Aneks dotyczący przetwarzania danych

1. Wprowadzenie

SupportChat zobowiązuje się zapewnić prywatność, bezpieczeństwo i zgodność danych klientów. Niniejszy Aneks do Przetwarzania Danych (DPA) określa warunki regulujące sposób, w jaki przetwarzamy, przechowujemy i chronimy dane osobowe zgodnie z obowiązującymi przepisami o ochronie danych. Niniejszy DPA jest rozszerzeniem naszej głównej umowy z klientami i ma zastosowanie, gdy SupportChat Przetwarza dane osobowe w imieniu Klienta jako podmiot przetwarzający. Określa jasne obowiązki obu stron w zakresie przetwarzania danych, zapewniając zgodność z obowiązującymi przepisami o ochronie prywatności. Korzystając z SupportChat, Klienci potwierdzają i akceptują warunki określone w niniejszym DPA. Jeśli potrzebują Państwo podpisanej kopii tej umowy w celach zgodności, prosimy o kontakt.

2. Definicje

Partner afiliacyjny Oznacza każdy podmiot, który bezpośrednio lub pośrednio kontroluje, jest kontrolowany przez lub pozostaje pod wspólną kontrolą jednej ze stron. 'Kontrola' oznacza bezpośrednie lub pośrednie posiadanie co najmniej 50% udziałów z prawem głosu, udziałów kapitałowych lub podobnych praw w podmiocie, dających możliwość wpływania na jego zarządzanie i polityki. Podmioty powiązane uważa się za związane obowiązkami i odpowiedzialnościami określonymi w niniejszym DPA w zakresie, w jakim uczestniczą w przetwarzaniu Danych Osobowych.

Upoważniony podprocesor oznacza dowolnego zewnętrznego dostawcę, usługodawcę lub wykonawcę zatrudnionego przez Dostawcę Usługi do przetwarzania Danych Osobowych Klienta wyłącznie w imieniu i na polecenie Dostawcy Usługi. Autoryzowani podprocesorzy pomagają w wypełnianiu obowiązków wynikających z niniejszego DPA oraz z Umowy głównej. Wszyscy podprocesorzy muszą przestrzegać tych samych obowiązków w zakresie ochrony danych, zapewniając bezpieczeństwo, poufność i zgodność z przepisami.

Dane konta odnosi się do wszystkich informacji związanych z działalnością gospodarczą, które Usługodawca gromadzi, przechowuje i przetwarza w związku ze stosunkiem umownym z Klientem. Obejmuje to, w szczególności, ale nie wyłącznie, imiona i nazwiska, adresy e-mail, numery telefonów, dane płatnicze oraz dane dostępowe osób upoważnionych przez Klienta do zarządzania i obsługi jego konta na platformie Usługodawcy. Dane konta są wykorzystywane wyłącznie do celów administracyjnych, rozliczeniowych i wsparcia.

Przepisy o ochronie danych obejmują wszystkie obowiązujące przepisy prawa, regulacje i ramy prawne regulujące zbieranie, przetwarzanie, przechowywanie, przekazywanie i ochronę danych osobowych. Obejmuje to, między innymi, Rozporządzenie o Ochronie Danych Osobowych (RODO/GDPR) Unii Europejskiej, UK GDPR obowiązujący w Zjednoczonym Królestwie, California Consumer Privacy Act (CCPA) oraz inne krajowe lub międzynarodowe przepisy dotyczące prywatności, istotne dla czynności przetwarzania danych na mocy niniejszej Umowy. Zgodność z tymi przepisami zapewnia, że dane osobowe są przetwarzane w sposób zgodny z prawem, przejrzysty i bezpieczny.

Dane osobowe odnosi się do wszelkich informacji dotyczących zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej ('osoba, której dane dotyczą'). Osoba możliwa do zidentyfikowania to osoba, którą można zidentyfikować bezpośrednio lub pośrednio, w szczególności poprzez odniesienie do identyfikatorów takich jak imię i nazwisko, adres e‑mail, numer telefonu, dane lokalizacyjne, identyfikator online (np. adres IP lub pliki cookie) lub inne unikalne czynniki definiujące jej tożsamość. Dane osobowe wyłączają dane zanonimizowane lub zagregowane, których nie można wykorzystać do identyfikacji osoby.

