Regulaminy i Prywatność CodeTwo

Umowa Powierzenia Przetwarzania Danych Osobowych

Data publikacji: 21.08.2023. Zobacz poprzednie wersje (https://www.codetwo.pl/regulations/dpa/#poprzednie-wersje)

Niniejsza Umowa Powierzenia Przetwarzania Danych Osobowych (dalej „Umowa”) zostaje zawarta pomiędzy CodeTwo sp. z o.o. sp. k., spółką komandytową zawiązaną na mocy prawa Rzeczpospolitej Polskiej (państwa członkowskiego Unii Europejskiej), z siedzibą w Jeleniej Górze przy ul. Wolności 16 (dalej „CodeTwo” lub po prostu my), NIP europejski (VAT UE) PL6112622141, wpisaną do Rejestru Przedsiębiorców KRS prowadzonego przez Sąd Rejonowy dla Wrocławia - Fabrycznej we Wrocławiu, IX Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS 0000438398, oraz podmiotem lub osobą wskazaną na ostatniej stronie Umowy (dalej „Klient” lub po prostu Ty) i obowiązuje od Daty Wejścia w Życie. CodeTwo i Klient mogą być dalej zwani także każde z osobna jako „Strona” lub łącznie jako „Strony”.

Umowa stanowi integralną część i jest zawierana zgodnie z Regulaminem Sprzedaży i Świadczenia Usług (https://www.codetwo.pl/regulations/sales-and-services/).

Zważywszy, że:

  1. Klient jest zainteresowany korzystaniem z CodeTwo Email Signatures 365 (dawniej CodeTwo Email Signatures for Office 365) – oprogramowaniem umożliwiającym centralne zarządzanie podpisami w wiadomościach email, działającym na serwerach Microsoft Azure w wybranym przez Klienta regionie (oprogramowanie to i powiązane z nim usługi są łącznie dalej „Usługami”);
  2. korzystanie przez Klienta z Usług wiąże się z przetwarzaniem Danych Klienta (zgodnie z definicją poniżej) przez CodeTwo;
  3. Strony chcą określić wzajemne zobowiązania dotyczące przetwarzania Danych Klienta (zgodnie z definicją poniżej) przez CodeTwo;

Strony postanowiły, co następuje:

1. Definicje

  1. Wszystkie terminy pisane wielką literą i użyte w Umowie, o ile nie zostały zdefiniowane w innym miejscu Umowy, mają następujące znaczenie:
    1. Przepisy o Ochronie Danych” oznaczają RODO oraz – w przypadku, gdy przetwarzanie podlega CCPA lub Amerykańskim Stanowym Przepisom o Ochronie Prywatności (zgodnie z definicjami w Załączniku 3 do Umowy) – CCPA i Amerykańskie Stanowe Przepisy o Ochronie Prywatności;
    2. Tryb Outlook (Client-side)” oznacza konfigurację Usług, w której podpisy email dodawane są do Wychodzących Wiadomości Email Klienta bez konieczności przesyłania Wychodzących Wiadomości Email Klienta poprzez Usługi;
    3. Tryb Combo” oznacza konfigurację Usług, w której do zarządzania podpisami email w Wychodzących Wiadomościach Email Klienta wykorzystywany jest zarówno Tryb Outlook (Client-side), jak i Tryb Cloud (Server-side);
    4. Dane Klienta” oznaczają Dane Użytkowników Klienta, Dane Email Klienta i Emaile Klienta;
    5. Dane Email Klienta” oznaczają wszystkie dane osobowe zawarte w Przychodzących Wiadomościach Email Klienta i Wychodzących Wiadomościach Email Klienta; to, czy CodeTwo przetwarza i/lub w inny sposób uzyskuje dostęp do Danych Email Klienta zależy od tego, jak Klient skonfiguruje Usługi – szczegółowe informacje znajdują się w Załączniku 1 do Umowy;
    6. Wiadomości Email Klienta” oznaczają Przychodzące Wiadomości Email Klienta i Wychodzące Wiadomości Email Klienta;
    7. Przychodzące Wiadomości Email Klienta” oznaczają wiadomości email wysyłane do skrzynek pocztowych znajdujących się na tenancie Microsoft 365 Klienta; to, czy CodeTwo przetwarza i/lub w inny sposób uzyskuje dostęp do Przychodzących Wiadomości Email Klienta zależy od tego, jak Klient skonfiguruje Usługi – szczegółowe informacje znajdują się w Załączniku 1 do Umowy;
    8. Wychodzące Wiadomości Email Klienta” oznaczają wiadomości email wysyłane ze skrzynek pocztowych znajdujących się na tenancie Microsoft 365 Klienta; to, czy CodeTwo przetwarza i/lub w inny sposób uzyskuje dostęp do Wychodzących Wiadomości Email Klienta zależy od tego, jak Klient skonfiguruje Usługi – szczegółowe informacje znajdują się w Załączniku 1 do Umowy;
    9. Dane Użytkowników Klienta” oznaczają dane osobowe, w tym w szczególności niektóre atrybuty użytkownika przechowywane w Azure Active Directory oraz informacje o członkostwie w grupach dotyczące osób posiadających konta na tenancie Microsoft 365 Klienta, które Klient przekazuje CodeTwo w związku z korzystaniem przez Klienta z Usług; szczegółowy zakres i kategorie Danych Użytkowników Klienta przetwarzanych przez CodeTwo na podstawie Umowy zależą od tego, jak Klient skonfiguruje Usługi i zostały szczegółowo opisane w Załączniku 1 do Umowy;
    10. Data Wejścia w Życie” oznacza datę wyrażenia przez Klienta zgody na związanie się postanowieniami Umowy poprzez zaznaczenie odpowiedniego pola na stronach internetowych CodeTwo i potwierdzenie tym samym zapoznania się i akceptacji warunków Umowy, lub poprzez podpisanie kopii Umowy otrzymanej w wiadomości email;
    11. RODO” oznacza Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);
    12. Tryb Cloud (server-side)” oznacza konfigurację Usług, w której Wychodzące Wiadomości Email Klienta przesyłane są poprzez Usługi w celu dodania podpisów email.

