Regulamin Keeper Security

Powrót do Warunków korzystania z SaaS

Aneks dotyczący przetwarzania danych

Niniejszy Aneks dotyczący przetwarzania danych („Aneks”) stanowi uzupełnienie Warunków użytkowania („Warunki”) oraz/lub innej pisemnej bądź elektronicznej umowy („Umowa”) zawartej pomiędzy: (i) Keeper, przez co rozumie się podmiot Keeper będący stroną Umowy („Keeper” lub „Dostawca”), działającym w imieniu własnym oraz jako pełnomocnik dowolnego Podmiotu powiązanego Keeper, a (ii) Klientem Keeper („Ty” lub „Klient”), działającym w imieniu własnym oraz jako pełnomocnik dowolnego Podmiotu powiązanego Klienta.

Definicje terminów zastosowanych w niniejszym Uzupełnieniu są określone w niniejszym Uzupełnieniu. Terminy zapisane wielką literą, które nie zostaną zdefiniowane w niniejszym dokumencie, mają znaczenie nadane im w Umowie. Terminy, które nie zostaną zdefiniowane w Uzupełnieniu ani w Umowie, mają znaczenie określone w ogólnym rozporządzeniu o ochronie danych (rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r.; z okresowymi zmianami; („RODO”)). Z wyjątkiem zmian podanych poniżej, warunki umowy pozostają w pełni ważne i wiążące.

Definicje

Terminologia zastosowana w niniejszym Uzupełnieniu jest zdefiniowana następująco:

  1. Podmiot powiązany oznacza każdy podmiot, który bezpośrednio lub pośrednio kontroluje dany podmiot, jest przez niego kontrolowany lub jest kontrolowany wraz z nim. „Kontrola” do celów niniejszej definicji oznacza bezpośrednią lub pośrednią własność lub kontrolowanie ponad 50% udziałów z prawem głosu w danym podmiocie.
  2. Obowiązujące przepisy prawa oznaczają wszystkie przepisy mające zastosowanie do przetwarzania Danych Klienta, co może obejmować unijne przepisy o ochronie danych, inne przepisy Unii Europejskiej lub dowolnego jej państwa członkowskiego, przepisy Wielkiej Brytanii oraz przepisy każdego innego kraju, któremu podlega Klient lub Dane Klienta.
  3. Dane Klienta oznaczają Dane osobowe, które Keeper gromadzi, otrzymuje i/lub przetwarza w imieniu i zgodnie z instrukcjami Administratora na podstawie Umowy, z wyłączeniem wszelkich Danych osobowych, które Keeper przetwarza jako Administrator. Przykładami Danych Klienta są listy nazw uprawnionych użytkowników, adresy e-mail, wyznaczone role lub inne informacje kontaktowe.
  4. Administrator oznacza podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania Danych osobowych. Dla jasności: żadne postanowienie niniejszego Aneksu nie ma na celu stworzenia relacji współadministrowania danymi pomiędzy stronami. Każda ze stron pozostaje indywidualnie odpowiedzialna za wypełnianie swoich odpowiednich obowiązków wynikających z Obowiązujących przepisów prawa.
  5. Osoba, której dane dotyczą, oznacza osobę fizyczną, której dane osobowe są przetwarzane w kontekście niniejszego Uzupełnienia.
  6. Przepisy UE o ochronie danych oznaczają RODO oraz dyrektywę o prywatności i łączności elektronicznej 2002/58/WE (zmienioną dyrektywą 2009/136/WE, z późniejszymi zmianami i następcami) wraz z ich krajowymi przepisami implementującymi, jeśli takie istnieją.
  7. RODO oznacza ogólne rozporządzenie UE o ochronie danych 2016/679.
  8. Brytyjskie RODO oznacza ogólne rozporządzenie o ochronie danych Wielkiej Brytanii oraz ustawę o ochronie danych z 2018 r.
  9. Niezależny administrator oznacza podmiot, który określa cele i sposoby przetwarzania Danych osobowych dla własnych, niezależnych celów.
  10. Dane osobowe oznaczają Dane Klienta obejmujące wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
  11. Podmiot przetwarzający oznacza podmiot przetwarzający Dane osobowe w imieniu Administratora.
  12. Przetwarzanie oznacza każdą operację lub grupę operacji wykonywanych na Danych osobowych, indywidualnie lub w zestawach, w sposób zautomatyzowany lub nie, takie jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub zmienianie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przekazanie, rozpowszechnianie lub udostępnianie w inny sposób, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
  13. Usługi oznaczają usługi i inne działania dostarczane lub wykonywane przez Keeper na rzecz Klienta zgodnie z umową;
  14. Standardowe klauzule umowne oznaczają standardowe klauzule umowne dotyczące przekazywania danych osobowych podmiotom przetwarzającym mającym siedzibę w krajach trzecich, które nie zapewniają odpowiedniego poziomu ochrony danych, określone w decyzji wykonawczej Komisji Europejskiej 2021/914 z dnia 4 czerwca 2021 r.
  15. Podwykonawca przetwarzania oznacza każdy podmiot przetwarzający zaangażowany przez Keeper do przetwarzania danych osobowych w związku z Usługami.

