Umowa o przetwarzaniu danych

Niniejsza Umowa o przetwarzaniu danych („DPA”) zostaje zawarta pomiędzy Simplenet Hosting SRL („Simplenet”, „my”) a Klientem („Klient”, „Ty”), zwanymi łącznie „Stronami”. Niniejsza umowa („DPA”) stanowi część Warunków świadczenia usług, Polityki prywatności i innych odpowiednich zasad dostępnych tutaj .

Klient wyrażający zgodę na niniejsze warunki zawiera niniejszą Umowę ochrony danych we własnym imieniu w zakresie wymaganym na mocy obowiązujących przepisów i przepisów o ochronie danych oraz w zakresie, w jakim Simplenet przetwarza Dane klienta zgodnie z instrukcjami Administratora (zgodnie z definicją w sekcji 1). 

W trakcie świadczenia Usług na rzecz Klienta Simplenet może Przetwarzać Dane Klienta w imieniu Klienta. Strony zgadzają się przestrzegać poniższych postanowień w odniesieniu do wszelkich Danych Klienta, przy czym każda z nich działa rozsądnie i w dobrej wierze. 

1. Definicje. 

O ile w niniejszej Umowie Ochrony Danych nie określono inaczej, wszystkie terminy pisane wielką literą mają znaczenie przedstawione poniżej:

„Umowa” oznacza Warunki świadczenia usług i inne odpowiednie zasady ogłoszone na naszej stronie internetowej, wraz z Twoim Zamówieniem na zakup Usług i potwierdzeniem Zamówienia przesłanym przez Simplenet.

„Zamówienie” oznacza każde zamówienie Klienta dotyczące zakupu odpowiednich usług. 

„Witryna” oznacza witrynę Simplenet i wszystkie usługi, które oferujemy za pośrednictwem naszej witryny.

„Usługi” oznaczają wszelkie usługi hostingowe oferowane przez nas i zakupione przez Klienta, które mogą wiązać się z przetwarzaniem Danych Osobowych przez Simplenet.

„Partner” oznacza dowolny podmiot, który bezpośrednio lub pośrednio kontroluje, jest kontrolowany przez podmiot objęty Simplenet lub znajduje się pod wspólną kontrolą z nim. „Kontrola” w rozumieniu tej definicji oznacza bezpośrednią lub pośrednią własność lub kontrolę nad ponad 50% udziałów w głosach podmiotu podlegającego.

„Produkty dodatkowe” oznaczają wszelkie funkcje, produkty, oprogramowanie, programy, dodatki, wtyczki, skrypty, narzędzia lub jakiekolwiek inne oprogramowanie lub treści stron trzecich, które nie są częścią Usług, ale które mogą być dostępne za pośrednictwem Obszaru Użytkownika Simplenet lub Kontroli Panel, instalowany przez Klienta lub w inny sposób na potrzeby korzystania z Usług.

„RODO” oznacza Ogólne Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych klientów i w sprawie swobodnego przepływu takich danych, oraz uchylające dyrektywę 95/46/WE (ogólne rozporządzenie o ochronie danych).

„Administrator” oznacza osobę fizyczną lub osobę prawną, która samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych Klientów;  

„Dane Klienta” oznaczają wszelkie „Dane Osobowe” przekazywane Simplenet przez Klienta lub w jego imieniu w związku z korzystaniem przez niego z Usług i które są przechowywane na koncie Klienta (aby uniknąć wątpliwości, Dane Osobowe stanowiące część zamówienia Klienta dotyczącego zakup danej usługi nie będzie traktowany jako Dane Klienta). Dane Klienta mogą obejmować m.in. dane Klienta w rozumieniu określonym w RODO.

„Dane Osobowe” mają znaczenie określone w art. 4 RODO. 

„Przepisy i przepisy dotyczące ochrony danych” oznaczają wszystkie regulacje i prawa, w tym przepisy ustawowe i wykonawcze Unii Europejskiej, Europejskiego Obszaru Gospodarczego i ich państw członkowskich, Szwajcarii i Wielkiej Brytanii, mające zastosowanie do przetwarzania danych klientów na mocy niniejszej Umowy o ochronie danych.

„Podmiot danych” oznacza zidentyfikowaną lub możliwą do zidentyfikowania osobę, której dotyczą Dane Klienta.

„Data wejścia w życie” oznacza, stosownie do przypadku:

1. 25 maja 2018 r., jeśli Klient wykonał Zamówienia i zaakceptował Umowy lub Strony w inny sposób uzgodniły niniejszą Umowę w odniesieniu do obowiązującej Umowy przed tą datą lub w tym dniu; Lub
2. data, w której Klient kliknął, aby zaakceptować Umowę lub Strony w inny sposób uzgodniły niniejszą Umowę w odniesieniu do obowiązującej Umowy, jeśli taka data przypada po 25 maja 2018 r.

„Przetwarzanie” ma znaczenie nadane w art. 4 RODO.

„Przetwarzający” oznacza podmiot przetwarzający Dane Klienta w imieniu Administratora.

„Simplenet” oznacza podmiot Simplenet będący stroną niniejszej Umowy o ochronie danych, jak określono w sekcji, spółkę zarejestrowaną w Rumunii (numer rejestracyjny CIF: RO22199266) z adresem: Str. 22 grudnia 3/B/16, 600196 Bacău, România.

„Standardowe klauzule umowne” lub „SKU” oznaczają standardowe klauzule ochrony danych dotyczące przekazywania Danych Klienta, zgodnie z art. 46, s. 2, c) RODO, Załącznik 1 do niniejszej Umowy o ochronie danych.

„Podprocesor” oznacza dowolnego Procesora zaangażowanego przez Simplenet.

„Organ nadzorczy” oznacza niezależny organ publiczny, który ma siedzibę w Rumunii na terytorium państwa członkowskiego UE zgodnie z RODO. 

„Okres obowiązywania” oznacza okres od Daty wejścia w życie do zakończenia świadczenia Usług przez Simplenet zgodnie z obowiązującą Umową, w tym, jeśli ma to zastosowanie, każdy okres, w którym Usługi mogły zostać zawieszone, oraz każdy okres po rozwiązaniu umowy (tj. 60 dni kalendarzowych ), podczas którego Simplenet może w dalszym ciągu świadczyć Usługi w celach przejściowych.

„Straty w zakresie ochrony danych” oznaczają wszelkie zobowiązania, w tym: 

1. koszty (w tym koszty prawne);
2. roszczenia, żądania, działania, ugody, opłaty, procedury, wydatki, straty i szkody (materialne lub niematerialne, w tym związane z cierpieniem emocjonalnym);
3. w zakresie dozwolonym przez Obowiązujące prawo:
   1. administracyjne grzywny, kary, sankcje, zobowiązania lub inne środki zaradcze nałożone przez organ nadzorczy ds. ochrony danych lub inny odpowiedni organ regulacyjny;
   2. odszkodowanie dla Osoby, której dane dotyczą, nakazane przez Organ Nadzoru Ochrony Danych;
   3. uzasadnione koszty przestrzegania dochodzeń prowadzonych przez organ nadzorczy ds. ochrony danych lub inny odpowiedni organ regulacyjny; I
4. koszty załadowania Danych Klienta oraz wymiany materiałów i sprzętu Klienta w zakresie, w jakim zostały one utracone lub uszkodzone, a także jakakolwiek utrata lub uszkodzenie Danych Klienta, w tym koszt sprostowania lub przywrócenia Danych Klienta;

„Adres e-mail do powiadomień” oznacza adres e-mail podany przez Klienta w sekcji Moje dane w Obszarze użytkownika, na który należy otrzymywać określone powiadomienia od Simplenet.

2. Przetwarzanie danych. 

2.1. Zakres

Niniejsza Umowa o ochronie danych ma zastosowanie tam i tylko w zakresie, w jakim Simplenet przetwarza Dane osobowe w imieniu Klienta w trakcie świadczenia Usług, a takie Dane Osobowe podlegają Przepisom o ochronie danych Unii Europejskiej, Europejskiego Obszaru Gospodarczego i/lub ich państwa członkowskiego stanach, Szwajcarii i/lub Wielkiej Brytanii (zwane dalej „Danymi Klienta”). 

Jeżeli Klient wyrażający zgodę na niniejszą Umowę jest już Klientem, niniejsza DPA stanowi część Umowy, Polityki prywatności oraz innych odpowiednich polityk i dokumentów ogłoszonych na naszej stronie internetowej. W takim przypadku podmiot Simplenet będzie uważany za stronę niniejszej Umowy o ochronie danych.

Niniejsza Umowa obowiązuje wyłącznie dla konta Klienta, dla którego została uzgodniona. Jeśli Klient posiada wiele kont, umowa DPA zostanie zawarta dla każdego konta osobno.

Niniejsza Umowa o ochronie danych będzie ważna i prawnie wiążąca wyłącznie dla osoby fizycznej/prawnej wskazanej na koncie w Obszarze użytkownika i wyłącznie w przypadku Usług zakupionych bezpośrednio od Simplenet w ramach odpowiedniego konta. 

Jeżeli podmiot Klienta wyrażający zgodę na niniejszą Umowę nie jest stroną Zamówienia ani Umowy, niniejsza DPA nie jest ważna i nie jest prawnie wiążąca. Podmiot taki powinien zwrócić się do podmiotu Klienta będącego stroną Umowy o zawarcie niniejszej Umowy.

Niniejsza Umowa o ochronie danych wraz z załącznikami, z wyjątkiem klauzul w Polityce prywatności, będzie skuteczna i zastąpi wszelkie warunki wcześniej mające zastosowanie do prywatności, przetwarzania danych i/lub bezpieczeństwa danych.

2.2. Zgodność z przepisami.  

Jeżeli do niniejszego DPA mają zastosowanie przepisy Unii Europejskiej dotyczące ochrony danych, każda ze stron będzie przestrzegać obowiązków mających do niej zastosowanie na mocy europejskiego prawodawstwa dotyczącego ochrony danych w odniesieniu do przetwarzania danych klienta.

2.3. Przedmiot i szczegóły przetwarzania danych

2.3.1 Przedmiot

Simplenet będzie przetwarzać Dane Klienta w zakresie niezbędnym do świadczenia Usług, powiązanego wsparcia technicznego i innych zapytań zgodnie z Umową oraz zgodnie z dalszymi instrukcjami Klienta dotyczącymi korzystania z Usług.

2.3.2. Czas przetwarzania

Z zastrzeżeniem ust. 11, okresem przetwarzania danych jest Okres wskazany w Zamówieniu i obowiązującej Umowie. 

2.3.3. Charakter i cel przetwarzania

Simplenet będzie przetwarzać Dane Klienta w celu świadczenia Usług i powiązanego wsparcia technicznego na rzecz Klienta zgodnie z Umową, niniejszą Umową o ochronie danych i innymi odpowiednimi politykami.

