Niniejszy Załącznik dotyczący przetwarzania danych („ZDPD”) uzupełnia przepisy Regulaminu („Regulamin”), aktualizowane od czasu do czasu między Tobą (wraz z podmiotem zależnym/podmiotami zależnymi) i podmiotami powiązanymi, łącznie "Klient") a MailerLite (wraz z podmiotem zależnym/podmiotami zależnymi), łącznie "MailerLite") (zwanymi dalej łącznie "Stronami" i indywidualnie "Stroną"), kiedy RODO ma zastosowanie do korzystania przez Klienta z Usług MailerLite w celu przetwarzania danych Klienta. Jeśli RODO nie ma zastosowania do Klienta, Dane Osobowe przekazane przez Klienta są przetwarzane i zabezpieczane w taki sam sposób, jak opisano w niniejszym ZDPD.
Niniejszy ZDPD obowiązuje od dnia, w którym Klient wyraża zgodę na warunki Regulaminu. W przypadku wystąpienia rozbieżności pomiędzy niniejszym ZDPD a Regulaminem, pierwszeństwo mają odpowiednie zapisy niniejszego ZDPD.
1.1. „Dane Konta" oznaczają informacje o Kliencie, które Klient dostarcza MailerLite w związku ze stworzeniem lub administracją kont w MailerLite, takie jak imię i nazwisko, nazwa użytkownika i adres e-mail Uprawnionego Użytkownika lub kontakt bilingowy Klienta. Klient jest odpowiedzialny za zgodność i prawidłowość wszystkich Danych Konta przez cały okres obowiązywania warunków Regulaminu.
1.2. „Uprawniony Użytkownik" oznacza indywidualnego pracownika, agenta lub wykonawcę Klienta, któremu przyznano subskrypcje Usług zgodnie z warunkami Regulaminu.
1.3. „Dane uwierzytelniające Klienta" oznaczają hasła dostępu, klucze lub inne dane uwierzytelniające używane przez Klienta podczas korzystania z Usług.
1.4. „Dane Klienta" oznaczają wszelkie Dane Osobowe, które MailerLite przetwarza w imieniu Klienta jako Podmiot Przetwarzający Dane w trakcie świadczenia swoich Usług.
1.5. „Administrator Danych” oznacza podmiot, który określa cele i sposoby Przetwarzania Danych Osobowych.
1.6. "Podmiot Przetwarzający Dane" oznacza podmiot, który przetwarza Dane Osobowe w imieniu Administratora Danych.
1.7. „Prawo o ochronie danych” oznacza wszystkie przepisy i regulacje dotyczące ochrony danych i prywatności obowiązujące w UE, EOG i ich państwach członkowskich mające zastosowanie do Przetwarzania Danych Osobowych.
1.8. „Podmiot Danych” oznacza zidentyfikowaną lub możliwą do zidentyfikowania osobę, której dotyczą Dane Osobowe.
1.9. „EOG" oznacza Europejski Obszar Gospodarczy, Wielką Brytanię i Szwajcarię.
1.10. „UE" oznacza Unię Europejską.
1.11. „RODO” oznacza (a) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), oraz (b) brytyjską Ustawę o Ochronie Danych Osobowych.
1.12. „Dane Osobowe” oznaczają wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej zdefiniowanej w RODO.
1.13. „Przetwarzanie” oznacza jakąkolwiek operację lub zestaw operacji, które są wykonywane na Danych Osobowych, w sposób zautomatyzowany lub nie, takie jak zbieranie, utrwalanie, organizowanie, przechowywanie, dostosowywanie lub zmienianie, pobieranie, konsultowanie, wykorzystywanie, ujawnianie poprzez przesyłanie, rozpowszechnianie lub udostępnianie w inny sposób, dopasowywanie lub łączenie, blokowanie, usuwanie lub niszczenie. „Przetwarzać”, „Przetwarza” i „Przetwarzane” należy interpretować odpowiednio.
1.14. „Podmiot Przetwarzający” oznacza osobę fizyczną lub prawną, władzę publiczną, agencję lub inny podmiot, który przetwarza Dane Osobowe w imieniu Administratora Danych.
1.15. „SKU" oznacza standardowe klauzule umowne zatwierdzone przez Komisję Europejską.
1.16. „Usługi” oznaczają każdy dostarczany produkt lub usługę świadczoną przez MailerLite zgodnie z Regulaminem MailerLite.
1.17. „Podwykonawca przetwarzania danych” oznacza każdy zewnętrzny Podmiot Przetwarzający Dane zaangażowany przez MailerLite.
1.18. „Szwajcarskie DPA” oznacza szwajcarską federalną ustawę o ochronie danych z dnia 25 września 2020 r., która weszła w życie 1 września 2023 r.
1.19. „Załącznik brytyjski” oznacza Załącznik o transgranicznym przepływie danych (International Data Transfer Addendum) do SKU (wersja B1.0) wydany przez brytyjskiego komisarza ds. informacji (Information Commissioner's Office) na podstawie artykułu 119(A) brytyjskiej ustawy o ochronie danych (Data Protection Act 2018). Załącznik ten podlega okresowym modyfikacjom.
2.1. MailerLite przygotowała niniejszy ZDPD w oparciu o przekonanie Klienta, że Dane Klienta mogą zawierać Dane Osobowe, które pochodzą z UE/EOG i/lub które w inny sposób podlegają RODO. W związku z tym niniejszy ZDPD uzupełnia przepisy Regulaminu i ma zastosowanie wyłącznie do Przetwarzania Danych Klienta przez MailerLite w ramach świadczenia Usług na rzecz Klienta na podstawie Regulaminu.
2.2. MailerLite zobowiązuje się do przestrzegania następujących postanowień w odniesieniu do wszelkich Danych Osobowych przetwarzanych na rzecz Klienta w związku ze świadczeniem Usług.
2.3. Strony uzgadniają, że w odniesieniu do Przetwarzania Danych Osobowych, Klient jest Administratorem Danych, a MailerLite jest Podmiotem Przetwarzającym Dane, działającym w imieniu Klienta, co zostało opisano w Aneksie 1 („Szczegóły Przetwarzania Danych") do niniejszego ZDPD. Każda ze Stron jest zobowiązana przestrzegać swoich obowiązków wynikających z unijnego prawa ochrony danych osobowych.
3.1. Klient jest odpowiedzialny za kontrolę Danych Osobowych i musi przestrzegać swoich obowiązków jako Administratora Danych wynikających z prawa o ochronie danych osobowych, w szczególności w zakresie uzasadnienia jakiegokolwiek przekazania Danych Klienta do MailerLite oraz swoich decyzji i działań dotyczących Przetwarzania i wykorzystania Danych Osobowych.
3.2. Klient potwierdza, że powiadomił i otrzymał wszystkie niezbędne zgody i uprawnienia zgodnie z prawem o ochronie danych osobowych, aby umożliwić MailerLite przetwarzanie Danych Klienta i świadczenie Usług.
4.1. Wyrażając zgodę na zastosowanie przepisów niniejszego ZDPD, Klient zleca MailerLite Przetwarzanie Danych Klienta w celu świadczenia Usług w zgodzie z cechami i funkcjonalnością Usług.
4.2. W związku ze świadczeniem przez MailerLite Usług na rzecz Klienta MailerLite przetwarza określone kategorie i rodzaje Danych Klienta wyłącznie w celach opisanych w niniejszym ZDPD i wyłącznie w zgodzie z udokumentowanymi i zgodnymi z prawem specyfikacjami Klienta, w tym w odniesieniu do przekazywania Danych Klienta do państw trzecich lub organizacji międzynarodowych, chyba że wymaga tego prawo unijne lub prawo państwa członkowskiego UE, któremu podlega MailerLite. W takim przypadku MailerLite poinformuje Klienta o tym wymogu prawnym przed Przetwarzaniem, chyba że prawo zabrania przekazywania takiej informacji z ważnych względów interesu publicznego.
4.3. Strony uzgadniają, że niniejszy ZDPD określa kompletne i końcowe instrukcje Klienta dla MailerLite w odniesieniu do Przetwarzania Danych Klienta. Przetwarzanie poza zakresem tych instrukcji wymaga podpisania wcześniejszego pisemnego porozumienia między Klientem a MailerLite. Niezależnie od powyższego MailerLite niezwłocznie poinformuje Klienta, jeśli dowie się, że instrukcje Klienta mogą naruszać obowiązujące unijne prawo o ochronie danych.
5.1. Nie ograniczając swoich obowiązków wynikających z Regulaminu, Klient jest wyłącznie odpowiedzialny za: (a) Dane Konta, Dane Klienta i Dane uwierzytelniające Klienta (w tym działania prowadzone z wykorzystaniem Danych uwierzytelniających Klienta), z zastrzeżeniem obowiązków MailerLite w zakresie Przetwarzania Danych wynikających z Regulaminu i niniejszego ZDPD; (b) dostarczanie wszelkich powiadomień wymaganych przez unijne prawo o ochronie danych osobom, których Dane Osobowe mogą być zawarte w Danych Konta, Danych Klienta lub Danych uwierzytelniających Klienta, oraz otrzymywanie od nich wszelkich wymaganych przez unijne prawo o ochronie danych zgód i upoważnień; oraz (c) zapewnienie, że żadne Dane Osobowe dotyczące wyroków karnych i przestępstw (art. 10 RODO) nie są przekazywane do Przetwarzania przez Usługi.
6.1. Uwzględniając stan wiedzy, koszty wdrożenia oraz charakter, zakres, kontekst i cele Przetwarzania, a także ryzyko o różnym prawdopodobieństwie wystąpienia i dotkliwości dla praw i wolności Podmiotów Danych, w odniesieniu do Danych Klienta MailerLite wdraża odpowiednie środki techniczne i organizacyjne w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do tego ryzyka (w tym środki przedstawione w Aneksie 2 „Środki Bezpieczeństwa”). Analizując odpowiedni poziom bezpieczeństwa, MailerLite bierze pod uwagę ryzyko, jakie stwarza Przetwarzanie Danych Klienta, w tym w szczególności ryzyko związane z naruszeniem Danych Klienta (co zdefiniowano w punkcie 10). MailerLite może od czasu do czasu wprowadzać zmiany w Środkach Bezpieczeństwa, które MailerLite uzna za konieczne lub właściwe, w tym między innymi w celu zachowania zgodności z obowiązującym prawem, ale żadne takie zmiany nie zmniejszą ogólnego poziomu ochrony Danych Klienta. MailerLite podejmuje odpowiednie kroki w celu zapewnienia zgodności ze Środkami Bezpieczeństwa przez swoich pracowników, wykonawców i Podwykonawców przetwarzania danych w zakresie mającym zastosowanie do ich zakresu działania, w tym zapewnia, że wszystkie osoby upoważnione do Przetwarzania Danych Klienta zgodziły się na odpowiednie zobowiązania do zachowania poufności.