PRZETWARZANIE DANYCH OSOBOWYCH

  1. Celem przetwarzania zgodnie z postanowieniami Aneksu jest świadczenie przez Keeper Usług zgodnie z Umową. Strony uzgadniają, że w odniesieniu do przetwarzania dokonywanego przez Keeper w imieniu Klienta, Klient jest Administratorem, a Keeper jest Podmiotem przetwarzającym, z wyjątkiem niektórych ograniczonych danych określonych w punkcie 2.4, w przypadku których Keeper działa jako Administrator. Kategorie i rodzaje Danych osobowych przetwarzanych przez Keeper są wymienione w Aneksie A. Przetwarzanie Danych osobowych na podstawie niniejszego Aneksu trwa przez okres obowiązywania Umowy, chyba że Obowiązujące przepisy prawa stanowią inaczej.
  2. Keeper może działać i przetwarzać Dane osobowe wyłącznie zgodnie z udokumentowanym poleceniem Klienta („Polecenie”), chyba że prawo wymaga od niego działania bez takiego polecenia. Zgodnie z Poleceniem wydanym w momencie podpisywania niniejszego Aneksu, Keeper może przetwarzać Dane osobowe wyłącznie w celu świadczenia Usług zgodnie z opisem w Umowie. Z zastrzeżeniem warunków niniejszego Aneksu i za obopólną zgodą stron, Klient może wydać dodatkowe pisemne polecenie zgodne z warunkami niniejszego Uzupełnienia. Klient ma obowiązek dopilnowania, że wszystkie osoby przekazujące pisemne polecenia są do tego upoważnione.
  3. Keeper poinformuje Klienta o każdej instrukcji, którą uzna za naruszającą Obowiązujące przepisy prawa, w tym unijne przepisy o ochronie danych, i nie wykona jej do czasu jej potwierdzenia lub zmiany.
  4. Przetwarzanie danych jako Administrator: Keeper będzie przetwarzać niektóre dane osobowe dla własnych celów zgodnych z prawem, jako Niezależny administrator, wyłącznie wtedy, gdy przetwarzanie będzie niezbędne i proporcjonalne do jednego z następujących uzasadnionych celów biznesowych: (i) wykrywanie oszustw lub zapewnienie bezpieczeństwa, (ii) gromadzenie i wykorzystywanie analiz dla uzasadnionych celów biznesowych Keeper oraz z korzyścią dla Klienta, (iii) świadczenie i ulepszanie wsparcia technicznego oraz konserwacji Usług (w tym rejestracja konta, fakturowanie) oraz (iv) zarządzanie relacjami z Klientem, np. przetwarzanie danych kontaktowych Klienta w celu przesyłania komunikatów.

POUFNOŚĆ I BEZPIECZEŃSTWO

  1. Keeper będzie traktować wszystkie dane osobowe jako informacje ściśle poufne. Dane osobowe nie mogą być kopiowane, przekazywane ani przetwarzane w inny sposób, jeśli są w sprzeczności z Poleceniem, chyba że Klient wyraził na to pisemną zgodę. Pracownicy Keeper podlegają obowiązkowi zachowania poufności, który zapewnia, że traktują wszystkie Dane osobowe objęte niniejszym Uzupełnieniem jako ściśle poufne. Dane osobowe będą udostępniane wyłącznie pracownikom, którzy potrzebują dostępu do takich Danych osobowych celem świadczenia Usług i realizacji postanowień niniejszego Aneksu.
  2. Keeper wdroży odpowiednie środki techniczne i organizacyjne określone w Dodatku C do niniejszej Umowy oraz zgodnie z Obowiązującymi przepisami prawa, w tym zgodnie z art. 32 RODO. Środki bezpieczeństwa podlegają postępowi technicznemu i rozwojowi. Keeper może okresowo aktualizować lub modyfikować środki bezpieczeństwa, pod warunkiem że takie aktualizacje i zmiany nie skutkują pogorszeniem ogólnego poziomu bezpieczeństwa.

PRAWA OSOBY, KTÓREJ DANE DOTYCZĄ

  1. Jeżeli Klient otrzyma od podmiotu danych wniosek o skorzystanie z jej praw na mocy obowiązującego prawa, a prawidłowa i uzasadniona odpowiedź na takie żądanie wymaga pomocy ze strony Keeper, Keeper pomaga Klientowi, przekazując niezbędne informacje i dokumentację. Keeper ma zapewniony odpowiedni czas na udzielenie Klientowi pomocy w zakresie takich żądań zgodnie z obowiązującym prawem.
  2. Jeśli Keeper otrzyma od podmiotu danych wniosek o skorzystanie z przysługujących mu praw na mocy obowiązującego prawa, a wniosek taki dotyczy Danych osobowych Klienta, wówczas, o ile nie jest to zabronione przez prawo, Keeper niezwłocznie przekaże wniosek Klientowi i powstrzyma się od udzielania odpowiedzi bezpośrednio temu podmiotowi, chyba że Klient przekaże inne polecenie.

NARUSZENIA DANYCH OSOBOWYCH

  1. Keeper niezwłocznie, jednak nie później niż w ciągu 72 godzin po potwierdzeniu wystąpienia naruszenia, powiadomi Klienta o naruszeniu, które może prowadzić do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmiany, nieuprawnionego ujawnienia Danych osobowych lub nieuprawnionego dostępu do danych przesyłanych, przechowywanych lub w inny sposób przetwarzanych w imieniu Klienta („Naruszenie ochrony danych osobowych”).
  2. Keeper dołoży uzasadnionych starań w celu zidentyfikowania przyczyny takiego naruszenia i podejmie działania, które uzna za niezbędne w celu ustalenia przyczyny i zapobieżenia ponownemu wystąpieniu takiego naruszenia.

