to możliwe. Przetwarzający nie będzie samodzielnie składał powiadomień do organu nadzorczego (AP) lub osób, których dane dotyczą. Decyzja o zgłoszeniu pozostaje odpowiedzialnością osoby wyznaczonej przez klienta. Przetwarzający, jeśli klient tego zażyczy, udzieli wsparcia klientowi lub administratorowi w procesie zgłoszenia.

Część 2: Standardowe Klauzule Przetwarzania

Artykuł 1. Definicje

W niniejszych Standardowych Klauzulach Przetwarzania, Oświadczeniu Data Pro i Umowie następujące terminy mają następujące znaczenia:

1.1 Inspektor Ochrony Danych (IOD): organ nadzorczy, określony w Artykule 4(21) RODO.

1.2 RODO: Ogólne rozporządzenie o ochronie danych osobowych.

1.3 Przetwarzający dane: strona, która jako dostawca ICT przetwarza dane osobowe w charakterze przetwarzającego w kontekście wykonania Umowy w imieniu swojego Klienta.

1.4 Oświadczenie Data Pro: oświadczenie przetwarzającego dane, w którym udziela on informacji, między innymi na temat zamierzonego użycia swojego produktu lub usługi, podjętych środków bezpieczeństwa, podwykonawców przetwarzania, wycieków danych, certyfikatów oraz sposobu traktowania praw osób, których dane dotyczą.

1.5 Osoba, której dane dotyczą: zidentyfikowana lub możliwa do zidentyfikowania osoba fizyczna.

1.6 Klient: strona, w imieniu której przetwarzający dane przetwarza dane osobowe. Klient może być zarówno administratorem, jak i innym przetwarzającym.

1.7 Umowa: umowa pomiędzy Klientem a Przetwarzającym dane, na podstawie której dostawca ICT dostarcza usługi i/lub produkty Klientowi, a której częścią jest umowa przetwarzania danych.

1.8 Dane osobowe: wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, zgodnie z definicją zawartą w Artykule 4(1) RODO, które Przetwarzający dane przetwarza w kontekście realizacji swoich obowiązków wynikających z Umowy.

1.9 Umowa przetwarzania danych: te Standardowe Klauzule Przetwarzania, które wraz z Oświadczeniem Data Pro (lub podobnymi informacjami) Przetwarzającego dane stanowią umowę przetwarzania danych, o której mowa w Artykule 28(3) RODO.

Artykuł 2. Postanowienia ogólne

2.1 Niniejsze Standardowe Klauzule Przetwarzania stosują się do wszelkiego przetwarzania danych osobowych, które Przetwarzający dane wykonuje w ramach świadczenia swoich produktów i usług oraz do wszelkich Umów i ofert. W szczególności odrzuca się zastosowanie umów przetwarzania danych Klienta.

2.2 Oświadczenie Data Pro oraz, w szczególności, zawarte w nim środki bezpieczeństwa mogą być od czasu do czasu zmieniane przez Przetwarzającego dane w celu odzwierciedlenia zmieniających się okoliczności. Przetwarzający dane poinformuje Klienta o istotnych zmianach. Jeśli Klient nie będzie mógł w rozsądny sposób zaakceptować zmian, ma prawo do rozwiązania umowy przetwarzania danych na piśmie w ciągu 30 dni od powiadomienia o zmianach.

2.3 Przetwarzający dane będzie przetwarzać dane osobowe w imieniu Klienta oraz zgodnie z pisemnymi instrukcjami Klienta uzgodnionymi z Przetwarzającym dane.

2.4 Klient lub jego klient jest administratorem w rozumieniu RODO, ma kontrolę nad przetwarzaniem danych osobowych i określa cel oraz środki przetwarzania danych osobowych.

2.5 Przetwarzający dane jest przetwarzającym w rozumieniu RODO i w związku z tym nie ma kontroli nad celem i środkami przetwarzania danych osobowych, a zatem nie podejmuje decyzji dotyczących m.in. użycia danych osobowych.