6.2. Strony podejmą kroki w celu zapewnienia, aby każda osoba fizyczna działająca z upoważnienia Klienta lub MailerLite i mająca dostęp do Danych Osobowych, przetwarzała je wyłącznie za poleceniem Klienta oraz jeśli jest do tego zobowiązana przez prawo unijne lub prawo państwa członkowskiego UE.
6.3. Klient jest odpowiedzialny za zapoznanie się z informacjami udostępnianymi przez MailerLite dotyczącymi bezpieczeństwa danych i zobowiązuje się do przeprowadzenia niezależnej oceny mającej na celu sprawdzenie, czy Usługi spełniają jego wymagania i zobowiązania prawne wynikające z prawa o ochronie danych. Klient przyjmuje do wiadomości, że MailerLite może od czasu do czasu aktualizować lub modyfikować standardy bezpieczeństwa MailerLite, pod warunkiem że takie aktualizacje i modyfikacje nie powodują pogorszenia ogólnego bezpieczeństwa Usług zakupionych przez Klienta.
6.4. Klient akceptuje odpowiedzialność za bezpieczne korzystanie z Usług, w tym za zabezpieczenie Danych uwierzytelniających Klienta, ochronę bezpieczeństwa Danych Klienta podczas ich przesyłania do i z MailerLite oraz podjęcie wszelkich odpowiednich kroków w celu bezpiecznego zaszyfrowania lub wykonania kopii zapasowej Danych Klienta przesłanych do MailerLite.
7.1. Klient przyjmuje do wiadomości i wyraża zgodę na to, aby MailerLite angażował zewnętrznych Podwykonawców przetwarzania danych w związku ze świadczeniem Usług i niniejszym wyraża zgodę na korzystanie przez MailerLite z Podwykonawców przetwarzania danych. Jako warunek zezwalający zewnętrznym Podwykonawcom na Przetwarzanie Danych Klienta, MailerLite zawrze z Podwykonawcą przetwarzania danych pisemną umowę zawierającą zobowiązania w zakresie ochrony danych o stopniu ochrony nie mniejszym niż ten opisany w niniejszym ZDPD w odniesieniu do Danych Klienta. MailerLite ograniczy dostęp swoich Podwykonawców przetwarzania danych do tego, co jest niezbędne do zapewnienia Usług lub świadczenia Usług na rzecz Klientów. Z zastrzeżeniem niniejszej punktu 7, MailerLite zastrzega sobie prawo do angażowania i zastępowania Podwykonawców przetwarzania danych w sposób, jaki uzna za stosowny, przy czym: (a) MailerLite w dalszym ciągu ponosi odpowiedzialność wobec Klienta za świadczenie Usług oraz (b) ponosi odpowiedzialność za działania i zaniechania swoich Podwykonawców przetwarzania danych podejmowane w związku z wykonywaniem przez MailerLite niniejszego ZDPD w takim samym zakresie, w jakim MailerLite ponosiłaby odpowiedzialność w przypadku bezpośredniego wykonywania Usług.
7.2. Na żądanie Klienta przesłane poprzez formularz kontaktowy, MailerLite dostarczy Klientowi aktualną listę zewnętrznych Podwykonawców przetwarzania danych opisującą charakter świadczonych przez nich usług. Aktualną listę Podwykonawców przetwarzania danych Klient może znaleźć w Aneksie 4 do niniejszego ZDPD. Klient może zgłosić sprzeciw wobec każdego nowego Podwykonawcy przetwarzania danych z uzasadnionych powodów prawnych ("Powiadomienie o sprzeciwie") związanych z ochroną Danych Klienta, w którym to przypadku MailerLite ma prawo do zaspokojenia sprzeciwu poprzez jedną z następujących czynności:
(a) MailerLite odwoła swoje plany korzystania z Podwykonawcy przetwarzania danych w odniesieniu do Danych Klienta lub zaoferuje alternatywę świadczenia Usług bez tego Podwykonawcy;
(b) MailerLite podejmie kroki naprawcze, których zażądał Klient w swoim Powiadomieniu o sprzeciwie (które usuną sprzeciw Klienta) i przystąpi do korzystania z Podwykonawcy przetwarzania danych w odniesieniu do Danych Klienta; lub
(c) MailerLite może zaprzestać świadczenia lub Klient może wyrazić zgodę na niekorzystanie (czasowo lub na stałe) z danego aspektu Usług, który wiązałby się z wykorzystaniem tego Podwykonawcy przetwarzania danych w odniesieniu do Danych Osobowych, z zastrzeżeniem wzajemnego porozumienia Stron w zakresie dostosowania wynagrodzenia za Usługi z uwzględnieniem ich zmniejszonego zakresu.
7.3. Wszystkie Powiadomienia o sprzeciwie zgodne z punktem 7.2 należy przesłać do MailerLite za pomocą formularza kontaktowego. Jeśli żadna z opcji wymienionych w punkcie (a), (b) lub (c) punktu 7.2 nie jest dostępna, a sprzeciw Klienta nie został rozwiązany w sposób satysfakcjonujący obie strony w ciągu 30 dni od otrzymania przez MailerLite Powiadomienia o sprzeciwie, każda ze stron może zakończyć odpowiednie Usługi, a MailerLite zwróci Klientowi proporcjonalną część wszelkich niewykorzystanych kwot zapłaconych z góry przez Klienta. Zwrot kosztów będzie obliczany proporcjonalnie do tego, jakie Usługi były świadczone do momentu, kiedy Klient poinformował MailerLite o zakończeniu korzystania z Usług. MailerLite nie zapewnia żadnych zwrotów kosztów, jeśli Powiadomienie o sprzeciwie nie określa uzasadnionych podstaw prawnych.
8.1. Jeśli MailerLite otrzyma żądanie od Podmiotu Danych w odniesieniu do Danych Klienta, wówczas, w zakresie dopuszczalnym przez prawo, MailerLite doradzi Podmiotowi Danych, aby przekazał swoje żądanie Klientowi, a Klient będzie odpowiedzialny za odpowiedź na każde takie żądanie, w tym, w razie potrzeby, poprzez wykorzystanie funkcjonalności Usług. Klient niniejszym wyraża zgodę na to, aby MailerLite mógł potwierdzić Podmiotowi Danych, że jej żądania dotyczą Klienta. W zakresie, w jakim Klient nie jest w stanie poprzez korzystanie z Usług odpowiedzieć na konkretne żądanie Podmiotu Danych, MailerLite, na żądanie Klienta i biorąc pod uwagę charakter przetwarzanych Danych Klienta, zapewni zasadną pomoc w odpowiedzi na żądanie Podmiotu Danych (pod warunkiem, że MailerLite jest do tego prawnie upoważniona i że żądanie Podmiotu Danych zostało złożone zgodnie z unijnym prawem o ochronie danych). W zakresie dozwolonym przez obowiązujące przepisy prawa Klient jest odpowiedzialny za pokrycie wszelkich kosztów wynikających z udzielenia takiej pomocy przez MailerLite.
9.1. Po wypowiedzeniu Regulaminu i/lub niniejszego ZDPD MailerLite na pisemne żądanie Klienta rozpocznie proces usuwania Danych Klienta znajdujących się w jej posiadaniu lub pod jej kontrolą. Wymóg ten nie ma zastosowania w zakresie, w jakim MailerLite jest zobowiązana na mocy obowiązującego prawa do zachowania niektórych lub wszystkich Danych Klienta lub do Danych Klienta, które zarchiwizowała w systemach zapasowych, które to Dane Klienta MailerLite bezpiecznie odizoluje i zabezpieczy przed dalszym przetwarzaniem, z wyłączeniem zakresu wymaganego przez obowiązujące prawo.
10.1. MailerLite powiadomi Klienta bez zbędnej zwłoki, a w każdym razie w ciągu 48 godzin, po tym jak MailerLite dowie się o Naruszeniu Danych Osobowych w odniesieniu do Danych Klienta przekazywanych, przechowywanych lub w inny sposób Przetwarzanych przez MailerLite lub jej Podwykonawców przetwarzania danych („Naruszenie Danych Klienta"). Takie powiadomienie może być dostarczone (1) przez zamieszczenie powiadomienia w Usługach; (2) przez wysłanie wiadomości e-mail na adres e-mail, na podstawie którego utworzono konto Uprawnionego Użytkownika; i/lub (3) zgodnie z postanowieniami dotyczącymi powiadomień zawartymi w Regulaminie. Klient jest odpowiedzialny za zgodność i prawidłowość wszystkich danych kontaktowych przez cały okres obowiązywania warunków niniejszego ZDPD. MailerLite niezwłocznie podejmie wszelkie działania związane ze swoimi Środkami Bezpieczeństwa (oraz Środkami Bezpieczeństwa Podwykonawców przetwarzania danych), które uzna za konieczne i wskazane w celu zidentyfikowania i usunięcia przyczyny Naruszenia Danych Klienta. Ponadto MailerLite niezwłocznie zapewni Klientowi: (i) uzasadnioną współpracę i pomoc w odniesieniu do Naruszenia Danych Klienta, (ii) uzasadnione informacje w posiadaniu MailerLite dotyczące Naruszenia Danych Klienta w zakresie, w jakim dotyczy ono Klienta, w tym działań naprawczych i wszelkich powiadomień organów nadzorczych oraz, (iii) w znanym zakresie: (a) możliwej przyczyny Naruszenia Danych Klienta; (b) kategorii Danych Klienta, których to dotyczy; oraz (c) możliwych konsekwencji dla Podmiotów Danych. Powiadomienie MailerLite o Naruszeniu Danych Klienta lub odpowiedź na nie zgodnie z niniejszym punktem nie będzie stanowić uznania winy lub odpowiedzialności w odniesieniu do Naruszenia Danych Klienta, a zobowiązania zawarte w niniejszym dokumencie nie mają zastosowania do Naruszeń Danych Osobowych, które zostały spowodowane przez Klienta, Uprawnionych Użytkowników lub dostawców komponentów Klienta (takich jak systemy, platformy, usługi, oprogramowanie, urządzenia itp.). Jeśli Klient zdecyduje się powiadomić Organ Nadzorczy, Podmioty Danych lub opinię publiczną o Naruszeniu Danych Klienta, Klient dostarczy MailerLite z wyprzedzeniem kopie proponowanych powiadomień i zgodnie z obowiązującymi przepisami prawa (w tym wszelkimi obowiązkowymi terminami wynikającymi z unijnego prawa o ochronie danych), umożliwi MailerLite dostarczenie wszelkich wyjaśnień lub poprawek do tych powiadomień. Zgodnie z obowiązującymi przepisami prawa MailerLite nie będzie nawiązywał do Klienta w żadnych publicznych rejestrach, zawiadomieniach lub informacjach prasowych związanych z Naruszeniem Danych Klienta bez uprzedniej zgody Klienta.