2. Postanowienia ogólne

  1. Jako administrator danych przyjmujesz do wiadomości, że w zakresie opisanym w Załączniku 1 do Umowy:
    1. korzystanie z Usług wiąże się z przetwarzaniem Danych Użytkowników Klienta w ramach Usług;
    2. korzystanie z Usług w Trybie Cloud (server-side) lub w Trybie Combo wiąże się z przesyłaniem Wychodzących Wiadomości Email Klienta poprzez Usługi;
    3. korzystanie z niektórych dodatkowych funkcji Usług może wymagać od Klienta nadania Usługom szerszych uprawnień dostępowych, w tym dostępu do Przychodzących Wiadomości Email Klienta, Wychodzących Wiadomości Email Klienta lub Danych Email Klienta.
  2. Jako administrator danych potwierdzasz, że:
    1. ta Umowa wraz ze sposobem korzystania i konfiguracji Usług oraz ich poszczególnych funkcji stanowią pełne i ostateczne instrukcje co do przetwarzania przez nas Danych Klienta. Niezwłocznie poinformujemy Cię, jeżeli w naszej opinii instrukcje te naruszają Przepisy o Ochronie Danych;
    2. Dane Klienta zostały i będą pozyskiwane zgodnie z Przepisami o Ochronie Danych, oraz że wszystkie zgody (jeśli są prawnie niezbędne) wymagane od osób, których dane osobowe są przetwarzane z użyciem Usług, zostały zebrane, a wszystkie obowiązki informacyjne względem tych osób zostały spełnione.
  3. Jako podmiot przetwarzający zobowiązujemy się:
    1. przetwarzać Dane Klienta wyłącznie w celu umożliwienia Ci korzystania z Usług i ich indywidualnych funkcji oraz zgodnie z postanowieniami Umowy i Przepisami o Ochronie Danych;
    2. nie zapisywać, nie rejestrować, nie przechowywać ani nie uzyskiwać fizycznego dostępu do treści Emaili Klienta, z wyjątkiem przypadków i w zakresie opisanym w Załączniku 1 do Umowy, gdy jest to wymagane do świadczenia Ci Usług.
  4. Zakres danych osobowych, których dotyczy powierzenie oraz kategorie osób, których dane dotyczą zostały szczegółowo opisane w Załączniku 1 do Umowy.
  5. Aby korzystać z niektórych dodatkowych funkcji CodeTwo Email Signatures 365 (np. Autoresponder, Sent Items Update lub One-click surveys), musisz przyznać Usługom dodatkowe uprawnienia dostępowe do wybranych zasobów na Twoim tenancie Microsoft 365. Zakres wymaganych uprawnień będzie widoczny podczas konfiguracji takich funkcji w panelu administracyjnym programu CodeTwo Email Signatures 365. Uprawnienia te mogą być różne dla każdej z funkcji i mogą obejmować, między innymi, uprawnienie do odczytywania profilów wszystkich użytkowników na Twoim tenancie Microsoft 365, gdy użytkownik nie jest zalogowany, a także uprawnienie do odczytywania poczty we wszystkich skrzynkach pocztowych, zarówno gdy użytkownik nie jest zalogowany oraz jako zalogowany użytkownik. Uprawnienia te są wymagane, aby możliwe było zastosowanie reguł i wykonanie akcji zdefiniowanych podczas konfiguracji takich dodatkowych funkcji. Wszystkie dodatkowe funkcje są domyślnie wyłączone. Wszelkie uprawnienia dostępu, które nadajesz Usługom, mają charakter techniczny i funkcjonalny.
  6. Niezależnie od punktu 2.5 powyżej, CodeTwo Email Signatures Office 365 nie ma dostępu do kluczy wymaganych do odszyfrowania zaszyfrowanych Emaili Klienta, w związku z czym użycie dodatkowych funkcji w odniesieniu do zaszyfrowanych Emaili Klienta może być ograniczone lub w ogóle niemożliwe.

3. Dalsze powierzenie przetwarzania

  1. Korzystamy z Microsoft Azure w celu świadczenia Ci Usług. To oznacza, że Dane Klienta będą przetwarzane w centrach danych Microsoft Azure w wybranym przez Ciebie podczas konfiguracji Usług regionie. Lista obecnie dostępnych regionów znajduje się tutaj (www.codetwo.pl/email-signatures/jak-to-dziala).
  2. Centrami danych Microsoft Azure zarządza Microsoft Corporation i jej spółki powiązane. Microsoft Corporation korzysta z usług podwykonawców do świadczenia usługi Microsoft Azure. Lista podwykonawców znajduje się tutaj (https://www.codetwo.com/regulations/dpa/ms-subcontractors).
  3. Szczegółowe warunki świadczenia usług przez Microsoft Corporation i jej spółki powiązane znajdują się tutaj (https://www.codetwo.com/regulations/dpa/ms-terms-and-conditions). Dokumenty te zawierają opis obowiązków Microsoft w zakresie ochrony danych oraz środków wdrożonych w centrach danych Microsoft w celu ochrony poufności Danych Klienta. Dodatkowe informacje na temat bezpieczeństwa platformy Microsoft Azure znajdują się tutaj (https://www.codetwo.com/regulations/dpa/ms-azure-security).
  4. Oświadczamy, że zawarliśmy z Microsoft Corporation umowę opartą o standardowe klauzule umowne UE. Celem umowy jest zapewnienie, że poziom ochrony danych zbliżony do poziomu zapewnianego przez nas zostaje zachowany w przypadku przekazywania Danych Klienta do centrów danych Microsoft Azure, w tym do centrów znajdujących się poza Europejskim Obszarem Gospodarczym (EOG).
  5. Przyjmujesz do wiadomości i wyrażasz zgodę na korzystanie przez nas z usług Microsoft Corporation, jej spółek powiązanych i podwykonawców, jak wymieniono powyżej, w charakterze dalszych podmiotów przetwarzających w celu świadczenia Ci Usług. Te podmioty będą zaangażowane wyłącznie w ramach i w celu świadczenia Ci Usług. Poziom ochrony danych osobowych u dalszych podmiotów przetwarzających jest co najmniej równy poziomowi ochrony zapewnianemu przez nas.