2.6 Przetwarzający dane będzie przestrzegać RODO zgodnie z tymi Standardowymi Klauzulami Przetwarzania, Oświadczeniem Data Pro oraz Umową. Klient ma obowiązek oceny, w oparciu o te informacje, czy Przetwarzający dane oferuje wystarczające gwarancje w zakresie stosowania odpowiednich środków technicznych i organizacyjnych w celu zapewnienia, że przetwarzanie danych osobowych spełnia wymagania RODO i że prawa osób, których dane dotyczą, są odpowiednio chronione.

2.7 Klient zapewnia Przetwarzającego dane, że działa zgodnie z RODO, że w każdym przypadku odpowiednio zabezpiecza swoje systemy i infrastrukturę oraz że treść, wykorzystanie i/lub przetwarzanie danych osobowych nie jest niezgodne z prawem i nie narusza żadnych praw osób trzecich.

2.8 Kara administracyjna nałożona na Klienta przez organ nadzorczy (IOD) nie może zostać odzyskana od Przetwarzającego dane, chyba że istnieje zamiar lub rażące niedbalstwo ze strony kierownictwa Przetwarzającego dane.

Artykuł 3. Bezpieczeństwo

3.1 Przetwarzający dane podejmie środki bezpieczeństwa techniczne i organizacyjne, jak opisano w swoim Oświadczeniu Data Pro. Przy podejmowaniu tych środków, Przetwarzający dane uwzględnia stan, koszty implementacji środków bezpieczeństwa, naturę, zakres i kontekst przetwarzania, cele i zamierzony sposób użycia swoich produktów i usług, ryzyko przetwarzania oraz ryzyka związane z prawami i wolnościami osób, których dane dotyczą, w odniesieniu do zamierzonego użycia produktów i usług.

3.2 Jeśli nie stwierdzono inaczej, produkt lub usługa Przetwarzającego dane nie jest przeznaczona do przetwarzania szczególnych kategorii danych osobowych ani danych dotyczących wyroków skazujących lub przestępstw.

3.3 Przetwarzający dane dąży do tego, aby środki bezpieczeństwa, które podejmuje, były odpowiednie do zamierzonego celu użycia produktu lub usługi przez Przetwarzającego dane.

3.4 Opisane w Oświadczeniu Data Pro środki bezpieczeństwa oferują, zdaniem Klienta, przy uwzględnieniu czynników wymienionych w artykule 3.1, poziom bezpieczeństwa dostosowany do ryzyka przetwarzania danych osobowych używanych lub dostarczonych przez Klienta.

3.5 Przetwarzający dane może wprowadzać zmiany w podjętych środkach bezpieczeństwa, jeśli uzna to za konieczne w celu utrzymania odpowiedniego poziomu bezpieczeństwa. Przetwarzający dane będzie dokumentował istotne zmiany, np. w zmienionym Oświadczeniu Data Pro, i poinformuje Klienta o tych zmianach, jeśli będą one istotne.

3.6 Klient może poprosić Przetwarzającego dane o podjęcie dodatkowych środków bezpieczeństwa. Przetwarzający dane nie ma obowiązku wdrożenia zmian w swoich środkach bezpieczeństwa w odpowiedzi na takie żądanie. Przetwarzający dane może obciążyć Klienta kosztami związanymi z wdrożeniem zmian na życzenie Klienta. Przetwarzający dane będzie zobowiązany do wdrożenia dodatkowych środków bezpieczeństwa dopiero po pisemnym uzgodnieniu i podpisaniu przez strony zmienionych środków bezpieczeństwa.

Artykuł 4. Naruszenia danych

4.1 Przetwarzający dane nie gwarantuje, że środki bezpieczeństwa będą skuteczne we wszystkich okolicznościach. Jeśli Przetwarzający dane odkryje naruszenie danych (zgodnie z artykułem 4(12) RODO), niezwłocznie poinformuje Klienta. Oświadczenie Data Pro (w ramach protokołu naruszenia danych) określa, w jaki sposób Przetwarzający dane poinformuje Klienta o naruszeniach danych.