11.1. MailerLite udzieli pisemnych odpowiedzi z zachowaniem zasad poufności na wszystkie uzasadnione żądania Klienta o udzielenie informacji w celu potwierdzenia zgodności MailerLite z niniejszym ZDPD.
11.2. Jeśli wymaga tego unijne prawo o ochronie danych, MailerLite umożliwi Klientowi (bezpośrednio lub za pośrednictwem zewnętrznego audytora podlegającego pisemnym zobowiązaniom do zachowania poufności) przeprowadzenie audytu procedur MailerLite istotnych dla ochrony Danych Klienta w celu weryfikacji przestrzegania przez MailerLite zobowiązań wynikających z niniejszego ZDPD. W takim przypadku:
(a) Klient: (i) przekaże MailerLite pisemne powiadomienie z co najmniej 30-dniowym wyprzedzeniem o każdym proponowanym audycie; (ii) przeprowadzi audyt nie częściej niż raz w ciągu 12-miesięcznego okresu, z wyjątkiem sytuacji, kiedy wymaga tego właściwy Organ Nadzorczy lub jeśli audyt jest wymagany z powodu Naruszenia Danych Klienta; oraz (iii) przeprowadzi każdy audyt w sposób mający na celu zminimalizowanie zakłócenia normalnego trybu prowadzenia działalności przez MailerLite. W tym celu i przed rozpoczęciem takiego audytu Klient i MailerLite wspólnie uzgodnią zwrot kosztów, za które Klient będzie odpowiedzialny, jak również uczestników audytu, harmonogram i zakres, który w żadnym wypadku nie udostępni Klientowi lub jego zewnętrznemu audytorowi dostęp do stron hostingowych Usług, podstawowych systemów lub infrastruktury.
(b) Przedstawiciele Klienta przeprowadzający audyt zapewnią bezpieczeństwo poufności wszystkich informacji uzyskanych w wyniku takiego audytu zgodnie z Regulaminem, mogą być zobowiązani do zawarcia rozszerzonej, wzajemnie uzgodnionej umowy o zachowaniu poufności i będą przestrzegać zasad bezpieczeństwa MailerLite podczas pobytu w siedzibie MailerLite. Po zakończeniu audytu Klient niezwłocznie dostarczy MailerLite pisemne sprawozdanie z audytu lub, jeśli nie sporządzono pisemnego sprawozdania, niezwłocznie powiadomi MailerLite o wszelkich niezgodnościach wykrytych w trakcie audytu.
12.1. MailerLite zapewni Klientowi uzasadnioną współpracę i pomoc potrzebną do wypełnienia obowiązków Klienta wynikających z unijnego prawa o ochronie danych, w miarę możliwości i w miarę dostępnych zasobów, w tym:
(a) Przeprowadzenie oceny skutków dla ochrony danych związanych z korzystaniem przez Klienta z Usług, w zakresie, w jakim Klient nie ma innego dostępu do odpowiednich informacji oraz w zakresie, w jakim takie informacje są dostępne dla MailerLite.
(b) Udzielenie Klientowi zasadnej pomocy w zakresie współpracy lub uprzednich konsultacji z Organem Nadzorczym przy wykonywaniu jego zadań związanych z niniejszym punktem w zakresie wymaganym przez unijne prawo o ochronie danych.
13.1. Klient przyjmuje do wiadomości, że MailerLite może przekazywać i przetwarzać Dane Klienta w dowolnym miejscu na świecie, gdzie MailerLite, jej podmioty stowarzyszone lub jej Podwykonawcy przetwarzania danych przeprowadzają czynności przetwarzania danych. MailerLite zapewnia, że taki przepływ danych zawsze odbywa się zgodnie z wymogami prawa o ochronie danych i niniejszego ZDPD.
13.2. W zakresie, w jakim MailerLite jest odbiorcą Danych Klienta chronionych unijnym prawem o ochronie danych ("Dane UE") w kraju poza Europą, który nie jest uznawany za zapewniający odpowiedni poziom bezpieczeństwa danych osobowych (zgodnie z opisem w obowiązującym unijnym prawie o ochronie danych), strony uzgadniają, że MailerLite będzie przestrzegać i przetwarzać Dane UE zgodnie z SKU w formie określonej w Aneksie 3. Dla celów opisów w SKU, MailerLite uznaje, że jest „podmiotem odbierającym dane", a Klient jest „podmiotem przekazującym dane" (niezależnie od tego, że Klient może być podmiotem zlokalizowanym poza Europą).
13.3. Podwykonawcy przetwarzania danych wykorzystywani przez MailerLite do Przetwarzania jakichkolwiek Danych Klienta chronionych prawem o ochronie danych i/lub pochodzących z EOG, w kraju, który nie został wyznaczony przez Komisję Europejską lub Szwajcarski Urząd Ochrony Danych (Swiss Federal Data Protection Authority) (odpowiednio), zapewnią wymagany poziom bezpieczeństwa Danych Osobowych i będą mieli SKU włączone do swoich umów powierzenia przetwarzania danych osobowych.
13.4. Przekazywanie danych w Wielkiej Brytanii: SKU mają zastosowanie do czynności przekazywania danych podlegających brytyjskim przepisom o ochronie danych i są modyfikowane zgodnie ze wymaganiami wymienionymi w Załączniku brytyjskim. Załącznik brytyjski uznaje się za uzgodniony przez strony i stanowi istotny element niniejszego ZDPD. Informacje wymagane do wypełnienia tabel 1–3 w Części 1 Załącznika brytyjskiego zostaną pobrane z Załączników I i II odpowiednich SKU, a żadna ze stron nie zostanie wybrana do wypełnienia tabeli 4 w Części 1 Załącznika brytyjskiego.
13.5. Szwajcarskie przekazywanie danych: w przypadku przekazywania danych podlegającego szwajcarskiej ustawie o ochronie danych osobowych, standardowe klauzule umowne będą wdrażane w sposób opisany w punkcie 13.2, z następującymi dostosowaniami: (i) odniesienia do „Rozporządzenia (UE) 2016/679” będą interpretowane jako odniesienia do szwajcarskiej Ustawy o ochronie danych; (ii) odniesienia do konkretnych artykułów „Rozporządzenia (UE) 2016/679” zostaną zastąpione odpowiednimi artykułami lub sekcjami szwajcarskiej Ustawy o ochronie danych; (iii) wzmianki o „UE”, „Unii” i „prawie państwa członkowskiego” zostaną zastąpione słowem „Szwajcaria”; (iv) Klauzula 13(a) i część C Aneksu l zostaną usunięte; (v) odniesienia do „właściwego organu nadzorczego” i „właściwych sądów” zastępuje się odniesieniami do „szwajcarskiego federalnego komisarza ds. ochrony danych i informacji” i „właściwych sądów w Szwajcarii”; (vi) klauzula 17 zostaje zmieniona w celu stwierdzenia, że „niniejsze klauzule podlegają prawu Szwajcarii”; oraz (vii) klauzula 18 zostaje zmieniona w celu stwierdzenia, że „wszelkie spory wynikające z niniejszych klauzul będą rozstrzygane przez właściwe sądy Szwajcarii”. Strony zgadzają się poddać jurysdykcji takich sądów”.
14.1. Strony uważają, że w odniesieniu do Danych Klienta MailerLite pełni rolę Podmiotu Przetwarzającego Dane. W odniesieniu do Przetwarzania Danych Konta i w zakresie (jeśli istnieje), w jakim MailerLite może być uznany za Administratora w odniesieniu do niektórych przypadków Przetwarzania Danych Osobowych Klienta, każda ze Stron będzie wypełniać swoje obowiązki jako Administrator i zgadza się udzielić uzasadnionej pomocy: (a) sobie nawzajem, aby umożliwić każdej ze Stron odniesienie się do wszelkich wniosków o dostęp do Danych Osobowych oraz udzielenie odpowiedzi na wszelkie inne zapytania lub skargi pochodzące od Podmiotów Danych Osobowych zgodnie z unijnym prawem o ochronie danych; oraz (b) sobie nawzajem, aby ułatwić obsługę wszelkich Naruszeń Danych Osobowych zgodnie z wymogami unijnego prawa o ochronie danych.
15.1. Łączna odpowiedzialność każdej ze stron wynikająca z lub związana z niniejszym ZDPD, niezależnie od tego, czy jest to odpowiedzialność umowna, deliktowa lub wynikająca z innej podstawy odpowiedzialności podlega przepisom dotyczącym ograniczenia odpowiedzialności zawartym w Regulaminie.
16.1. Wszelkie roszczenia wniesione na mocy lub w związku z niniejszym ZDPD podlegają przepisom, w tym między innymi wyłączeniom i ograniczeniom określonym w Regulaminie.
16.2. Nikt inny niż strona niniejszego ZDPD, jej następcy prawni i dozwoleni cesjonariusze nie będą mieli prawa do egzekwowania któregokolwiek z jej postanowień.
16.3. Wszelkie roszczenia wobec MailerLite w ramach niniejszego ZDPD będą wnoszone wyłącznie wobec podmiotu, który jest stroną niniejszego ZDPD. Żadna ze Stron nie ograniczy swojej odpowiedzialności w odniesieniu do prawa o ochronie danych osobowych przysługujących jakiejkolwiek osobie fizycznej na mocy niniejszego ZDPD lub w inny sposób. Klient wyraża ponadto zgodę na to, aby wszelkie kary regulacyjne poniesione przez MailerLite w związku z Danymi Klienta, które powstały w wyniku lub w związku z nieprzestrzeganiem przez Klienta zobowiązań wynikających z niniejszego ZDPD lub jakichkolwiek przepisów prawa o ochronie danych osobowych, zostaną zaliczone na poczet i zmniejszą odpowiedzialność MailerLite w ramach niniejszego ZDPD.
16.4. Niniejszy ZDPD podlega i jest interpretowany zgodnie z prawem właściwym i postanowieniami dotyczącymi jurysdykcji zawartymi w Regulaminie, chyba że obowiązujące prawo o ochronie danych osobowych stanowi inaczej.
16.5. Klient zapewnia, że decyzja o wyrażeniu zgody na warunki niniejszego ZDPD została podjęta zgodnie z prawem przez Klienta, w przypadku gdy Klient jest osobą fizyczną, lub przez dyrektora Klienta, upoważnionego przedstawiciela lub inną osobę posiadającą uprawnienia do reprezentacji, w przypadku gdy Klient jest osobą prawną.