2.3.4. Kategorie osób, których dane dotyczą

Klient może przesyłać Dane Klienta w trakcie korzystania z Usług, których zakres jest ustalany i kontrolowany przez Klienta według jego wyłącznego uznania i który może obejmować między innymi Dane Osobowe dotyczące następujących kategorii osób, których dane dotyczą :

• Potencjalni klienci, partnerzy biznesowi i dostawcy Klienta (będący osobami fizycznymi i prawnymi);
• Pracownicy lub osoby kontaktowe potencjalnych klientów, partnerów biznesowych i dostawców Klienta;
• Pracownicy, agenci, doradcy, freelancerzy Klienta (będący osobami fizycznymi);
• Użytkownicy Klienta upoważnieni przez Klienta do korzystania z Usług;
• Osoby przesyłające dane za pośrednictwem Usług, w tym osoby współpracujące i komunikujące się z Klientem lub użytkownikami końcowymi Klienta;
• Osoby, których dane są przekazywane Simplenet za pośrednictwem Usług przez Klienta lub na polecenie Klienta lub przez użytkowników końcowych Klienta.

2.3.5. Kategorie Danych Osobowych

Klient może przekazywać Dane Klienta w trakcie korzystania z Usług, których zakres jest ustalany i kontrolowany przez Klienta według jego wyłącznego uznania i który może obejmować między innymi Dane Osobowe dotyczące następujących kategorii Danych Osobowych :

• Nazwa
• Adres
• Adres e-mail
• Wszelkie dane osobowe dotyczące poszczególnych osób

2.4. Role Stron

Strony przyjmują do wiadomości i zgadzają się, że:

1. Simplenet jest podmiotem przetwarzającym Dane Klienta zgodnie z europejskimi przepisami o ochronie danych;
2. Klient jest odpowiednio administratorem lub podmiotem przetwarzającym Dane Klienta zgodnie z europejskimi przepisami o ochronie danych; oraz uzyskał wszelkie zgody i prawa niezbędne na mocy Przepisów o ochronie danych, aby Simplenet mógł przetwarzać Dane Klienta i świadczyć Usługi zgodnie z Umową i niniejszym Dodatkiem do ochrony danych.

2.5. Instrukcje dotyczące przetwarzania danych. 

Simplenet będzie przetwarzać Dane Klienta zgodnie z niniejszą Umową o ochronie danych, która stanowi pełne i ostateczne instrukcje Klienta dla Simplenet w związku z przetwarzaniem Danych Klienta. Przetwarzanie wykraczające poza zakres niniejszej Umowy o ochronie danych (jeśli dotyczy) wymaga wcześniejszej pisemnej umowy pomiędzy Simplenet a Klientem w sprawie dodatkowych instrukcji dotyczących przetwarzania. Zawierając niniejszą Umowę o ochronie danych, Klient poleca Simplenet przetwarzanie Danych Klienta wyłącznie zgodnie z obowiązującym prawem:

1. w celu świadczenia Usług oraz powiązanego wsparcia technicznego i innego;
2. zainicjowane przez Klienta i użytkowników końcowych podczas korzystania z Usług; 
3. zgodnie z Umową, Warunkami świadczenia usług, Polityką prywatności i innymi odpowiednimi politykami regulującymi świadczenie Usług oraz związaną z nimi pomoc techniczną i inną.

2.6. Dostęp lub użycie. 

Simplenet nie będzie uzyskiwać dostępu do Danych Klienta ani ich wykorzystywać, z wyjątkiem sytuacji, gdy jest to konieczne do świadczenia Usług i powiązanego wsparcia technicznego na rzecz Klienta zgodnie z Umową Ochrony Danych, Umową i innymi odpowiednimi politykami.

2.6.1. Przetwarzanie Klienta. 

Klient podczas korzystania z Usług będzie przetwarzał swoje Dane zgodnie z wymogami Przepisów o Ochronie Danych oraz mających do niego zastosowanie Rozporządzeniami. Klient ponosi wyłączną odpowiedzialność za dokładność, jakość i legalność swoich Danych oraz środków, za pomocą których Klient uzyskał te Dane.

2.6.2. Przetwarzanie danych klientów przez Simplenet. 

Simplenet będzie przetwarzać Dane Klienta wyłącznie w imieniu i zgodnie z udokumentowanymi instrukcjami Klienta w następujących celach: 

1. Przetwarzanie w celu świadczenia Usług i powiązanego wsparcia technicznego zgodnie z niniejszą Umową Ochrony Danych i obowiązującymi Zamówieniami;
2. Przetwarzanie inicjowane przez Użytkowników podczas korzystania z Usług;
3. Przetwarzanie niezbędne do utrzymania i ulepszania Usług.

2.6.3. Zgodność Simplenet z instrukcjami.  

Od Daty wejścia w życie Simplenet będzie przestrzegać instrukcji opisanych powyżej w Sekcji Instrukcje Klienta, w tym w odniesieniu do przesyłania danych, chyba że prawo UE lub państwa członkowskiego UE, któremu podlega Simplenet, wymaga innego przetwarzania Danych Klienta przez Simplenet, w takim przypadku Simplenet poinformuje Klienta (chyba że prawo zabrania tego Simplenet z ważnych powodów związanych z interesem publicznym) za pośrednictwem Strony lub Adresu e-mail do powiadomień. 

Dostęp do Danych Klienta i ich przetwarzanie może uzyskać Simplenet, Autoryzowani Użytkownicy i Podmioty przetwarzające w celu wypełnienia obowiązków wynikających z niniejszej Umowy o ochronie danych i odpowiedniej Umowy lub w celu świadczenia określonych usług w imieniu Simplenet. Takie przetwarzanie będzie zgodne ze środkami określonymi w Sekcji 3, Sekcji 7 i Załączniku 2. Środki bezpieczeństwa.

2.7. Prawa osób, których dane dotyczą.

2.7.1. Dostęp, sprostowanie, ograniczone przetwarzanie, przenośność.

W obowiązującym Okresie Simplenet w sposób zgodny z funkcjonalnością Usług umożliwi Klientowi dostęp do Danych Klienta, ich poprawianie i ograniczanie, w tym poprzez usunięcie wszystkich lub niektórych Danych Klienta znajdujących się na jego koncie lub usunięcie całe konto zgodnie z opisem w punkcie 2.6. (Zwrot i usunięcie danych klienta) oraz poprzez eksport Danych klienta.

2.7.2. Żądania podmiotu danych.

2.7.2.1. Odpowiedzialność Klienta za żądania. 

Jeżeli w obowiązującym Okresie Simplenet otrzyma od Podmiotu Danych żądanie skorzystania z przysługującego Podmiotowi Danych prawa dostępu, prawa do sprostowania, ograniczenia Przetwarzania, usunięcia („prawo do bycia zapomnianym”), przenoszenia danych, sprzeciwu wobec Przetwarzania lub ma prawo do tego, aby nie podlegać zautomatyzowanemu indywidualnemu podejmowaniu decyzji („Wniosek Podmiotu Danych”), Simplenet doradzi Podmiotowi Danych, aby złożył swoje żądanie Klientowi, a Klient będzie odpowiedzialny za udzielenie odpowiedzi na każde takie żądanie, w tym: w razie potrzeby za pomocą funkcjonalność Usług. Simplenet, w zakresie dozwolonym przez prawo, podejmie uzasadnione z handlowego punktu widzenia kroki, aby powiadomić Klienta o takich żądaniach.

2.7.2.2. Pomoc w prośbie osoby, której dane dotyczą, w Simplenet.  

Biorąc pod uwagę charakter Przetwarzania, Klient wyraża zgodę na to, aby Simplenet zapewnił odpowiednią pomoc techniczną i organizacyjną, o ile jest to możliwe, w celu wywiązania się z obowiązku Klienta w zakresie odpowiadania na żądania Podmiotów Danych, w tym, w stosownych przypadkach, obowiązku Klienta w zakresie odpowiadania na żądania w celu realizacji praw osoby, której dane dotyczą, określonych w rozdziale III RODO, poprzez:

(a) udostępnianie zasobów dokumentacji w postaci samouczków i artykułów bazy wiedzy, funkcjonalności i/lub elementów sterujących w Panelu sterowania, z których Klient może skorzystać w celu prawidłowego skonfigurowania Usług i korzystania z Usług w bezpieczny sposób.

(b) zapewnienie funkcji, funkcjonalności i/lub kontroli w Panelu sterowania, których Klient może użyć w celu odzyskania, poprawienia lub usunięcia Danych Klienta z Usług.

c) przestrzeganie zobowiązań określonych w niniejszej Umowie o ochronie danych.

(d) W zakresie, w jakim Klient podczas korzystania z Usług nie ma możliwości rozpatrzenia Żądania Podmiotu Danych, Simplenet na żądanie Klienta podejmie uzasadnione pod względem handlowym wysiłki, aby pomóc Klientowi w odpowiedzi na takie Żądanie Podmiotu Danych, w zakresie Simplenet jest do tego prawnie upoważniony, a odpowiedź na taki wniosek osoby, której dane dotyczą, jest wymagana zgodnie z przepisami i regulacjami dotyczącymi ochrony danych. W zakresie dozwolonym przez prawo Klient będzie odpowiedzialny za wszelkie koszty wynikające ze świadczenia takiej pomocy przez Simplenet.

Klient pokryje uzasadnione koszty Simplenet świadczenia pomocy, o których mowa w pkt. 2.7.2.2.

2.8. Zwrot i usunięcie danych klienta.

Simplenet umożliwi Klientowi usunięcie Danych Klienta w obowiązującym Okresie w sposób zgodny z funkcjonalnością Usług i funkcjami określonymi w odpowiednim Zamówieniu. Jeżeli Klient korzysta z Usług w celu odzyskania lub usunięcia Danych Klienta, a Danych Klienta nie można odzyskać, stanowi to dla Simplenet polecenie usunięcia odpowiednich Danych Klienta zarchiwizowanych w systemach kopii zapasowych zgodnie z obowiązującym prawem i w terminie maksymalnie 60 dni kalendarzowych dni.  

Dezaktywacja Usług lub wygaśnięcie obowiązującego Okresu stanowi polecenie Simplenet usunięcia Danych Klienta i odpowiednich Danych Klienta zarchiwizowanych w systemach kopii zapasowych w ciągu maksymalnie 60 dni kalendarzowych. 

Żadne z postanowień niniejszego punktu 2.8 nie zmienia ani nie modyfikuje żadnego zobowiązania Simplenet do zatrzymywania niektórych lub wszystkich Danych Klienta, jeśli jest to konieczne do przestrzegania prawa lub ważnego i wiążącego nakazu organu ścigania (takiego jak wezwanie do sądu lub nakaz sądowy). 