4.2 To do administratora (Klienta lub jego klienta) należy ocena, czy naruszenie danych, o którym Przetwarzający dane poinformował, powinno zostać zgłoszone do organu nadzorczego (IOD) lub osobie, której dane dotyczą. Zgłoszenie naruszenia danych do organu nadzorczego i/lub osobie, której dane dotyczą, na podstawie artykułów 33 i 34 RODO, pozostaje w pełni odpowiedzialnością administratora (Klienta lub jego klienta). Przetwarzający dane nie ma obowiązku zgłaszania naruszeń danych do organu nadzorczego i/lub osoby, której dane dotyczą.

4.3 Przetwarzający dane, w razie potrzeby, udzieli dodatkowych informacji na temat naruszenia danych i będzie współpracować z Klientem przy udzielaniu niezbędnych informacji do zgłoszenia, o którym mowa w artykułach 33 i 34 RODO.

4.4 Przetwarzający dane może obciążyć Klienta rozsądnie poniesionymi kosztami związanymi z tymi działaniami, zgodnie z obowiązującymi stawkami.

Artykuł 5. Poufność

5.1 Przetwarzający dane gwarantuje, że osoby, które przetwarzają Dane Osobowe na jego odpowiedzialność, mają obowiązek zachowania poufności.

5.2 Przetwarzający dane jest uprawniony do udostępniania danych osobowych osobom trzecim, jeśli jest to konieczne na podstawie decyzji sądu, przepisu prawnego lub ważnego polecenia wydanego przez organ władzy publicznej.

5.3 Wszystkie kody dostępu i/lub identyfikacyjne, certyfikaty, informacje o polityce dostępu i/lub hasła oraz wszystkie informacje dostarczone przez Przetwarzającego dane Klientowi, które określają środki bezpieczeństwa techniczne i organizacyjne zawarte w Oświadczeniu Data Pro, są poufne i będą traktowane jako takie przez Klienta, a ujawnione tylko upoważnionym pracownikom Klienta. Klient zapewni, że jego pracownicy będą przestrzegać obowiązków określonych w tym artykule.

Artykuł 6. Okres obowiązywania i zakończenie umowy

6.1 Umowa przetwarzania danych stanowi część Umowy i każdej nowej lub kolejnej umowy, wchodzi w życie w momencie zawarcia Umowy i jest zawierana na czas nieokreślony.

6.2 Umowa przetwarzania danych wygasa z mocy prawa w momencie zakończenia Umowy lub każdej nowej czy kolejnej umowy między stronami.

6.3 W przypadku zakończenia umowy przetwarzania danych, Przetwarzający dane, w okresie określonym w Oświadczeniu Data Pro, usunie wszystkie dane osobowe, które posiada, otrzymane od Klienta w taki sposób, że nie będą mogły zostać użyte i będą niedostępne (zostaną unieważnione), lub, jeśli uzgodniono, zwróci je Klientowi w formacie zrozumiałym maszynowo.

6.4 Przetwarzający dane może obciążyć Klienta kosztami, które poniesie w związku z wykonaniem postanowień artykułu 6.3. Dodatkowe ustalenia mogą zostać zawarte w Oświadczeniu Data Pro.

6.5 Postanowienia artykułu 6.3 nie mają zastosowania, jeśli przepis prawny uniemożliwia Przetwarzającemu dane usunięcie lub zwrócenie wszystkich lub części danych osobowych. W takim przypadku Przetwarzający dane będzie przetwarzać dane osobowe wyłącznie w zakresie niezbędnym do spełnienia swoich obowiązków prawnych. Postanowienia artykułu 6.3 nie mają również zastosowania, jeśli Przetwarzający dane jest administratorem w rozumieniu RODO względem danych osobowych.

Artykuł 7. Prawa osoby, której dane dotyczą, Ocena skutków dla ochrony danych (DPIA) i Prawo do audytu

7.1 Przetwarzający dane będzie, w miarę możliwości, wspierał Klienta w rozsądnych żądaniach związanych z prawami osób, których dane dotyczą, zgłaszanymi przez te osoby u Klienta. Jeśli Przetwarzający dane zostanie bezpośrednio skontaktowany przez osobę, której dane dotyczą, będzie, w miarę możliwości, kierował tę osobę do Klienta.