DOKUMENTACJA DOTYCZĄCA ZGODNOŚCI Z WYMOGAMI I PRAWA DO AUDYTU

  1. Na żądanie Klienta, w uzasadnionych przypadkach lub w zakresie wymaganym przez art. 28 RODO, Keeper udostępni Klientowi wszystkie istotne informacje niezbędne do wykazania zgodności z niniejszym Aneksem oraz umożliwi przeprowadzanie audytów, w tym inspekcji dokonywanych przez Klienta lub audytora upoważnionego przez Klienta, a także będzie z nimi racjonalnie współpracować. Klient powiadomi o każdym audycie lub inspekcji dokumentów i podejmie uzasadnione starania, aby uniknąć spowodowania szkód lub zakłóceń w lokalach, sprzęcie i działalności Keeper w toku takiego audytu lub inspekcji. Audyty lub inspekcje dokumentów będą przeprowadzane z zachowaniem odpowiedniego uprzedniego powiadomienia na piśmie z wyprzedzeniem co najmniej sześćdziesięciu (60) dni kalendarzowych i nie będą przeprowadzane częściej niż raz w roku.
  2. Niezależnie od powyższych ograniczeń, dodatkowe audyty są dozwolone w dowolnym momencie, gdy istnieją przesłanki wskazujące na brak zgodności, incydent bezpieczeństwa lub na żądanie bądź polecenie właściwego organu nadzorczego.
  3. Przed przeprowadzeniem powyższych działań Klient może zostać poproszony o podpisanie umowy o nieujawnianiu informacji, która jest zaakceptowana przez Keeper.

PRZEKAZYWANIE DANYCH

  1. Europejski Obszar Gospodarczy i Szwajcaria
    W odniesieniu do Danych osobowych Klienta pochodzących z Europejskiego Obszaru Gospodarczego („EOG”) lub Szwajcarii, które są przekazywane od Klienta do Keeper, Strony zgadzają się przestrzegać Standardowych klauzul umownych zatwierdzonych na mocy decyzji wykonawczej Komisji (UE) 2021/914 („unijne SKU”), które zostają włączone do niniejszego dokumentu przez odniesienie.
  2. Strony uzgadniają, że stosuje się warunki dla relacji Administrator-Podmiot przetwarzający (Moduł Drugi). W przypadku danych pochodzących ze Szwajcarii odniesienia do „państwa członkowskiego” obejmują Szwajcarię, a odniesienia do „RODO” należy rozumieć jako odniesienia do szwajcarskiej federalnej ustawy o ochronie danych („FADP”). Szwajcarski Federalny Komisarz ds. Ochrony Danych i Informacji (FDPIC) pełni rolę właściwego organu nadzorczego.
  3. Uzupełnienie unijnych SKU
    Na potrzeby unijnych SKU:
    (a) Klient działa jako eksporter danych, a Keeper jako importer danych;
    (b) klauzula 7 (klauzula dokowania) ma zastosowanie wyłącznie po uzyskaniu obopólnej pisemnej zgody Stron;
    (c) ma zastosowanie Opcja 2 klauzuli 9 (korzystanie z dalszych podmiotów przetwarzających), przy czym dalsze podmioty przetwarzające są wskazane w Dodatku B;
    (d) opcjonalne sformułowanie klauzuli 11 (niezależne rozstrzyganie sporów) nie ma zastosowania;
    (e) klauzula 17 (prawo właściwe) — prawo Irlandii, klauzula 18 (jurysdykcja) — sądy Irlandii; oraz
    (f) Załączniki I i II zostają uzupełnione przez odniesienie do niniejszego DPA.Środki techniczne i organizacyjne Keeper są opisane w Dodatku C. Środki techniczne i organizacyjne Keeper opisano w Dodatku C
  4. Zjednoczone Królestwo
    W przypadku Danych osobowych Klienta przekazywanych z Wielkiej Brytanii do Keeper, Strony zgadzają się, że zastosowanie ma brytyjska międzynarodowa umowa o przekazywaniu danych (IDTA) oraz brytyjski Aneks do unijnych SKU wydany przez biuro komisarza ds. informacji (ICO), które zostają włączone przez odniesienie. Na potrzeby brytyjskiego Aneksu:
    (a) Klient działa jako eksporter danych, a Keeper jako importer danych;
    (b) prawo właściwe i jurysdykcja — Anglia i Walia; oraz
    (c) środki bezpieczeństwa są określone w Dodatku C oraz w Dokumentacji bezpieczeństwa Keeper.
    Klauzula dokowania ma zastosowanie wyłącznie po uzyskaniu obopólnej pisemnej zgody Stron.
  5. Brazylia (LGPD)
    W przypadku Danych osobowych Klienta podlegających ustawie Lei Geral de Proteção de Dados Pessoais (ustawa federalna nr 13 709/2018 — „LGPD”), Strony zgadzają się, że przekazywanie danych za granicę będzie odbywać się zgodnie z art. 33–36 LGPD oraz rozporządzeniem w sprawie międzynarodowego przekazywania danych osobowych wydanym przez Krajowy Organ Ochrony Danych (ANPD), w tym ze Standardowymi klauzulami umownymi (Cláusulas-Padrão Contratuais) zatwierdzonymi w Załączniku II do tego rozporządzenia, które zostają włączone do niniejszego dokumentu przez odniesienie.

    5.1 Niniejsze klauzule stosuje się bez zmian i uzupełnia w następujący sposób:
    (a) Eksporter: Klient (Administrator); (b) Importer: Keeper (Przetwarzający) (c) Cel: Świadczenie usług Keeper i powiązanego wsparcia na podstawie Umowy; (d) Kategorie osób, których dane dotyczą: Dane Klienta objęte Umową; (e) Dane osobowe: Zgodnie z opisem w Dodatku A (f) Dalsze przekazywanie danych: Dozwolone do autoryzowanych dalszych podmiotów przetwarzających Keeper wskazanych w Dodatku B przy zachowaniu równoważnych zabezpieczeń; (g) Wyznaczona strona (klauzula 4): Keeper, odpowiedzialny za przejrzystość, obsługę praw osób, których dane dotyczą, oraz zgłaszanie incydentów zgodnie z klauzulami 14–16 brazylijskich SKU; (h) Prawo właściwe i jurysdykcja: Niezależnie od prawa właściwego Umowy, brazylijskie Standardowe klauzule umowne podlegają prawu Brazylii i są interpretowane zgodnie z nim, oraz podlegają jurysdykcji właściwych sądów Brazylii; oraz (i) Środki bezpieczeństwa: Opisane w Dodatku C.

