DPA (Zasady przetwarzania danych)

Zgodnie z Warunkami świadczenia usług (dalej „ Warunki ”) Smartsupp świadczy Usługę zgodnie z postanowieniami Warunków Tobie jako użytkownikowi Usługi. Relacja między Smartsupp a użytkownikiem opiera się zatem na procesie rejestracji online użytkownika lub na umowie pisemnej lub elektronicznej, do której dołączone są Warunki, które łącznie stanowią umowę między Tobą a Smartsupp (dalej „ Umowa ”). Niniejszy dodatek dotyczący przetwarzania danych (dalej „ DPA ”) stanowi integralną część Umowy.

Słowa rozpoczynające się wielką literą mają takie samo znaczenie, jak nadano je w Warunkach lub w jakimkolwiek innym załączniku, do którego odwołują się Warunki, chyba że w niniejszej Umowie o ochronie danych osobowych wskazano inaczej.

Smartsupp zawiera niniejszą Umowę o ochronie danych zgodnie z obowiązującymi przepisami o ochronie danych, takimi jak Rozporządzenie Parlamentu Europejskiego i Rady 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych („ RODO ”) , Ustawa o ochronie danych z 2018 r. lub CCPA/CPRA, a także zgodnie z innymi przepisami o ochronie prywatności, które obowiązują w trakcie świadczenia Usługi na podstawie Umowy („ obowiązujące przepisy o ochronie prywatności ”).

Gdy niniejsze DPA stanowi, że Smartsupp działa jako podmiot przetwarzający dane osobowe, będzie ono miało znaczenie przypisane „podmiotowi przetwarzającemu” zgodnie z RODO i innymi równoważnymi terminami zgodnie z innymi obowiązującymi przepisami o ochronie prywatności (np. „Dostawca usług” zgodnie z definicją w CCPA). Gdy niniejsze DPA stanowi, że działasz jako administrator danych osobowych, będzie ono miało to samo znaczenie przypisane „podmiotowi przetwarzającemu” zgodnie z RODO i innymi równoważnymi terminami zgodnie z obowiązującymi przepisami o ochronie prywatności (np. „Firma” zgodnie z definicją w CCPA).

1. POSTANOWIENIA WSTĘPNE

1.1 Przetwarzanie danych osobowych jako podmiot przetwarzający dane osobowe. Smartsupp może przetwarzać dane osobowe w imieniu użytkownika, gdy Usługa jest świadczona użytkownikowi, a Smartsupp działa wówczas jako podmiot przetwarzający dane osobowe (lub podprzetwarzający) w odniesieniu do użytkownika.

Działania przetwarzania podejmowane przez Smartsupp wynikają z rejestracji, Umowy lub z udokumentowanych żądań zgłoszonych przez użytkownika podczas świadczenia Usługi za pośrednictwem platformy dostępnej pod adresem https://www.smartsupp.com („ Platforma ”).

1.2 Upoważnienie do przetwarzania danych osobowych. Użytkownik niniejszym upoważnia Smartsupp do przetwarzania danych osobowych osób, których dane dotyczą, dostarczonych przez użytkownika zgodnie z Usługą, zgodnie z postanowieniami niniejszej umowy DPA. Smartsupp będzie przetwarzać dane osobowe użytkownika zgodnie z udokumentowanymi instrukcjami użytkownika i tylko w zakresie niezbędnym do prawidłowego wykonania zobowiązań Smartsupp wynikających z Umowy.

1.3 Odpowiedzialność użytkownika . Ponieważ Smartsupp działa jako podmiot przetwarzający dane osobowe, użytkownik działa jako kontroler, a zatem jest odpowiedzialny za wypełnianie wszystkich obowiązków związanych z przetwarzaniem danych osobowych. Do obowiązków tych należy odpowiednie informowanie osób, których dane dotyczą, o przetwarzaniu danych osobowych, uzyskiwanie zgody na przetwarzanie danych osobowych, jeśli jest to konieczne, oraz obsługa żądań osób, których dane dotyczą, dotyczących wykonywania ich praw (takich jak prawo do informacji, dostępu, poprawiania, usuwania, ograniczania przetwarzania, sprzeciwu itp.). Smartsupp pomoże użytkownikowi w wypełnianiu tych obowiązków za pośrednictwem Platformy lub za pośrednictwem udokumentowanych żądań użytkownika. Smartsupp nie ponosi jednak w żaden sposób odpowiedzialności za dokładność i legalność działań użytkownika, w tym za jakiekolwiek działania, które mogą naruszać jakiekolwiek przepisy dotyczące prywatności lub inne przepisy obowiązujące w kraju, z którego użytkownik korzysta z Usługi.