4. Kopie danych i poufność informacji

  1. Nie tworzymy kopii lub duplikatów żadnych danych bez Twojej wiedzy. Wyjątkiem są kopie zapasowe tworzone dla następujących rodzajów danych:
    1. ustawienia i dane konfiguracyjne Usług;
    2. Dane Użytkowników Klienta.
  2. Wspomniane kopie zapasowe są niezbędne do zapewnienia bezawaryjnej pracy Usług. Wszystkie kopie zapasowe są automatycznie tworzone przez Microsoft Azure i przechowywane w Microsoft Azure w tym samym regionie, który wybrałeś/-aś podczas tworzenia powiązania między swoim tenantem Microsoft 365 a Usługami. Nie wykorzystujemy tych kopii zapasowych poza środowiskiem Microsoft Azure ani do celów innych niż te wymienione powyżej.
  3. Nie będziemy tworzyć kopii zapasowych innych rodzajów danych niż te wymienione w pkt. 4.1 powyżej. Nie będziemy tworzyć kopii zapasowych Emaili Klienta lub Danych Email Klienta.
  4. Przyjmujemy do wiadomości i akceptujemy, że Emaile Klienta w niektórych przypadkach mogą zawierać informacje, które w uzasadniony sposób należy rozumieć jako zastrzeżone lub poufne informacje Klienta. Podejmiemy wszelkie rozsądnie wymagane kroki organizacyjne, techniczne i administracyjne, aby zapobiec ujawnianiu Emaili Klienta osobom nieuprawnionym. Nie ujawnimy Emaili Klienta żadnym stronom trzecim i zawsze odmówimy ujawnienia Emaili Klienta organom ścigania lub sprawiedliwości.
  5. Przyjmujemy do wiadomości i akceptujemy, że Dane Użytkowników Klienta w niektórych przypadkach mogą zawierać informacje, które w uzasadniony sposób należy rozumieć jako zastrzeżone lub poufne informacje Klienta. Podejmiemy wszelkie rozsądnie wymagane kroki organizacyjne, techniczne i administracyjne, aby zapobiec ujawnianiu Danych Użytkowników Klienta osobom nieuprawnionym. Nie ujawnimy Danych Użytkowników Klienta organom wymiaru sprawiedliwości i ścigania, chyba że będzie to wymagane prawem. Jeżeli przedstawiciele wspomnianych organów zgłoszą się do nas z żądaniem udostępnienia Danych Użytkowników Klienta, podejmiemy próbę skierowania tych przedstawicieli do Ciebie. Jeżeli będziemy bezwzględnie zobowiązani do ujawnienia Danych Użytkowników Klienta organom wymiaru sprawiedliwości lub ścigania, niezwłocznie Cię o tym poinformujemy i przekażemy Ci kopię żądania, o ile będzie to prawnie dopuszczalne.

5. Pomoc w realizacji praw osób, których dotyczą dane oraz w wywiązywaniu się z innych obowiązków

  1. Biorąc pod uwagę charakter przetwarzania dokonywanego na podstawie Umowy, w miarę możliwości pomożemy Ci poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw określonych w Rozdziale III RODO. Jeżeli potrzebujesz naszej pomocy, możesz zgłosić takie żądanie za pomocą tego formularza (https://www.codetwo.pl/form/data-protection/).
  2. Potwierdzimy przyjęcie żądania w ciągu 3 (trzech) dni roboczych od jego otrzymania. W ciągu kolejnych 3 (trzech) dni poinformujemy Cię o możliwości udzielenia Ci pomocy w realizacji żądania oraz o spodziewanym terminie realizacji tego żądania. W żadnym wypadku termin nie będzie dłuższy niż 2 (dwa) tygodnie.
  3. Jeżeli osoba, której dane dotyczą, zwróci się do nas w sprawie skorzystania z praw przysługujących jej na mocy RODO, skierujemy taką osobę bezpośrednio do Ciebie.
  4. Uwzględniając dostępne informacje oraz charakter przetwarzania dokonywanego na podstawie Umowy, udzielimy Ci informacji niezbędnych do wywiązania się z obowiązków wynikających z art. 32 – 36 RODO, w tym w szczególności w zakresie dokonywania oceny skutków dla ochrony danych. Jeżeli potrzebujesz naszej pomocy w związku z powyższymi kwestiami, możesz się skontaktować z naszym Inspektorem Ochrony Danych oraz Zespołem ds. Bezpieczeństwa Danych w dowolnym momencie za pomocą tego formularza (https://www.codetwo.pl/form/data-protection/).

6. Bezpieczeństwo danych

  1. Biorąc pod uwagę ryzyko naruszenia praw i wolności osób fizycznych oraz stan wiedzy technicznej, koszt wdrożenia, a także charakter, zakres, kontekst i cele przetwarzania, oświadczamy, że zgodnie z art. 32 RODO wdrożyliśmy odpowiednie środki techniczne i organizacyjne w celu zabezpieczenia przetwarzania Danych Klienta. Środki te opisano w Załączniku 2 do Umowy. Możesz również wykorzystać informacje zawarte w Załączniku 2 w celu dokonania oceny skutków dla ochrony danych.
  2. Zobowiązujemy się chronić Dane Klienta przed nieuprawnionym dostępem, usunięciem, uszkodzeniem lub zniszczeniem. Podejmiemy wszelkie kroki niezbędne do zachowania poufności danych osobowych i ich ochrony zgodnie z postanowieniami Przepisów o Ochronie Danych.
  3. Oświadczamy, że wszyscy pracownicy upoważnieni do przetwarzania danych osobowych zostali zobowiązani do zachowania tajemnicy i przechodzą regularne szkolenia z przepisów dotyczących ochrony danych, które mają zastosowanie w ich pracy.
  4. Regularnie monitorujemy wszystkie procesy wewnętrzne oraz wdrożone przez nas środki techniczne i organizacyjne, aby mieć pewność, że przetwarzanie odbywa się zgodnie z wymaganiami określonymi w Przepisach o Ochronie Danych i zapewnia ochronę praw osób, których dane dotyczą.
  5. Mamy prawo wdrożyć inne niż te wymienione w sekcji 6 powyżej oraz w Załączniku 2 do Umowy środki zabezpieczające dane, zwłaszcza z uwagi na postęp techniczny i rozwój technologii. Nowe środki nie będą zmniejszać ochrony zapewnianej przez środki wymienione powyżej. Udostępnimy Ci aktualną wersję Załącznika 2 na każde żądanie zgłoszone przez Ciebie w trakcie obowiązywania Umowy.