    5.2 Klauzula dokowania (klauzula 9 brazylijskich SKU) ma zastosowanie wyłącznie po uzyskaniu obopólnej pisemnej zgody Stron.

  6. W przypadkach, w których ramy DPF nie mają zastosowania, Strony będą opierać się na odpowiednich Standardowych klauzulach umownych lub równoważnych zabezpieczeniach uznanych na mocy obowiązujących przepisów o ochronie danych.
  7. W przypadku wszystkich innych jurysdykcji, dla których nie wydano decyzji stwierdzającej odpowiedni stopień ochrony, Keeper wdroży odpowiednie mechanizmy przekazywania danych na podstawie art. 46 RODO, brytyjskiego RODO oraz art. 33–36 LGPD lub innego właściwego prawa w celu zapewnienia odpowiedniej ochrony.
  8. W przypadkach, w których ramy DPF nie mają zastosowania, Strony będą opierać się na odpowiednich Standardowych klauzulach umownych lub równoważnych zabezpieczeniach uznanych na mocy obowiązujących przepisów o ochronie danych.
  9. Aktualizacje mechanizmów przekazywania
    Jeśli Komisja Europejska, brytyjskie ICO, szwajcarski FDPIC lub brazylijski ANPD przyjmą zmienione lub nowe mechanizmy przekazywania danych, zastąpią one automatycznie klauzule przywołane w niniejszym dokumencie w celu zachowania ciągłej zgodności z obowiązującymi przepisami o ochronie danych.
  10. Ramy ochrony danych UE-USA
    Keeper jest aktywnym uczestnikiem ram ochrony danych UE-USA, brytyjskiego rozszerzenia ram ochrony danych UE-USA oraz ram ochrony danych Szwajcaria-USA. Status certyfikacji Keeper można sprawdzić na stronie https://www.dataprivacyframework.gov/list. W przypadku zaprzestania stosowania ram ochrony danych przekazywanie danych będzie kontynuowane na podstawie Standardowych klauzul umownych.
  11. Jeżeli Klient uzna, że środki te są niewystarczające do spełnienia wymogów prawnych w określonych okolicznościach, musi przekazać Keeper pisemne powiadomienie o podstawach takiej opinii, a Strony będą współpracować w dobrej wierze w celu znalezienia alternatywnego rozwiązania możliwego do zaakceptowania przez obie strony.
  12. Amerykańskie stanowe przepisy o ochronie prywatności (w tym CCPA, z późniejszymi zmianami)

    W zakresie, w jakim Keeper przetwarza Dane osobowe Klienta podlegające ustawie California Consumer Privacy Act z 2018 r. z późniejszymi zmianami (w tym ustawie California Privacy Rights Act i wszelkim późniejszym zmianom, zwanym łącznie „CCPA”) lub jakiemukolwiek innemu amerykańskiemu stanowemu prawu o ochronie prywatności nakładającemu w istotnym stopniu podobne obowiązki na podmioty przetwarzające lub usługodawców (łącznie „Stanowe przepisy o ochronie prywatności”), Keeper będzie działać jako Usługodawca lub Podmiot przetwarzający Klienta, odpowiednio:

    (a) Keeper będzie przetwarzać takie Dane osobowe wyłącznie w celach biznesowych opisanych w Umowie i niniejszym Aneksie, a nie w jakimkolwiek innym celu niż świadczenie Usług.
    (b) Keeper nie będzie sprzedawać, udostępniać ani w inny sposób ujawniać Danych osobowych, ani ujawniać takich danych w jakimkolwiek celu wykraczającym poza bezpośrednie relacje biznesowe z Klientem, z wyjątkiem sytuacji dozwolonych przez stanowe przepisy o ochronie prywatności.
    (c) Keeper zapewni, że każda umowa z dalszym podmiotem przetwarzającym będzie zawierać równoważne ograniczenia i obowiązki dla usługodawcy lub podmiotu przetwarzającego.
    (d) Keeper niezwłocznie powiadomi Klienta, jeśli uzna, że nie może już wypełniać swoich obowiązków wynikających ze stanowych przepisów o ochronie prywatności, a Klient może podjąć uzasadnione i odpowiednie kroki w celu powstrzymania i naprawienia nieuprawnionego wykorzystania Danych osobowych.
    (e) Keeper zaświadcza, że rozumie i będzie przestrzegać swoich obowiązków wynikających ze stanowych przepisów o ochronie prywatności.