2.9. Ujawnienie. 

Simplenet nie ujawni Danych Klienta żadnemu rządowi, organom ścigania ani innym organom, z wyjątkiem sytuacji, gdy jest to konieczne do przestrzegania prawa lub ważnego i wiążącego nakazu organu egzekwowania prawa (takiego jak wezwanie do sądu lub nakaz sądowy).  

2.10. Personel Simplenet. 

Simplenet ogranicza swoim pracownikom możliwość przetwarzania Danych Klienta bez zezwolenia Simplenet. Dostęp do Danych Klienta jest ograniczony do personelu pełniącego rolę i obowiązki zgodnie z Umową.

Simplenet nakłada na swój personel odpowiednie zobowiązania umowne, w tym odpowiednie obowiązki dotyczące poufności, ochrony i bezpieczeństwa danych. Simplenet zapewnia, że ​​zobowiązania dotyczące poufności będą obowiązywać także po zakończeniu zatrudnienia personelu.

2.11. Inspektor ochrony danych.

Simplenet wyznaczył inspektora ochrony danych na potrzeby niniejszej Umowy o ochronie danych i Polityki prywatności, z którym można się skontaktować pod adresem contact@staging.simplenet.site.

3. Podwykonawcy przetwarzania.

3.1. Zgoda na zatrudnienie/mianowanie podprzetwarzających 

Klient przyjmuje do wiadomości i zgadza się, że: 

(a) Partnerzy Simplenet mogą pozostać podmiotami podwykonawczymi przetwarzania; I 

(b) Odpowiednio Simplenet i Partnerzy Simplenet mogą angażować Podwykonawców przetwarzania w związku ze świadczeniem Usług. Simplenet zawarł pisemną umowę z każdym Podwykonawcą przetwarzania, zawierającą obowiązki w zakresie ochrony danych nie mniej ochronne niż te zawarte w niniejszej Umowie Ochrony Danych w odniesieniu do ochrony Danych Klienta w zakresie mającym zastosowanie do charakteru Usług świadczonych przez takich Podwykonawców przetwarzania. Jeżeli Klient zawarł standardowe klauzule umowne (Załącznik 1) zgodnie z opisem w paragrafie 5 (Przekazywanie danych poza EOG), powyższe upoważnienia będą stanowić uprzednią pisemną zgodę Klienta na zlecenie przez Simplenet podwykonawstwa przetwarzania Danych Klienta, jeżeli taka zgoda jest wymagane na mocy standardowych klauzul umownych.

3.2. Informacje o podprzetwarzających/Powiadomienie o nowych Podprzetwarzających.

3.2.1. Simplenet udostępni informacje o Tobie Podwykonawcom przetwarzania, takim jak Podwykonawca/podmioty przetwarzające, którzy zajmują się świadczeniem Usług objętych Twoją Umową i którzy mają siedzibę na terytorium Unii Europejskiej i Stanów Zjednoczonych, dostawcom usług Data Center, którzy są z siedzibą na terenie Unii Europejskiej, Stanów Zjednoczonych, Australii i Singapuru. Ci Podwykonawcy przetwarzania będą przetwarzać przekazane dane zgodnie z instrukcjami Simplenet i zgodnie z naszą Polityką prywatności i niniejszą Umową o ochronie danych. Nie upoważniamy Podwykonawców przetwarzania do zatrzymywania, udostępniania, przechowywania lub wykorzystywania danych osobowych użytkownika do jakichkolwiek drugorzędnych celów. 

3.2.2. W przypadku zaangażowania nowego Podwykonawcy przetwarzania będącego stroną trzecią do przetwarzania jakichkolwiek Danych Klienta w związku ze świadczeniem odpowiednich Usług w obowiązującym Okresie obowiązywania niniejszej Umowy o ochronie danych, Simplenet poinformuje Klienta o tym zaangażowaniu, podając kategorię i lokalizację odpowiedniego podwykonawcy -podmiot przetwarzający i czynności, które ma on wykonać, co najmniej 10 dni kalendarzowych przed autoryzacją nowego Podmiotu przetwarzającego będącego Stroną Trzecią poprzez wysłanie wiadomości e-mail na Adres e-mail powiadomienia lub za pośrednictwem Strefy użytkownika.

3.3. Wymagania dotyczące zaangażowania podwykonawcy przetwarzania.

Angażując dowolnego Podprzetwarzającego, Simplenet:

a) zapewniają w drodze pisemnej umowy, że:

(i) Podwykonawca uzyskuje dostęp do Danych Klienta i wykorzystuje je wyłącznie w zakresie niezbędnym do wykonania obowiązków zleconych mu podwykonawcom i robi to zgodnie z obowiązującą Umową (w tym niniejszą Zmianą dotyczącą przetwarzania danych) oraz wszelkimi zawartymi standardowymi klauzulami umownymi lub alternatywnymi Rozwiązanie do przesyłania danych przyjęte przez Simplenet zgodnie z opisem w Rozdziale 5 (Przekazywanie danych poza EOG); I

(ii) jeżeli do przetwarzania danych klientów Klienta ma zastosowanie RODO, na Podprzetwarzającego nakładane są obowiązki w zakresie ochrony danych określone w art. 28 ust. 3 RODO, opisane w niniejszej Nowelizacji o przetwarzaniu danych; I

(b) pozostaje w pełni odpowiedzialny za wszystkie zlecone mu zobowiązania oraz za wszelkie działania i zaniechania Podwykonawcy przetwarzania.

3.4. Prawo sprzeciwu dla nowych podwykonawców przetwarzania. 

3.4.1. Klient może sprzeciwić się nowemu Podwykonawcy Przetwarzania będącego Stroną Zewnętrzną, rozwiązując odpowiednią Umowę natychmiast po pisemnym powiadomieniu Simplenet, pod warunkiem, że Klient przekaże takie powiadomienie w ciągu 10 dni kalendarzowych od otrzymania informacji o zaangażowaniu podprzetwarzającego. To prawo do rozwiązania umowy stanowi jedyny i wyłączny środek prawny przysługujący Klientowi w przypadku sprzeciwu Klienta wobec nowego Podwykonawcy przetwarzania będącego stroną trzecią.

3.4.2. Simplenet zwróci Klientowi wszelkie przedpłacone opłaty pokrywające pozostały okres obowiązywania takich Zamówień po dacie wejścia w życie rozwiązania w odniesieniu do takich zakończonych Usług, bez nałożenia na Klienta kary za takie rozwiązanie.

4. Oceny skutków, konsultacje. Składowanie. 

4.1. Oceny skutków i konsultacje. 

Na żądanie Klienta Simplenet zapewni Klientowi uzasadnioną współpracę i pomoc niezbędną do wywiązania się z obowiązku Klienta wynikającego z RODO, polegającego na przeprowadzeniu oceny skutków dla ochrony danych w związku z korzystaniem przez Klienta z Usług, w zakresie, w jakim Klient nie ma w inny sposób dostępu do odpowiednie informacje oraz w zakresie, w jakim Simplenet ma do nich dostęp. Simplenet zapewni Klientowi uzasadnioną pomoc we współpracy lub wcześniejszych konsultacjach z Organem Nadzorczym w wykonywaniu jego zadań związanych z niniejszą Umową Ochrony Danych, w zakresie wymaganym na mocy RODO.

5. Transfery poza EOG.

5.1. Centrum danych i pamięć masowa

Simplenet przechowuje i przetwarza Dane Klienta w Centrach Danych zlokalizowanych na terenie Unii Europejskiej i poza nią. Informacje o lokalizacjach naszych centrów danych są dostępne w bazie wiedzy i Simplenet zastrzega sobie prawo do ich okresowej aktualizacji.

Klient może określić lokalizację Centrum Danych, w którym będą przechowywane jego Dane Klienta. Klient zgadza się, że Simplenet może zmienić lokalizację Centrów Danych i przenieść Dane Klienta do innego Centrum Danych. Simplenet poinformuje Klienta co najmniej 10 dni kalendarzowych przed przeniesieniem Danych Klienta do nowego Centrum Danych, wysyłając wiadomość e-mail na Adres e-mail powiadomień lub za pośrednictwem Strefy użytkownika. Jeżeli zmiana Centrum Danych skutkuje przechowywaniem Danych Klienta pod inną jurysdykcją, Klient może sprzeciwić się takiej zmianie poprzez natychmiastowe rozwiązanie Umowy i za pisemnym powiadomieniem Simplenet, pod warunkiem, że Klient przekaże takie powiadomienie w ciągu 10 dni kalendarzowych od dnia otrzymania informacji o zmianie Data Center.

Klient może w każdej chwili przenieść swoje Konto oraz Dane Klienta do innej lokalizacji Data Center, o ile funkcjonalność Usług na to pozwala i za dodatkową opłatą. Po dokonaniu przez Klienta wyboru i określeniu lokalizacji Centrum Danych na terenie Unii Europejskiej, Simplenet nie będzie przechowywać Danych Klienta poza granicami Unii Europejskiej, chyba że będzie to konieczne do zachowania zgodności z prawem lub ważnym i wiążącym nakazem organu ścigania (np. w formie wezwania do sądu lub postanowienia sądu).

5.2. Lokalizacje przetwarzania

W zakresie, w jakim Klient wskazał Centrum Danych poza Europejskim Obszarem Gospodarczym oraz w zakresie, w jakim Simplenet świadczy Usługi oraz związaną z nimi pomoc techniczną i inną, Klient wyraża zgodę na to, że Simplenet może, z zastrzeżeniem punktu 5, uzyskiwać dostęp do Danych Klienta i je przetwarzać w EOG, Stany Zjednoczone i inne kraje, w których Simplenet i/lub jego partnerzy i podwykonawcy przetwarzania mają centra danych, obiekty lub prowadzą operacje przetwarzania danych. Jeżeli przechowywanie i/lub przetwarzanie Danych Klienta wiąże się z przetwarzaniem Danych Klienta poza EOG i obowiązuje Europejskie Przepisy o Ochronie Danych, Klient zgadza się, że Simplenet w uzasadniony sposób wymaga od Klienta zawarcia Modelowych Klauzul Umownych w odniesieniu do takich transferów zgodnie z ust. 5.2 i Załącznikiem 1, a Klient wyraża na to zgodę.