7. Naruszenie bezpieczeństwa danych

  1. Zawiadomimy Cię o naruszeniu bezpieczeństwa danych osobowych niezwłocznie po tym, gdy dowiemy się o takiej sytuacji. Każde zawiadomienie będzie zawierać co najmniej następujące informacje:
    1. rodzaj naruszenia bezpieczeństwa danych osobowych, w miarę możliwości z informacją o kategoriach osób i szacowanej liczbie osób, których dotyczy naruszenie oraz szacowanej liczbie naruszonych rekordów z danymi osobowymi;
    2. imię i nazwisko oraz dane kontaktowe osoby, u której można uzyskać dalsze informacje;
    3. opis możliwych następstw naruszenia bezpieczeństwa danych osobowych; oraz
    4. opis przedsięwziętych przez nas środków lub środków, które proponujemy Ci przedsięwziąć w związku z naruszeniem bezpieczeństwa danych osobowych, w tym, w stosownych przypadkach, środków mających na celu ograniczenie możliwych negatywnych następstw naruszenia.
  2. Jeżeli i w zakresie w jakim nie da się udzielić wszystkich informacji opisanych w punkcie 7.1. powyżej w tym samym czasie, informacje te będą przekazywane sukcesywnie, bez zbędnej zwłoki.

8. Okres przetwarzania danych i zwrot danych

  1. Przyjmujesz do wiadomości, że rozpoczniemy przetwarzanie Danych Użytkowników Klienta w chwili powiązania należącego do Ciebie tenanta Microsoft 365 z Usługami.
  2. Będziemy przetwarzać dane osobowe, które nam powierzasz, przez cały okres obowiązywania licencji na Usługi i/lub korzystania z dodatkowych funkcji Usług, o których mowa w punkcie 2.5 Umowy. Umowa pozostaje w mocy podczas korzystania z licencji próbnej na Usługi, jak również po okresie próbnym, tj. po wykupieniu licencji na Usługi. Ponadto, Umowa pozostaje w mocy niezależnie od tego, czy Usługi zostały zakupione bezpośrednio od CodeTwo, czy za pośrednictwem resellera.
  3. W razie rozwiązania lub wygaśnięcia licencji, usuniemy wszelkie Dane Użytkowników Klienta z Usług w ciągu 180 dni od rozwiązania lub wygaśnięcia licencji, chyba że przepisy prawa będą wymagać przetwarzania danych przez dłuższy czas.
  4. Po rozwiązaniu lub wygaśnięciu licencji nie będziemy wykonywać żadnych operacji na Danych Użytkowników Klienta, z wyjątkiem przechowywania ich w Usługach, chyba że prawo będzie stanowić inaczej.

9. Prawo klienta do audytu

  1. Dodatkowe informacje na temat przetwarzania i ochrony Danych Klienta oraz sposobu wywiązywania się przez nas z obowiązków wynikających z Przepisów o Ochronie Danych możesz uzyskać kontaktując się z naszym Inspektorem Ochrony Danych oraz Zespołem ds. Bezpieczeństwa Danych w dowolnym momencie za pomocą tego formularza (https://www.codetwo.pl/form/data-protection/).
  2. Środki bezpieczeństwa wdrożone przez Microsoft Corporation i jej podmioty powiązane można sprawdzić w odwołując się do ich „Dodatku dotyczącego ochrony danych w ramach produktów i usług firmy Microsoft”.
  3. W CodeTwo funkcjonuje System Zarządzania Bezpieczeństwem Informacji certyfikowany na zgodność z międzynarodowymi normami ISO/IEC 27001 oraz ISO/IEC 27018. W celu potwierdzenia zgodności z normą ISO/IEC 27001 i ISO/IEC 27018 raz do roku przechodzimy audyt, a po trzech latach recertyfikację. Audyty są przeprowadzane przez zewnętrzne, niezależne jednostki certyfikujące. Bezzwłocznie rozwiążemy kwestie wskazane w audycie w sposób zadowalający jednostki certyfikujące tak, by pozostać zgodnym z ISO/IEC 27001 oraz ISO/IEC 27018.
  4. Na Twoje żądanie przekażemy Ci dowód posiadania przez CodeTwo certyfikatu ISO/IEC 27001 lub ISO/IEC 27018. Gdyby konieczne było udostępnienie dodatkowych informacji, przekażemy Ci także podsumowanie ostatniego audytu ISO/IEC 27001 lub ISO/IEC 27018 przeprowadzonego w CodeTwo, aby umożliwić Ci zweryfikowanie tego, jak wywiązujemy się ze swoich obowiązków w zakresie bezpieczeństwa danych wynikających z Umowy. Sprawozdanie będzie objęte ograniczeniami dotyczącymi jego rozpowszechniania i poufności nałożonymi na nas przez jednostkę certyfikującą. Możesz być zobowiązany/-a do podpisania dodatkowej Umowy o zachowaniu poufności przed udostępnieniem Ci takiego sprawozdania.

10. Kontrole i audyty

  1.  Bez zbędnej zwłoki zawiadomisz nas o kontroli lub audycie przeprowadzanym przez upoważniony do tego organ nadzorczy, jeżeli taka kontrola lub audyt będą dotyczyć Danych Klienta.
  2.  Niezwłocznie poinformujemy Cię o inspekcjach i środkach powziętych przez organy nadzorcze, jeżeli będą one dotyczyć Usług lub Danych Klienta.

11. Klauzule dotyczące ochrony danych obowiązujące w danej jurysdykcji

  1.  Jeżeli podlegasz jakimkolwiek przepisom dotyczącym ochrony danych w jurysdykcjach wymienionych w Załączniku 3, wówczas warunki Załącznika 3 uzupełniają klauzule zawarte w sekcjach 1 – 10 Umowy.