PODWYKONAWCY PRZETWARZANIA

  1. Keeper otrzymuje ogólne upoważnienie do angażowania osób trzecich w proces przetwarzania Danych osobowych („Podwykonawcy przetwarzania”) bez konieczności uzyskania dalszej wyraźnej pisemnej zgody od Klienta. Keeper zawiera pisemną umowę dotyczącą podwykonawstwa przetwarzania z każdym Podwykonawcą przetwarzania. Taka umowa musi zapewniać co najmniej takie same obowiązki w zakresie ochrony danych, jak obowiązki spoczywające na Keeper, w tym obowiązki wynikające z niniejszego Uzupełnienia. Keeper na bieżąco monitoruje i kontroluje przestrzeganie przez swoich Podwykonawców przetwarzania obowiązującego prawa o ochronie danych, a dokumentacja dotycząca takiego monitorowania i kontroli jest przekazywana Klientowi na pisemne żądanie.
  2. Jeżeli Podwykonawca przetwarzania wykonuje uzgodnione usługi poza UE/EOG, Keeper zapewnia ich dopuszczalność na mocy przepisów o ochronie danych, podejmując odpowiednie środki.
  3. W momencie zawarcia Aneksu Keeper korzysta z dalszych podmiotów przetwarzających wymienionych w Dodatku B. Keeper zapewnia Klientowi mechanizm rejestracji w celu otrzymywania aktualizacji o nowych dalszych podmiotach przetwarzających w swoim Centrum Zaufania. Powiadomienia o nowych lub zastępczych dalszych podmiotach przetwarzających będą przekazywane za pośrednictwem Centrum Zaufania Keeper lub w inny racjonalny sposób elektroniczny, a okres na zgłoszenie sprzeciwu rozpocznie się z chwilą przekazania takiego powiadomienia.
  4. Klient może w dobrej wierze racjonalnie sprzeciwić się zmianie lub skorzystaniu przez Keeper z nowego dalszego podmiotu przetwarzającego, przekazując pisemne powiadomienie pocztą elektroniczną na adres privacy@keepersecurity.com w ciągu dziesięciu (10) dni roboczych od otrzymania powiadomienia od Keeper o nowym dalszym podmiocie przetwarzającym. Takie pisemne powiadomienie będzie zawierać co najmniej uzasadnione podstawy sprzeciwu przedstawione przez Klienta w dobrej wierze. Keeper podejmie uzasadnione pod względem komercyjnym wysiłki, aby zalecić zmianę w sposobie korzystania z Usług przez Klienta. Brak sprzeciwu ze strony Klienta w ciągu dziesięciu (10) dni roboczych uznaje się za wyrażenie zgody na dany dalszy podmiot przetwarzający.
  5. W przypadku, gdy Klient zgłosi sprzeciw wobec nowego dalszego podmiotu przetwarzającego, a strony nie będą mogły wspólnie rozstrzygnąć tego sprzeciwu, Klient może wypowiedzieć Usługi wyłącznie w odniesieniu do tych Usług, które nie mogą być świadczone przez Keeper bez korzystania z kwestionowanego nowego dalszego podmiotu przetwarzającego, przesyłając pisemne wypowiedzenie do Keeper.
  6. Keeper ponosi odpowiedzialność wobec Klienta za każdego Podwykonawcę przetwarzania w taki sam sposób, jak za własne działania i zaniechania.

ROZWIĄZANIE UMOWY; ZWROT LUB USUNIĘCIE DANYCH OSOBOWYCH

  1. Po wygaśnięciu lub rozwiązaniu Umowy Keeper usunie lub zwróci Klientowi wszystkie Dane osobowe będące w jego posiadaniu zgodnie z Umową, z wyjątkiem zakresu, w jakim Keeper jest zobowiązany na mocy obowiązującego prawa do zachowania niektórych lub wszystkich Danych osobowych (w takim przypadku Keeper zarchiwizuje dane i wdroży uzasadnione środki w celu zapobieżenia dalszemu przetwarzaniu Danych osobowych). Warunki niniejszego Uzupełnienia będą nadal miały zastosowanie do takich Danych osobowych.

OCENA WPŁYWU NA OCHRONĘ DANYCH I UPRZEDNIE KONSULTACJE

  1. Jeśli pomoc Keeper będzie niezbędna i istotna, strony będą współpracować w zakresie racjonalnie koniecznym przy przygotowywaniu ocen skutków dla ochrony danych zgodnie z art. 35 RODO, wraz z wszelkimi uprzednimi konsultacjami zgodnie z art. 36 RODO. Każda ze stron poniesie własne koszty przy wypełnianiu tych obowiązków.

INNE

  1. Zmiana Aneksu: Niniejszy Aneks może zostać zmieniony wyłącznie w drodze pisemnego aneksu podpisanego przez każdą ze Stron.
  2. Właściwe prawo, właściwość miejscowa sądów i jurysdykcja: Wszystkie spory i powództwa dotyczące niniejszej Umowy będą rozstrzygane wyłącznie przed sądami wskazanymi w Umowie i interpretowane zgodnie z prawem określonym w Umowie (bez względu na przepisy kolizyjne).
  3. Nieważność i rozdzielność postanowień; Kolizja: Jeżeli którekolwiek z postanowień niniejszego Uzupełnienia zostanie uznane przez sąd lub organ administracyjny właściwy dla jurysdykcji za nieważne lub niewykonalne, nieważność lub niewykonalność takiego postanowienia nie wpływa na żadne inne postanowienie niniejszego Uzupełnienia, a wszystkie postanowienia, których taka nieważność lub niewykonalność nie dotyczy, pozostaną w pełnej mocy i będą wiążące. W przypadku ewentualnej rozbieżności między niniejszym Uzupełnieniem a standardowymi klauzulami umownymi przyjętymi przez strony (jeśli istnieją), standardowe klauzule umowne są nadrzędne.

DODATEK A

Dane osobowe

  1. Keeper przetwarza następujące rodzaje Danych osobowych w związku ze świadczeniem usług:
    1. Przesyłane dane osobowe obejmują dane kontaktowe (imię i nazwisko, adres, adres e-mail, telefon), dane podmiotu, adres IP, identyfikator urządzenia i informacje o wersji aplikacji.

Kategorie osób, których dane dotyczą

  1. Keeper przetwarza dane osobowe dotyczące następujących kategorii osób, których dane dotyczą, w imieniu Klienta:
    1. Klient
    2. Upoważnieni Użytkownicy Końcowi Klienta, w tym pracownicy Klienta.