5.3. Mechanizm transferu

W zakresie, w jakim Simplenet przetwarza lub przekazuje (bezpośrednio lub w drodze dalszego przekazywania) Dane Klienta na mocy niniejszej Umowy o ochronie danych z Unii Europejskiej, Europejskiego Obszaru Gospodarczego i/lub ich państw członkowskich oraz Szwajcarii do lub do krajów, które nie zapewniają odpowiedniego poziomu ochrony danych w rozumieniu obowiązujących przepisów o ochronie danych na powyższych terytoriach strony postanawiają, że:

1. Do przekazywanych Danych Klienta mają zastosowanie standardowe klauzule umowne (załącznik 1).
2. Uważa się, że Simplenet zapewnia odpowiednie zabezpieczenia w celu ochrony Danych Klienta poprzez udostępnienie standardowych klauzul umownych (Załącznik 1) jako mechanizmu przesyłania.
3. Klient niniejszym zezwala na transfer lub dostęp do Danych Klienta z takich miejsc poza Europejskim Obszarem Gospodarczym, z zastrzeżeniem któregokolwiek z powyższych środków;

6. Przetwarzanie zapisów.

Klient przyjmuje do wiadomości, że Simplenet jest zobowiązany na mocy RODO do:

a) gromadzi i prowadzi rejestr niektórych informacji, w tym nazwiska i danych kontaktowych każdego podmiotu przetwarzającego i/lub administratora, w imieniu którego działa Simplenet, oraz, w stosownych przypadkach, lokalnego przedstawiciela takiego podmiotu przetwarzającego lub administratora oraz inspektora ochrony danych; I 

b) udostępniają takie informacje organom nadzorczym. W związku z tym, jeżeli do przetwarzania danych Klienta ma zastosowanie RODO, Klient, na żądanie, przekaże Simplenet takie informacje za pośrednictwem Witryny lub w inny sposób udostępniony przez Simplenet oraz będzie korzystał ze Strony lub w inny sposób, aby zapewnić, że wszystkie przekazane informacje jest dokładny i aktualny.

7. Obowiązki związane z bezpieczeństwem Simplenetu.

7.1. Simplenet wdroży i będzie utrzymywać środki techniczne i organizacyjne w celu ochrony Danych Klienta przed przypadkowym lub niezgodnym z prawem zniszczeniem, utratą, zmianą, nieuprawnionym ujawnieniem lub dostępem, zgodnie z opisem w Załączniku 2 („Środki bezpieczeństwa”). Jak opisano w Załączniku 2, Środki Bezpieczeństwa obejmują środki zapewniające szyfrowaną transmisję danych klientów poza środowiskiem Usługi; aby pomóc w zapewnieniu ciągłej poufności, integralności, dostępności i odporności systemów i usług Simplenet; aby pomóc w szybkim przywróceniu dostępu do Danych Klienta z dostępnej kopii zapasowej dostarczonej przez Usługi Simplenet Backup Services lub z własnej kopii zapasowej Klienta po incydencie; oraz do regularnego testowania skuteczności. Simplenet może od czasu do czasu aktualizować lub modyfikować Środki bezpieczeństwa, pod warunkiem, że takie aktualizacje i modyfikacje nie spowodują pogorszenia ogólnego bezpieczeństwa Usług.

7.2. Obowiązki i ocena Klienta w zakresie bezpieczeństwa.

Klient zgadza się, że bez uszczerbku dla obowiązków Simplenet wynikających z Sekcji 7. (Obowiązki Simplenet w zakresie bezpieczeństwa) i innych odpowiednich sekcji niniejszej Umowy o ochronie danych: 

1. Klient ponosi wyłączną odpowiedzialność za korzystanie z Usług, w tym za:
   1. odpowiednie korzystanie z Usług w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka w odniesieniu do Danych Klienta;
   2. zabezpieczanie danych uwierzytelniających konta, systemów i urządzeń, których Klient używa w celu uzyskania dostępu do Usług; 
   3. zapewnienie, że wszystkie programy, skrypty, dodatki, wtyczki i inne oprogramowanie zainstalowane na koncie są bezpieczne, a ich użycie nie stwarza żadnego zagrożenia bezpieczeństwa w odniesieniu do Danych Klienta i samego konta;
   4. zabezpieczenie wszystkich zainstalowanych programów, skryptów, dodatków, wtyczek i innego oprogramowania, ich konfiguracja i regularna konserwacja;
   5. dowolna zawartość konta;  
   6. wszelkie działania i aktywność na koncie; I
   7. tworzenie kopii zapasowych Danych Klienta; I
2. Simplenet nie ma obowiązku ochrony Danych Klienta, które Klient zdecyduje się przechowywać lub przesyłać poza systemami Simplenet i jego Podprocesorów (na przykład przechowywanie w trybie offline lub lokalnie), ani ochrony Danych Klienta poprzez wdrażanie lub utrzymywanie Dodatkowych kontroli bezpieczeństwa z wyjątkiem zakresu, w jakim Klient zdecydował się z nich skorzystać.
3. Klient ponosi wyłączną odpowiedzialność za zapoznanie się z dokumentacją i ocenę, czy Usługi, Środki bezpieczeństwa, zobowiązania Simplenet określone w niniejszym paragrafie i poniższe elementy odpowiadają potrzebom Klienta, w tym wszelkim obowiązkom Klienta w zakresie bezpieczeństwa wynikającym z europejskiego ustawodawstwa dotyczącego ochrony danych i/lub nie- Europejskie przepisy dotyczące ochrony danych, jeśli mają zastosowanie.
4. Klient przyjmuje do wiadomości i zgadza się, że (biorąc pod uwagę koszty wdrożenia oraz charakter, zakres, kontekst i cel przetwarzania danych Klienta, a także ryzyko dla osób fizycznych) Środki bezpieczeństwa wdrożone i utrzymywane przez Simplenet zgodnie z sekcją 7.1 . zapewnić niezbędny poziom bezpieczeństwa, odpowiedni do ryzyka w odniesieniu do Danych Klienta.
5. Obowiązkiem Klienta jest wykonanie kopii zapasowej Danych Klienta oraz wszystkich danych i zgód przechowywanych na koncie, aby zapobiec potencjalnej utracie danych.
   1. Usługi Simplenet Backup są świadczone w stanie „tak jak są” i podlegają wszelkim ograniczeniom odpowiedzialności określonym w obowiązującej Umowie.
   2. Nawet jeśli Klient zakupi Usługi tworzenia kopii zapasowych, zgadza się, że będzie utrzymywał własny zestaw kopii zapasowych, niezależny od tych utrzymywanych przez Simplenet, oraz że jedynym obowiązkiem Simplenet jest przywrócenie miejsca na koncie do stanu operacyjnego. W przypadku incydentu, awarii sprzętu lub oprogramowania bądź przypadkowego uszkodzenia lub utraty danych Simplenet może udzielić pomocy, ale przywrócenie Danych Klienta jest wyłącznym obowiązkiem Klienta.  
   3. W przypadku częściowej lub całkowitej utraty lub uszkodzenia danych oraz w przypadku, gdy Klient nie jest usatysfakcjonowany wynikiem przywrócenia danych za pomocą Usług kopii zapasowych Simplenet lub kopia zapasowa Simplenet nie jest aktualna lub nie nadaje się do przywrócenia, obowiązkiem Klienta będzie przywrócić Dane Klienta, jego pliki i wszelkie dane na koncie z własnej kopii zapasowej Klienta.

8. Przegląd i audyty zgodności.

Jeżeli do przetwarzania Danych Klienta mają zastosowanie europejskie przepisy dotyczące ochrony danych:

1. Klient ma prawo sprawdzić, czy Simplenet wywiązuje się ze swoich obowiązków wynikających z niniejszej Umowy o ochronie danych, przeprowadzając przegląd dokumentacji lub audyt, w tym inspekcje, prowadzony przez Klienta lub niezależnego audytora wyznaczonego przez Klienta, składając Simplenet specjalny wniosek w formie pisemnej na adres podany w odpowiednim Regulaminie. 
2. Simplenet udzieli ponadto pisemnych odpowiedzi na wszelkie uzasadnione żądania Klienta i może pobrać opłatę za przegląd lub audyt. Simplenet przekaże szczegółowe informacje na temat wszelkich obowiązujących opłat przed takim audytem, ​​a Klient będzie odpowiedzialny za wszelkie opłaty pobierane przez audytora oraz wszelkie opłaty związane z przeprowadzeniem audytu. Raporty z każdego takiego audytu zostaną udostępnione Simplenet bez ograniczeń co do celów ich dalszego wykorzystania przez Simplenet.
3. Simplenet może wyrazić sprzeciw i odmówić na piśmie Klientowi lub audytorowi wyznaczonemu przez Klienta przeprowadzenia audytu, jeżeli Klient lub audytor, w uzasadnionej opinii Simplenet, nie są odpowiednio wykwalifikowani lub niezależni, są konkurentami Simplenet lub z innych powodów są wyraźnie nieodpowiedni.
4. Jeżeli Simplenet odmówi zastosowania się do jakichkolwiek instrukcji żądanych przez Klienta lub audytora w związku z prawidłowo żądanym audytem lub inspekcją o określonym zakresie, Klient ma prawo rozwiązać niniejszą Umowę Ochrony Środowiska i Warunki świadczenia usług.

Żadne z postanowień niniejszej sekcji 8 (Przegląd i audyty zgodności) nie zmienia ani nie modyfikuje jakichkolwiek praw lub obowiązków Klienta lub Simplenet wynikających z jakichkolwiek modelowych klauzul umownych zawartych zgodnie z opisem w sekcji 5 (Transfer danych poza EOG).

9. Powiadomienie o naruszeniu bezpieczeństwa. 

9.1. Simplenet utrzymuje zasady i procedury zarządzania incydentami bezpieczeństwa i powiadomi Klienta bez zbędnej zwłoki po uzyskaniu wiedzy o przypadkowym lub niezgodnym z prawem zniszczeniu, utracie, zmianie, nieuprawnionym ujawnieniu lub dostępie do Danych Klienta, w tym danych Klienta przesyłanych, przechowywanych lub w inny sposób Przetwarzanych przez Simplenet lub jego Podwykonawcy przetwarzania, o których Simplenet się dowie („Incydent dotyczący danych klienta”). Simplenet dołoży wszelkich starań, aby zidentyfikować przyczynę takiego Incydentu dotyczącego danych klienta i podejmie kroki, jakie Simplenet uzna za konieczne i uzasadnione, w celu usunięcia przyczyny takiego Incydentu związanego z danymi klienta w zakresie, w jakim Simplenet ma nad tym uzasadnioną kontrolę. Obowiązki zawarte w niniejszym Regulaminie nie mają zastosowania do zdarzeń, których przyczyną jest Klient, korzystanie przez Klienta z Usług, działania lub działania Klienta lub Użytkownicy Klienta.

9.2. Powiadomienia dokonane zgodnie z tą sekcją będą opisywać, w miarę możliwości, szczegóły Zdarzenia dotyczącego danych, w tym kroki podjęte w celu ograniczenia potencjalnego ryzyka oraz kroki, które Simplenet zaleca Klientowi podjąć w celu zaradzenia Zdarzeniu dotyczącemu danych. 