Trwa przetwarzanie oznacza każdą operację lub zestaw operacji wykonywanych na Danych Osobowych, zarówno w sposób zautomatyzowany, jak i ręczny. Obejmuje to w szczególności, lecz nie wyłącznie, zbieranie, rejestrowanie, porządkowanie, strukturyzowanie, przechowywanie, dostosowywanie, modyfikowanie, odzyskiwanie, przeglądanie, wykorzystywanie, ujawnianie, przekazywanie, ograniczanie, usuwanie lub niszczenie Danych Osobowych. Przetwarzanie jest prowadzone zgodnie z instrukcjami Klienta oraz obowiązującymi przepisami o ochronie danych.

Środki bezpieczeństwa Odnoszą się do technicznych i organizacyjnych zabezpieczeń wdrożonych w celu zapewnienia poufności, integralności i dostępności Danych Osobowych. Środki te obejmują szyfrowanie, kontrolę dostępu, zapory sieciowe, maskowanie danych, pseudonimizację, regularne audyty bezpieczeństwa oraz mechanizmy powiadamiania o naruszeniach. Środki bezpieczeństwa mają na celu zapobieganie nieautoryzowanemu dostępowi, przypadkowej utracie lub bezprawnemu przetwarzaniu Danych Osobowych.

Organ nadzoru odnosi się do niezależnego organu publicznego odpowiedzialnego za nadzorowanie i egzekwowanie zgodności z przepisami o ochronie danych. Przykłady to **European Data Protection Board (EDPB)** w sprawach związanych z RODO, **UK Information Commissioner's Office (ICO)** w Wielkiej Brytanii dla UK GDPR oraz **California Privacy Protection Agency (CPPA)** w zakresie egzekwowania CCPA. Organ nadzorczy ma ustawowe uprawnienia do prowadzenia dochodzeń w sprawie skarg, wydawania wytycznych oraz nakładania kar za nieprzestrzeganie przepisów.

Prawa osoby, której dane dotyczą odnoszą się do praw przyznanych osobom na mocy obowiązujących przepisów o ochronie danych. Prawa te mogą obejmować prawo dostępu, sprostowania, usunięcia, ograniczenia lub przenoszenia swoich danych osobowych, a także prawo wniesienia sprzeciwu wobec przetwarzania i złożenia skargi do organu nadzorczego. Usługodawca pomaga Klientom w ułatwianiu wykonywania tych praw, gdy ma to zastosowanie.

3. Przetwarzanie danych

Klient może działać jako jedno z dwóch Administrator danych osobowych lub Podmiot przetwarzający dane, w zależności od jego relacji z osobą, której dane dotyczą, oraz od celów, w jakich przetwarzane są dane osobowe. We wszystkich przypadkach, SupportChat pełni rolę Procesor danych, przetwarzanie danych osobowych w imieniu i na polecenie Klienta.

Klient jest odpowiedzialny za zapewnienie, że wszelkie czynności przetwarzania danych przeprowadzane z wykorzystaniem naszych Usług są zgodne z Obowiązujące przepisy o ochronie danych, w tym, lecz nie wyłącznie Ogólne rozporządzenie o ochronie danych (RODO/GDPR), UK GDPR, California Consumer Privacy Act (CCPA) oraz inne obowiązujące przepisy dotyczące prywatności. Klient potwierdza, że posiada podstawę prawną do przetwarzania Danych Osobowych i zwalnia nas od wszelkich roszczeń, zobowiązań lub szkód wynikających z nieprzestrzegania tych wymogów prawnych.