16.6. Niniejszy ZDPD zastępuje wszelkie poprzednie załączniki ZDPD zawarte pomiędzy MailerLite a Klientem.
16.7. Niniejszy Załącznik dotyczący przetwarzania danych wchodzi w życie:
16.7.1. w dniu, w którym użytkownik zaakceptował warunki Regulaminu i obowiązuje przez czas nieokreślony; lub
16.7.2. w dniu 1 lipca 2021 roku, jeśli użytkownik stał się naszym klientem przed 17 czerwca 2021 roku i obowiązuje przez czas nieokreślony.
Aneks 1
1. Przedmiot Przetwarzania Danych: Przedmiotem Przetwarzania danych na podstawie niniejszego ZDPD są Dane Klienta.
2. Okres Przetwarzania Danych: MailerLite będzie Przetwarzać Dane Klienta przez okres trwania Usług, jak opisano w Regulaminie.
3. Charakter Przetwarzania Danych: MailerLite dostarcza oprogramowanie do e-mail marketingu i automatyzacji w formie usługi oraz inne powiązane usługi, co opisano w Regulaminie.
4. Cel Przetwarzania Danych: Celem Przetwarzania Danych na podstawie niniejszego ZDPD jest świadczenie Usług.
5. Kategorie Podmiotów Danych:
5.1. „Użytkownicy" – każda osoba fizyczna uzyskująca dostęp i/lub korzystająca z Usług za pośrednictwem konta Klienta;
5.2. „Odbiorcy" – każda osoba fizyczna, której adres e-mail znajduje się na liście dystrybucyjnej Klienta / której informacje są przechowywane lub gromadzone za pośrednictwem Usług / do której Użytkownicy wysyłają wiadomości e-mail lub w inny sposób angażują się lub komunikują za pośrednictwem Usług.
6. Rodzaje Danych Klienta:
6.1. Użytkownicy: dane identyfikacyjne i kontaktowe (imię i nazwisko, dane kontaktowe, w tym adres e-mail, nazwa użytkownika); dane rozliczeniowe (adres rozliczeniowy, dane dotyczące płatności); dane organizacyjne (nazwa, adres, lokalizacja geograficzna, obszar odpowiedzialności, numer identyfikacyjny VAT), informacje informatyczne (adres IP, dane dotyczące użytkowania, dane dotyczące plików cookie, dane dotyczące nawigacji online, dane dotyczące lokalizacji, dane dotyczące przeglądarki, informacje dotyczące urządzenia dostępowego);
6.2. Odbiorcy: adres e-mail i wszelkie inne dodatkowe informacje, które Klient przekazuje MailerLite.
7. Klient przyjmuje do wiadomości, że MailerLite ma prawo wykorzystywać i ujawniać dane dotyczące funkcjonowania, wsparcia i/lub korzystania z Usług dla swoich uzasadnionych celów biznesowych, takich jak zarządzanie kontem, wsparcie techniczne, rozwój produktu lub inne. W zakresie, w jakim takie dane są uznawane za Dane Osobowe zgodnie z prawem o ochronie danych, MailerLite jest Administratorem takich danych i w związku z tym będzie je przetwarzać zgodnie z Polityką Prywatności MailerLite i prawem o ochronie danych.
8. Klient przyjmuje do wiadomości, że w związku z wykonywaniem Usług MailerLite stosuje pliki cookie, unikalne identyfikatory, sygnały nawigacyjne i podobne technologie śledzenia. Klient zapewnia odpowiednie mechanizmy powiadamiania, zgody, mechanizmy opt-in i opt-out wymagane przez prawo o ochronie danych osobowych, aby umożliwić MailerLite zgodne z prawem wdrożenie wspomnianych wcześniej technologii śledzenia i zbieranie danych z urządzeń Odbiorców. Klient może wykorzystać poniższe oświadczenie o MailerLite w Polityce Prywatności Klienta:
„Używamy MailerLite do zarządzania naszą listą odbiorców e-mail marketingu i do wysyłania wiadomości e-mail do naszych odbiorców. MailerLite jest dostawcą zewnętrznym, który może gromadzić i przetwarzać Twoje dane za pomocą standardowych technologii branżowych, aby pomóc nam monitorować i ulepszać nasz newsletter. Polityka Prywatności MailerLite jest dostępna na stronie /pl/legal/privacy-policy
Możesz zrezygnować z otrzymywania naszego newslettera klikając na link rezygnacji z subskrypcji podany na końcu każdego newslettera”.
Aneks 2
Niektóre ze Środków Bezpieczeństwa MailerLite na dzień zawarcia niniejszego ZDPD:
1.1. MailerLite gromadzi i przetwarza tylko te dane osobowe, które są niezbędne do świadczenia usług. Klienci jednak sami decydują, jakie dane osobowe powinny być przekazywane MailerLite w celach związanych z mailami transakcyjnymi.
1.2. Dostęp do Danych Klienta jest przez MailerLite zapewniany wyłącznie pracownikom o zdefiniowanym zapotrzebowaniu na informacje lub wykonującym rolę wymagającą takiego dostępu.
1.3. Pracownicy MailerLite są szkoleni w stosowaniu najlepszych praktyk bezpieczeństwa, które pozwalają im zidentyfikować przypadki Naruszenia Danych Klienta i podjąć niezbędne działania.
2.1. MailerLite utrzymuje ciągłość działalności biznesowej i wypełnia plany wykonywania kopii zapasowych w celu zminimalizowania strat w usługach i przestrzegania obowiązujących przepisów.
2.2. Plan wykonywania kopii zapasowych uwzględnia ryzyko dla usług i wszelkich zależności oraz posiada ustaloną procedurę wznawiania dostępu do usług i korzystania z nich.
2.3. Plan wykonywania kopii zapasowych jest testowany w regularnych odstępach czasu.
2.4. Spotkania kierownictwa dotyczące określenia ryzyka związanego z bezpieczeństwem informacji powstającego dla MailerLite odbywają się co roku. Komitet zarządzający określa ryzyka, omawia je i ustala sposoby zapobiegania im.
3.1. MailerLite posiada polityki i procedury dotyczące wprowadzania zmian w Usługach, w tym w infrastrukturze bazowej i komponentach systemu, aby zapewnić spełnienie standardów jakości.
3.2. MailerLite co roku przechodzi test penetracyjny swojej sieci i Usług. Wszelkie podatności na zagrożenia wykryte podczas tych testów są naprawiane zgodnie z procedurami MailerLite.
4.1. MailerLite posiada zabezpieczenia techniczne i inne środki bezpieczeństwa w celu zapewnienia bezpieczeństwa i poufności Danych Klienta.
4.2. System MailerLite umożliwia obsługę wielu podmiotów dlatego dane są rozdzielone na użytkowników/konta. Użytkownicy nie mają dostępu do baz danych, więc MailerLite zarządza nimi na swój sposób poprzez podział baz danych (sharding).
4.2. MailerLite korzysta z centrum przechowywania danych Google, które jest umiejscowione w Unii Europejskiej. Google posiada certyfikat bezpieczeństwa przechowywania informacji (ISO 27001), który zapewnia bezpieczeństwo Danych Klientów. Centra danych Google są chronione kilkoma warstwami zabezpieczeń, aby przeciwdziałać nieautoryzowanym próbom dostępu do danych. Google korzysta z bezpiecznych systemów ochrony obwodowej, kompleksowego pokrycia obrazem wideo, uwierzytelniania biometrycznego i całodobowej ochrony.
5.1. MailerLite posiada polityki i procedury dotyczące zarządzania mechanizmami szyfrowania i kluczami kryptograficznymi w kryptosystemie MailerLite. MailerLite zapewnia bezpieczeństwo dzięki protokołom SSL/TLS i szyfrowaniu AES256.
5.2. MailerLite stosuje szyfrowanie w spoczynku i w tranzycie między sieciami publicznymi, zgodnie z praktyką standardów branżowych.
6.1. Tam gdzie Podwykonawcy przetwarzają Dane Osobowe Odbiorców, MailerLite zapewni, aby ci Podwykonawcy byli dostawcami usług, z którymi MailerLite zawarła umowę o warunkach zasadniczo podobnych do niniejszego ZDPD. MailerLite przeprowadza odpowiednie kontrole staranności działania swoich Podwykonawców przetwarzania danych.
Aneks 3
a) Niniejsze standardowe klauzule umowne mają na celu zapewnienie zgodności z wymogami Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (ogólne rozporządzenie o ochronie danych) w zakresie przekazywania danych osobowych do państwa trzeciego.
b) Strony: (i) osoba(y) fizyczna(e) lub prawna(e), władza(e) publiczna(e), agencja(e) lub inny organ(y) (zwane dalej „podmiotem(ami)") przekazujące dane osobowe, wymienione w Aneksie I.A (zwane dalej „podmiotami przekazującymi dane"), oraz(ii) podmiot(y) w państwie trzecim otrzymujący(e) dane osobowe od podmiotu przekazującego dane, bezpośrednio lub pośrednio przez inny podmiot również będący Stroną niniejszych klauzul, wymieniony(e) w Aneksie I.A (zwany(e) „podmiotem odbierającym dane") wyraziły zgodę na niniejsze standardowe klauzule umowne (zwane dalej: „Klauzule”).
c) Niniejsze Klauzule mają zastosowanie do przekazywania danych osobowych według przepisów zawartych w Aneksie I.B.
d) Dodatek do niniejszych Klauzul zawierający wymienione w nim aneksy stanowi integralną część niniejszych Klauzul.
a) Niniejsze Klauzule określają odpowiednie zabezpieczenia, w tym egzekwowalne prawa podmiotów danych, i skuteczne środki ochrony prawnej, zgodnie z art. 46 ust. 1 i art. 46 ust. 2 lit. c) rozporządzenia (UE) 2016/679, oraz standardowe klauzule umowne zgodnie z art. 28 ust. 7 rozporządzenia (UE) 2016/679 w odniesieniu do przekazywania danych od administratorów do podmiotów przetwarzających lub od podmiotów przetwarzających do podmiotów przetwarzających, pod warunkiem że klauzule te nie są modyfikowane, z wyjątkiem modyfikowania w celu wyboru odpowiedniego modułu lub odpowiednich modułów lub w celu dodania informacji do dodatku lub aktualizacji takich informacji. Nie uniemożliwia to Stronom włączenia standardowych klauzul umownych określonych w niniejszych Klauzulach do szerszej umowy lub dodawania innych klauzul lub dodatkowych zabezpieczeń, pod warunkiem że nie są one bezpośrednio ani pośrednio sprzeczne z niniejszymi Klauzulami ani nie naruszają podstawowych praw lub wolności podmiotów danych.
b) Niniejsze Klauzule nie naruszają obowiązków, którym podlega przekazujący dane na mocy rozporządzenia (UE) 2016/679.
a) Podmioty danych mogą powoływać się na niniejsze Klauzule i egzekwować je, jako osoby trzecie, na rzecz których zawarto umowę, względem podmiotu przekazującego dane lub podmiotu odbierającego dane, z następującymi wyjątkami:
(i) Klauzula 1, Klauzula 2, Klauzula 3, Klauzula 6, Klauzula 7;
(ii) Klauzula 8 – Klauzula 8.1 lit. b), 8.9 lit. a), c), d) i e);
(iii) Klauzula 9 – Klauzula 9 lit. a), c), d) i e);
(iv) Klauzula 12 – Klauzula 12 lit. a), d) i f);
(v) Klauzula 13;
(vi) Klauzula 15.1 lit. c), d) i e);
(vii) Klauzula 16 lit. e);
(viii) Klauzula 18 – Klauzula 18 lit. a) i b).