12. Pozostałe postanowienia

  1.  Zmiany Umowy wymagają zachowania formy pisemnej.
  2.  W zakresie nieuregulowanym w Umowie zastosowanie mają przepisy Regulaminu Sprzedaży i Świadczenia Usług CodeTwo (https://www.codetwo.pl/regulations/sales-and-services/). W przypadku, gdy postanowienia Regulaminu Sprzedaży i Świadczenia Usług CodeTwo są sprzeczne z postanowieniami Umowy, pierwszeństwo będą miały postanowienia Umowy.
  3.  Umowa podlega prawu polskiemu, z wyłączeniem przepisów dot. konfliktu praw. Wszelkie spory związane z Umową będą rozstrzygane między Tobą a CodeTwo w drodze prowadzonych w dobrej wierze negocjacji. W przypadku niepowodzenia tych negocjacji, wszelkie późniejsze spory powinny być rozstrzygane przed właściwymi sądami powszechnymi Rzeczypospolitej Polskiej.
  4.  Jeżeli którekolwiek z postanowień Umowy zostanie uznane za nieważne lub niewykonalne, pozostałe postanowienia Umowy pozostaną w mocy.
  5.  Umowa może być podpisana w jednym lub kilku egzemplarzach i każdy taki egzemplarz będzie uznawany za jej oryginalny egzemplarz. Wszystkie egzemplarze będą uznawane za jeden dokument i staną się wiążącą umową, gdy jeden lub więcej egzemplarzy zostanie podpisany przez każdą ze Stron i dostarczony drugiej Stronie.
  6.  Okres obowiązywania Umowy odpowiada okresowi obowiązywania Twojej licencji na program CodeTwo Email Signatures 365.

Załącznik 1 – Zakres i kategorie danych osobowych

Dokument opisuje zakres i kategorie danych osobowych, których dotyczy przetwarzanie na mocy Umowy w zależności od funkcji Usług, z których korzysta Klient. Wszystkie terminy pisane wielką literą, o ile nie zostały zdefiniowane poniżej, mają znaczenie przypisane im w Umowie. Funkcje Autoresponder, Sent Items Update i One-click surveys są domyślnie wyłączone.

1. W przypadku, gdy Klient nie korzysta z funkcji Autoresponder, Sent Items Update i One-click surveys:

  1. Dane Użytkowników Klienta obejmują: imiona i nazwiska, adresy email, służbowe dane kontaktowe oraz stanowiska osób, które posiadają konta na tenancie Microsoft 365 Klienta, jak również wszelkie inne atrybuty tych osób, zdefiniowane w Azure Active Directory tenanta Microsoft 365 Klienta;
  2. Dane Email Klienta nie są przetwarzane przez CodeTwo ma mocy Umowy;
  3. dostęp do Emaili Klienta i/lub nadanie dodatkowych uprawnień, o których mowa w pkt. 2.5 Umowy, nie są wymagane;
  4. kategorie osób, których dane dotyczą, obejmują osoby, które posiadają konta na Twoim tenancie Microsoft 365.

2. W przypadku, gdy Klient korzysta z funkcji Autoresponder lub Sent Items Update:

  1. Dane Użytkowników Klienta obejmują: imiona i nazwiska, adresy email, służbowe dane kontaktowe oraz stanowiska osób, które posiadają konta na tenancie Microsoft 365 Klienta, jak również wszelkie inne atrybuty tych osób, zdefiniowane w Azure Active Directory tenanta Microsoft 365 Klienta;
  2. Dane Email Klienta przetwarzane przez CodeTwo ma mocy Umowy;
  3. dostęp do Emaili Klienta i/lub nadanie dodatkowych uprawnień, o których mowa w pkt. 2.5 Umowy, wymagane;
  4. kategorie osób, których dane dotyczą obejmują osoby, które posiadają konta na Twoim tenancie Microsoft 365 oraz osoby, których dane osobowe znajdują się we wszystkich wiadomościach email znajdujących się we wszystkich skrzynkach pocztowych utworzonych na Twoim tenancie Microsoft 365.

3. W przypadku, gdy Klient korzysta z funkcji One-click surveys:

  1. Dane Użytkowników Klienta obejmują: imiona i nazwiska, adresy email, służbowe dane kontaktowe oraz stanowiska osób, które posiadają konta na tenancie Microsoft 365 Klienta, wszelkie inne atrybuty tych osób, zdefiniowane w Azure Active Directory tenanta Microsoft 365 Klienta, jak również oceny (opinie) osób posiadających konta na tenancie Microsoft 365 Klienta dokonywane przez odbiorców wiadomości email wysyłanych z domeny Klienta, wraz z adresami email osób wystawiających takie oceny (opinie);
  2. Dane Emaili Klienta nie są przetwarzane przez CodeTwo ma mocy Umowy;
  3. dostęp do Emaili Klienta i/lub nadanie dodatkowych uprawnień, o których mowa w pkt. 2.5 Umowy, wymagane;
  4. kategorie osób, których dane dotyczą, obejmują osoby, które posiadają konta na Twoim tenancie Microsoft 365 oraz osoby, które wystawiają oceny (opinie) osobom, które posiadają konta na tenancie Microsoft 365 Klienta.

Załącznik 2 – Podsumowanie środków bezpieczeństwa wdrożonych przez CodeTwo

Ten dokument zawiera opis środków bezpieczeństwa, które wdrożyliśmy w celu zapewnienia, że Dane Klienta oraz – tam, gdzie ma to zastosowanie – Dane Email Klienta i Emaile Klienta są przetwarzane zgodnie z Przepisami o Ochronie Danych oraz Umową. Dokument jest regularnie aktualizowany, tak aby odzwierciedlać zmiany, które pojawiły się w naszym programie przestrzegania przepisów dotyczących ochrony i prywatności danych.

1. Ogólne środki organizacyjne

  1. Inspektor Ochrony Danych oraz Program Compliance. Powołaliśmy Inspektora Ochrony Danych odpowiedzialnego za koordynowanie, monitorowanie i udoskonalenie programu przestrzegania przepisów dotyczących ochrony i prywatności danych (dalej „Program Compliance”). Program Compliance jasno określa role i obowiązki pracowników CodeTwo. Inspektor Ochrony Danych odpowiada za koordynację, monitorowanie i udoskonalanie Programu przestrzegania przepisów.
  2. System zarządzania bezpieczeństwem i zewnętrzne audyty. Wdrożyliśmy System Zarządzania Bezpieczeństwem Informacji certyfikowany na zgodność z międzynarodowymi normami ISO/IEC 27001 oraz ISO/IEC 27018. W celu potwierdzenia naszej zgodności z normą ISO/IEC 27001 i ISO/IEC 27018 raz do roku przechodzimy audyt, a po trzech latach recertyfikację. Wszystkie audyty są przeprowadzane przez zewnętrzne i niezależne jednostki certyfikujące.
  3. Poufność. Cały nasz personel podlega obowiązkowi zachowania tajemnicy i uzyskuje dostęp do danych osobowych po otrzymaniu uprzedniego pisemnego upoważnienia do przetwarzania danych od CodeTwo.