Będziemy przetwarzać dane osobowe. wyłącznie zgodnie z pisemnymi instrukcjami Klienta i wyłącznie w zakresie niezbędnym do świadczenia Usług, chyba że prawo stanowi inaczej. Nie będziemy wykorzystywać, ujawniać ani udostępniać Danych Osobowych do celów innych niż te upoważnione przez Klienta lub wyraźnie określone w niniejszej Umowie.

przy rozwiązanie umowy lub na żądanie klienta, postąpimy, według uznania Klienta, albo: (a) Usuń bezpiecznie wszystkie Dane Osobowe przetwarzane na mocy niniejszej Umowy, zapewniając, że nie pozostaną żadne kopie, chyba że wymaga tego prawo, lub (b) Zwrócić dane osobowe Klientowi w formacie ustrukturyzowanym, powszechnie stosowanym i zdatnym do odczytu maszynowego przed usunięciem. Klient musi złożyć takie żądania w rozsądnym terminie przed zakończeniem.

Jeżeli będziemy prawnie zobowiązani do przechowywania Danych Osobowych po rozwiązaniu umowy, powiadomimy Klienta (chyba że prawo zabrania nam tego) i zapewnimy, że takie dane pozostaną chronione zgodnie z przepisami o ochronie danych.

4. Bezpieczeństwo i poufność

SupportChat zobowiązuje się do ochrony bezpieczeństwa i poufności Dane osobowe przetwarzane w imieniu Klient. Aby zapewnić integralność i bezpieczeństwo danych, wdrażamy i utrzymujemy wiodące w branży środki bezpieczeństwa Zaprojektowano w celu zapobiegania nieautoryzowanemu dostępowi, ujawnianiu, modyfikacji lub zniszczeniu danych osobowych.

Te Środki bezpieczeństwa obejmują, lecz nie ograniczają się do:

• Szyfrowanie danych: Dane osobowe są szyfrowane zarówno podczas przesyłania, jak i w stanie spoczynku, przy użyciu standardowych dla branży protokołów szyfrowania, aby chronić je przed nieautoryzowanym dostępem.
• Kontrole dostępu: Surowe zasady zarządzania dostępem zapewniają, że tylko upoważniony personel ma dostęp do danych osobowych, zgodnie z zasadą najmniejszych uprawnień.
• Bezpieczeństwo sieci i systemów: Zapory sieciowe, systemy wykrywania włamań oraz ciągły monitoring pomagają zapobiegać nieautoryzowanemu dostępowi i zagrożeniom cybernetycznym.
• Anonimizacja i pseudonimizacja danych: W stosownych przypadkach dane osobowe mogą zostać zanonimizowane lub pseudonimizowane w celu zmniejszenia ryzyka związanego z ujawnieniem danych.
• Regularne audyty bezpieczeństwa: Przeprowadzamy okresowe oceny bezpieczeństwa, testy podatności oraz kontrole zgodności, aby identyfikować i minimalizować ryzyka.
• Plan reagowania na incydenty: Ustrukturyzowany protokół reagowania na incydenty zapewnia, że każde naruszenie bezpieczeństwa zostanie niezwłocznie wykryte, złagodzone i zgłoszone zgodnie z obowiązującymi przepisami o ochronie danych.

Każda osoba, w tym pracownicy, wykonawcy i upoważnieni dostawcy usług, która przetwarza Dane Osobowe w naszym imieniu, jest zobowiązana do surowe obowiązki zachowania poufności. Obejmuje to podpisywanie prawnie egzekwowalnych dokumentów umowy o poufności (NDA) oraz przestrzegać wewnętrznych zasad przetwarzania danych, aby zapewnić zgodność ze standardami prywatności i bezpieczeństwa danych.

Niezwłocznie powiadomimy Klienta o każdorazowym potwierdzonym naruszeniu bezpieczeństwa, które może skutkować przypadkowym lub bezprawnym zniszczeniem, utratą, zmianą, nieautoryzowanym ujawnieniem lub dostępem do Danych Osobowych. Takie powiadomienia będą zawierać szczegóły zdarzenia, potencjalny wpływ oraz środki naprawcze podjęte w celu ograniczenia ryzyka.

Nieustannie przeglądamy i aktualizujemy nasze środki bezpieczeństwa zgodnie z zmieniające się standardy branżowe i wymagania regulacyjne w celu zapewnienia stałej ochrony danych klienta.

