Umowa Powierzenia Przetwarzania Danych

Pojęcia używane w niniejszej UPPD mają znaczenie nadane im w RODO (Rozporządzenie (UE) 2016/679). W szczególności:

• Dane osobowe: wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
• Administrator: klient, który ustala cele i sposoby przetwarzania.
• Podmiot przetwarzający: HummingDeck, przetwarzający Dane osobowe w imieniu Administratora.
• Podwykonawca przetwarzania: osoba trzecia zaangażowana przez HummingDeck do przetwarzania Danych osobowych, wymieniona pod adresem hummingdeck.com/sub-processors.
• Osoba, której dane dotyczą: osoba fizyczna, do której odnoszą się Dane osobowe, w tym pracownicy Administratora, kontakty oraz odbiorcy przeglądający dokumenty udostępnione za pośrednictwem HummingDeck („Odbiorcy dokumentów”).

HummingDeck działa jako Podmiot przetwarzający w imieniu Administratora w odniesieniu do wszystkich Danych osobowych przetwarzanych w związku z usługą, w tym:

• Posiadaczy kont i członków zespołu, których Administrator dodaje do przestrzeni roboczej.
• Kontaktów i leadów importowanych lub tworzonych przez Administratora.
• Odbiorców dokumentów otwierających linki udostępnione przez Administratora.
• Zdarzeń zaangażowania generowanych przez Odbiorców dokumentów (odsłony stron, czas na stronie, ponowne wizyty, lokalizacja na poziomie kraju, sygnały wywiedzione z IP).

Administrator pozostaje odpowiedzialny za zgodność przetwarzania z prawem, wybór podstawy prawnej zgodnie z Artykułem 6 RODO oraz prawa Osób, których dane dotyczą.

Administrator oświadcza i gwarantuje, że:

• Posiada ważną podstawę prawną zgodnie z Artykułem 6 RODO dla przetwarzania, które poleca przeprowadzić HummingDeck.
• Przekazał wszystkie wymagane informacje Osobom, których dane dotyczą, zgodnie z Artykułami 13 i 14 RODO, w tym poinformował Odbiorców dokumentów o śledzeniu zaangażowania prowadzonym za pośrednictwem linków HummingDeck. Administrator jest wyłącznie odpowiedzialny za to ujawnienie, czy to za pośrednictwem własnej polityki prywatności, wiadomości e-mail lub komunikatu towarzyszącego linkowi, czy też dowolnym innym odpowiednim kanałem.
• Nie zleci HummingDeck przetwarzania Danych osobowych z naruszeniem obowiązujących przepisów o ochronie danych.

Aby wesprzeć Administratora w wypełnianiu obowiązku informacyjnego, HummingDeck udostępnia:

• Publiczną politykę prywatności pod adresem hummingdeck.com/privacy opisującą, co jest zbierane od Odbiorców dokumentów i na jakiej podstawie.
• Wzorcową treść, którą Administrator może przyjąć lub dostosować do własnej polityki prywatności, dostępną na żądanie.
• Publiczną listę podwykonawców przetwarzania pod adresem hummingdeck.com/sub-processors.

Jako Podmiot przetwarzający, HummingDeck zobowiązuje się:

• Przetwarzać Dane osobowe wyłącznie na udokumentowane polecenie Administratora, w tym polecenia wydawane poprzez korzystanie z samej usługi.
• Zapewnić, aby osoby upoważnione do przetwarzania Danych osobowych były zobowiązane do zachowania poufności.
• Wdrożyć odpowiednie techniczne i organizacyjne środki bezpieczeństwa (Sekcja 5).
• Angażować podwykonawców przetwarzania wyłącznie na podstawie pisemnych umów nakładających równoważne obowiązki w zakresie ochrony danych oraz powiadamiać Administratora o planowanych zmianach zgodnie z Sekcją 6.
• Pomagać Administratorowi, biorąc pod uwagę charakter przetwarzania, w wypełnianiu obowiązków odpowiadania na żądania Osób, których dane dotyczą, zgodnie z Rozdziałem III RODO.
• Pomagać Administratorowi w obowiązkach związanych z bezpieczeństwem, zgłaszaniem naruszeń, ocenami skutków dla ochrony danych oraz uprzednimi konsultacjami zgodnie z Artykułami 32-36 RODO.
• Powiadomić Administratora bez zbędnej zwłoki (a w miarę możliwości w ciągu 72 godzin) po stwierdzeniu Naruszenia ochrony Danych osobowych dotykającego danych Administratora.
• Według wyboru Administratora, usunąć lub zwrócić wszystkie Dane osobowe po zakończeniu świadczenia usługi oraz usunąć istniejące kopie, chyba że ich zachowanie jest wymagane prawem.
• Udostępnić Administratorowi wszelkie informacje niezbędne do wykazania zgodności z niniejszą UPPD oraz umożliwić audyty lub inspekcje przeprowadzane przez Administratora lub upoważnionego przez niego audytora (z zastrzeżeniem Sekcji 7).