(b) Litera a) pozostaje bez uszczerbku dla praw podmiotów danych w trybie rozporządzenia (UE) 2016/679.
a) W przypadku gdy w niniejszych Klauzulach stosuje się terminy zdefiniowane w rozporządzeniu (UE) 2016/679, terminy te mają znaczenie nadane im w tym rozporządzeniu.
b) Niniejsze Klauzule należy odczytywać i interpretować w świetle przepisów rozporządzenia (UE) 2016/679.
c) Klauzul tych nie należy interpretować w sposób sprzeczny z prawami i obowiązkami określonymi w rozporządzeniu (UE) 2016/679.
W przypadku sprzeczności pomiędzy niniejszymi Klauzulami a postanowieniami powiązanych umów pomiędzy Stronami, obowiązujących w chwili uzgodnienia niniejszych Klauzul, lub zawartych w późniejszym terminie, niniejsze Klauzule mają pierwszeństwo.
Szczegóły dotyczące przekazywania danych, w szczególności kategorie przekazywanych danych osobowych oraz cel lub cele ich przekazywania, określono w Aneksie I.B.
a) Podmiot, który nie jest Stroną niniejszych Klauzul, może za zgodą Stron przystąpić do tych Klauzul w dowolnym momencie albo jako podmiot przekazujący dane, albo jako podmiot odbierający dane, wypełniając dodatek i podpisując Aneks I.A.
b) Po wypełnieniu dodatku i podpisaniu Aneksu I.A podmiot przystępujący staje się Stroną niniejszych Klauzul oraz nabywa prawa i obowiązki podmiotu przekazującego dane lub podmiotu odbierającego dane, zgodnie z jego określeniem w Aneksie I.A.
c) Podmiotowi przystępującemu nie przysługują żadne prawa ani obowiązki wynikające z niniejszych Klauzul w odniesieniu do okresu zanim został ich Stroną.
Podmiot przekazujący dane gwarantuje, że dołożył należytych starań, w celu ustalenia, że podmiot odbierający dane jest w stanie – dzięki wdrożeniu odpowiednich środków technicznych i organizacyjnych – wypełnić swoje obowiązki określone w niniejszych Klauzulach.
8.1 Instrukcje
(a) Podmiot odbierający dane przetwarza dane osobowe wyłącznie na podstawie udokumentowanego polecenia podmiotu przekazującego dane. Podmiot przekazujący dane może udzielać takich poleceń przez cały okres obowiązywania umowy.
b) Podmiot odbierający dane niezwłocznie poinformuje podmiot przekazujący dane, jeśli nie jest w stanie zastosować się do tych poleceń.
8.2 Ograniczenie celu
Podmiot odbierający dane przetwarza dane osobowe wyłącznie w określonym celu lub określonych celach przekazywania, jak wskazano w Aneksie I.B, chyba że otrzyma dalsze polecenia podmiotu przekazującego dane.
8.3 Przejrzystość
Podmiot przekazujący dane udostępnia bezpłatnie na żądanie podmiotu danych kopię niniejszych Klauzul, w tym dodatek wypełniony przez Strony. W zakresie koniecznym w celu ochrony tajemnic handlowych lub innych informacji poufnych, w tym środków opisanych w Aneksie II, oraz danych osobowych, podmiot przekazujący dane może częściowo zredagować tekst Dodatku do niniejszych Klauzul przed udostępnieniem jego kopii, lecz zapewni stosowne streszczenie w przypadku, jeżeli bez takiego streszczenia podmiot danych nie byłby w stanie zrozumieć treści takiego tekstu lub korzystać ze swoich praw. Po otrzymaniu żądania Strony przekazują podmiotowi danych powody zredagowania tekstu, w miarę możliwości bez ujawniania zredagowanych informacji. Niniejsza Klauzula nie narusza obowiązków podmiotu przekazującego dane wynikających z art. 13 i 14 rozporządzenia (UE) 2016/679.
8.4 Prawidłowość
Jeżeli podmiot odbierający dane zda sobie sprawę, że otrzymane przez niego dane osobowe są nieprawidłowe lub nieaktualne, powiadamia o tym podmiot przekazujący dane bez zbędnej zwłoki. W takim przypadku podmiot odbierający dane współpracuje z podmiotem przekazującym dane w celu usunięcia lub poprawienia danych.
8.5 Okres przetwarzania oraz usuwanie lub zwracanie danych
Przetwarzanie danych przez podmiot odbierający dane odbywa się wyłącznie przez okres określony w Aneksie I.B. Po zakończeniu świadczenia usług przetwarzania podmiot odbierający dane, zgodnie z wyborem podmiotu przekazującego dane, usuwa wszystkie dane osobowe przetwarzane w imieniu podmiotu przekazującego dane i poświadcza podmiotowi przekazującemu dane, że to zrobił, lub zwraca podmiotowi przekazującemu dane wszystkie dane osobowe przetwarzane w jego imieniu i usuwa istniejące kopie. Do czasu usunięcia lub zwrotu danych podmiot odbierający dane jest zobowiązany do zapewnienia zgodności z niniejszymi Klauzulami. W przypadku przepisów prawa lokalnego mających zastosowanie do podmiotu odbierającego dane, które zabraniają zwrotu lub usuwania danych osobowych, podmiot odbierający dane gwarantuje, że nadal będzie zapewniał zgodność z niniejszymi Klauzulami i będzie je przetwarzał wyłącznie w wymaganym zakresie i wyłącznie tak długo, jak wymaga tego prawo lokalne. Nie narusza to Klauzuli 14, w szczególności wymogu, aby podmiot odbierający dane na mocy Klauzuli 14 lit. e) powiadamiał podmiot przekazujący dane przez cały okres obowiązywania umowy, jeśli ma powody, aby sądzić, że podlega lub zaczął podlegać przepisom prawa lub praktykom niezgodnym z wymogami określonymi w Klauzuli 14 lit. a).
8.6 Bezpieczeństwo przetwarzania
a) Podmiot odbierający dane, a podczas przesyłania danych także podmiot przekazujący dane, wdraża odpowiednie środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa danych, w tym ochrony przed naruszeniem bezpieczeństwa prowadzącym do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmiany, nieuprawnionego ujawnienia lub dostępu do tych danych (zwanego dalej „naruszeniem ochrony danych osobowych"). Podczas oceny odpowiedniego poziomu bezpieczeństwa, Strony należycie uwzględniają stan wiedzy technicznej, koszty wdrożenia, charakter, zakres, kontekst i cel lub cele przetwarzania oraz ryzyko związane z przetwarzaniem dla podmiotów danych. Strony rozważą w szczególności posłużenie się szyfrowaniem lub pseudonimizacją, w tym podczas przesyłania, w przypadkach, gdy cel przetwarzania może być osiągnięty w ten sposób. W przypadku pseudonimizacji dodatkowe informacje służące przypisaniu danych osobowych do konkretnego podmiotu danych pozostają w miarę możliwości pod wyłączną kontrolą podmiotu przekazującego dane. Wypełniając obowiązki wynikające z niniejszego punktu, podmiot odbierający dane wdraża przynajmniej środki techniczne i organizacyjne określone w Aneksie II. Podmiot odbierający dane przeprowadza regularne kontrole, aby sprawdzić, że środki te nadal zapewniają odpowiedni poziom bezpieczeństwa.
b) Podmiot odbierający dane udziela dostępu do danych osobowych członkom swojego personelu wyłącznie w zakresie ściśle niezbędnym do wykonania umowy, zarządzania nią i jej monitorowania. Podmiot odbierający dane zapewnia, aby osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania poufności lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania poufności.
c) W przypadku naruszenia ochrony danych osobowych dotyczącego danych osobowych przetwarzanych przez podmiot odbierający dane na podstawie niniejszych Klauzul podmiot odbierający dane stosuje odpowiednie środki w celu zaradzenia naruszeniu danych osobowych, w tym środki w celu zminimalizowania jego ewentualnych negatywnych skutków. Po uzyskaniu informacji o naruszeniu Podmiot odbierający dane powiadamia również bez zbędnej zwłoki podmiot przekazujący dane. Powiadomienie takie zawiera dane punktu kontaktowego, w którym można uzyskać więcej informacji, opis charakteru naruszenia (w tym, w miarę możliwości, kategorie i przybliżoną liczbę podmiotów danych, oraz rejestrów danych osobowych, których naruszenie dotyczy), jego prawdopodobne skutki oraz środki podjęte lub proponowane w celu zaradzenia naruszeniu, w tym, w stosownych przypadkach, środki mające na celu złagodzenie jego ewentualnych negatywnych skutków. W przypadku i w zakresie, w jakim nie jest możliwe przekazanie wszystkich informacji w tym samym czasie, wstępne zgłoszenie zawiera informacje dostępne w danym momencie, a dalsze informacje, w miarę ich udostępniania, przekazywane są następnie bez zbędnej zwłoki.
d) Podmiot odbierający dane współpracuje z podmiotem przekazującym dane i pomaga mu w wypełnieniu obowiązków wynikających z rozporządzenia (UE) 2016/679, w szczególności w powiadamianiu właściwego organu nadzorczego i podmiotów danych, z uwzględnieniem charakteru przetwarzania i informacji dostępnych podmiotowi odbierającemu dane.
8.7 Dane wrażliwe
Gdy przekazywanie obejmuje dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne lub dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby lub dane dotyczące wyroków skazujących lub czynów zabronionych (zwane dalej „danymi wrażliwymi”), podmiot odbierający dane stosuje szczególne ograniczenia lub dodatkowe zabezpieczenia opisane w Aneksie I.B.