2. Szkolenia i uświadamianie

  1. Szkolenia personelu. Przeprowadzamy regularne szkolenia personelu na temat zasad ochrony danych i ról w Programie przestrzegania przepisów. Informujemy pracowników również o możliwych skutkach nieprzestrzegania przepisów. Szkolenia są przeprowadzane z wykorzystaniem zanonimizowanych danych.

3. Ochrona fizyczna i przed wpływami środowiska naturalnego

  1. Fizyczny dostęp do centrów danych. Dane Klienta są przetwarzane w centrach danych Microsoft Azure. Dostęp do centrów danych Microsoft Azure mają wyłącznie wyznaczeni pracownicy firmy Microsoft. Nasz personel nie ma do nich fizycznego dostępu.
  2. Fizyczny dostęp do pomieszczeń firmowych. Wyłącznie zidentyfikowani i upoważnieni członkowie personelu CodeTwo mogą uzyskać dostęp do pomieszczeń firmowych. Nieupoważniony personel nie ma do nich wstępu.
  3. Monitorowanie pomieszczeń. Pomieszczenia CodeTwo są nieustannie monitorowane przez nas oraz zewnętrzną firmę ochrony mienia, aby uniemożliwić uzyskanie nieuprawnionego dostępu do pomieszczeń. Goście mają wstęp tylko do wyznaczonych obszarów na terenie pomieszczeń, w których nie odbywa się przetwarzanie danych.
  4. Ochrona przed zakłóceniami. Stosujemy szereg ogólnie przyjętych w branży rozwiązań, by zabezpieczyć się przed utratą danych ze względu na chwilową przerwę w dostawie prądu, pożar, klęskę żywiołową lub zakłócenia na linii.
  5. Utylizacja elementów. Stosujemy ogólnie przyjęte w branży rozwiązania do usuwania Danych Klienta, gdy nie są one już potrzebne.

4. Kontrola dostępu

  1. Uprawnienia dostępu. Prowadzimy rejestr pracowników upoważnionych do uzyskiwania dostępu do pomieszczeń i systemów informatycznych CodeTwo. Wdrożyliśmy system środków kontrolnych, których celem jest zapewnienie, że dane uwierzytelniające osób, które już dla nas nie pracują, są dezaktywowane, a ich prawa dostępu odwoływane. Ponadto przeprowadzamy regularne (co najmniej raz na 6 miesięcy) audyty, które mają na celu upewnienie się, że niewykorzystywane dane uwierzytelniające są dezaktywowane. Identyfikatory, które zostały dezaktywowane lub których ważność wygasła, nie są przydzielane innym lub nowym pracownikom. Przestrzegamy ogólnie przyjętych w branży procedur do dezaktywacji haseł, które zostały uszkodzone lub przypadkowo ujawnione.
  2. Ograniczenie praw. Jedynie niewielka grupa wybranych pracowników ma prawo nadawać, zmieniać lub odwoływać prawa dostępu do pomieszczeń i systemów informatycznych CodeTwo. Zakres praw dostępu nadawanych pracownikom CodeTwo jest zawężony wyłącznie do zasobów niezbędnych do wykonywania pracy.
  3. Uwierzytelnianie użytkowników. Korzystamy z ogólnie stosowanych w branży rozwiązań, takich jak uwierzytelnianie wieloskładnikowe, do identyfikowania i uwierzytelniania użytkowników, którzy uzyskują dostęp do systemów informatycznych CodeTwo. Hasła są regularnie odnawianie i muszą spełniać minimalne wymagania określone w zasadach bezpieczeństwa CodeTwo. Stosujemy rozmaite najlepsze praktyki opracowane z myślą o zachowywaniu poufności i integralności haseł w momencie ich przypisywania, dystrybuowania i przechowywania.
  4. Monitorowanie. Monitorujemy swoje systemy informatyczne pod kątem wszelkich prób uzyskania nieuprawnionego dostępu i podawania wygasłych lub nieprawidłowych danych uwierzytelniających.

5. Zarządzanie zasobami i działaniami operacyjnymi

  1. Ochrona punktów końcowych. Wszystkie punkty końcowe sieci są zaszyfrowane i chronione przed złośliwym oprogramowaniem.
  2. Kopie zapasowe. Regularnie wykonujemy kopie zapasowe ustawień i danych konfiguracyjnych CodeTwo Email Signatures 365 oraz Danych Użytkowników Klienta, zgodnie z postanowieniami Umowy. Nie tworzymy kopii zapasowych Emaili Klienta.
  3. Dostęp do kopii zapasowych. Wszystkie kopie zapasowe są automatycznie tworzone przez Microsoft Azure i przechowywane w Microsoft Azure w tym samym regionie, który wybrałeś/-aś podczas tworzenia powiązania między Twoim tenantem Microsoft 365 a CodeTwo Email Signatures 365. Wdrożyliśmy procesy, które zapewniają, że dostęp do kopii zapasowych jest ograniczony do niezbędnego minimum oraz że kopie zapasowe nie mogą być użyte poza środowiskiem Microsoft Azure, a żadne dane nie mogą zostać przywrócone bez zezwolenia personelu wyższego szczebla.
  4. Integralność i poufność. Personel CodeTwo ma obowiązek wylogować się z sesji, gdy opuszcza pomieszczenia CodeTwo lub zostawia komputer bez nadzoru. Jedynie niewielka, wybrana grupa pracowników, która ze względu na charakter wykonywanych obowiązków potrzebuje zdalnego dostępu, może mieć przy sobie firmowe telefony komórkowe i korzystać z nich poza pomieszczeniami CodeTwo. Wszystkie telefony komórkowe są zabezpieczone hasłem, a ich pamięć masowa zaszyfrowana.
  5. Drukowanie i przenośne nośniki danych. Wdrożyliśmy procedury, które uniemożliwiają wydrukowanie lub skopiowanie danych na przenośne nośniki danych bez uprzedniego zezwolenia. Nasz personel ma zakaz używania niezatwierdzonych przenośnych nośników danych na terenie firmy.
  6. Kontrola dostępu do sieci. Tylko zatwierdzone urządzenia mogą korzystać z sieci CodeTwo. Nasze środki kontrolne uniemożliwiają korzystanie z sieci z niezatwierdzonych urządzeń.

