Aneks dotyczący RODO do umowy licencyjnej

Niniejszy Aneks dotyczący Przetwarzania Danych („Aneks”) ma zastosowanie do Usług świadczonych zgodnie z Umową licencyjną platformy Surge Social LLC („Warunki”), do której dołączony jest ten Aneks („Umowa”) pomiędzy Surge Social LCC („Surge Social” ) i Ciebie („Klient”). Niniejszy Aneks zostaje niniejszym włączony do Umowy i stanowi jej część.

1. Cel i zastosowanie

   Niniejszy Aneks jest umową stron dotyczącą przetwarzania przez Surge Sociali Danych Osobowych w ramach Umowy. Warunki niniejszego Aneksu mają zastosowanie tam, gdzie RODO ma zastosowanie do Przetwarzania Danych Osobowych.

   Warunki niniejszego Aneksu obowiązują w dniu rejestracji konta w Surge Social.

2. Definicje

   Terminy pisane wielką literą, których nie zdefiniowano w niniejszym Załączniku, mają znaczenie określone w Umowie. W niniejszym Załączniku, o ile nie określono inaczej:

   „Uprawniony Personel” ma znaczenie nadane w Ustępie 4.1.2.

   „Administrator” oznacza podmiot, który określa cele i sposoby Przetwarzania Danych Osobowych.

   „Dane Użytkownika Końcowego” ma znaczenie nadane w Umowie.

   „Incydent dotyczący danych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmiany lub nieuprawnionego ujawnienia lub dostępu do Danych Osobowych.

   „Przepisy o ochronie danych” lub „RODO” oznaczają Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

   „Dane Osobowe” oznaczają Dane Użytkownika Końcowego, czyli informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej („osoba, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden lub więcej szczególnych czynników fizycznych, fizjologicznych, genetycznej, psychicznej, ekonomicznej, kulturowej lub społecznej tożsamości tej osoby fizycznej.

   „Przetwarzanie” oznacza dowolną operację lub zestaw operacji wykonywanych na lub w odniesieniu do Danych osobowych, w sposób automatyczny lub inny, taki jak gromadzenie, rejestrowanie, organizowanie, strukturyzacja, przechowywanie, adaptacja lub zmiana, odzyskiwanie, konsultowanie, wykorzystywanie, ujawnianie poprzez transmisję, rozpowszechnianie lub udostępnianie w inny sposób, dopasowanie lub łączenie, usuwanie lub niszczenie.

   „Przetwarzający” oznacza osobę fizyczną lub prawną, która przetwarza dane osobowe w imieniu Administratora.

   „Ograniczony transfer” oznacza przekazywanie wszelkich Danych osobowych, do których RODO ma zastosowanie, do dowolnego kraju lub organizacji, w przypadku gdy takie przekazywanie nie byłoby dozwolone przez RODO w przypadku braku podstawy prawnej dozwolonej przez RODO.

   „Usługi” oznaczają Usługi określone w Warunkach.

   „Podwykonawca przetwarzania” oznacza stronę trzecią, która przetwarza dane użytkownika końcowego w imieniu Procesora w celu świadczenia części Usług.

3. Przetwarzanie danych osobowych

3.1  Role i obowiązki

3.1.1 Tam, gdzie RODO ma zastosowanie do przetwarzania danych osobowych przez Surge Social, Klient jest, do wszystkich celów i w odniesieniu do wszystkich przepisów o ochronie danych, Administratorem Danych Osobowych, a Surge Sociali jest Podmiotem Przetwarzającym Dane Osobowe, z wyjątkiem sytuacji, gdy Klient działa jako Przetwarzający Dane Osobowe w imieniu strony trzeciej, która jest jej Administratorem, w takim przypadku Surge Social będzie wyłącznie Podwykonawcą Przetwarzania. W przypadku, gdy Surge Social jest Podwykonawcą Przetwarzania, Klient oświadcza i gwarantuje, że posiada wszelkie niezbędne uprawnienia odpowiedniego Administratora, aby zaangażować Surge Social jako Podwykonawcę Przetwarzania. Niezależnie od jakichkolwiek innych postanowień, we wszystkich przypadkach Klient przyjmuje do wiadomości, zgadza się i oświadcza, że ​​Surge Social nie będzie Administratorem Danych Osobowych.