8.8. Dalsze przekazywanie danych
Podmiot odbierający dane ujawnia dane osobowe stronie trzeciej wyłącznie na udokumentowane polecenie podmiotu przekazującego dane. Ponadto dane mogą zostać ujawnione stronie trzeciej zlokalizowanej poza terytorium Unii Europejskiej (w tym samym państwie co podmiot odbierający dane lub w innym państwie trzecim, dalej „dalsze przekazywanie") tylko wtedy, gdy strona trzecia jest związana niniejszymi Klauzulami bądź zgadza się im podlegać na mocy odpowiedniego Modułu, lub gdy:(i) dalsze przekazywanie danych odbywa się do państwa objętego decyzją stwierdzającą odpowiedni stopień ochrony, zgodnie z art. 45 rozporządzenia (UE) 2016/679, obejmującą dalsze przekazywanie; (ii) strona trzecia zapewnia w inny sposób odpowiednie zabezpieczenia w odniesieniu do przedmiotowego przetwarzania zgodnie z art. 46 lub 47 rozporządzenia (UE) 2016/679; (iii) dalsze przekazywanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń w kontekście szczególnego postępowania administracyjnego, regulacyjnego lub sądowego; lub (iv) dalsze przekazywanie jest niezbędne do ochrony żywotnych interesów podmiotu danych, lub innej osoby fizycznej. Wszelkie dalsze przekazanie odbywa się pod warunkiem przestrzegania przez podmiot odbierający dane wszystkich pozostałych zabezpieczeń na mocy niniejszych Klauzul, w szczególności ograniczenia celu.
8.9 Dokumentacja i zgodność
a) Podmiot odbierający dane niezwłocznie i w odpowiedni sposób zajmuje się zapytaniami ze strony podmiotu przekazującego dane, które dotyczą przetwarzania danych zgodnie z niniejszymi Klauzulami.
b) Strony muszą być w stanie wykazać przestrzeganie ciążących na nich obowiązków wynikających z niniejszych Klauzul. W szczególności podmiot odbierający dane prowadzi odpowiednią dokumentację wykonanych czynności przetwarzania w imieniu podmiotu przekazującego dane.
c) Podmiot odbierający dane udostępnia podmiotowi przekazującemu dane wszelkie informacje niezbędne do wykazania zgodności ze zobowiązaniami określonymi w niniejszych Klauzulach oraz, na wniosek podmiotu przekazującego dane, umożliwia przeprowadzenie kontroli działań związanych z przetwarzaniem danych objętych niniejszymi Klauzulami i uczestniczy w nich w rozsądnych odstępach czasu lub w przypadku wystąpienia oznak niezgodności. Podejmując decyzję o przeglądzie lub audycie, podmiot przekazujący dane może wziąć pod uwagę odpowiednie certyfikaty posiadane przez podmiot odbierający dane.
d) Podmiot przekazujący dane może przeprowadzić audyt samodzielnie lub zlecić przeprowadzenie audytu niezależnemu audytorowi. Audyty mogą obejmować inspekcje w pomieszczeniach lub fizycznych obiektach podmiotu odbierającego dane i w stosownych przypadkach są przeprowadzane z odpowiednim wyprzedzeniem.
e) Strony udostępniają na żądanie właściwego organu nadzoru informacje, o których mowa w lit. b) i c), w tym wyniki wszelkich audytów.
a) Podmiot odbierający dane posiada ogólne zezwolenie podmiotu przekazującego dane na zatrudnienie podwykonawcy/ów przetwarzania danych w ramach uzgodnionego wykazu. Podmiot odbierający dane informuje na piśmie podmiot przekazujący dane o wszelkich zamierzonych zmianach w tym wykazie poprzez dodanie lub zastąpienie podwykonawców przetwarzania danych z wyprzedzeniem co najmniej 10 dni, dając tym samym podmiotowi przekazującemu dane wystarczający czas na zgłoszenie sprzeciwu wobec takich zmian przed zaangażowaniem podwykonawcy (podwykonawców) przetwarzania danych. Podmiot odbierający dane przekazuje podmiotowi przekazującemu dane informacje niezbędne do umożliwienia mu wykonania prawa do sprzeciwu.
b) Jeżeli podmiot odbierający dane angażuje podwykonawcę przetwarzania danych do wykonywania określonych czynności związanych z przetwarzaniem danych (w imieniu podmiotu przekazującego dane), czyni to w drodze pisemnej umowy, która przewiduje zasadniczo te same zobowiązania w zakresie ochrony danych, które wiążą podmiot odbierający dane na mocy niniejszych Klauzul, w tym w zakresie praw podmiotów danych przysługującym im jako osobom trzecim, na rzecz którym zawarto umowę. Strony uzgadniają, że poprzez przestrzeganie niniejszej Klauzuli podmiot odbierający dane wypełnia swoje zobowiązania wynikające z Klauzuli 8.8. Podmiot odbierający dane jest odpowiedzialny za to, aby podwykonawca przetwarzania danych spełniał obowiązki, którym podlega podmiot odbierający dane na mocy niniejszych Klauzul.
c) Podmiot odbierający dane przekazuje podmiotowi przekazującemu dane, na jego żądanie, kopię takiej umowy z podwykonawcą przetwarzania danych oraz kopię wszelkich późniejszych zmian. W zakresie niezbędnym dla zapewnienia bezpieczeństwa tajemnic handlowych lub innych informacji poufnych, w tym danych osobowych, podmiot odbierający dane może zredagować tekst umowy przed udostępnieniem jej kopii.
d) Podmiot odbierający dane pozostaje w pełni odpowiedzialny wobec podmiotu przekazującego dane za wykonanie obowiązków podwykonawcy przetwarzania danych wynikających z jego umowy z podmiotem odbierającym dane. Podmiot odbierający dane powiadamia podmiot przekazujący dane o każdym przypadku niewypełnienia przez podwykonawcę przetwarzania danych obowiązków wynikających z tej umowy.
e) podmiot odbierający dane uzgadnia z podwykonawcą przetwarzania danych klauzulę o osobach trzecich, na rzecz których zawarto umowę, na mocy której – w przypadkach, w których podmiot przekazujący dane przestał istnieć faktycznie lub formalnie albo stał się niewypłacalny – podmiot przekazujący dane ma prawo rozwiązać umowę z podwykonawcą przetwarzania danych i nakazać podwykonawcy przetwarzania danych usunięcie lub zwrot danych osobowych.
a) Podmiot odbierający dane niezwłocznie powiadamia podmiot przekazujący dane o każdym żądaniu otrzymanym od podmiotu danych. Podmiot odbierający dane nie odpowiada na to żądanie samodzielnie, chyba że został do tego upoważniony przez podmiot przekazujący dane.
b) Podmiot odbierający dane pomaga podmiotowi przekazującemu dane w wypełnianiu jego obowiązków w zakresie odpowiadania na żądania podmiotów danych, dotyczące korzystania z ich praw na mocy rozporządzenia (UE) 2016/679. W tym względzie Strony określają w Aneksie II odpowiednie środki techniczne i organizacyjne, biorąc pod uwagę charakter przetwarzania, za pomocą których udzielana jest pomoc, jak również zakres i skalę wymaganej pomocy.
c) Wypełniając swoje obowiązki na mocy lit. a) i b), podmiot odbierający dane postępuje zgodnie z poleceniami podmiotu przekazującego dane.
a) Podmiot odbierający dane – w sposób przejrzysty i łatwo dostępny w drodze indywidualnego powiadomienia lub na swojej stronie internetowej – informuje podmioty danych o tym, który punkt kontaktowy jest upoważniony do rozpatrywania skarg. Podmiot ten niezwłocznie rozpatruje wszelkie skargi otrzymane od podmiotu danych.
b) W przypadku gdy między podmiotem danych a jedną ze Stron wystąpi spór co do przestrzegania Klauzul, Strona ta dołoży wszelkich starań, aby rozwiązać spór w sposób polubowny i terminowy. Strony na bieżąco przekazują sobie informacje na temat pojawienia się takich sporów i w stosownych przypadkach współpracują, aby je rozwiązać.
c) W przypadku gdy podmiot danych powoła się na wynikające z Klauzuli 3 prawo przysługujące jemu jako osobie trzeciej, na rzecz której zawarto umowę, podmiot odbierający dane akceptuje decyzję podmiotu danych, aby:
(i) złożyć skargę do organu nadzorczego w państwie członkowskim miejsca zwykłego pobytu lub miejsca pracy lub do właściwego organu nadzorczego zgodnie z Klauzulą 13;
(ii) skierować spór do sądów właściwych w rozumieniu Klauzuli 18.
d) Strony akceptują, że podmiot danych może być reprezentowany przez podmiot, organizację lub zrzeszenie, które nie ma charakteru zarobkowego na warunkach określonych w art. 80 ust. 1 rozporządzenia (UE) 2016/679.
e) Podmiot odbierający dane stosuje się do wiążącej decyzji na podstawie obowiązującego prawa Unii lub państwa członkowskiego.
f) Podmiot odbierający dane potwierdza, że wybór, jakiego dokona podmiot danych pozostanie bez uszczerbku dla praw podmiotowych lub procesowych przysługujących jemu zgodnie z mającymi zastosowanie przepisami.
a) Każda Strona ponosi odpowiedzialność wobec podmiotu lub podmiotów będących drugą Stroną za wszelkie wyrządzone im przez siebie szkody wynikające z naruszenia niniejszych Klauzul.
b) Podmiot odbierający dane ponosi odpowiedzialność wobec podmiotu danych, a podmiotowi danych przysługuje prawo do odszkodowania z tytułu jakichkolwiek szkód majątkowych lub niemajątkowych, które podmiot odbierający dane lub jego podwykonawca przetwarzania danych wyrządził podmiotowi danych w wyniku naruszenia praw przysługujących jemu jako osobie trzeciej, na rzecz której zawarto umowę, na podstawie niniejszych Klauzul.
c) Niezależnie od lit. b) podmiot przekazujący dane ponosi odpowiedzialność wobec podmiotu danych, a podmiotowi danych przysługuje prawo do odszkodowania z tytułu jakichkolwiek szkód majątkowych lub niemajątkowych, które podmiot przekazujący dane lub podmiot odbierający dane (lub jego podwykonawca przetwarzania danych) wyrządził podmiotowi danych w wyniku naruszenia praw przysługujących jemu jako osobie trzeciej, na rzecz której zawarto umowę, na podstawie niniejszych Klauzul. Nie narusza to odpowiedzialności podmiotu przekazującego dane, a w przypadku gdy podmiot przekazujący dane jest podmiotem przetwarzającym dane w imieniu administratora, odpowiedzialności administratora na mocy rozporządzenia (UE) 2016/679 lub odpowiednio rozporządzenia (UE) 2018/1725.
d) Strony uzgadniają, że jeżeli podmiot przekazujący dane zostanie pociągnięty do odpowiedzialności na mocy lit. c) za szkody spowodowane przez podmiot odbierający dane (lub jego podwykonawcę przetwarzania danych), przysługuje mu prawo do żądania od podmiotu odbierającego dane zwrotu części odszkodowania odpowiadającej stopniowi odpowiedzialności podmiotu odbierającego dane za szkodę.