6. Zarządzanie zdarzeniami

  1. Złośliwe oprogramowanie. Korzystamy z środków ochrony przed złośliwym oprogramowaniem, aby uniemożliwić złośliwemu oprogramowaniu uzyskanie dostępu do Danych Klienta i systemów informatycznych CodeTwo, w tym złośliwemu oprogramowaniu pochodzącemu z ogólnodostępnych sieci komputerowych.
  2. Rejestr zdarzeń. Prowadzimy rejestr zdarzeń związanych z bezpieczeństwem, który uwzględnia datę i godzinę zdarzenia, następstwa naruszenia oraz środki podjęte w celu zapobieżenia podobnym sytuacjom w przyszłości.
  3. Monitorowanie usług. Weryfikujemy i sprawdzamy pliki dziennika pod kątem nieprawidłowości i podejrzanej działalności.

7. Środki kontrolne w programach komputerowych

  1. Dokumentacja. Prowadzimy dokumentację, która zawiera opis architektury i funkcjonalności programu CodeTwo Email Signatures 365.
  2. Wytyczne i zasady. Przyjęliśmy wytyczne i zasady dla programistów, których celem jest zapewnienie, że zasady przetwarzania danych osobowych, takie jak uwzględnianie ochrony prywatności na etapie projektowania aplikacji i domyślne ustawienia prywatności są przestrzegane podczas rozwijania programów CodeTwo.
  3. Inspekcja kodu (ang. code review) i zarządzanie poprawkami oprogramowania. Regularnie sprawdzamy kod aplikacji pod kątem błędów i publikujemy poprawki lub korekty.

Załącznik 3 – Dodatek dotyczący przepisów USA o ochronie danych

1. Poniższe zasady i warunki mają zastosowanie dodatkowo, gdy przetwarzamy Dane Klienta zawierające dane osobowe konsumentów z Kalifornii lub w inny sposób podlegające Kalifornijskiej ustawie o ochronie prywatności konsumentów (CCPA) (zwane dalej łącznie „Danymi Podlegającymi CCPA”):

  1. w przypadku, gdy przetwarzamy Dane Podlegające CCPA, jesteśmy „dostawcą usług” („service provider”), który przetwarza Dane Podlegające CCPA w Twoim imieniu, a Ty jesteś „przedsiębiorstwem” („business”), w rozumieniu CCPA;
  2. o ile wyraźnie nie określono inaczej, w punktach 1 – 10 Umowy termin „administrator danych” należy rozumieć jako obejmujący „przedsiębiorstwo” („business”), termin „podmiot przetwarzający dane” należy rozumieć jako obejmujący „dostawcę usług” („service provider”), termin „osoba, której dane dotyczą” należy rozumieć jako obejmujący „konsumenta” („consumer”), a terminy „Dane Klienta”, „Dane Email Klienta” i „Emaile Klienta” należy rozumieć jako obejmujące „dane osobowe” („personal information”), w rozumieniu CCPA;
  3. jako dostawca usług, zobowiązujemy się przetwarzać Dane Podlegające CCPA wyłącznie w celach biznesowych określonych w Regulaminie Sprzedaży i Świadczenia Usług (https://www.codetwo.pl/regulations/sales-and-services/) oraz w Umowie;
  4. jako dostawca usług, zobowiązujemy się nie: (i) sprzedawać ani udostępniać Danych Podlegających CCPA; (ii) przechowywać, wykorzystywać lub ujawniać Danych Podlegających CCPA w jakimkolwiek innym celu niż umożliwienie Ci korzystania z CodeTwo Email Signatures 365 lub w inny sposób dozwolony dla dostawców usług, wynikający z CCPA; (iii) przechowywać, wykorzystywać lub ujawniać Danych Podlegających CCPA poza bezpośrednią relacją biznesową między nami; (iv) łączyć Danych Podlegających CCPA, które otrzymujemy od Ciebie lub w Twoim imieniu, z danymi osobowymi, które otrzymujemy od lub w imieniu innej osoby lub osób, lub które gromadzimy w ramach naszych własnych interakcji z konsumentami, chyba że takie połączenie jest wymagane w celu realizacji dowolnego celu biznesowego dozwolonego przez CCPA, w tym wszelkie jej przepisy wykonawcze, lub przepisy wykonawcze przyjęte przez Kalifornijską Agencję Ochrony Prywatności (California Privacy Protection Agency);
  5. będziemy: (i) przestrzegać zobowiązań mających zastosowanie do nas jako dostawcy usług, wynikających z CCPA; (ii) zapewniać Danym Podlegającym CCPA ten sam poziom ochrony prywatności, jaki jest wymagany przez CCPA, pod warunkiem jednak, że odpowiedzialność za zapewnienie, że spełniasz i nadal będziesz przestrzegać wymogów CCPA w ramach korzystania z Usług i przetwarzania własnych Danych Podlegających CCPA spoczywa na Tobie; (iii) informować Cię bez zbędnej zwłoki, jeśli ustalimy, że nie możemy już przestrzegać naszych zobowiązań jako dostawcy usług, wynikających z CCPA; (iv) zapewniać Ci odpowiednią dodatkową pomoc w odpowiednim czasie, aby pomóc Ci w wywiązaniu się z Twoich obowiązków w odniesieniu do żądań konsumentów wynikających z CCPA, zgodnie z procedurą opisaną w punktach 5.1 – 5.3 Umowy; (v) przestrzegać warunków dotyczących angażowania dalszych podmiotów przetwarzających, w tym poprzez zapewnienie, że zawrzemy pisemną umowę zgodną z CCPA, dotyczącą, między innymi, wymogów umownych dla dostawców usług i podwykonawców, z każdym takim dalszym podmiotem przetwarzającym, który angażujemy w przetwarzanie Danych objętych CCPA;
  6. masz prawo podjąć stosowne i odpowiednie kroki w celu: (i) zapewnienia, że wykorzystujemy Dane Podlegające CCPA w sposób zgodny z Twoimi zobowiązaniami wynikającymi z CCPA; (ii) powstrzymania i naprawienia skutków nieautoryzowanego wykorzystania Danych Podlegających CCPA; aby skorzystać z tych praw, skontaktuj się z nami za pomocą tego formularza (https://www.codetwo.pl/form/data-protection/);
  7. masz prawo monitorować przestrzeganie przez nas Umowy i CCPA za pomocą dowolnych środków i metod opisanych w sekcji 9 Umowy;
  8. oświadczamy, że rozumiemy i będziemy przestrzegać zobowiązań mających zastosowanie do nas jako dostawcy usług, wynikających z CCPA;
  9. przyjmujemy do wiadomości i potwierdzamy, że nie otrzymujemy Danych Klienta, Danych Email Klienta ani Emaili Klienta jako zapłaty w zamian za jakiekolwiek świadczone Ci Usługi.

