NeuroCRMAneks dotyczący przetwarzania danych
Niniejszy Aneks dotyczący przetwarzania danych („DPA”) stanowi część Warunków świadczenia usług zawartych między Tobą („Klient”, administrator) a Empire Luxury International Corporation (DBA Neuro Empire) („NeuroCRM”, podmiot przetwarzający) i reguluje przetwarzanie danych osobowych zawartych w Treściach klienta. W przypadku sprzeczności w sprawach ochrony danych niniejsze DPA ma pierwszeństwo przed Warunkami.
1. Role i zakres
W odniesieniu do Treści klienta Klient jest administratorem (lub podmiotem przetwarzającym działającym na rzecz własnych klientów), a NeuroCRM jest podmiotem przetwarzającym (lub podwykonawcą przetwarzania). NeuroCRM przetwarza Treści klienta wyłącznie w celu świadczenia Usługi i na udokumentowane polecenia Klienta, które obejmują Warunki, niniejsze DPA oraz korzystanie z funkcji Usługi. NeuroCRM działa jako niezależny administrator wyłącznie w odniesieniu do ograniczonych danych konta, rozliczeń i bezpieczeństwa opisanych w Polityce prywatności.
2. Szczegóły przetwarzania
Przedmiot: świadczenie Usługi NeuroCRM. Czas trwania: okres subskrypcji Klienta wraz z ewentualnym okresem zakończenia. Charakter i cel: operacje hostingu, przechowywania i przetwarzania niezbędne do świadczenia Usługi w sposób skonfigurowany przez Klienta. Kategorie osób, których dane dotyczą: kontakty Klienta, potencjalni klienci, klienci, pracownicy oraz inne osoby fizyczne, których dane wprowadza Klient. Kategorie danych osobowych: określone przez Klienta, zazwyczaj dane identyfikacyjne i kontaktowe, dokumentacja biznesowa oraz komunikacja; Klient nie może wprowadzać danych szczególnych kategorii, chyba że uzgodniono to na piśmie.
3. Polecenia Klienta i zgodność
NeuroCRM będzie przetwarzać Treści klienta wyłącznie na udokumentowane polecenia, w tym w zakresie transferów, chyba że wymaga tego obowiązujące prawo (w którym to przypadku NeuroCRM poinformuje Klienta, o ile nie jest to zabronione). NeuroCRM powiadomi Klienta, jeżeli jego zdaniem polecenie narusza obowiązujące prawo o ochronie danych. Klient odpowiada za zgodność z prawem Treści klienta oraz za posiadanie wszystkich wymaganych informacji i zgód.
4. Poufność personelu
NeuroCRM zapewnia, że personel upoważniony do przetwarzania Treści klienta jest związany obowiązkami poufności i przetwarza dane wyłącznie zgodnie z poleceniami.
5. Środki bezpieczeństwa
NeuroCRM wdraża odpowiednie środki techniczne i organizacyjne w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka, w tym szyfrowanie w trakcie przesyłania oraz szyfrowanie tokenów dostępu w spoczynku, logiczną izolację najemców, kontrole dostępu i rejestrowanie, odporność i kopie zapasowe oraz regularny przegląd. Podsumowanie jest dostępne na żądanie oraz w Polityce prywatności.
6. Podprocesorzy
Klient udziela ogólnego upoważnienia, aby NeuroCRM angażowała podprocesorów. Aktualna lista znajduje się pod adresem /legal/subprocessors. NeuroCRM nakłada na każdego podprocesora obowiązki w zakresie ochrony danych nie mniej rygorystyczne niż niniejsze DPA i pozostaje odpowiedzialna za ich wykonanie. NeuroCRM powiadomi z co najmniej 30-dniowym wyprzedzeniem o każdym nowym lub zastępczym podprocesorze; Klient może wnieść sprzeciw z uzasadnionych przyczyn związanych z ochroną danych, a jeżeli strony nie zdołają rozstrzygnąć sprzeciwu, Klient może rozwiązać dotkniętą Usługę i otrzymać zwrot opłaconych z góry, niewykorzystanych opłat.
7. Żądania osób, których dane dotyczą, oraz pomoc
Uwzględniając charakter przetwarzania, NeuroCRM, za pomocą odpowiednich środków i w zakresie uzasadnionym handlowo, będzie pomagać Klientowi w odpowiadaniu na żądania osób, których dane dotyczą, oraz w wypełnianiu jego obowiązków dotyczących bezpieczeństwa, powiadamiania o naruszeniach, ocen skutków dla ochrony danych oraz uprzednich konsultacji. Jeżeli NeuroCRM otrzyma żądanie bezpośrednio od osoby, której dane dotyczą, przekaże je Klientowi i nie udzieli odpowiedzi, chyba że zostanie do tego upoważniona lub jest to wymagane przez prawo.