HummingDeck wdraża i utrzymuje odpowiednie techniczne i organizacyjne środki, w tym:

• Szyfrowanie Danych osobowych w trakcie przesyłania (TLS 1.2+) i w spoczynku (domyślne szyfrowanie Google Cloud Storage).
• Kontrolę dostępu opartą na zasadach minimalnych uprawnień, z rejestrowaniem dostępu administracyjnego.
• Uwierzytelnianie za pośrednictwem Google Firebase z bezpieczną obsługą sesji.
• Systemy wykrywania botów i nadużyć w celu odfiltrowania automatycznego ruchu z analityki zaangażowania.
• Procedury tworzenia kopii zapasowych i odzyskiwania po awarii.
• Regularny przegląd praktyk bezpieczeństwa.

HummingDeck nie posiada obecnie certyfikatu SOC 2. Klienci wymagający formalnej certyfikacji proszeni są o kontakt pod adresem hello@hummingdeck.com w celu uzyskania aktualnego kwestionariusza bezpieczeństwa i harmonogramu.

Administrator upoważnia HummingDeck do angażowania podwykonawców przetwarzania wymienionych pod adresem hummingdeck.com/sub-processors. HummingDeck przekaże Administratorowi powiadomienie z co najmniej 30-dniowym wyprzedzeniem przed dodaniem lub zastąpieniem podwykonawcy przetwarzającego Dane osobowe Administratora, poprzez:

• Aktualizację publicznej listy podwykonawców przetwarzania oraz
• Powiadomienie właściciela przestrzeni roboczej drogą e-mailową, jeśli zmiana w istotny sposób wpływa na przetwarzanie.

Jeżeli Administrator w dobrej wierze sprzeciwi się nowemu podwykonawcy ze względów ochrony danych w ciągu 30 dni od powiadomienia, strony w dobrej wierze podejmą działania w celu rozwiązania problemu. Jeżeli nie zostanie osiągnięte porozumienie, Administrator może rozwiązać dotkniętą część usługi z przyczyn organizacyjnych.

HummingDeck udostępni, po rozsądnym powiadomieniu i nie częściej niż raz na 12 miesięcy (lub częściej, jeśli wymaga tego organ regulacyjny):

• Aktualny Rejestr Czynności Przetwarzania (dokumentacja zgodnie z Artykułem 30).
• Informacje o stosowanych środkach bezpieczeństwa i wszelkich ocenach przeprowadzonych przez strony trzecie.
• Możliwość przeprowadzenia zdalnego audytu (na podstawie kwestionariusza lub wideokonferencji) na koszt Administratora.

Inspekcje na miejscu są dozwolone wyłącznie wówczas, gdy są wymagane obowiązującym prawem lub wiążącym nakazem organu regulacyjnego, po rozsądnym powiadomieniu i na koszt Administratora.

Administrator przyjmuje do wiadomości, że niektórzy podwykonawcy przetwarzania mają siedzibę poza Europejskim Obszarem Gospodarczym, głównie w Stanach Zjednoczonych. W przypadku takich transferów HummingDeck opiera się na Standardowych Klauzulach Umownych Komisji Europejskiej (Moduł Drugi, Administrator-Procesor) włączonych do umów z odpowiednimi podwykonawcami przetwarzania, uzupełnionych technicznymi i organizacyjnymi środkami opisanymi w Sekcji 5.

Po rozwiązaniu umowy o świadczenie usługi Administrator może w ciągu 30 dni zażądać ustrukturyzowanego eksportu swoich danych za pośrednictwem aplikacji lub działu wsparcia. Po upływie 30 dni HummingDeck usunie wszystkie Dane osobowe Administratora z systemów produkcyjnych w ciągu kolejnych 30 dni, z wyjątkiem przypadków, gdy ich zachowanie jest wymagane prawem (np. dokumentacja rozliczeniowa). Kopie zapasowe są przechowywane zgodnie ze standardowymi harmonogramami rotacji kopii zapasowych i nadpisywane w odpowiednim czasie.

Odpowiedzialność każdej ze stron na podstawie niniejszej UPPD podlega ograniczeniom odpowiedzialności określonym w umowie nadrzędnej zawartej między stronami.

W przypadku konfliktu między niniejszą UPPD a umową nadrzędną (w tym Regulaminem HummingDeck) niniejsza UPPD ma pierwszeństwo w zakresie tego konfliktu i wyłącznie w odniesieniu do przetwarzania Danych osobowych.

HummingDeck może od czasu do czasu aktualizować niniejszą UPPD, aby odzwierciedlić zmiany w obowiązującym prawie lub w naszych praktykach przetwarzania. Istotne zmiany będą komunikowane właścicielowi przestrzeni roboczej drogą e-mailową co najmniej 30 dni przed wejściem w życie. Dalsze korzystanie z usługi po dacie wejścia w życie zmian oznacza ich akceptację.

Pytania dotyczące niniejszej UPPD, prośby o podpisany egzemplarz lub formalne żądania Osób, których dane dotyczą, należy kierować na adres hello@hummingdeck.com.