2. Poniższe zasady i warunki mają zastosowanie dodatkowo, gdy przetwarzamy Dane Klienta zawierające dane osobowe podlegające Amerykańskim Stanowym Przepisom o Ochronie Prywatności (zgodnie z definicją poniżej) (zwane dalej „Danymi Podlegającymi Amerykańskim Stanowym Przepisom o Ochronie Prywatności”):

  1. Na potrzeby Dodatku, termin „Amerykańskie Stanowe Przepisy o Ochronie Prywatności” oznacza: (i) Ustawę o ochronie danych konsumentów stanu Wirginia (Virginia Consumer Data Protection Act); (ii) Ustawę o ochronie prywatności stanu Kolorado (Colorado Privacy Act); (iii) Ustawę o ochronie prywatności danych stanu Connecticut (Connecticut Data Privacy Act); (iv) Ustawę o ochronie prywatności konsumentów stanu Utah (Utah Consumer Privacy Act); (v) wszelkie inne obowiązujące przepisy stanowe USA dotyczące ochrony danych osobowych lub prywatności, na podstawie których jesteś administratorem danych osobowych, a my jesteśmy podmiotem przetwarzającym dane osobowe, pod warunkiem, że zasady i warunki Dodatku spełniają wymagania określone w takich innych przepisach stanowych;
  2. o ile wyraźnie nie określono inaczej, w punktach 1 – 10 Umowy termin „administrator danych” należy rozumieć jako obejmujący „administrator” („controller”), termin „podmiot przetwarzający dane” należy rozumieć jako obejmujący „podmiot przetwarzający” („processor”), termin „osoba, której dane dotyczą” należy rozumieć jako obejmujący „konsumenta” („consumer”), a terminy „Dane Klienta”, „Dane Email Klienta” i „Emaile Klienta” należy rozumieć jako obejmujące „dane osobowe” („personal data”), w rozumieniu Amerykańskich Stanowych Przepisów o Ochronie Prywatności;
  3.  będziemy: (i) stosować się do Twoich instrukcji dotyczących przetwarzania Danych Podlegających Amerykańskim Stanowym Przepisom o Ochronie Prywatności; (ii) dostarczać Ci niezbędnych informacji, aby umożliwić Ci przeprowadzenie i udokumentowanie ocen ochrony danych, jakie mogą być wymagane na mocy Amerykańskich Stanowych Przepisów o Ochronie Prywatności, zgodnie z procedurą opisaną w punkcie 5.4. Umowy; (iii) udostępniać Ci, na Twoje uzasadnione żądanie, wszelkie posiadane przez nas informacje niezbędne do wykazania, że przestrzegamy naszych zobowiązań jako podmiotu przetwarzającego, wynikających z Amerykańskich Stanowych Przepisów o Ochronie Prywatności, zgodnie z procedurą opisaną w sekcji 9 Umowy; (iv) zobowiązani zapewnić, że każda osoba przetwarzająca Dane Podlegające Amerykańskim Stanowym Przepisom o Ochronie Prywatności podlega obowiązkowi zachowania poufności w odniesieniu do takich danych; (v) usuwać wszelkie Dane Podlegające Amerykańskim Stanowym Przepisom o Ochronie Prywatności zgodnie z punktami 8.3 – 8.4 Umowy, chyba że przechowywanie Danych Podlegających Amerykańskim Stanowym Przepisom o Ochronie Prywatności jest wymagane przez prawo; (vi) zobowiązani zapewnić wykwalifikowanego i niezależnego audytora do przeprowadzenia oceny naszych zasad oraz środków technicznych i organizacyjnych wdrożonych w celu wsparcia realizacji naszych zobowiązań wynikających z Dodatku, a także dostarczyć Ci raport z takiej oceny na Twoje żądanie, zgodnie z punktami 9.3 – 9.4 Umowy; (vii) przestrzegać warunków dotyczących angażowania dalszych podmiotów przetwarzających, w tym między innymi poprzez zapewnienie, że zawrzemy pisemną umowę zgodną z Amerykańskimi Stanowymi Przepisami o Ochronie Prywatności z każdym takim dalszym podmiotem przetwarzającym, który zaangażujemy w Danych Podlegających Amerykańskim Stanowym Przepisom o Ochronie Prywatności, oraz poprzez umożliwienie Ci wyrażenia sprzeciwu wobec zaangażowania nowego dalszego podmiotu przetwarzającego;
  4. biorąc pod uwagę charakter przetwarzania i dostępne nam informacje, wykorzystując odpowiednie środki techniczne i organizacyjne, o ile jest to racjonalnie wykonalne, będziemy: (i) pomagać Ci w wywiązywaniu się z obowiązku odpowiadania na żądania dotyczące praw konsumentów, składane na podstawie Amerykańskich Stanowych Przepisów o Ochronie Prywatności, zgodnie z procedurą opisaną w punktach 5.1 – 5.3 Umowy; (ii ) pomagać Ci w wywiązywaniu się z obowiązków związanych z zachowaniem bezpieczeństwa przetwarzania danych osobowych oraz w związku ze zgłoszeniem naruszenia bezpieczeństwa dotyczącego Usług, w tym w szczególności poprzez przekazywanie stosownych informacji, zgodnie z punktem 7 Umowy.

Poprzednie wersje