2. PRZEDMIOT PRZETWARZANIA, KATEGORIA PODMIOTÓW DANYCH ORAZ RODZAJ DANYCH OSOBOWYCH

2.1 Przedmiot przetwarzania . Przedmiotem przetwarzania danych osobowych, które są zdefiniowane poniżej, przez Smartsupp jest świadczenie Usługi zgodnie z Umową, w szczególności przetwarzanie danych osobowych, gdy korzystasz z funkcji naszej Usługi, jak opisano na Stronie internetowej.

2.2 Rodzaje danych osobowych . W ramach realizacji obowiązków wynikających z Umowy i świadczenia Usługi, zgodnie z niniejszym DPA mogą być przetwarzane następujące rodzaje danych osobowych:

a) dane kontaktowe, takie jak imię, nazwisko, adres e-mail, numer telefonu lub dane kontaktowe konta w serwisie społecznościowym,

b) szczegóły dotyczące odwiedzin strony internetowej użytkownika, takie jak adres URL odwiedzanej strony, data i godzina odwiedzin strony, informacje techniczne (rozdzielczość ekranu, typ urządzenia, typ przeglądarki, system operacyjny itp.), adres IP, dane geolokalizacyjne (kraj i miasto, z którego użytkownik przeglądał Twoją stronę internetową),

c) informacje zawarte w rozmowach pomiędzy użytkownikami a klientami lub innymi użytkownikami podczas korzystania z funkcji Serwisu,

d) logi techniczne i inne informacje o użytkownikach korzystających z Usługi (Smartsupp korzysta z narzędzi stron trzecich w celu przechwytywania takich informacji),

e) inne dane osobowe przesłane lub w inny sposób wykorzystane przez użytkownika, lub

f) dane osobowe, których rodzaj, zakres i szczegóły są ustalane i kontrolowane przez użytkownika według jego wyłącznego uznania w trakcie świadczenia Usługi.

Zakres danych osobowych zależy od rodzaju funkcji Usługi używanych przez użytkownika. Usługa nie jest przeznaczona do przechowywania szczególnych kategorii danych osobowych. Użytkownik nie może używać Usługi do przechowywania lub przetwarzania szczególnych kategorii danych osobowych. Jeśli użytkownik przetwarza je za pośrednictwem Usługi, Smartsupp nie ponosi odpowiedzialności za takie przetwarzanie.

2.3 Kategorie podmiotów danych . Smartsupp będzie przetwarzać dane osobowe dotyczące następujących kategorii podmiotów danych:

a) pracownicy (oraz inni pracownicy i osoby działające w imieniu użytkownika) użytkownika;

b) osoby, dla których użytkownik założył konto w ramach Serwisu;

c) klienci i inni użytkownicy Użytkownika, którym świadczona jest Usługa;

d) osoby odwiedzające stronę internetową użytkownika;

e) inne osoby, których dane osobowe zostały przekazane Smartsupp przez użytkownika w trakcie świadczenia Usługi i których dane osobowe zostały zarejestrowane lub w inny sposób przetworzone zgodnie ze świadczeniem Usługi na rzecz użytkownika.