3.1.2   Surge Social przestrzega przepisów o ochronie danych tylko w zakresie, w jakim mają one zastosowanie do przetwarzania danych osobowych przez Surge Social w imieniu Klienta. Klient będzie przestrzegać wszystkich Przepisów o Ochronie Danych mających zastosowanie do Danych Osobowych. Dla jasności, Klient uzyska wszelką wymaganą zgodę od podmiotów danych osobowych na Surge Social do przetwarzania danych osobowych i będzie przestrzegać wszystkich zobowiązań wynikających z Przepisów o Ochronie Danych jako Administrator Danych Osobowych i wszystkich podobnych zobowiązań.

3.1.3   W ramach świadczenia niektórych usług Surge Social, po otrzymaniu instrukcji od Klienta, może przekazywać Dane Osobowe zewnętrznym podmiotom przetwarzającym dane oraz w inny sposób wchodzić z nimi w interakcje. Klient zgadza się, że jeśli i w zakresie, w jakim takie transfery nastąpią, Klient jest odpowiedzialny za zawarcie odrębnych ustaleń umownych z takimi zewnętrznymi Przetwarzającymi dane, które zobowiązują ich do przestrzegania zobowiązań zgodnie z Wymogami Ochrony Danych. W celu uniknięcia wątpliwości takie zewnętrzne podmioty przetwarzające dane nie są podwykonawcami przetwarzania.

3.2  Zakres przetwarzania

3.2.1 Klient zleca Surge Social przetwarzanie Danych Osobowych: (a) w celu świadczenia Usług; (b) jak określono w Umowie, w tym w niniejszym Aneksie; (c) zgodnie z warunkami korzystania przez Klienta z Usług; oraz (d) zgodnie z dalszymi dokumentami w innych pisemnych instrukcjach Klienta, które Surge Social uznaje za instrukcje dla celów Umowy.

3.2.2 Instrukcje klienta dotyczące przetwarzania danych osobowych przez firmę Surge Social muszą być zgodne ze wszystkimi przepisami dotyczącymi ochrony danych. Klient nie może polecić Surge Social podjęcia jakiegokolwiek Ograniczonego Transferu.

3.2.3   Niezależnie od punktu 3.2.1 powyżej, Surge Social może przetwarzać dane osobowe, jeśli jest to wymagane przez obowiązujące prawo, któremu podlega Surge Social, w którym to przypadku Surge Social (w zakresie dozwolonym przez prawo) poinformuje Klienta o tym wymogu prawnym przed przeprowadzanie Przetwarzania.

3.2.4   Charakter i cel przetwarzania danych osobowych przez Surge Social to świadczenie Usług zgodnie z Umową. Rodzaj Danych Osobowych, kategorie osób, których dane dotyczą oraz obowiązki i prawa Klienta są określone w Umowie, w tym w niniejszym Aneksie.

4.   Bezpieczeństwo

4.1 Środki bezpieczeństwa

4.1.1  Surge Social podjął, a Klient podejmie, biorąc pod uwagę koszty wdrożenia oraz charakter, zakres, kontekst i cele Przetwarzania, odpowiednie środki techniczne i organizacyjne w celu zapewnienia poziomu bezpieczeństwa Danych Osobowych, w ramach ich odpowiednich posiadanie, które jest odpowiednie do zagrożeń dla poszczególnych osób, których dane dotyczą, które mogą wynikać z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmiany, nieuprawnionego ujawnienia lub dostępu do Danych Osobowych.

4.1.2   Surge Social spowoduje, że dostęp do Danych Osobowych będących w posiadaniu Surge Social będzie ograniczony do tych osób, które potrzebują dostępu w celu spełnienia zobowiązań Surge Social wynikających z Umowy (łącznie „Uprawniony personel”).