ZAŁĄCZNIK B – Zatwierdzeni Podwykonawcy przetwarzania

Aktualna lista Podwykonawców przetwarzania Keeper jest dostępna pod adresem 1B Sub-Processors. Zawiera ona szczegółowe informacje o nazwach podmiotów prawnych i lokalizacjach dalszych podmiotów przetwarzających. Lista dalszych podmiotów przetwarzających jest od czasu do czasu aktualizowana, a Klient może zarejestrować się, aby otrzymywać aktualizacje w Centrum Zaufania Keeper.

DODATEK C — Załącznik dotyczący bezpieczeństwa danych

Niniejszy Załącznik dotyczący bezpieczeństwa danych uzupełnia Umowę między Klientem a Keeper regulującą korzystanie z Usług przez użytkownika. O ile nie zdefiniowano inaczej w niniejszym Załączniku, wszystkie terminy pisane wielką literą użyte w tym dokumencie mają znaczenie nadane im w Umowie.

  1. Zakres przetwarzania danych. Niniejszy Załącznik ma zastosowanie do wszystkich Usług Keeper oraz przetwarzania wszystkich danych dostarczonych przez Klienta do Keeper („Dane Klienta”).
  2. Poufność danych Klienta. Keeper nie będzie uzyskiwać dostępu, wykorzystywać ani ujawniać żadnym podmiotom trzecim żadnych Danych Klienta, z wyjątkiem każdego przypadku, gdy jest to niezbędne do utrzymania lub świadczenia Usług lub gdy jest to konieczne do przestrzegania prawa bądź ważnego i wiążącego nakazu organu rządowego (takiego jak wezwanie lub nakaz sądowy). Jeśli organ rządowy skieruje do Keeper żądanie udostępnienia Danych Klienta, Keeper podejmie próbę przekierowania tego organu, aby żądał on danych bezpośrednio od Klienta. W ramach tych starań Keeper może przekazać organowi rządowemu podstawowe dane kontaktowe Klienta. Jeśli Keeper zostanie zmuszony do ujawnienia Danych Klienta organowi rządowemu, przekaże Klientowi uzasadnione powiadomienie o żądaniu, aby umożliwić Klientowi ubieganie się o nakaz zabezpieczający lub inny odpowiedni środek prawny, chyba że Keeper będzie mieć prawny zakaz takiego działania. Keeper zabrania swojemu personelowi przetwarzania Danych Klienta bez upoważnienia Keeper, zgodnie z opisem w Aneksie 1 — Standardy bezpieczeństwa załączonym do niniejszego dokumentu. Keeper nakłada na swój personel odpowiednie zobowiązania umowne, obejmujące stosowne zobowiązania dotyczące poufności, ochrony danych i bezpieczeństwa danych.
  3. Bezpieczeństwo przetwarzania danych. Keeper wdrożył i będzie utrzymywał środki techniczne i organizacyjne dla systemów Keeper zgodnie z opisem w Standardach bezpieczeństwa oraz w niniejszej Sekcji. W szczególności Keeper wdrożył i będzie utrzymywał następujące środki techniczne i organizacyjne:
    1. bezpieczeństwo systemów Keeper zgodnie z normami bezpieczeństwa;
    2. bezpieczeństwo fizyczne obiektów określone w Standardach bezpieczeństwa;
    3. środki kontroli uprawnień dostępowych personelu upoważnionego do Systemów Keeper określone w Standardach bezpieczeństwa oraz;
    4. procesy regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych wdrożonych przez Keeper, zgodnie z opisem w sekcji 2 Standardów bezpieczeństwa.
  4. Certyfikaty i audyty Keeper.
    1. Certyfikacja i raporty Keeper. Poza informacjami zawartymi w niniejszym Załączniku, na żądanie Klienta Keeper udostępni swoje certyfikaty ISO 27001 oraz SOC 2. Mechanizmy kontroli bezpieczeństwa informacji Keeper są zatwierdzane w drodze niezależnych ocen oraz certyfikacji i można uzyskać do nich dostęp w Centrum Zaufania Keeper. Certyfikaty obejmują:
      • SOC 2 Typ II (kryteria usług zaufania AICPA)
      • ISO 27001, ISO 27017 i ISO 27018
      • FedRAMP Moderate Authorisation (dla usługi Keeper Security Government Cloud)
      • Moduły kryptograficzne z walidacją FIPS 140-3
      • Architektura zgodną z HIPAA (Keeper nie jest podmiotem stowarzyszonym, ponieważ nie ma dostępu do ePHI)
      • Zgodność z RODO, brytyjskim RODO oraz rozporządzeniem DORA (Digital Operational Resilience Act).
    2. Audyty. Keeper korzysta z audytorów zewnętrznych w celu weryfikacji adekwatności swoich środków bezpieczeństwa, w tym bezpieczeństwa fizycznych centrów danych, za pośrednictwem których Keeper świadczy Usługi. Audyt ten: (a) będzie przeprowadzany co najmniej raz w roku (b) będzie przeprowadzany zgodnie ze standardami ISO 27001 lub innymi alternatywnymi standardami, które są im zasadniczo równoważne (c) będzie przeprowadzany przez niezależnych zewnętrznych specjalistów ds. bezpieczeństwa wybranych przez Keeper i na jego koszt oraz (d) zakończy się sporządzeniem raportu z audytu („Raport”), który stanowi Informacje poufne Keeper.