3. CHARAKTER I CEL PRZETWARZANIA

3.1 Charakter przetwarzania danych osobowych . Smartsupp będzie przetwarzać dane osobowe w sposób zautomatyzowany, elektroniczny, a przetwarzanie będzie polegać na dostępie do danych osobowych w ramach świadczenia Usługi, przeglądaniu danych osobowych, przechowywaniu danych osobowych i innych czynnościach, które mogą odpowiadać świadczeniu Usługi użytkownikowi. Charakter przetwarzania danych osobowych wynika z:

a) Umowa zawarta przez Strony;

b) żądania użytkownika lub innych upoważnionych użytkowników korzystających z Platformy w imieniu użytkownika;

c) charakter Usługi i Platformy;

d) wszelkie inne udokumentowane instrukcje dostarczone przez użytkownika.

3.2 Cel przetwarzania . Celem przetwarzania jest świadczenie Usługi użytkownikowi, zgodnie z definicją zawartą w Warunkach, oraz inne cele, które mogą wynikać ze świadczenia Usługi.

4. CZAS PRZETWARZANIA

4.1 Czas przetwarzania danych osobowych . Przetwarzanie danych osobowych będzie prowadzone przez czas trwania Umowy lub tak długo, jak Smartsupp otrzyma instrukcje od użytkownika, w związku z wykonywaniem Umowy. Smartsupp zobowiązuje się do przestrzegania obowiązków określonych w przepisach o ochronie danych przez cały czas trwania Umowy, chyba że z Umowy jasno wynika, że mają one obowiązywać po jej rozwiązaniu.

4.2 Zwrot i usunięcie danych osobowych . W przypadku rozwiązania Umowy, w zakresie dozwolonym przez obowiązujące przepisy o ochronie prywatności, Smartsupp usunie wszystkie dane osobowe przechowywane w celu świadczenia Usługi w ciągu 3 miesięcy od rozwiązania. Jeśli Użytkownik zażąda od Smartsupp w wyżej wymienionym okresie, że woli zwrócić dane, Smartsupp ma prawo pobrać rozsądną opłatę w kwocie, która zostanie podana z wyprzedzeniem.

5. INNE PRAWA I OBOWIĄZKI

5.1 Obowiązki Smartsupp . Przetwarzając dane osobowe, Smartsupp zobowiązuje się do:

a) przetwarzać dane osobowe wyłącznie na podstawie udokumentowanych instrukcji użytkownika; w celu uniknięcia wątpliwości przetwarzanie danych osobowych zgodnie z obowiązkami wynikającymi z Umowy uważa się za wykonywane zgodnie z instrukcjami użytkownika;

b) postępować zgodnie z instrukcjami użytkownika dotyczącymi przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, chyba że takie przetwarzanie jest już wymagane prawem Unii Europejskiej lub prawem państwa członkowskiego, któremu podlega Smartsupp;

c) zapewnić, aby osoby upoważnione do przetwarzania danych osobowych były zobowiązane do zachowania tajemnicy lub aby podlegały prawnemu obowiązkowi zachowania tajemnicy;

d) biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomagać użytkownikowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw; zasady rozpatrywania żądań osób, których dane dotyczą, zostały określone w art. 5 ust. 2 niniejszej RODO;

e) pomagać użytkownikowi w wypełnianiu jego obowiązków w zakresie (i) zapewnienia poziomu bezpieczeństwa przetwarzania, (ii) zgłaszania naruszeń ochrony danych osobowych Urzędowi Ochrony Danych, a w stosownych przypadkach osobom, których dane dotyczą, (iii) oceny wpływu na ochronę danych osobowych oraz (iv) przeprowadzania uprzednich konsultacji z Urzędem Ochrony Danych, biorąc pod uwagę charakter przetwarzania i charakter przetwarzanych danych osobowych;

f) umożliwić użytkownikowi lub osobie upoważnionej przez użytkownika sprawdzenie (w tym przeprowadzenie audytu lub inspekcji) przestrzegania niniejszej umowy o ochronie danych osobowych, w szczególności wypełniania obowiązków w zakresie przetwarzania danych osobowych wynikających z niej, oraz przyczyniać się do takich kontroli zgodnie z uzasadnionymi instrukcjami użytkownika lub osoby upoważnionej; szczegółowe zasady przeprowadzania audytów określono w artykułach 5.3 i 5.4 niniejszej umowy o ochronie danych osobowych;

g) dostarczyć użytkownikowi wszelkich informacji, jakich można rozsądnie oczekiwać od Smartsupp, potwierdzających fakt, że wypełniono obowiązki określone w stosownych przepisach o ochronie danych.