e) W przypadku gdy za jakiekolwiek szkody wobec podmiotu danych wynikające z naruszenia niniejszych Klauzul, odpowiedzialność ponosi więcej niż jedna Strona, wszystkie odpowiedzialne Strony ponoszą odpowiedzialność solidarną, a podmiotowi danych przysługuje prawo do wystąpienia do sądu przeciwko którejkolwiek z tych Stron.
f) Strony uzgadniają, że w przypadku pociągnięcia na podstawie lit. e) jednej Strony do odpowiedzialności Stronie tej przysługuje prawo do żądania od podmiotu lub podmiotów będących drugą Stroną odszkodowania w wysokości odpowiadającej stopniowi odpowiedzialności za wyrządzoną szkodę.
g) Podmiot odbierający dane nie może powołać się na postępowanie podwykonawcy przetwarzania danych w celu uniknięcia własnej odpowiedzialności.
a) Organ nadzorczy odpowiedzialny za zapewnianie, aby podmiot przekazujący dane przestrzegał przepisów rozporządzenia (UE) 2016/679 w odniesieniu do przekazywania danych, jak wskazano w Aneksie I.C, działa w charakterze właściwego organu nadzorczego.
b) Podmiot odbierający dane zgadza się poddać jurysdykcji właściwego organu nadzorczego i współpracować z tym organem w zakresie wszystkich procedur ukierunkowanych na zapewnienie przestrzegania niniejszych Klauzul. W szczególności podmiot odbierający dane zgadza się odpowiadać na zapytania, poddawać się audytom i przestrzegać środków przyjętych przez organ nadzorczy, w tym środków zaradczych i kompensacyjnych. Przedstawia on organowi nadzorczemu pisemne potwierdzenie podjęcia się realizacji niezbędnych działań.
a) Strony gwarantują, że nie mają podstaw, aby uważać, że prawa i praktyki w państwie trzecim przeznaczenia, mające zastosowanie do przetwarzania danych osobowych przez podmiot odbierający dane, w tym wszelkie wymogi dotyczące ujawniania danych osobowych lub środki upoważniające organy publiczne do uzyskania dostępu, uniemożliwiają podmiotowi odbierającemu dane wypełnienie jego obowiązków wynikających z niniejszych Klauzul. Opiera się to na założeniu, że przepisy i praktyki, które nie naruszają istoty podstawowych praw i wolności oraz nie wykraczają poza to, co jest w demokratycznym społeczeństwie środkiem niezbędnym i proporcjonalnym służącym zabezpieczeniu jednego z celów wymienionych w art. 23 ust. 1 rozporządzenia (UE) 2016/679, nie są sprzeczne z niniejszymi Klauzulami.
b) Strony oświadczają, że składając gwarancję, o której mowa w lit. a), należycie uwzględniły w szczególności następujące elementy:
(i) szczególne okoliczności przekazywania, w tym długość łańcucha przetwarzania, liczbę zaangażowanych podmiotów i wykorzystywane kanały przekazywania; planowane dalsze przekazywanie; rodzaj odbiorcy; cel przetwarzania danych; kategorie i format przekazywanych danych osobowych; sektor gospodarki, w którym dochodzi do przekazywania danych; miejsce przechowywania przekazywanych danych;
(ii) przepisy i praktyki państwa trzeciego przeznaczenia, w tym przepisy i praktyki wymagające ujawnienia danych organom publicznym lub upoważniające takie organy do uzyskania dostępu, istotne w świetle szczególnych okoliczności przekazywania danych oraz mających zastosowanie ograniczeń i zabezpieczeń;
iii) wszelkie stosowne zabezpieczenia umowne, techniczne lub organizacyjne wprowadzone w celu uzupełnienia zabezpieczeń wynikających z niniejszych Klauzul, w tym środki stosowane w czasie przekazywania i przetwarzania danych osobowych w państwie przeznaczenia.
c) Podmiot odbierający dane gwarantuje, że przeprowadzając ocenę na podstawie postanowień lit. b), dołożył wszelkich starań, aby udostępnić podmiotowi przekazującemu dane odpowiednie informacje, oraz wyraża zgodę na dalszą współpracę z podmiotem przekazującym dane w zakresie zapewnienia zgodności z niniejszymi Klauzulami.
d) Strony zgadzają się udokumentować ocenę, o której mowa w lit. b) i udostępnić ją na żądanie właściwego organu nadzorczego.
e) Podmiot odbierający dane zobowiązuje się do niezwłocznego powiadomienia podmiotu przekazującego dane, jeśli po uzgodnieniu niniejszych Klauzul i w okresie obowiązywania umowy ma powody, aby sądzić, że podlega lub zaczął podlegać przepisom lub praktykom niezgodnym z wymogami określonymi w lit. a), w tym w wyniku zmiany przepisów państwa trzeciego lub środka (takiego jak żądanie ujawnienia danych) wskazującego na stosowanie takich przepisów w praktyce, które nie jest zgodne z wymogami określonymi w lit. a).
f) Po otrzymaniu powiadomienia zgodnie z lit. e) lub jeżeli podmiot przekazujący dane ma inny powód, by sądzić, że podmiot odbierający dane nie może dłużej wypełniać swoich obowiązków wynikających z niniejszych Klauzul, podmiot przekazujący dane bezzwłocznie określa odpowiednie środki (na przykład środki techniczne lub organizacyjne służące zapewnieniu bezpieczeństwa i poufności), które podmiot przekazujący dane lub podmiot odbierający dane powinni przyjąć w celu zaradzenia zaistniałej sytuacji. Podmiot przekazujący dane wstrzymuje przekazywanie danych, jeżeli uzna, że zapewnienie odpowiednich zabezpieczeń w odniesieniu do takiego przekazywania jest niemożliwe, lub na polecenie właściwego organu nadzorczego. W takim przypadku podmiot przekazujący dane jest uprawniony do rozwiązania umowy – o ile problem dotyczy przetwarzania danych osobowych na podstawie niniejszych Klauzul. W przypadku gdy umowa dotyczy więcej niż dwóch Stron, podmiot przekazujący dane może skorzystać z tego prawa do rozwiązania umowy tylko w odniesieniu do odpowiedniej Strony, chyba że Strony uzgodniły inaczej. W przypadku rozwiązania umowy na podstawie niniejszej Klauzuli zastosowanie ma Klauzula 16 lit. d) i e).
15.1 Powiadomienie
a) Podmiot odbierający dane zobowiązuje się do niezwłocznego powiadomienia podmiotu przekazującego dane oraz, o ile to możliwe, podmiotu danych (w stosownych przypadkach z pomocą podmiotu przekazującego dane), jeśli:
(i) otrzyma od organu publicznego, w tym sądowego, prawnie wiążące żądanie – zgodnie z przepisami państwa przeznaczenia – ujawnienia danych osobowych przekazywanych na podstawie niniejszych Klauzul; takie powiadomienie zawiera informacje na temat danych osobowych, których dotyczy żądanie, organu występującego z żądaniem, podstawy prawnej żądania oraz udzielonej odpowiedzi; lub
(ii) dowie się o jakimkolwiek przypadku bezpośredniego dostępu przez organy publiczne do danych osobowych przekazywanych na podstawie niniejszych Klauzul zgodnie z przepisami państwa przeznaczenia; takie powiadomienie zawiera wszelkie informacje, do których podmiot odbierający dane ma dostęp.
b) Jeżeli podmiotowi odbierającemu dane zakazano powiadamiania podmiotu przekazującego dane lub podmiotu danych, na mocy przepisów państwa przeznaczenia, zgadza się on dołożyć wszelkich starań, aby uzyskać zwolnienie z tego zakazu w celu przekazania jak największej ilości informacji w jak najkrótszym czasie. Podmiot odbierający dane zgadza się udokumentować swoje starania, aby móc je wykazać na żądanie podmiotu przekazującego dane.
c) Jeżeli jest to dopuszczalne zgodnie z przepisami państwa przeznaczenia, podmiot odbierający dane zgadza się dostarczać podmiotowi przekazującemu dane, w regularnych odstępach czasu w okresie obowiązywania umowy, jak najwięcej istotnych informacji o otrzymanych żądaniach (w szczególności na temat liczby żądań, rodzaju wymaganych danych, organu lub organów występujących z żądaniem, a także informacji o tym, czy żądania były przedmiotem środków zaradczych służących ich zakwestionowaniu i jaki był wynik takich działań itp.).
d) Podmiot odbierający dane zgadza się przechowywać informacje, o których mowa w lit. a)–c), przez okres obowiązywania umowy i udostępniać je na żądanie właściwego organu nadzorczego.
e) Lit. a)–c) pozostają bez uszczerbku dla obowiązku podmiotu odbierającego dane wynikającego z Klauzuli 14 lit. e) i Klauzuli 16, dotyczącego niezwłocznego poinformowania podmiotu przekazującego dane, w przypadku gdy nie może on zapewnić zgodności z postanowieniami niniejszych Klauzul.
15.2 Kontrola legalności i minimalizacji danych
a) Podmiot odbierający dane zgadza się skontrolować legalność żądania ujawnienia danych, a w szczególności kwestii, czy mieści się ono w zakresie uprawnień przyznanych organowi publicznemu występującemu z żądaniem, oraz zakwestionować ważność żądania, jeżeli po dokonaniu starannej oceny stwierdzi, że istnieją uzasadnione podstawy do uznania, iż żądanie jest niezgodne z prawem w świetle przepisów państwa przeznaczenia, mających zastosowanie zobowiązań wynikających z prawa międzynarodowego i zasad kurtuazji międzynarodowej. Podmiot odbierający dane korzysta z możliwości odwołania się na tych samych warunkach. Kwestionując żądanie, podmiot odbierający dane dąży do zastosowania środków tymczasowych w celu zawieszenia skutków żądania do czasu rozstrzygnięcia istoty sprawy przez właściwy organ sądowy. Nie może ujawniać danych osobowych, których dotyczy żądanie, dopóki nie będzie do tego zobowiązany na mocy mających zastosowanie przepisów procesowych. Wymogi te pozostają bez uszczerbku dla obowiązków podmiotu odbierającego dane wynikających z Klauzuli 14 lit. e).
b) Podmiot odbierający dane zgadza się udokumentować swoją ocenę prawną, a także wszelkie przypadki zakwestionowania żądania ujawnienia danych oraz, w zakresie dopuszczalnym przez przepisy państwa przeznaczenia, udostępnić dokumentację podmiotowi przekazującemu dane. Udostępnia ją również na żądanie właściwego organu nadzoru.
c) Podmiot odbierający dane zgadza się dostarczyć minimalną dopuszczalną ilość informacji, udzielając odpowiedzi na żądanie ujawnienia danych, w oparciu o jego rozsądną interpretację.