9.3. Powiadomienia o wszelkich zdarzeniach związanych z danymi będą dostarczane na adres e-mail powiadomień lub, według uznania Simplenet, w drodze bezpośredniej komunikacji (na przykład rozmowy telefonicznej). Klient ponosi wyłączną odpowiedzialność za zapewnienie, że adres e-mail do powiadomień oraz dane kontaktowe są aktualne i ważne.

9.4. Simplenet nie będzie oceniać zawartości Danych Klienta w celu identyfikacji informacji podlegających szczególnym wymogom prawnym. Klient ponosi wyłączną odpowiedzialność za przestrzeganie obowiązujących go przepisów dotyczących powiadamiania o incydentach oraz za wypełnianie wszelkich obowiązków powiadamiania osób trzecich w związku z dowolnymi zdarzeniami dotyczącymi danych.

9,5. Powiadomienie Simplenet o Incydencie dotyczącym danych lub odpowiedź na niego zgodnie z postanowieniami niniejszego punktu 10 nie będą interpretowane jako potwierdzenie przez Simplenet jakiejkolwiek winy lub odpowiedzialności w związku z Incydentem dotyczącym danych.

10. Odpowiedzialność i odszkodowanie.

10.1. Klient zabezpieczy Simplenet i zapewni zabezpieczenie Simplenet w odniesieniu do wszelkich naruszeń ochrony danych i strat poniesionych lub poniesionych w wyniku lub w związku z:

(a) wszelkie nieprzestrzeganie przez Klienta przepisów i regulacji dotyczących ochrony danych;

(b) jakiekolwiek naruszenie przez Klienta obowiązków w zakresie ochrony danych wynikających z niniejszej Umowy; 

10.2. Simplenet ponosi odpowiedzialność za naruszenia ochrony danych i straty spowodowane przetwarzaniem Danych Klienta wyłącznie w zakresie bezpośrednio wynikającym z niewypełnienia przez Simplenet swoich obowiązków jako Przetwarzającego Dane zgodnie z przepisami i regulacjami dotyczącymi ochrony danych.

11. Zakończenie

Niniejsza Umowa o ochronie danych zacznie obowiązywać od Daty wejścia w życie do zakończenia świadczenia Usług przez Simplenet zgodnie z odpowiednią Umową, włączając, jeśli ma to zastosowanie, dowolny okres, w którym Usługi mogły zostać zawieszone, oraz każdy okres po rozwiązaniu umowy (mianowicie 60 dni kalendarzowych). podczas którego Simplenet może w dalszym ciągu świadczyć Usługi w celach przejściowych („Okres obowiązywania”). Umowa DPA wygaśnie automatycznie po usunięciu wszystkich Danych Klienta przez Simplenet.

12. Skutek prawny.

W zakresie jakiegokolwiek konfliktu lub niespójności pomiędzy warunkami niniejszej Umowy o ochronie danych a pozostałą częścią obowiązującej Umowy dotyczącej przetwarzania danych klienta, zastosowanie mają postanowienia niniejszej Umowy o ochronie danych. Z zastrzeżeniem ewentualnych zmian w niniejszej Umowie Ochrony Danych, Umowa taka pozostaje w pełnej mocy i skuteczności. Dla jasności, jeśli Klient zawarł więcej niż jedną Umowę, niniejszy DPA zmieni każdą z Umów osobno.

---

Załącznik 1

STANDARDOWE KLAUZULE UMOWNE (PRZETWARZAJĄCY)

Do celów art. 26 ust. 2 dyrektywy 95/46/WE w przypadku przekazywania danych osobowych podmiotom przetwarzającym mającym siedzibę w państwach trzecich, które nie zapewniają odpowiedniego poziomu ochrony danych

Podmiot wskazany jako „Klient” w Umowie powierzenia przetwarzania danych 

(eksporter danych)

I

Simplenet Hosting SRL

(odbiorca danych)

każdy jest „imprezą”; razem „strony”,

ZGADZAŁY się na następujące klauzule umowne („klauzule”) w celu zapewnienia odpowiednich zabezpieczeń w odniesieniu do ochrony prywatności oraz podstawowych praw i wolności osób fizycznych w zakresie przekazywania przez przekazującego dane podmiotowi odbierającemu dane osobowe określone w dodatku 1 .

Klauzula 1

Definicje

Na potrzeby Klauzul:

a) „dane osobowe”, „szczególne kategorie danych”, „proces/przetwarzanie”, „administrator”, „podmiot przetwarzający”, „osoba, której dane dotyczą” i „organ nadzorczy” mają takie samo znaczenie jak w dyrektywie 95/46/ WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych;

b) „przekazujący dane” oznacza administratora, który przekazuje dane osobowe;

c) „odbiorca danych” oznacza podmiot przetwarzający, który wyraża zgodę na otrzymanie od przekazującego dane danych osobowych przeznaczonych do przetwarzania w jego imieniu po przekazaniu zgodnie z jego instrukcjami i warunkami określonymi w klauzulach oraz który nie podlega przepisom państwa trzeciego system zapewniający odpowiednią ochronę w rozumieniu art. 25 ust. 1 dyrektywy 95/46/WE;

d) „podprzetwarzający” oznacza dowolny podmiot przetwarzający zaangażowany przez odbierającego dane lub przez innego podprzetwarzającego podmiotu odbierającego dane, który wyraża zgodę na otrzymywanie od odbierającego dane lub od jakiegokolwiek innego podprzetwarzającego podmiotu odbierającego dane wyłącznie danych osobowych przeznaczone do czynności przetwarzania, które mają być prowadzone w imieniu przekazującego dane po przekazaniu zgodnie z jego instrukcjami, warunkami Klauzul i warunkami pisemnej umowy podwykonawstwa;

e) „obowiązujące prawo o ochronie danych” oznacza ustawodawstwo chroniące podstawowe prawa i wolności osób fizycznych, w szczególności ich prawo do prywatności w związku z przetwarzaniem danych osobowych, mające zastosowanie do administratora danych w państwie członkowskim, w którym znajduje się ustanowiono podmiot przekazujący dane;

f) „techniczne i organizacyjne środki bezpieczeństwa” oznaczają środki mające na celu ochronę danych osobowych przed przypadkowym lub niezgodnym z prawem zniszczeniem lub przypadkową utratą, zmianą, nieuprawnionym ujawnieniem lub dostępem, w szczególności gdy przetwarzanie wiąże się z przesyłaniem danych przez sieć, oraz przed wszelkie inne niezgodne z prawem formy przetwarzania.

Klauzula 2

Szczegóły przelewu

Szczegóły przekazania, a w szczególności szczególne kategorie danych osobowych, jeśli mają one zastosowanie, określone są w Załączniku nr 1, który stanowi integralną część Klauzul.

Klauzula 3

Klauzula beneficjenta będącego stroną trzecią

1. Osoba, której dane dotyczą, może egzekwować wobec przekazującego dane postanowienia niniejszej Klauzuli, Klauzuli 4(b) do (i), Klauzuli 5(a) do (e) i (g) do (j), Klauzuli 6(1) i ( 2), klauzuli 7, klauzuli 8 ust. 2 i klauzul 9 do 12 jako beneficjent zewnętrzny.

2. Osoba, której dane dotyczą, może egzekwować wobec odbierającego dane postanowienia niniejszej klauzuli, klauzuli 5 lit. a) do e) i g), klauzuli 6, klauzuli 7, klauzuli 8 ust. 2 i klauzul 9 do 12, w przypadkach, gdy przekazujący dane faktycznie zniknął lub przestał istnieć prawnie, chyba że jakikolwiek podmiot będący jego następcą przejął na mocy umowy lub z mocy prawa wszystkie obowiązki prawne przekazującego dane, w wyniku czego przejmuje prawa i obowiązki podmiotu przekazującego dane przekazującego dane, w takim przypadku osoba, której dane dotyczą, może je egzekwować od takiego podmiotu.

3. Osoba, której dane dotyczą, może egzekwować wobec podprzetwarzającego postanowienia niniejszej klauzuli, klauzuli 5 lit. a) do e) i g), klauzuli 6, klauzuli 7, klauzuli 8 ust. 2 i klauzul 9 do 12, w przypadkach, gdy zarówno przekazujący dane, jak i odbierający dane faktycznie zniknęli lub przestali istnieć prawnie lub stali się niewypłacalni, chyba że jakikolwiek podmiot będący jego następcą przejął na mocy umowy lub z mocy prawa wszystkie zobowiązania prawne przekazującego dane w wyniku czego przejmuje prawa i obowiązki przekazującego dane, w takim przypadku osoba, której dane dotyczą, może je egzekwować od takiego podmiotu. Taka odpowiedzialność wobec osób trzecich podprzetwarzającego będzie ograniczona do jego własnych operacji przetwarzania zgodnie z postanowieniami Klauzul.

4. Strony nie sprzeciwiają się reprezentowaniu osoby, której dane dotyczą, przez stowarzyszenie lub inny organ, jeżeli osoba, której dane dotyczą, wyraźnie sobie tego życzy i jeżeli pozwala na to prawo krajowe.

Klauzula 4

Obowiązki przekazującego dane

Podmiot przekazujący dane wyraża zgodę i gwarantuje:

(a) że przetwarzanie, w tym samo przekazywanie danych osobowych, było i będzie kontynuowane zgodnie z odpowiednimi przepisami obowiązującego prawa o ochronie danych (oraz, w stosownych przypadkach, zostało zgłoszone odpowiednim organom państwa członkowskiego, w którym ma siedzibę przekazujący dane) i nie narusza odpowiednich przepisów tego państwa;

(b) że poinstruował i przez cały okres świadczenia usług przetwarzania danych osobowych będzie poinstruował podmiot odbierający dane, aby przetwarzał przekazane dane osobowe wyłącznie w imieniu podmiotu przekazującego dane oraz zgodnie z obowiązującym prawem o ochronie danych i postanowieniami;

c) że odbierający dane zapewni wystarczające gwarancje w odniesieniu do technicznych i organizacyjnych środków bezpieczeństwa określonych w dodatku 2 do niniejszej umowy;

d) czy po ocenie wymogów obowiązującego prawa o ochronie danych środki bezpieczeństwa są odpowiednie, aby chronić dane osobowe przed przypadkowym lub niezgodnym z prawem zniszczeniem lub przypadkową utratą, zmianą, nieuprawnionym ujawnieniem lub dostępem, w szczególności gdy przetwarzanie wiąże się z przesyłaniem danych w sieci oraz przed wszelkimi innymi niezgodnymi z prawem formami przetwarzania oraz że środki te zapewniają poziom bezpieczeństwa odpowiedni do zagrożeń, jakie stwarza przetwarzanie oraz charakteru danych, które mają być chronione, z uwzględnieniem aktualnego stanu wiedzy i koszt ich wdrożenia;

e) że zapewni przestrzeganie środków bezpieczeństwa;

f) że jeżeli przekazanie obejmuje szczególne kategorie danych, osoba, której dane dotyczą, została poinformowana lub zostanie poinformowana przed przekazaniem lub tak szybko, jak to możliwe po przekazaniu, że jej dane mogą zostać przesłane do państwa trzeciego, które nie zapewnia odpowiedniej ochrony w znaczenie dyrektywy 95/46/WE;