5.2 Żądania podmiotu danych . Jeśli podmiot danych skontaktuje się bezpośrednio ze Smartsupp, Smarstupp powiadomi podmiot danych o konieczności skierowania żądania bezpośrednio do użytkownika. Smartsupp podejmie jedynie uzasadnione wysiłki w celu pomocy użytkownikowi w odpowiedzi na takie żądanie podmiotu danych, w zakresie, w jakim Smartsupp jest do tego prawnie upoważniony. Użytkownik ponosi odpowiedzialność za wszelkie koszty wynikające z udzielenia takiej pomocy przez Smartsupp i ponosi odpowiedzialność za prawidłową obsługę takiego żądania.

5.3 Zasady audytu . Użytkownik wysyła wszelkie żądania dotyczące audytu (kontroli) wyłącznie na adres e-mail Smartsupp dpo@smartsupp.com, w rozsądnych odstępach czasu. Po otrzymaniu żądania audytu strony z góry ustalają (i) możliwą datę audytu, (ii) środki bezpieczeństwa i sposób zapewnienia zgodności z obowiązkami zachowania poufności podczas audytu oraz (iii) przewidywany początek, zakres i czas trwania audytu. Jeśli w ciągu 30 dni od daty żądania nie zostanie osiągnięte porozumienie, Smartsupp określi warunki audytu.

5.4 Audytor >. Smartsupp może wnieść pisemny sprzeciw do każdego audytora (osoby upoważnionej) wyznaczonego przez użytkownika, jeśli zdaniem Smartsupp audytor nie jest wystarczająco wykwalifikowany, nie jest niezależny, znajduje się w pozycji konkurencyjnej w stosunku do Smartsupp lub jest w inny sposób ewidentnie nieodpowiedni. Po zgłoszeniu sprzeciwu użytkownik będzie zobowiązany wyznaczyć innego audytora lub przeprowadzić audyt samodzielnie. Użytkownik niezwłocznie powiadomi Smartsupp o wszelkich niezgodnościach, zarówno z obowiązującymi przepisami o ochronie prywatności, jak i niniejszym DPA, wykrytych podczas audytu.

5.5 Zakres audytu . Zakres audytu przeprowadzanego przez użytkownika obejmuje wyłącznie dokumentację i procesy bezpośrednio związane z korzystaniem z Usługi przez konkretnego użytkownika.

5.6 Podprocesory . Użytkownik wyraża zgodę na zaangażowanie innych podprocesorów w przetwarzanie danych osobowych. W zależności od rodzaju Usługi świadczonej lub żądanej przez użytkownika, Smartsupp może korzystać z innych podprocesorów lub udostępniać dane osobowe innym odbiorcom danych osobowych. Użytkownik wyraża zgodę, że Smartsupp zaangażuje podprocesory wymienione pod adresem: http://help.smartsupp.com/pl_PL/list-of-sub-processors („ Lista podprocesorów ”).

5.7 Sprzeciwy wobec innych podprocesorów . Smartsupp poinformuje użytkownika w formie pisemnej lub poprzez aktualizację listy podprocesorów o zaangażowaniu dodatkowego podprocesora przed zaangażowaniem dodatkowego podprocesora, a użytkownik może sprzeciwić się zaangażowaniu dodatkowego podprocesora w ciągu 10 dni roboczych od powiadomienia. Jeśli użytkownik nie wniesie sprzeciwu w ustalonym terminie, Smartsupp zaangażuje dodatkowego podprocesora. W przypadku zgłoszenia sprzeciwu przez użytkownika, Smartsupp oceni sprzeciw i jeśli uzna go za uzasadniony, nie zaangażuje dodatkowego podprocesora ani nie wprowadzi komercyjnie uzasadnionych zmian w konfiguracji użytkownika lub korzystaniu z Usługi, aby uniknąć przetwarzania przez takiego podprocesora. Jeśli zmiana nie jest możliwa, Smartsupp może rozwiązać Umowę z użytkownikiem (lub częściowo) lub nie świadczyć części Usługi, z którą powiązany jest dodatkowy podprocesor, bez popadania w zwłokę lub naruszenia jakiegokolwiek zobowiązania. Smartsupp zwróci użytkownikowi wszelkie przedpłacone opłaty pokrywające pozostały okres obowiązywania Umowy po dacie wejścia w życie rozwiązania w odniesieniu do takiej rozwiązanej Usługi, bez naliczania użytkownikowi kary za takie rozwiązanie.