(a) Podmiot odbierający dane niezwłocznie informuje podmiot przekazujący dane, jeżeli z jakiegokolwiek powodu nie może zapewnić przestrzegania postanowień niniejszych Klauzul.
b) W przypadku gdy podmiot odbierający dane narusza postanowienia niniejszych Klauzul lub nie może zapewnić przestrzegania ich postanowień, podmiot przekazujący dane czasowo, do chwili ponownego zapewnienia przestrzegania Klauzul lub rozwiązania umowy, wstrzymuje przekazywanie danych osobowych do podmiotu odbierającego dane. Powyższe pozostaje bez uszczerbku dla postanowień Klauzuli 14 lit. f).
c) Podmiot przekazujący dane jest uprawniony do rozwiązania umowy – o ile problem dotyczy przetwarzania danych osobowych na podstawie niniejszych Klauzul – w przypadku gdy:
(i) podmiot przekazujący dane wstrzymał przekazywanie danych osobowych do podmiotu odbierającego dane na podstawie lit. b), a zgodność z postanowieniami niniejszych Klauzul nie została przywrócona w rozsądnym terminie, a w każdym razie w ciągu jednego miesiąca od wstrzymania;
(ii) podmiot odbierający dane w poważnym stopniu lub uporczywie narusza postanowienia niniejszych Klauzul; lub
(iii) podmiot odbierający dane nie zastosował się do wiążącej decyzji właściwego sądu lub organu nadzorczego dotyczącej jego obowiązków wynikających z niniejszych Klauzul. W takich przypadkach informuje on właściwy organ nadzorczy o takim przypadku niezastosowania się do decyzji. W przypadku gdy umowa dotyczy więcej niż dwóch Stron, podmiot przekazujący dane może skorzystać z tego prawa do rozwiązania umowy tylko w odniesieniu do odpowiedniej Strony, chyba że Strony uzgodniły inaczej.
d) Dane osobowe przekazane przed rozwiązaniem umowy na podstawie lit. c) muszą zostać – w zależności od wyboru dokonanego przez podmiot przekazujący dane – niezwłocznie zwrócone temu podmiotowi lub w całości usunięte. To samo dotyczy wszystkich kopii danych. Podmiot odbierający dane poświadcza usunięcie danych podmiotowi przekazującemu dane. Do czasu usunięcia lub zwrotu danych podmiot odbierający dane jest zobowiązany do zapewnienia zgodności z niniejszymi Klauzulami. Jeżeli lokalne prawo obowiązujące podmiot odbierający dane zabrania zwrotu lub usunięcia przekazanych danych osobowych, podmiot odbierający dane gwarantuje, że będzie w dalszym ciągu zapewniał przestrzeganie niniejszych Klauzul oraz że będzie przetwarzał dane wyłącznie w zakresie i w czasie wymaganym przez to prawo lokalne.
e) Każda ze Stron może wycofać swoją zgodę na związanie się niniejszymi Klauzulami, w przypadku gdy: (i) Komisja Europejska przyjmie decyzję na podstawie art. 45 ust. 3 rozporządzenia (UE) 2016/679 obejmującą przekazywanie danych osobowych, do których mają zastosowanie niniejsze Klauzule; lub (ii) rozporządzenie (UE) 2016/679 stanie się częścią ram prawnych państwa, do którego przekazywane są dane osobowe. Powyższe pozostaje bez uszczerbku dla pozostałych obowiązków mających zastosowanie do przedmiotowego przetwarzania na podstawie rozporządzenia (UE) 2016/679.
Niniejsze Klauzule podlegają przepisom prawa jednego z państw członkowskich UE, pod warunkiem że prawo to dopuszcza prawa osób trzecich, na rzecz których zawarto umowę. Strony uzgadniają, że jest to prawo obowiązujące na terytorium Republiki Litewskiej.
a) Wszelkie spory wynikające z niniejszych Klauzul są rozstrzygane przez sądy państwa członkowskiego UE. b) Strony uzgadniają, że są to sądy Republiki Litewskiej. c) Osoba, której dane dotyczą, może również wszcząć postępowanie sądowe przeciwko podmiotowi przekazującemu dane lub podmiotowi odbierającemu dane przed sądami państwa członkowskiego, w którym znajduje się jej miejsce zwykłego pobytu.
ANEKS I
A. WYKAZ STRON
Podmiot(y) przekazujący(-e) dane:
1. Klient, jako że te warunki są zdefiniowane w Regulaminie MailerLite, do których załączony jest niniejszy ZDPD.
Podmiot(y) odbierający(-e) dane:
1. Imię i nazwisko: MailerLite, Inc.
Adres: 548 Market St., PMB 98174, San Francisco, California 94104-5401 US.
Imię i nazwisko, stanowisko i dane kontaktowe osoby wyznaczonej do kontaktów: info@mailerlite.com
Działania mające znaczenie dla danych przekazywanych na podstawie niniejszych Klauzul: usługi e-mail marketingu
Podpis i data: wchodzi w życie w dniu 24.09.2021 roku; w przypadku, gdy Klient zostanie naszym klientem w dniu lub później niż 24.09.2021 roku, wchodzi w życie w dniu, w którym Klient zaakceptował nasz Regulamin.
Rola (administrator/podmiot przetwarzający): administrator
B. OPIS PRZEKAZYWANIA DANYCH
Kategorie podmiotów danych, których dane osobowe są przekazywane: Klient określa i kontroluje zakres Danych Osobowych Klienta przekazywanych do Przetwarzania przez Usługi, które mogą obejmować Dane Osobowe dotyczące: (1) Użytkowników – każda osoba fizyczna uzyskująca dostęp i/lub korzystająca z Usług za pośrednictwem konta Klienta; (2) Odbiorców – każda osoba fizyczna, której adres e-mail znajduje się na liście dystrybucyjnej Klienta / której informacje są przechowywane lub gromadzone za pośrednictwem Usług / do której Użytkownicy wysyłają wiadomości e-mail lub w inny sposób angażują się lub komunikują za pośrednictwem Usług.
Kategorie przekazywanych danych osobowych: Przekazywane dane osobowe dotyczą następujących kategorii danych: (1) Użytkownicy: dane identyfikacyjne i kontaktowe (imię i nazwisko, dane kontaktowe, w tym adres e-mail, nazwa użytkownika); informacje rozliczeniowe (adres rozliczeniowy, informacje o płatności); informacje o organizacji (nazwa, adres, lokalizacja geograficzna, obszar odpowiedzialności, kod VAT), informacje informatyczne (adres IP, dane dotyczące użytkowania, dane dotyczące plików cookie, dane dotyczące nawigacji online, dane dotyczące lokalizacji, dane dotyczące przeglądarki, informacje o urządzeniu dostępowym); (2) Odbiorcy: adres e-mail i wszelkie inne dodatkowe informacje, które Klient przekazuje MailerLite.
Przekazywane dane wrażliwe (w stosownych przypadkach) oraz stosowane ograniczenia lub zabezpieczenia, które w pełni uwzględniają charakter danych i związane z nim ryzyko, takie jak na przykład ścisłe ograniczenie celu, ograniczenia dostępu (w tym dostęp wyłącznie dla pracowników, który odbyli specjalistyczne szkolenie), przechowywanie zapisów przypadków udostępnienia danych, ograniczenia dalszego przekazywania lub dodatkowe środki bezpieczeństwa: Do MailerLite nie są przekazywane żadne dane wrażliwe.
Częstotliwość przekazywania danych (np. czy dane są przekazywane jednorazowo czy w sposób ciągły): Dane są przekazywane w sposób ciągły przez okres świadczenia Usług, zgodnie z opisem w Regulaminie.
Charakter przetwarzania: MailerLite to usługa, która umożliwia klientom gromadzenie adresów e-mail oraz tworzenie, wysyłanie i śledzenie promocji mailowych („Usługa"), a także innych usług zgodnie z wszelkimi potwierdzeniami zamówień, dokumentami zamówienia lub rejestracją online, zgodnie z opisem w Regulaminie.
Cel(e) przekazywania danych i dalszego ich przetwarzania: Celem Przetwarzania Danych na podstawie niniejszego ZDPD jest świadczenie Usług.
Okres, przez który dane osobowe będą przechowywane, a jeśli nie jest to możliwe, kryteria ustalania tego okresu: Dane będą przechowywane przez okres świadczenia Usług. Nie ma zastosowania w zakresie, w jakim MailerLite jest zobowiązana na mocy obowiązującego prawa do zachowania niektórych lub wszystkich Danych Klienta lub do Danych Klienta, które zarchiwizowała w systemach zapasowych, które to Dane Klienta MailerLite bezpiecznie odizoluje i zabezpieczy przed dalszym przetwarzaniem, z wyłączeniem zakresu wymaganego przez obowiązujące prawo.
W przypadku przekazywania danych podwykonawcom przetwarzania należy również określić przedmiot, charakter i czas trwania przetwarzania: Dane Osobowe mogą być przekazywane podwykonawcom przetwarzania danych MailerLite w celu zapewnienia klientom Usług. Przetwarzanie danych przez podwykonawców powinno odbywać się przez okres świadczenia Usług lub dłużej, jeśli wymagają tego przepisy prawa.
C. WŁAŚCIWY ORGAN NADZORCZY
Należy określić właściwy organ nadzorczy/organy nadzorcze zgodnie z Klauzulą 13: Państwowy Inspektorat Ochrony Danych Republiki Litewskiej.
ANEKS II
Prosimy zapoznać się z Aneksem 2 do ZDPD – Środki Bezpieczeństwa.
ANEKS III
Prosimy o zapoznanie się z Aneks 4 do ZDPD – Lista Podwykonawców przetwarzania danych MailerLite.
Aneks 4
MailerLite korzysta z szeregu zewnętrznych Podwykonawców przetwarzania danych, którzy pomagają jej w świadczeniu Usług (jak opisano w niniejszym ZDPD).
Administrator zezwolił na korzystanie z następujących Podwykonawców przetwarzania danych:
1. Imię i nazwisko: Google Ireland Limited
Adres: Gordon House, Barrow Street, Dublin 4, Dublin, D04e5w5, Irlandia
Imię i nazwisko, stanowisko i dane kontaktowe osoby wyznaczonej do kontaktów: kontakt możliwy za pomocą strony internetowej:
/policies/contact/general_privacy_form
Opis przetwarzania (w tym wyraźne rozgraniczenie odpowiedzialności w przypadku upoważnienia kilku podwykonawców przetwarzania danych): Centrum danych zlokalizowane w Holandii
2. Nazwa: Vercom S.A.
Adres: Roosevelta 22, 60-829 Poznań, Polska
Imię i nazwisko, stanowisko i dane kontaktowe osoby wyznaczonej do kontaktów: Inspektor ochrony danych, Marika Rybarczyk, adres e-mail: iod@vercom.pl
Opis przetwarzania: obsługa polskich klientów, zarządzanie i ulepszanie usług MailerLite w roli akcjonariusza
Ostatnia aktualizacja w dniu 18 lipca 2024 r.