4.1.3   Cały Upoważniony Personel jest lub zostanie przeszkolony w zakresie obchodzenia się z Danymi Osobowymi, zostanie poinformowany o poufnym charakterze Danych Osobowych i będzie związany odpowiednimi zobowiązaniami do zachowania poufności podczas uzyskiwania do nich dostępu i nie będzie przetwarzał Danych Osobowych, chyba że zgodnie z instrukcji Klienta.

4.2  Incydent dotyczący danych

4.2.1  Po uzyskaniu informacji o incydencie dotyczącym danych, Surge Social: (a) bez zbędnej zwłoki powiadomi Klienta o incydencie dotyczącym danych; (b) dołożyć uzasadnionych starań w celu zidentyfikowania przyczyny takiego incydentu dotyczącego danych; oraz (c) w przypadku, gdy incydent związany z danymi nie został spowodowany przez Klienta ani żadnego użytkownika, podjąć kroki, które Surge Social uzna za konieczne i uzasadnione w celu naprawienia przyczyny incydentu dotyczącego danych w zakresie, w jakim przyczyną incydentu dotyczącego danych jest Surge Sosial`s kontrola rozsądna.

5.   Podprzetwarzający

5.1  Ogólny

5.1.1  Surge Social nie będzie angażować Podwykonawców przetwarzania (z wyłączeniem niezależnych wykonawców) bez uprzedniej wyraźnej lub ogólnej pisemnej zgody Klienta i będzie wymagać, aby tacy Podprzetwarzający byli związani postanowieniami zasadniczo podobnymi do tych w niniejszym Aneksie, w stosownych przypadkach. Lista aktualnych Podmiotów Przetwarzających Surge Sociali znajduje się w Załączniku A, a Klient niniejszym upoważnia Surge Social do korzystania z takich Podmiotów Podprzetwarzających.

5.1.2   Surge Social może, według własnego uznania, ogólnie zaangażować dodatkowe strony trzecie jako podmioty podprzetwarzające. Jeśli Surge Social zdecyduje się ogólnie zaangażować Podprzetwarzających, Surge Social poinformuje Klienta o wszelkich nowych Podprzetwarzających co najmniej 30 dni przed upoważnieniem Podprzetwarzającego do Przetwarzania Danych Osobowych, a Klient może sprzeciwić się nowemu Podprzetwarzającemu, dostarczając pisemne powiadomienie Surge Social w ciągu 15 dni od otrzymania takiego zawiadomienia. Jeśli Klient sprzeciwi się nowemu Podprzetwarzającemu zgodnie z niniejszym punktem 5.1.2: (i) Surge Social, według własnego uznania, będzie świadczyć Usługi bez nowego Podwykonawcy Przetwarzającego Przetwarzającego jakiekolwiek Dane Osobowe; lub (ii) Klient może wypowiedzieć Usługi, które wymagają nowego Podwykonawcy przetwarzania.

6.   Audyty

6.1  Audyty RODO

6.1.1  W przypadku, gdy przetwarzanie danych osobowych podlega RODO, na wyłączny koszt Klienta, Surge Social udostępni Klientowi takie informacje Surge Social, jakie są w uzasadniony sposób niezbędne do wykazania zgodności z obowiązkami określonymi w art. 28 RODO oraz umożliwią i przyczynią się do do audytów, w tym inspekcji, przeprowadzanych przez Klienta lub innego audytora upoważnionego przez Klienta.

7.   Usuwanie i zwrot danych osobowych

7.1. Po zakończeniu świadczenia Usług i według wyboru Klienta, Surge Social usunie lub zwróci Klientowi wszystkie Dane Osobowe oraz usunie wszystkie Dane Osobowe, chyba że jest to zabronione przez Przepisy o Ochronie Danych.