5.8 Obowiązki wobec innych podprocesorów . Jeśli Smartsupp angażuje innego podprocesora, ten inny podprocesor musi umownie zobowiązać się do tych samych obowiązków ochrony danych osobowych, jak te uzgodnione pomiędzy użytkownikiem a Smartsupp, a także do wdrożenia odpowiednich środków technicznych i organizacyjnych.

5.9 Odpowiedzialność podprocesora . Smartsupp ponosi odpowiedzialność za działania i zaniechania swoich podprocesorów w takim samym zakresie, w jakim Smartsupp ponosiłby odpowiedzialność w przypadku, gdyby świadczenie Usługi przez każdego podprocesora odbywało się bezpośrednio na warunkach niniejszej Umowy DPA, chyba że w Umowie określono inaczej.

5.10 Koszty związane z wykonaniem DPA . O ile nie uzgodniono inaczej na piśmie, użytkownik ponosi własne koszty związane z wykonaniem DPA. Smartsupp ma prawo obciążyć użytkownika uzasadnionymi kosztami poniesionymi w związku z rozpatrywaniem wszelkich żądań i wykonywaniem wszelkich zobowiązań wynikających z niniejszego DPA.

6. BEZPIECZEŃSTWO DANYCH OSOBOWYCH I NARUSZENIA DANYCH OSOBOWYCH

6.1 Obowiązek zabezpieczenia danych osobowych . Smartsupp przyjął i utrzymuje środki techniczne i organizacyjne w celu zapobiegania nieautoryzowanemu lub przypadkowemu dostępowi, modyfikacji, zniszczeniu lub utracie danych osobowych, nieautoryzowanym transmisjom, innemu nieautoryzowanemu przetwarzaniu lub innemu nieautoryzowanemu niewłaściwemu wykorzystaniu danych osobowych. Smartsupp regularnie monitoruje przestrzeganie tych środków.

6.2 Szczególne środki bezpieczeństwa . Smartsupp przyjął i utrzymuje następujące środki w celu zapewnienia odpowiedniego poziomu bezpieczeństwa:

Środki techniczne:

a) Pseudonimizacja i szyfrowanie danych osobowych:

Platforma, na której przetwarzane są dane osobowe, zezwala wyłącznie na bezpieczne kanały lub protokoły dla połączeń sieciowych przychodzących; Smartsupp szyfruje dane przy użyciu protokołu SSL/TLS dla wszystkich transmisji danych

systemy informatyczne przetwarzające dane osobowe dopuszczają wyłącznie bezpieczne kanały lub protokoły;

klucze kryptograficzne są bezpiecznie zarządzane.

b) Zdolność do zapewnienia ciągłej poufności, integralności, dostępności i odporności systemów i usług przetwarzania:

dostęp fizyczny personelu Smartsupp jest ograniczony do osób upoważnionych;

Smartsupp przyjął mechanizmy ograniczające fizyczny i internetowy dostęp do serwerów przechowujących dane osobowe;

zapobieganie dostępowi osób nieupoważnionych do danych osobowych oraz zapobieganie wykorzystywaniu danych osobowych bez zezwolenia;

osoby upoważnione do przetwarzania danych osobowych mają dostęp wyłącznie do tych danych osobowych, które są im niezbędne i do których dostępu są upoważnione, a dane osobowe nie mogą być odczytywane, kopiowane, zmieniane ani usuwane bez upoważnienia w trakcie przetwarzania;

dostęp wymaga silnego uwierzytelniania (np. poprzez użycie silnych haseł);

uprawnienia dostępu są okresowo sprawdzane;

próby dostępu (zarówno udane, jak i nieudane) są rejestrowane i monitorowane;