5. Podprocesory

SupportChat może wchodzić w interakcję podprocesorzy stron trzecich w celu wspierania świadczenia i utrzymania Usług. Ci podprocesorzy wykonują określone funkcje, takie jak przechowywanie danych, hostowanie infrastruktury, analityka lub obsługa klienta. Zapewniamy, że wszyscy zaangażowani podprocesorzy przestrzegają surowe obowiązki w zakresie ochrony danych równoważne z tymi określonymi w niniejszym DPA.

Utrzymujemy aktualną listę podprocesorów, wraz z informacjami o ich rolach i lokalizacjach przetwarzania. Klienci mogą w dowolnym momencie zażądać informacji o obecnych podprocesorach, kontaktując się z nami.

Prawa i zastrzeżenia klienta:

• Poinformujemy klientów o wszelkich **nowych zaangażowaniach podprocesorów** przynajmniej z 10-dniowym wyprzedzeniem.
• Klienci mogą wnieść pisemny sprzeciw wobec wykorzystania nowego podprocesora w ciągu tego 10-dniowego okresu, jeśli mają uzasadnione obawy dotyczące ochrony danych.
• Po otrzymaniu sprzeciwu podejmiemy rozmowy w dobrej wierze, aby rozwiązać obawy, co może obejmować poszukiwanie alternatywnych rozwiązań.
• Jeżeli nie zostanie osiągnięte wzajemnie akceptowalne rozwiązanie, Klient może mieć prawo do **zakończenia objętych usług** zgodnie z Umową.

Pozostajemy w pełni odpowiedzialny i prawnie zobowiązany za działania naszych podprocesorów oraz zapewnić, że będą stosować się do:

• Przepisy o ochronie danych, w tym RODO, CCPA i inne obowiązujące przepisy.
• Umowy o poufności w celu ochrony danych osobowych
• Środki bezpieczeństwa zgodne ze standardami branżowymi aby zapobiec nieautoryzowanemu dostępowi lub niewłaściwemu wykorzystaniu danych.

Zastrzegamy sobie prawo do **aktualizacji lub wymiany** naszych pod‑procesorów w razie potrzeby, z należytą uwagą dla obaw klientów i bieżących obowiązków związanych z przestrzeganiem przepisów.

6. Przekazywanie danych osobowych

SupportChat może przekazać Dane osobowe poza Europejski Obszar Gospodarczy (EOG), Wielka Brytania (UK) lub Szwajcaria w celu ułatwienia świadczenia Usług. Gdy dochodzi do takich transferów, zapewniamy, że wdrożone są odpowiednie zabezpieczenia. zabezpieczenia prawne Są wdrożone środki mające na celu ochronę przekazywanych danych zgodnie z obowiązującymi przepisami o ochronie danych.

Opieramy się na uznanych mechanizmach transferu danych, w tym między innymi:

• Standardowe klauzule umowne (SCCs): Stosujemy standardowe klauzule umowne zatwierdzone przez Komisję Europejską lub inne właściwe organy, aby zapewnić zgodne z prawem przekazywanie danych.
• Środki uzupełniające: W razie konieczności stosujemy dodatkowe techniczne, organizacyjne i umowne środki ochronne w celu wzmocnienia ochrony danych.
• Wiążące reguły korporacyjne (BCRs): W stosownych przypadkach nasze jednostki powiązane stosują wiążące reguły korporacyjne (BCR), zapewniając wysoki poziom ochrony danych w działalności międzynarodowej.
• Inne zatwierdzone mechanizmy transferu: Przestrzegamy wszelkich dodatkowych ram, certyfikatów lub instrumentów prawnych uznanych za dopuszczalne przy legalnych transferach danych transgranicznych.

Prawa i wsparcie klienta: Zobowiązujemy się pomagać Klientowi w zapewnieniu zgodności z prawa osób, których dane dotyczą zgodnie z obowiązującymi przepisami o ochronie danych. Obejmuje to, między innymi,:

• Żądania dostępu: Umożliwienie osobom, których dane dotyczą, dostępu do ich danych osobowych.
• Wnioski o sprostowanie: Umożliwienie poprawiania nieścisłych lub niekompletnych danych.
• Wnioski o usunięcie („prawo do bycia zapomnianym”): Pomoc w usunięciu danych osobowych na żądanie, gdy jest to dozwolone prawnie.
• Sprzeciw i ograniczenie przetwarzania: Wspieranie osób, których dane dotyczą, w korzystaniu z prawa wniesienia sprzeciwu lub ograniczenia przetwarzania danych.
• Przenoszalność danych: Ułatwianie przekazania Danych Osobowych innemu administratorowi danych, gdy ma to zastosowanie.