(g) przekazać wszelkie powiadomienia otrzymane od odbierającego dane lub dowolnego podprzetwarzającego zgodnie z klauzulą ​​5 lit. b) i klauzulą ​​8 ust. 3 organowi nadzorczemu ds. ochrony danych, jeżeli przekazujący dane zdecyduje się kontynuować przekazywanie danych lub znieść zawieszenie ;

(h) udostępnić osobom, których dane dotyczą, na żądanie kopię Klauzul, z wyjątkiem Załącznika 2, oraz skrócony opis środków bezpieczeństwa, a także kopię wszelkiej umowy o usługi podprzetwarzania, która musi być dokonane zgodnie z Klauzulami, chyba że Klauzule lub umowa zawierają informacje handlowe, w takim przypadku może je usunąć;

(i) że w przypadku podprzetwarzania czynność przetwarzania prowadzona jest zgodnie z klauzulą ​​11 przez podprzetwarzającego zapewniającego co najmniej taki sam poziom ochrony danych osobowych i praw podmiotu danych, jak podmiot danych importer zgodnie z Klauzulami; I

(j) że zapewni zgodność z klauzulą ​​4(a) do (i).

Klauzula 5

Obowiązki odbierającego dane [1]

Odbierający dane zgadza się i gwarantuje:

a) do przetwarzania danych osobowych wyłącznie w imieniu przekazującego dane i zgodnie z jego instrukcjami i postanowieniami; jeżeli z jakichkolwiek powodów nie może zapewnić takiej zgodności, wyraża zgodę na niezwłoczne poinformowanie przekazującego dane o swojej niemożności spełnienia wymagań, w którym to przypadku podmiot przekazujący dane jest uprawniony do zawieszenia przekazywania danych i/lub rozwiązania umowy;

b) że nie ma powodu sądzić, że mające do niego zastosowanie ustawodawstwo uniemożliwia mu wykonanie instrukcji otrzymanych od podmiotu przekazującego dane oraz wykonanie jego obowiązków wynikających z umowy oraz że w przypadku zmiany tego ustawodawstwa, która może mieć istotny niekorzystny wpływ na gwarancje i obowiązki przewidziane w klauzulach, niezwłocznie powiadomi o zmianie podmiot przekazujący dane, gdy tylko się o tym dowie, w którym to przypadku podmiot przekazujący dane jest uprawniony do zawieszenia przekazywania danych i/lub rozwiązania umowy ;

(c) że wdrożył techniczne i organizacyjne środki bezpieczeństwa określone w załączniku nr 2 przed przetwarzaniem przekazanych danych osobowych;

d) że niezwłocznie powiadomi podmiot przekazujący dane o:

(i) każdy prawnie wiążący wniosek o ujawnienie danych osobowych złożony przez organ egzekwowania prawa, chyba że jest to zabronione inaczej, na przykład na mocy prawa karnego zakaz zachowania poufności dochodzenia prowadzonego przez organy ścigania;

(ii) wszelki przypadkowy lub nieuprawniony dostęp; I

(iii) wszelki wniosek otrzymany bezpośrednio od osób, których dane dotyczą, bez odpowiedzi na to żądanie, chyba że został do tego upoważniony w inny sposób;

e) szybkiego i prawidłowego rozpatrywania wszelkich zapytań przekazującego dane w związku z przetwarzaniem przez niego danych osobowych będących przedmiotem przekazania oraz stosowania się do rad organu nadzorczego w odniesieniu do przetwarzania przekazywanych danych;

f) na żądanie przekazującego dane przedłożenie swoich urządzeń do przetwarzania danych w celu audytu czynności przetwarzania objętych postanowieniami niniejszych klauzul, który będzie prowadzony przez przekazującego dane lub organ kontrolujący składający się z niezależnych członków i posiadający wymagane kwalifikacje zawodowe objęte obowiązkiem zachowania poufności, wybrane przez przekazującego dane, jeżeli ma to zastosowanie, w porozumieniu z organem nadzorczym;

(g) udostępnić osobie, której dane dotyczą, na jej żądanie kopię Klauzul lub istniejącej umowy o powierzenie przetwarzania, chyba że Klauzule lub umowa zawierają informacje handlowe – w takim przypadku może usunąć takie informacje handlowe, z wyjątkiem dodatek 2, który zastępuje się skróconym opisem środków bezpieczeństwa stosowanych w przypadkach, gdy osoba, której dane dotyczą, nie może uzyskać kopii od przekazującego dane;

h) że w przypadku podprzetwarzania poinformował wcześniej podmiot przekazujący dane i uzyskał jego uprzednią pisemną zgodę;

(i) że usługi przetwarzania przez podprzetwarzającego będą świadczone zgodnie z klauzulą ​​11;

(j) do niezwłocznego przesłania podmiotowi przekazującemu dane kopii każdej umowy o podwykonawstwo przetwarzania, którą zawiera na mocy niniejszych Klauzul.

Klauzula 6

Obciążenie

1. Strony postanawiają, że każda osoba, której dane dotyczą, która poniosła szkodę w wyniku naruszenia przez którąkolwiek stronę lub podwykonawcę obowiązków, o których mowa w ust. 3 lub ust. 11, jest uprawniona do otrzymania odszkodowania od przekazującego dane za poniesione szkody.

2. Jeżeli osoba, której dane dotyczą, nie ma możliwości wystąpienia z roszczeniem o odszkodowanie zgodnie z ust. 1 przeciwko przekazicielowi danych, wynikającemu z naruszenia przez odbierającego dane lub jego podprzetwarzającego któregokolwiek z obowiązków, o których mowa w ust. 3 lub w klauzuli 11, ponieważ przekazujący dane faktycznie zniknął lub przestał istnieć prawnie lub stał się niewypłacalny, odbierający dane wyraża zgodę na to, aby osoba, której dane dotyczą, mogła wystąpić z roszczeniem wobec odbierającego dane, tak jakby to był przekazujący dane, chyba że jakikolwiek następca podmiotu przejął całość zobowiązań prawnych przekazującego dane na podstawie umowy lub z mocy prawa, w którym to przypadku osoba, której dane dotyczą, może dochodzić swoich praw wobec takiego podmiotu.

Odbiorca danych nie może powoływać się na naruszenie przez podprzetwarzającego swoich obowiązków w celu uniknięcia własnej odpowiedzialności.

3. Jeżeli osoba, której dane dotyczą, nie ma możliwości dochodzenia roszczeń wobec przekazującego dane lub odbierającego dane, o których mowa w ust. 1 i 2, wynikających z naruszenia przez podprzetwarzającego któregokolwiek z obowiązków, o których mowa w ust. 3 lub w Klauzuli 11, ponieważ zarówno przekazujący, jak i odbierający dane faktycznie zniknęli lub przestali istnieć prawnie lub stali się niewypłacalni, podprzetwarzający wyraża zgodę na to, aby osoba, której dane dotyczą, mogła zgłosić roszczenie wobec danych podwykonawca przetwarzania w odniesieniu do swoich własnych operacji przetwarzania zgodnie z Klauzulami tak, jakby był przekazującym lub odbierającym dane, chyba że jakikolwiek podmiot będący następcą przejęcia przejął na mocy umowy lub z mocy prawa wszystkie obowiązki prawne przekazującego lub odbierającego dane, w takim przypadku osoba, której dane dotyczą, może dochodzić swoich praw wobec takiego podmiotu. Odpowiedzialność podprzetwarzającego ogranicza się do jego własnych operacji przetwarzania zgodnie z postanowieniami Klauzul.

Klauzula 7

Mediacja i jurysdykcja

1. Odbierający dane zgadza się, że jeśli osoba, której dane dotyczą, powołuje się przeciwko niej na prawa osób trzecich i/lub żąda odszkodowania za szkody na podstawie Klauzul, odbierający dane zaakceptuje decyzję osoby, której dane dotyczą:

a) skierowanie sporu do mediacji przez niezależną osobę lub, w stosownych przypadkach, przez organ nadzorczy;

b) skierowanie sporu do sądu państwa członkowskiego, w którym ma siedzibę podmiot przekazujący dane.

2. Strony postanawiają, że wybór dokonany przez osobę, której dane dotyczą, nie będzie naruszał jej prawa materialnego lub procesowego do dochodzenia środków odwoławczych na podstawie innych przepisów prawa krajowego lub międzynarodowego.

Klauzula 8

Współpraca z organami nadzorczymi

1. Podmiot przekazujący dane wyraża zgodę na złożenie kopii niniejszej umowy organowi nadzorczemu, jeżeli tego zażąda lub jeżeli takie złożenie jest wymagane na mocy obowiązującego prawa o ochronie danych.

2. Strony postanawiają, że organ nadzorczy ma prawo przeprowadzić audyt podmiotu odbierającego dane, a także każdego podprzetwarzającego, który ma taki sam zakres i podlega takim samym warunkom, jakie obowiązywałyby w przypadku audytu podmiotu przekazującego dane zgodnie z obowiązującym prawem o ochronie danych.

3. Odbierający dane niezwłocznie informuje przekazującego dane o istnieniu przepisów mających zastosowanie do niego lub do podprzetwarzającego uniemożliwiającego przeprowadzenie audytu odbierającego dane lub podprzetwarzającego, zgodnie z ust. 2. W takim przypadku przekazujący dane jest uprawniony do podjęcia środków przewidzianych w klauzuli 5 lit. b).

Klauzula 9

Obowiązujące prawo

Klauzule podlegają prawu państwa członkowskiego, w którym ma siedzibę podmiot przekazujący dane.

Klauzula 10

Zmiana umowy

Strony zobowiązują się nie zmieniać ani nie modyfikować Klauzul. Nie wyklucza to możliwości dodania przez strony klauzul dotyczących kwestii biznesowych, jeżeli jest to wymagane, o ile nie są one sprzeczne z klauzulą.