7.2 Jeśli Klient będzie zobowiązany do wykonania oceny skutków przetwarzania danych (DPIA) lub do konsultacji wstępnych, o których mowa w artykułach 35 i 36 RODO, Przetwarzający dane, po rozsądnym żądaniu, podejmie współpracę w tym zakresie.

7.3 Przetwarzający dane może udokumentować zgodność z obowiązkami wynikającymi z umowy przetwarzania danych za pomocą ważnego Certyfikatu Data Pro lub równoważnego certyfikatu czy raportu audytowego (Memorandum Strony Trzeciej) od niezależnego audytora, który jest ekspertem w danej dziedzinie.

7.4 Przetwarzający dane, na żądanie Klienta, udzieli wszystkich dalszych informacji, które będą rozsądnie konieczne do wykazania zgodności z postanowieniami tej umowy przetwarzania danych. Jeśli mimo to Klient uzna, że przetwarzanie danych osobowych nie odbywa się zgodnie z umową przetwarzania danych, Klient może na własny koszt zlecić audyt raz w roku, przeprowadzony przez niezależnego, certyfikowanego, zewnętrznego audytora, który wykazuje doświadczenie w zakresie przetwarzania danych na podstawie umowy. Audyt będzie ograniczony do sprawdzenia zgodności z postanowieniami dotyczącymi przetwarzania danych osobowych określonymi w tej Umowie Przetwarzania Danych. Audytor będzie zobowiązany do zachowania poufności względem tego, co odkryje, i przekaże Klientowi jedynie informacje o uchybieniach w wypełnianiu obowiązków przez Przetwarzającego dane na podstawie tej umowy. Audytor przekaże kopię swojego raportu Przetwarzającemu dane. Przetwarzający dane może odmówić audytu lub polecenia audytora, jeśli uzna, że narusza ono RODO lub inne przepisy prawne, lub stanowi nieakceptowalną ingerencję w środki bezpieczeństwa, które zostały podjęte.

7.5 Strony skonsultują się jak najszybciej w sprawie wyników raportu. Strony podejmą działania w odniesieniu do proponowanych środków poprawy wskazanych w raporcie, o ile będzie to możliwe do oczekiwania od nich. Przetwarzający dane wdroży proponowane środki poprawy w zakresie, w jakim uzna je za odpowiednie, biorąc pod uwagę ryzyko związane z przetwarzaniem danych związane z jego produktem lub usługą, stan techniki, koszty wdrożenia, rynek, w którym działa, oraz zamierzony sposób użycia produktu lub usługi.

7.6 Przetwarzający dane ma prawo obciążyć Klienta kosztami, które poniesie w związku z wykonaniem postanowień tego artykułu.

Artykuł 8. Podwykonawcy procesowania

8.1 Przetwarzający dane wskazał w Oświadczeniu Data Pro, czy i jeśli tak, to którzy podwykonawcy są angażowani w przetwarzanie danych osobowych.

8.2 Klient upoważnia Przetwarzającego dane do angażowania innych podwykonawców procesowania w realizacji swoich obowiązków wynikających z Umowy.

8.3 Przetwarzający dane poinformuje Klienta o każdej zmianie w podmiotach zewnętrznych angażowanych przez Przetwarzającego dane, na przykład poprzez zmienione Oświadczenie Data Pro. Klient ma prawo sprzeciwić się tej zmianie. Przetwarzający dane zapewni, że zewnętrzni podwykonawcy procesowania, których angażuje, zobowiążą się do zapewnienia tego samego poziomu bezpieczeństwa w zakresie ochrony danych osobowych, jak poziom bezpieczeństwa, do którego Przetwarzający dane jest zobowiązany względem Klienta na podstawie Oświadczenia Data Pro.

Artykuł 9. Inne

Te Standardowe Klauzule Przetwarzania, razem z Oświadczeniem Data Pro, stanowią integralną część Umowy. Wszystkie prawa i obowiązki wynikające z Umowy, w tym stosowane ogólne warunki i/lub ograniczenia odpowiedzialności, będą miały również zastosowanie do umowy przetwarzania danych.