Aneks 1 — Standardy bezpieczeństwa

Program Bezpieczeństwa Informacji. Keeper będzie utrzymywać program bezpieczeństwa informacji zaprojektowany w celu: (a) umożliwienia Klientowi zabezpieczenia Danych Klienta przed przypadkową lub niezgodną z prawem utratą, dostępem lub ujawnieniem (b) identyfikowania racjonalnie przewidywalnych zagrożeń dla bezpieczeństwa i dostępności systemów Keeper oraz (c) minimalizowania ryzyk w zakresie bezpieczeństwa fizycznego i logicznego systemów Keeper, w tym poprzez regularną ocenę ryzyka i testy. KEEPER wyznaczy jednego lub więcej pracowników do koordynowania programu bezpieczeństwa informacji i ponoszenia za niego odpowiedzialności.

Program bezpieczeństwa informacji Keeper będzie obejmować następujące środki:

  1. Bezpieczeństwo logiczne.
    1. Kontrola dostępu. Keeper będzie udostępniać systemy Keeper wyłącznie upoważnionemu personelowi i tylko w zakresie niezbędnym do utrzymania i świadczenia Usług. Keeper będzie utrzymywać mechanizmy kontroli dostępu i polisy służące do zarządzania uprawnieniami dostępu do systemów Keeper z każdego połączenia sieciowego i dla każdego użytkownika, w tym poprzez stosowanie zapór ogniowych lub technologii o równoważnych funkcjach oraz mechanizmów uwierzytelniania. Keeper będzie utrzymywać mechanizmy kontroli dostępu zaprojektowane w celu: (i) ograniczania nieautoryzowanego dostępu do danych oraz (ii) oddzielania danych każdego klienta od danych innych klientów.
    2. Ograniczony dostęp użytkowników. Keeper będzie: (i) nadawać i ograniczać dostęp użytkowników do systemów Keeper zgodnie z zasadą najmniejszych uprawnień w oparciu o funkcje zawodowe personelu (ii) wymagać przeglądu i zatwierdzenia przed nadaniem dostępu do systemów Keeper wykraczającego poza zasadę najmniejszych uprawnień, w tym kont administratorów (iii) wymagać przeglądu uprawnień dostępu do systemów Keeper co najmniej raz na kwartał i, w razie potrzeby, terminowo odbierać takie uprawnienia oraz (iv) wymagać uwierzytelniania dwuskładnikowego przy dostępie do systemów Keeper z lokalizacji zdalnych.
    3. Oceny podatności. Keeper będzie przeprowadzać regularne zewnętrzne oceny podatności oraz testy penetracyjne systemów Keeper, a także badać zidentyfikowane problemy i terminowo monitorować ich rozwiązanie.
    4. Bezpieczeństwo aplikacji. Przed publicznym wprowadzeniem nowych Usług lub istotnych nowych funkcji Usług Keeper będzie przeprowadzać przeglądy bezpieczeństwa aplikacji w celu identyfikacji, ograniczania i usuwania ryzyk bezpieczeństwa.
    5. Zarządzanie zmianami. Keeper będzie utrzymywać mechanizmy kontroli służące do rejestrowania, autoryzowania, testowania, zatwierdzania i dokumentowania zmian w istniejących zasobach systemów Keeper oraz będzie dokumentować szczegóły zmian w swoich narzędziach do zarządzania zmianami lub wdrażania. Keeper będzie testować zmiany zgodnie ze swoimi standardami zarządzania zmianami przed ich przeniesieniem do środowiska produkcyjnego. Keeper będzie utrzymywać procesy służące do wykrywania nieautoryzowanych zmian w systemach Keeper i monitorować rozwiązanie zidentyfikowanych problemów. Keeper stosuje standardy bezpiecznego kodowania, analizę statyczną/dynamiczną, wzajemną ocenę kodu (peer review) oraz formalne zatwierdzanie zmian przed wdrożeniem produkcyjnym. Programiści przechodzą coroczne szkolenia z zakresu bezpieczeństwa i prywatności.
    6. Integralność danych. Keeper będzie utrzymywać mechanizmy kontroli zapewniające integralność danych podczas transmisji, przechowywania i przetwarzania w systemach Keeper. Keeper zapewni Klientowi możliwość usunięcia Danych Klienta z systemów Keeper.
    7. Szyfrowanie i deszyfrowanie odbywa się wyłącznie na urządzeniu użytkownika końcowego. Keeper nie ma dostępu do zawartości sejfu w formie jawnej ani do haseł głównych. Zasady zero-trust wymuszają uwierzytelnienie użytkownika i urządzenia przed uzyskaniem dostępu. Klucze szyfrujące są generowane na urządzeniu użytkownika (np. poprzez derywację PBKDF2). Nieszyfrowane klucze ani hasła główne nigdy nie są przechowywane ani przesyłane do Keeper.
    8. Keeper obsługuje TOTP, Duo Security, klucze FIDO/U2F oraz biometrię. SSO Connect® i SSO Connect® Cloud zapewniają uwierzytelnianie typu zero-knowledge poprzez protokół SAML 2.0. Administratorzy mają do dyspozycji szczegółową kontrolę dostępu opartą na rolach.
    9. Szyfrowanie TLS dla wszystkich połączeń, silne uwierzytelnianie API, segmentacja sieci, wykrywanie włamań oraz monitoring 24/7 w zakresie dostępności i zdarzeń związanych z zagrożeniami.
    10. Ciągłość działania i odzyskiwanie po awarii Keeper będzie utrzymywać formalny program zarządzania ryzykiem wspierający ciągłość krytycznych funkcji biznesowych („Program ciągłości działania”). Program ciągłości działania obejmuje procesy i procedury służące do identyfikacji, reagowania oraz odzyskiwania sprawności po zdarzeniach, które mogłyby uniemożliwić lub istotnie utrudnić świadczenie Usług przez Keeper („Zdarzenie BCP”). Program ciągłości działania obejmuje trójfazowe podejście, które Keeper będzie stosować do zarządzania Zdarzeniami BCP:
  2. Faza aktywacji i powiadamiania. W miarę jak Keeper identyfikuje problemy mogące skutkować Zdarzeniem BCP, będzie je eskalować, weryfikować i badać. W tej fazie Keeper przeanalizuje główną przyczynę Zdarzenia BCP.
    1. Faza odzyskiwania. Keeper przypisuje odpowiedzialność odpowiednim zespołom w celu podjęcia kroków zmierzających do przywrócenia normalnej funkcjonalności systemu lub stabilizacji dotkniętych Usług.
    2. Faza rekonstrukcji. Kierownictwo Keeper dokonuje przeglądu podjętych działań i potwierdza, że proces odzyskiwania został zakończony, a dotknięte części Usług i systemów Keeper zostały przywrócone. Po takim potwierdzeniu Keeper przeprowadza analizę post-mortem Zdarzenia BCP.
  3. Zarządzanie incydentami. Keeper będzie utrzymywać plany działań korygujących oraz plany reagowania na incydenty w celu odpowiedzi na potencjalne zagrożenia bezpieczeństwa systemów Keeper. Plany reagowania na incydenty Keeper będą zawierać zdefiniowane procesy wykrywania, ograniczania, badania i zgłaszania incydentów bezpieczeństwa. Plany reagowania na incydenty Keeper obejmują weryfikację incydentu, analizę ataku, izolację, gromadzenie danych oraz usuwanie problemu.
  4. Wycofywanie nośników danych z eksploatacji. Keeper będzie utrzymywać proces wycofywania nośników z eksploatacji, przeprowadzany przed ostateczną utylizacją nośników danych służących do przechowywania Danych Klienta. Przed ostateczną utylizacją nośniki, na których przechowywano Dane Klienta, zostaną rozmagnesowane, wymazane, oczyszczone, fizycznie zniszczone lub poddane innej procedurze usuwania danych zgodnie ze standardowymi praktykami branżowymi zapewniającymi, że Danych Klienta nie da się odzyskać z danego typu nośnika.
  5. Bezpieczeństwo fizyczne.
    1. Kontrola dostępu. Keeper: (i) wdroży i będzie utrzymywać fizyczne zabezpieczenia mające na celu zapobieganie nieautoryzowanemu dostępowi fizycznemu, uszkodzeniom lub ingerencji w systemy Keeper (ii) będzie używać odpowiednich urządzeń kontrolnych w celu ograniczenia fizycznego dostępu do systemów Keeper wyłącznie do upoważnionego personelu mającego uzasadnioną potrzebę biznesową (iii) będzie monitorować fizyczny dostęp do systemów Keeper za pomocą systemów wykrywania włamań zaprojektowanych do monitorowania, wykrywania i powiadamiania odpowiedniego personelu o incydentach bezpieczeństwa (iv) będzie rejestrować i regularnie audytować fizyczny dostęp do systemów Keeper oraz (v) będzie przeprowadzać okresowe przeglądy w celu potwierdzenia przestrzegania tych standardów.
    2. Dostępność. Keeper: (i) wdroży systemy nadmiarowe (redundantne) dla systemów Keeper w celu zminimalizowania skutków awarii systemów Keeper (ii) zaprojektuje systemy Keeper tak, aby przewidywały i tolerowały awarie sprzętowe oraz (iii) wdroży zautomatyzowane procesy służące do przekierowania ruchu danych klienta z obszaru dotkniętego awarią sprzętową.
  6. Pracownicy Keeper
    1. Szkolenia pracowników z zakresu bezpieczeństwa. Keeper wdroży i będzie utrzymywać programy szkoleń z zakresu bezpieczeństwa dla pracowników dotyczące wymagań Keeper w obszarze bezpieczeństwa informacji. Programy szkoleń uświadamiających w zakresie bezpieczeństwa będą przeglądane i aktualizowane co najmniej raz w roku.
    2. Weryfikacja przeszłości. Tam, gdzie jest to dozwolone przez prawo i w zakresie dostępnym u właściwych organów państwowych, Keeper będzie wymagać, aby każdy pracownik przeszedł weryfikację przeszłości, która jest uzasadniona i odpowiednia dla stanowiska tego pracownika oraz poziomu jego dostępu do systemów Keeper.
  7. Stała ewaluacja Keeper będzie przeprowadzać okresowe przeglądy programu bezpieczeństwa informacji dla systemów Keeper. Keeper będzie aktualizować lub zmieniać swój program bezpieczeństwa informacji w razie potrzeby, aby reagować na nowe zagrożenia bezpieczeństwa i wykorzystywać nowe technologie.
  8. Zgodność z ustawą DORA (Digital Operational Resilience Act)
    Aby zapewnić zgodność z ustawą w sprawie operacyjnej odporności cyfrowej (DORA), Keeper utrzymuje zaawansowane środki operacyjne i środki bezpieczeństwa w celu ochrony oprogramowania i systemów Keeper. Obejmuje to między innymi wdrażanie skutecznych procesów zarządzania ryzykiem, śledzenie dostępności i zarządzanie nią, utrzymywanie ścisłych wewnętrznych zasad bezpieczeństwa, wymaganie przechodzenia wewnętrznych szkoleń z zakresu bezpieczeństwa i ustanawianie protokołów reagowania na incydenty. Keeper stale monitoruje, aktualizuje i udoskonala procedury w celu ograniczenia ryzyka i zapewnienia funkcjonalności i bezpieczeństwa w całym oprogramowaniu i we wszystkich usługach Keeper.
close
Sprzedaż dla firm
Pomoc techniczna
close
Kup teraz