Klauzula 11

Podprzetwarzanie

1. Odbierający dane nie zleca podwykonawstwa jakichkolwiek czynności przetwarzania wykonywanych w imieniu przekazującego dane na mocy klauzul bez uprzedniej pisemnej zgody przekazującego dane. Jeżeli podmiot odbierający dane zleca podwykonawstwo swoich obowiązków wynikających z niniejszych Klauzul, za zgodą przekazującego dane, może to zrobić wyłącznie w drodze pisemnej umowy z podprzetwarzającym, która nakłada na podprzetwarzającego te same obowiązki, jakie są nałożone na podmiot przetwarzający odbierającego dane zgodnie z klauzulami (3). W przypadku gdy podprzetwarzający nie wywiąże się ze swoich obowiązków w zakresie ochrony danych wynikających z takiej pisemnej umowy, odbierający dane pozostaje w pełni odpowiedzialny wobec przekazującego dane za wykonanie obowiązków podprzetwarzającego wynikających z takiej umowy.

2. Wcześniejsza pisemna umowa między odbierającym dane a podprzetwarzającym przewiduje również klauzulę beneficjenta będącego osobą trzecią, o której mowa w ust. 3, w przypadkach, gdy osoba, której dane dotyczą, nie jest w stanie wystąpić z roszczeniem o odszkodowanie, o którym mowa w ust. 1 ust. 6 przeciwko przekazującemu dane lub odbierającemu dane, ponieważ faktycznie zniknęli lub przestali istnieć prawnie lub stali się niewypłacalni, a żaden podmiot-następca nie przejął całości obowiązków prawnych przekazującego lub odbierającego dane na mocy umowy lub z mocy prawa. Taka odpowiedzialność wobec osób trzecich podprzetwarzającego będzie ograniczona do jego własnych operacji przetwarzania zgodnie z postanowieniami Klauzul.

3. Przepisy dotyczące aspektów ochrony danych w przypadku podprzetwarzania umowy, o której mowa w ust. 1, podlegają prawu państwa członkowskiego, w którym ma siedzibę podmiot przekazujący dane, a mianowicie …

4. Przekazujący dane prowadzi wykaz umów o powierzenie przetwarzania zawartych na podstawie klauzul i zgłoszonych przez odbierającego dane zgodnie z klauzulą ​​5 lit. j), który jest aktualizowany co najmniej raz w roku. Wykaz jest udostępniany organowi nadzorczemu ds. ochrony danych podmiotu przekazującego dane.

Klauzula 12

Obowiązek po zakończeniu świadczenia usług przetwarzania danych osobowych

1. Strony postanawiają, że po zakończeniu świadczenia usług przetwarzania danych odbierający dane i podprzetwarzający, według wyboru przekazującego dane, zwrócą przekazującemu dane wszystkie przekazane dane osobowe oraz ich kopie lub zniszczy wszystkie dane osobowe i poświadczy przekazującemu dane, że to zrobił, chyba że przepisy nałożone na odbierającego dane uniemożliwiają mu zwrot lub zniszczenie całości lub części przekazanych danych osobowych. W takim przypadku odbierający dane gwarantuje, że zagwarantuje poufność przekazanych danych osobowych i nie będzie już aktywnie przetwarzał przekazanych danych osobowych.

2. Odbierający dane i podprzetwarzający zapewniają, że na żądanie przekazującego dane i/lub organu nadzorczego przedstawią swoje urządzenia do przetwarzania danych w celu audytu środków, o których mowa w ust. 1.

[1] Obowiązkowe wymogi ustawodawstwa krajowego mające zastosowanie do odbierającego dane, które nie wykraczają poza to, co jest konieczne w społeczeństwie demokratycznym na podstawie jednego z interesów wymienionych w art. 13 ust. 1 dyrektywy 95/46/WE, tj. jeżeli stanowią one środek niezbędny do ochrony bezpieczeństwa narodowego, obronności, bezpieczeństwa publicznego, zapobiegania przestępstwom lub naruszeniom zasad etyki w zawodach regulowanych, prowadzenia dochodzeń w ich sprawie, ich wykrywania i ścigania, stanowi ważny interes gospodarczy lub finansowy państwa lub państwa ochrony osoby, której dane dotyczą, lub praw i wolności innych osób, nie stoją w sprzeczności ze standardowymi klauzulami umownymi. Przykładami takich obowiązkowych wymogów, które nie wykraczają poza to, co jest konieczne w społeczeństwie demokratycznym, są między innymi uznane na szczeblu międzynarodowym sankcje, wymogi dotyczące sprawozdawczości podatkowej lub wymogi dotyczące sprawozdawczości w zakresie przeciwdziałania praniu pieniędzy.

---

Załącznik nr 1 do standardowych klauzul umownych

Eksporter danych

Eksporterem danych jest podmiot określony w Umowie powierzenia przetwarzania danych jako „Klient”.

Importer danych

Odbiorcą danych jest Simplenet Hosting SRL

Osoby, których dane dotyczą

Dane osobowe dotyczą kategorii osób, których dane dotyczą, zdefiniowanych w punkcie 2.3.4. w Umowie powierzenia przetwarzania danych.

Kategorie danych

Dane osobowe dotyczą kategorii danych określonych w pkt. 2.3.5. w Umowie powierzenia przetwarzania danych.

Operacje przetwarzania

Operacje przetwarzania zostały określone w ust. 2 Umowy powierzenia przetwarzania danych.

---

Załącznik nr 2 do standardowych klauzul umownych

Niniejszy Załącznik stanowi część Klauzul. Kupując Usługi od Simplenet i wyrażając zgodę na Umowę o przetwarzaniu danych, uznaje się, że strony zaakceptowały i wykonały niniejszy Załącznik 2.

Opis technicznych i organizacyjnych środków bezpieczeństwa wdrożonych przez odbierającego dane zgodnie z klauzulą ​​4(d) i 5(c) (lub załączonym dokumentem/przepisami):

Techniczne i organizacyjne środki bezpieczeństwa wdrożone przez odbierającego dane są opisane w Umowie o przetwarzaniu danych i Załączniku 2. Środki bezpieczeństwa.

---

Załącznik 2

Środki bezpieczeństwa

Simplenet wdraża i utrzymuje odpowiednie techniczne i organizacyjne Środki bezpieczeństwa Przetwarzania Danych Osobowych, w tym środki określone w niniejszym Załączniku nr 2 do Umowy o powierzenie przetwarzania danych. Środki te mają na celu ochronę Danych Osobowych przed przypadkową lub nieuprawnioną utratą, zniszczeniem, zmianą, ujawnieniem lub dostępem, a także przed wszelkimi innymi niezgodnymi z prawem formami Przetwarzania. Dodatkowe środki oraz informacje dotyczące takich środków, w tym szczególnych środków i praktyk bezpieczeństwa dla poszczególnych Usług zamówionych przez Klienta, mogą zostać określone w Umowie.  

Simplenet może od czasu do czasu aktualizować lub modyfikować niniejsze Środki bezpieczeństwa, pod warunkiem, że takie aktualizacje i modyfikacje nie spowodują pogorszenia ogólnego bezpieczeństwa Usług. 

Techniczne i organizacyjne środki bezpieczeństwa wdrożone przez Simplenet są zgodne z paragrafami 4(c) i 5(c) Standardowych Klauzul Umownych.

Personel i poufność

Simplenet podejmie uzasadnione kroki w celu zapewnienia, że ​​Simplenet nie wyznaczy żadnej osoby do przetwarzania Danych osobowych, chyba że osoba ta:

1. jest kompetentny i uprawniony do wykonywania określonych zadań powierzonych mu przez Simplenet;
2. został autoryzowany przez Simplenet; I
3. został poinstruowany przez Simplenet w zakresie wymogów związanych z realizacją obowiązków Simplenet wynikających z niniejszych Klauzul, w szczególności w zakresie ograniczonego celu przetwarzania danych.

Personel Simplenet ma obowiązek postępować w sposób zgodny z wytycznymi firmy dotyczącymi poufności, etyki biznesowej, odpowiedniego użytkowania i standardów zawodowych. Simplenet przeprowadza odpowiednią weryfikację przeszłości w zakresie dozwolonym przez prawo i zgodnie z obowiązującym lokalnym prawem pracy i przepisami ustawowymi. Personel ma obowiązek zawrzeć umowę o zachowaniu poufności i potwierdzić otrzymanie oraz zgodność z polityką poufności i prywatności Simplenet. Są oni przeszkoleni, a personel obsługujący Dane Klienta ma obowiązek spełnić dodatkowe wymagania, odpowiednie do ich roli. 

Bezpieczeństwo fizyczne 

Simplenet korzysta z rozproszonych geograficznie centrów danych i przechowuje wszystkie dane produkcyjne w fizycznie bezpiecznych centrach danych. W produkcyjnych centrach danych Simplenet Sub-processor stosowane są środki zabezpieczające dostęp do systemów przetwarzania danych. Mają system dostępu, który kontroluje dostęp do centrum danych. System ten umożliwia dostęp do bezpiecznych obszarów wyłącznie upoważnionym pracownikom. Obiekty zostały zaprojektowane tak, aby wytrzymać niekorzystne warunki pogodowe i inne w miarę przewidywalne warunki naturalne, są zabezpieczone całodobową ochroną, monitoringiem CCTV, kontrolą dostępu i dostępem kontrolowanym przez eskortę, a także są wspierane przez znajdujące się na miejscu generatory rezerwowe w przypadku awarii zasilania.

Systemy zasilania elektrycznego centrum danych zaprojektowano tak, aby były redundantne i łatwe w utrzymaniu bez wpływu na ciągłą pracę 24 godziny na dobę, 7 dni w tygodniu. W większości przypadków dla kluczowych elementów infrastruktury w centrum danych zapewniane jest podstawowe i alternatywne źródło zasilania. Zasilanie rezerwowe jest zapewniane przez różne mechanizmy, takie jak akumulatory zasilaczy bezprzerwowych (UPS) lub generatory diesla, które są w stanie zapewnić awaryjne zasilanie elektryczne lub niezawodną ochronę zasilania podczas przerw w dostawie prądu, przerw w dostawie prądu, przepięcia, podnapięcia i przekroczenia tolerancji warunki częstotliwości.

Systemy infrastrukturalne zostały zaprojektowane tak, aby eliminować pojedyncze punkty awarii i minimalizować wpływ przewidywanych zagrożeń środowiskowych. Sprzęt i obiekty produkcyjne Podprocesora Simplenet posiadają udokumentowane procedury konserwacji zapobiegawczej, które szczegółowo opisują proces i częstotliwość działania zgodnie ze specyfikacjami producenta lub specyfikacjami wewnętrznymi. Konserwacja zapobiegawcza i naprawcza sprzętu centrum danych jest planowana w ramach standardowego procesu zmian zgodnie z udokumentowanymi procedurami.

Kontrola dostępu do systemu

Serwery Simplenet korzystają z implementacji opartej na systemie Linux dostosowanej do Usług. Simplenet stosuje proces przeglądu w celu zwiększenia bezpieczeństwa systemów operacyjnych używanych do świadczenia Usług i ulepszenia produktów zabezpieczających w środowiskach produkcyjnych.