8. Powiadomienie o naruszeniu ochrony danych osobowych
NeuroCRM powiadomi Klienta bez zbędnej zwłoki, a w każdym razie w ciągu 24 godzin od powzięcia wiedzy o potwierdzonym lub racjonalnie podejrzewanym naruszeniu ochrony danych osobowych dotyczącym Treści klienta, oraz dostarczy dostępne informacje, aby pomóc Klientowi w wypełnieniu jego obowiązków w zakresie powiadamiania, wraz z aktualizacjami w miarę postępu dochodzenia. Takie powiadomienie nie stanowi uznania winy ani odpowiedzialności. Ustalenie, czy powiadomić organy nadzorcze lub osoby, których dane dotyczą, oraz dokonanie takich powiadomień należy do obowiązków Klienta jako administratora; NeuroCRM zapewnia rozsądną współpracę.
9. Transfery międzynarodowe
Gdy przetwarzanie obejmuje transfer danych osobowych poza EOG, Wielką Brytanię lub Szwajcarię do państwa nieobjętego decyzją stwierdzającą odpowiedni stopień ochrony, strony włączają Standardowe klauzule umowne Komisji Europejskiej (2021/914), Moduł drugi (administrator do podmiotu przetwarzającego), uzupełnione informacjami zawartymi w niniejszym DPA, wraz z brytyjskim International Data Transfer Addendum oraz, w stosownych przypadkach, ze szwajcarskimi adaptacjami; alternatywnie NeuroCRM może opierać się na EU-US Data Privacy Framework, o ile jest certyfikowana. NeuroCRM stosuje uzupełniające środki w stosownych przypadkach. W razie sprzeczności SCC mają pierwszeństwo wyłącznie w zakresie niezbędnym.
10. Rosyjski kontur danych (152-FZ)
W odniesieniu do danych osobowych osób fizycznych w Federacji Rosyjskiej NeuroCRM utrzymuje oddzielony kontur rosyjski z pierwotnym rejestrowaniem i przechowywaniem na serwerach zlokalizowanych w Rosji, zgodnie z ustawą federalną nr 152-FZ, oraz przetwarza takie dane na polecenie Klienta na podstawie art. 6 ust. 3 ustawy 152-FZ. Niniejszy kontur oraz jego procedura powiadamiania o naruszeniach (wstępnie w ciągu 24 godzin, a wyniki w ciągu 72 godzin do Roskomnadzoru) działają niezależnie od łańcucha GDPR. Zobacz Politykę przetwarzania danych osobowych (Rosja).
11. Audyt
NeuroCRM udostępni informacje niezbędne do wykazania zgodności z niniejszym DPA i umożliwi przeprowadzanie audytów. Aby zminimalizować zakłócenia, NeuroCRM może realizować żądania audytowe poprzez dostarczenie aktualnych certyfikatów lub raportów stron trzecich (takich jak ISO 27001 lub SOC 2 Type II), o ile są dostępne. Audyty na miejscu lub szczegółowe są ograniczone do jednego razu w roku (z wyjątkiem sytuacji po naruszeniu), wymagają powiadomienia z co najmniej 30-dniowym wyprzedzeniem, wzajemnie uzgodnionego zakresu, poufności i są przeprowadzane w godzinach pracy bez nieuzasadnionych zakłóceń.
12. Zwrot i usunięcie
Po rozwiązaniu, według wyboru Klienta dokonanego w ciągu 30 dni, NeuroCRM zwróci Treści klienta w powszechnie używanym formacie albo je usunie oraz, na żądanie, poświadczy usunięcie w rozsądnym terminie, z wyjątkiem zakresu, w jakim przechowywanie jest wymagane przez prawo. Rutynowe kopie zapasowe są nadpisywane w standardowym cyklu rotacji.
13. Odpowiedzialność i pierwszeństwo
Odpowiedzialność każdej ze stron na mocy niniejszego DPA podlega ograniczeniom i wyłączeniom zawartym w Warunkach świadczenia usług, w tym podwyższonemu limitowi za naruszenia ochrony danych. Niniejsze DPA, w tym włączone do niego SCC, ma pierwszeństwo przed sprzecznymi postanowieniami Warunków w sprawach ochrony danych. DPA podlega przepisom dotyczącym prawa właściwego i rozstrzygania sporów zawartym w Warunkach mających zastosowanie do Klienta.