Pracownikom Smartsupp zabrania się pobierania i przetwarzania danych osobowych lokalnie na swoich stacjach roboczych lub w jakiejkolwiek innej lokalizacji sieciowej;

Wszystkie możliwe awarie Platformy i nieprawidłowości są rejestrowane.

c) Możliwość przywrócenia dostępności i dostępu do danych osobowych w odpowiednim czasie w razie incydentów fizycznych lub technicznych:

Smartsupp wdrożył proces, mechanizm i narzędzia tworzenia kopii zapasowych;

procedura przywracania danych, czytelność danych i integralność kopii zapasowych są okresowo testowane.

d) Smartsupp wdrożył proces regularnego testowania, oceny i analizy skuteczności środków technicznych i organizacyjnych wdrożonych w celu zapewnienia bezpieczeństwa przetwarzania.

e) Danych osobowych nie można modyfikować ani usuwać bez zezwolenia w trakcie transmisji elektronicznej, transportu lub przechowywania, a podmioty będące odbiorcami danych w przypadku jakiegokolwiek transferu danych mogą zostać ustalone i zweryfikowane.

Środki organizacyjne:

f) Cały personel zaangażowany w przetwarzanie danych osobowych został poinformowany o poufnym charakterze tych danych, otrzymał odpowiednie szkolenie dotyczące swoich obowiązków i zawarł pisemne umowy o zachowaniu poufności.

g) Smartsupp wdrożył wewnętrzne wytyczne i procesy mające na celu zabezpieczenie przetwarzania danych osobowych zgodnie z obowiązującymi przepisami o ochronie prywatności.

h) W razie pytań dotyczących niniejszej umowy DPA, zgodności z przepisami o ochronie danych, prywatności danych lub innych kwestii związanych z prywatnością, Klient może wysłać wiadomość e-mail na adres privacy@smartsupp.com.

6.3 Incydenty bezpieczeństwa . Jeśli Smartsupp odkryje naruszenie danych osobowych, zgłosi je użytkownikowi bez zbędnej zwłoki, nie później niż 48 godzin po uzyskaniu wiedzy o incydencie bezpieczeństwa i dołoży wszelkich starań, aby dostarczyć użytkownikowi wszystkich znanych informacji o incydencie, w tym:

• opis charakteru naruszenia ochrony danych osobowych, w tym, w miarę możliwości, kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę rekordów danych osobowych, których dotyczy naruszenie;
   
• opis prawdopodobnych skutków naruszenia ochrony danych osobowych;
   
• propozycja środków, jakie użytkownik może podjąć w celu zaradzenia naruszeniu ochrony danych osobowych, w tym, w stosownych przypadkach, środków mających na celu złagodzenie jego możliwych negatywnych skutków.

Smartsupp odpowie na każde żądanie pomocy ze strony użytkownika w przypadku naruszenia bezpieczeństwa z nieuzasadnioną zwłoką.

6.4 Instrukcje niezgodne z prawem . Jeżeli użytkownik udzieli Smartsupp instrukcji w sposób, który spowoduje naruszenie obowiązków wynikających z przepisów o ochronie danych, a Smartsupp zostanie ukarany przez organ nadzorczy lub inny organ regulacyjny na podstawie takiej instrukcji lub będzie zobowiązany do wypłaty odszkodowania osobom, których dane dotyczą, użytkownik zgadza się zrekompensować Smartsupp i zapłacić za wszelkie poniesione szkody, po otrzymaniu pisemnego powiadomienia od Smartsupp.

6.5 Ograniczenie odpowiedzialności . Do niniejszej umowy DPA stosuje się takie samo ograniczenie odpowiedzialności, jakie określono w Warunkach.

6.6 Zmiany . Obowiązują te same zasady dotyczące zmian, jakie określono w Warunkach.

6.7 Skuteczność . Niniejsza DPA staje się prawnie wiążąca pomiędzy użytkownikiem a Smartsupp wraz z Umową.