Simplenet posiada i utrzymuje politykę bezpieczeństwa personelu. Personel zajmujący się infrastrukturą, rozwojem i wsparciem Simplenet jest odpowiedzialny za bieżące monitorowanie bezpieczeństwa infrastruktury Simplenet, przegląd Usług i reagowanie na incydenty związane z bezpieczeństwem.

Wewnętrzne procesy i zasady dostępu Simplenet mają na celu uniemożliwienie nieupoważnionym osobom i/lub systemom uzyskania dostępu do systemów wykorzystywanych do przetwarzania danych klientów, w tym danych osobowych. Celem Simplenet jest projektowanie swoich systemów w taki sposób, aby: (i) umożliwiały dostęp wyłącznie upoważnionym osobom do danych, do których są upoważnione; oraz (ii) zapewnić, że dane osobowe nie będą mogły być odczytywane, kopiowane, zmieniane ani usuwane bez zezwolenia podczas przetwarzania, wykorzystywania i po zarejestrowaniu. Simplenet wykorzystuje system zarządzania dostępem do kontroli dostępu personelu do serwerów produkcyjnych i zapewnia dostęp wyłącznie autoryzowanemu personelowi. W zależności od zamówionych Usług mogą być stosowane między innymi następujące kontrole: uwierzytelnianie za pomocą haseł i/lub uwierzytelnianie dwuskładnikowe, klucze SSH, procesy autoryzacji, procesy zarządzania zmianami, logiczny dostęp do centrów danych jest ograniczony i chroniony przez zaporę ogniową /VLAN i rejestrowanie dostępu na kilku poziomach. Nadanie lub modyfikacja praw dostępu opiera się na: obowiązkach służbowych upoważnionego personelu; wymagania służbowe niezbędne do wykonywania uprawnionych zadań; i niezbędną wiedzę. Przyznanie lub modyfikacja praw dostępu musi być również zgodne z wewnętrznymi zasadami dostępu do danych Simplenet. 

Kontrola dostępu do usług

Aby móc korzystać z Usług, Klient i Użytkownicy końcowi muszą uwierzytelnić się za pomocą systemu uwierzytelniania. Każda aplikacja sprawdza dane uwierzytelniające, aby umożliwić wyświetlenie danych uprawnionemu Użytkownikowi Końcowemu.

W zależności od zamówionych Usług mogą być stosowane m.in. następujące kontrole: uwierzytelnianie za pomocą haseł i/lub uwierzytelnianie dwuskładnikowe, klucze SSH, procesy autoryzacji, procesy zarządzania zmianami oraz rejestrowanie dostępu na kilku poziomach. W zależności od zamówionych Usług mogą również obowiązywać następujące mechanizmy kontrolne: przypisanie unikalnych identyfikatorów osobie odpowiedzialnej, unieważnienie mechanizmów dostępu w przypadku kolejnych nieudanych prób logowania i okresów blokady, mechanizmy wygaśnięcia i resetowania hasła, wymagania dotyczące złożoności hasła.

Kontrola dostępu do danych 

Simplenet przechowuje dane w środowisku wielodostępnym, co oznacza, że ​​wdrożenia wielu klientów są przechowywane na tym samym sprzęcie fizycznym. Simplenet stosuje izolację logiczną w celu segregacji danych każdego Klienta i logicznie oddziela dane każdego Klienta od danych innych Klientów. Zapewnia to skalę, jednocześnie rygorystycznie uniemożliwiając klientom wzajemny dostęp do danych.

Klientowi przysługuje kontrola nad określonymi mechanizmami kontroli udostępniania dostępu do danych Użytkownikom końcowym w określonych celach, zgodnie z funkcjonalnością Usług. Klient może zdecydować się na skorzystanie z tych kontroli. Simplenet udostępnia pewne możliwości rejestrowania.

Bezpośredni dostęp do danych klientów jest ograniczony i w razie potrzeby prawa dostępu są ustanawiane i egzekwowane wyłącznie dla odpowiednio upoważnionego personelu, oprócz zasad kontroli dostępu określonych w poprzednich paragrafach. 

Kontrola transmisji

Centra danych są zwykle połączone szybkimi łączami prywatnymi, aby zapewnić bezpieczny i szybki transfer danych między centrami danych. Ma to na celu zapobieganie odczytywaniu, kopiowaniu, modyfikowaniu lub usuwaniu danych bez zezwolenia podczas elektronicznego przesyłania lub transportu, lub podczas zapisywania na nośnikach danych lub wymiany w centrum danych. 

W przypadku przesyłania danych Simplenet korzysta ze standardowych protokołów transportowych, takich jak SSL i TLS, pomiędzy urządzeniami Klienta a Usługami Simplenet i centrami danych, a także w obrębie samych centrów danych. O ile nie określono inaczej dla Usług (w tym w ramach Zamówienia, obowiązującej Umowy lub dokumentacji Użytkownika Usług), przesyłanie danych poza środowiskiem Usługi jest szyfrowane. Niektóre funkcjonalności Usług mogą umożliwiać Klientowi wybór komunikacji nieszyfrowanej podczas korzystania z Usługi. Klient ponosi wyłączną odpowiedzialność za skutki swojej decyzji o korzystaniu z takich niezaszyfrowanych komunikatów lub transmisji. 

Kontrola wejścia

Źródło Danych Osobowych znajduje się pod kontrolą Klienta, a integracja Danych Osobowych z systemem odbywa się poprzez bezpieczny transfer plików, za pośrednictwem usług internetowych lub wprowadzanych do aplikacji Klienta. Jak określono w sekcji Kontrola transmisji powyżej, niektóre funkcjonalności Usług umożliwiają Klientom korzystanie z protokołów niezaszyfrowanego przesyłania plików. W takich przypadkach Klient ponosi wyłączną odpowiedzialność za swoją decyzję o zastosowaniu takich niezaszyfrowanych protokołów przesyłania danych. 

Usługi nie będą wprowadzać żadnych wirusów do Danych Klienta; jednakże Usługi nie skanują w poszukiwaniu wirusów, które mogą znajdować się w załącznikach lub innych Danych Osobowych przesłanych do Usług przez Klienta. Wszelkie przesłane załączniki nie zostaną wykonane w Usługach, a zatem nie spowodują uszkodzenia ani naruszenia Usługi.

Kontrola sieci

Simplenet blokuje nieautoryzowany ruch do i w centrach danych, korzystając z różnych technologii, takich jak zapory ogniowe, NAT, partycjonowane sieci lokalne i fizyczne oddzielenie serwerów zaplecza od interfejsów publicznych.

Simplenet wykorzystuje wiele warstw urządzeń sieciowych i wykrywa włamania, aby chronić swoją zewnętrzną powierzchnię ataku. Simplenet uwzględnia potencjalne wektory ataku i włącza odpowiednie technologie do systemów zewnętrznych.

Simplenet i upoważniony personel będą monitorować Usługi pod kątem nieautoryzowanych włamań, korzystając z sieciowych mechanizmów wykrywania włamań. Celem wykrywania włamań jest zapewnienie wglądu w trwające ataki i dostarczenie odpowiednich informacji umożliwiających reakcję na incydenty. Wykrywanie włamań w Simplenet obejmuje ścisłą kontrolę powierzchni ataku na komunikację sieciową za pomocą środków zapobiegawczych, takich jak zapory ogniowe, stosowanie inteligentnych kontroli wykrywania w punktach wprowadzania danych i wykorzystywanie technologii, które automatycznie zapobiegają pewnym niebezpiecznym sytuacjom.

Reakcja na incydent

Simplenet utrzymuje zasady i procedury zarządzania incydentami bezpieczeństwa oraz monitoruje różne kanały komunikacji pod kątem incydentów bezpieczeństwa. Personel Simplenet niezwłocznie zareaguje na znane zdarzenia i niezwłocznie powiadomi Klienta w przypadku, gdy Simplenet dowie się o faktycznym lub zasadnie podejrzeniu nieuprawnionego ujawnienia Danych Osobowych.

Dzienniki systemowe

Simplenet zapewnia, że ​​systemy przetwarzające używane do przechowywania informacji z dziennika Danych Klienta są umieszczane w odpowiednich dziennikach systemowych. Wpisy w dzienniku są przechowywane na wypadek podejrzenia niewłaściwego dostępu i konieczności przeprowadzenia analizy. Rejestrowanie danych jest bezpiecznie przechowywane, aby zapobiec manipulacji.

Niezawodność i kopie zapasowe

W przypadku Usług Simplenet zapewnia regularne wykonywanie kopii zapasowych. Kopie zapasowe są zabezpieczane za pomocą kombinacji zabezpieczeń technicznych i fizycznych. 

Simplenet zapewnia, że ​​systemy, w których przechowywane są Dane Klienta, posiadają funkcję odzyskiwania po awarii i podlegają planowi odzyskiwania po awarii. W przypadku, gdy urządzenia produkcyjne staną się niedostępne, Simplenet zrealizuje plany naprawcze, aby w odpowiednim czasie przywrócić działanie. Simplenet zaprojektował, regularnie planuje i testuje swoje plany odzyskiwania po awarii.

Zniszczenie danych

Kiedy klienci usuwają dane lub opuszczają Usługę, Simplenet zapewnia usunięcie danych zgodnie z warunkami obowiązującej Umowy. W przypadku niektórych dysków Simplenet przestrzega rygorystycznych standardów, które wymagają nadpisywania zasobów pamięci przed ponownym użyciem, a także fizycznej utylizacji wycofanego sprzętu. W produkcyjnych centrach danych Simplenet Sub-processor stosowane są rygorystyczne procedury ponownego użycia, ponownego wdrożenia, niszczenia danych oraz wycofywania dysków i sprzętu z eksploatacji.

Bezpieczeństwo podprocesora

Przed przyjęciem Podprzetwarzających na rynek Simplenet przeprowadza audyt praktyk w zakresie bezpieczeństwa i prywatności Podprzetwarzających, aby upewnić się, że Podprzetwarzający zapewniają poziom bezpieczeństwa i prywatności odpowiedni do ich dostępu do danych oraz zakresu usług, do świadczenia których są zaangażowani. Podwykonawca przetwarzania ma obowiązek zawarcia odpowiednich warunków umowy dotyczących bezpieczeństwa, poufności i prywatności.

Zmiany i ulepszenia systemu

Simplenet może ulepszać i wdrażać zmiany w Usługach w okresie obowiązywania Umowy. Kontrole bezpieczeństwa, procedury, zasady i funkcje mogą ulec zmianie lub zostać dodane. Simplenet zapewni mechanizmy kontroli bezpieczeństwa zapewniające poziom ochrony nie niższy niż poziom zapewniany w Dacie wejścia w życie.

---

Załącznik nr 3: Lista podwykonawców przetwarzania

Dostępne na życzenie.