8.   Prawa podmiotów danych

8.1 Surge Social, na wyłączny koszt Klienta, spełni żądania osób, których dane dotyczą, dotyczące dostępu, sprostowania i ograniczenia przetwarzania Danych Osobowych w sposób zgodny z Przepisami o Ochronie Danych, funkcjonalnością Usług oraz rolą Surge Social jako Przetwarzającego.

9.   Ocena wpływu

9.1 W przypadku, gdy przetwarzanie danych osobowych podlega RODO, na wyłączny koszt Klienta, Surge Social zapewni Klientowi rozsądną pomoc w wypełnianiu jego obowiązków w zakresie przeprowadzania oceny wpływu na prywatność i konsultacji z organami regulacyjnymi w związku z przetwarzaniem danych osobowych. Dane podjęte w ramach niniejszej Umowy.

10.   Odszkodowanie

10.1.1 Klient zobowiązuje się w pełni zabezpieczyć i zabezpieczyć Surge Social na własny koszt przed wszelką odpowiedzialnością, stratami, roszczeniami, kosztami i uzasadnionymi wydatkami, w tym opłatami prawnymi, które Surge Social może ponieść lub za które Surge Social może stać się odpowiedzialna w zakresie wynikającym z od jakiegokolwiek Przetwarzania Danych Osobowych zgodnie z instrukcjami Klienta, jakiegokolwiek naruszenia przez Klienta niniejszego Załącznika lub jakichkolwiek Przepisów o Ochronie Danych lub jakichkolwiek działań lub zaniechań Klienta w odniesieniu do jego obowiązków jako Administratora Danych Osobowych.

DODATEK A: Surge Social Subprocessors

Surge Social korzysta z następujących podwykonawców przetwarzania, aby pomóc w świadczeniu Usług w imieniu klientów Surge Social:

•   Amazon Web Services (Data Hosting) – https://aws.amazon.com/compliance/eu-data-protection/
•   Sendgrid – Email service provider – https://www.sendgrid.com/resource/general-data-protection-regulation/
•   Twilio (SMS service provider) – https://www.twilio.com/gdpr
•   Google, Inc. (Map APIs and analytics) – https://cloud.google.com/security/gdpr/
•   Facebook, Inc. (Social network) – https://www.facebook.com/business/gdpr
•   Zapier, Inc. (Web app automation) – https://zapier.com/help/gdpr/
•   Periscope Data (Data analytics) – https://www.periscopedata.com/gdpr
•   Segment (Analytics management) – https://segment.com/docs/legal/privacy/
•   FullStory (User analytics) – https://help.fullstory.com/gdpr
•   BugSnag (Error reporting) – https://www.bugsnag.com/security/
•   Logentries.com, Inc. (System logging) – https://docs.logentries.com/docs/security/
•   Recurly (Credit card processing) – https://recurly.com/legal/
•   Stripe (Payments) – https://stripe.com/ca/privacy
•   PayPal (Payments) – https://www.paypal.com/gdpr
•   Intercom Inc. (Live chat) – https://docs.intercom.com/privacy
•   Active Campaign (CRM) – https://www.activecampaign.com/gdpr
•   Close.io (CRM) – https://close.io/gdpr/
•   ClickFunnels (Website marketing) – https://signup.clickfunnels.com/gdpr-policy
•   Typeform (Data forms) – https://admin.typeform.com/to/dwk6gt
•   FirstPromoter (Affiliate software) – https://firstpromoter.com/gdpr
•   Shopify, Inc. (Online store) – https://help.shopify.com/manual/your-account/GDPR
•   Whiplash Merchandising (Shipping) – https://docs.getwhiplash.com/pages/gdpr-and-data-privacy

Więcej informacji na temat umowy licencyjnej Surge Social można znaleźć pod adresem:

Umowa licencyjna

Wszelkie pytania dotyczące niniejszego Załącznika dotyczącego przetwarzania danych należy kierować na adres: support@surgesocial.com

Ostatnia aktualizacja: 25 maja 2018 r.