Ciągle monitorujemy globalne przepisy dotyczące prywatności, aby zapewnić zgodność z wymogami transferu danych transgranicznych i poinformujemy Klienta, jeśli zmiany w otoczeniu prawnym wpłyną na nasze obowiązki w zakresie przetwarzania danych.

7. Prawa osoby, której dane dotyczą

SupportChat Uznaje i szanuje prawa **osób, których dane dotyczą** wynikające z obowiązujących **przepisów o ochronie danych**. Będziemy pomagać **Klientowi**, jako Administratorowi danych, w odpowiadaniu na żądania osób dotyczące ich **danych osobowych**.

Osoby, których dane dotyczą, mogą skorzystać z następujących praw:

• Prawo dostępu: Możliwość żądania i uzyskania potwierdzenia, czy ich dane są przetwarzane, oraz uzyskania dostępu do tych danych.
• Prawo do sprostowania: Prawo do sprostowania lub aktualizacji nieścisłych lub niekompletnych danych osobowych.
• Prawo do usunięcia ('prawo do bycia zapomnianym'): Prawo do żądania usunięcia Danych Osobowych, z zastrzeżeniem obowiązków wynikających z przepisów prawa i umów.
• Prawo do ograniczenia przetwarzania: Możliwość ograniczenia przetwarzania danych osobowych w określonych warunkach.
• Prawo do przenoszenia danych: Możliwość uzyskania i przekazania danych osobowych innemu usługodawcy, gdy jest to technicznie wykonalne.
• Prawo do sprzeciwu: Prawo do sprzeciwu wobec przetwarzania opartego na prawnie uzasadnionych interesach, wobec marketingu bezpośredniego lub wobec zautomatyzowanego podejmowania decyzji.
• Prawo do wycofania zgody: Jeśli przetwarzanie opiera się na zgodzie, osoba, której dane dotyczą, może w każdej chwili wycofać zgodę.

Obowiązki klienta: Klient, działając jako administrator danych, odpowiada za obsługę żądań osób, których dane dotyczą. Na żądanie zapewnimy rozsądną pomoc, gwarantując, że odpowiedzi będą udzielane niezwłocznie i zgodnie z obowiązującymi przepisami.

Nie będziemy odpowiadać bezpośrednio na żądanie osoby, której dane dotyczą, chyba że prawo nas do tego zobowiązuje lub Klient wyraźnie nas do tego upoważni.

8. Powiadomienie o naruszeniu danych

SupportChat traktuje bezpieczeństwo poważnie i wdraża środki zapobiegawcze w celu ochrony danych osobowych. Jednak w przypadku naruszenia danych osobowych będziemy działać szybko i przejrzyście.

Plan reagowania na naruszenia danych: Jeżeli dowiemy się o potwierdzonym naruszeniu danych osobowych, które może skutkować nieautoryzowanym dostępem, utratą, zmianą lub ujawnieniem danych osobowych, podejmiemy odpowiednie środki.:

• Oceń wpływ naruszenia i podejmij natychmiastowe kroki w celu ograniczenia ryzyka.
• Powiadomić klienta bez nieuzasadnionej zwłoki (zazwyczaj w ciągu 48 godzin od potwierdzenia).
• Podaj szczegóły, w tym::
  • Charakter i zakres naruszenia.
  • Rodzaj danych, których dotyczy
  • Potencjalne konsekwencje.
  • Środki podjęte lub proponowane w celu zaradzenia naruszeniu.
• Wspierać Klienta w wypełnianiu wszelkich obowiązków regulacyjnych, w tym — gdy jest to wymagane — w powiadamianiu organów oraz osób, których dane dotyczą.
• Wdróż działania korygujące, aby zapobiec przyszłym naruszeniom.

Obowiązki klienta: Klient ponosi odpowiedzialność za ustalenie, czy zgodnie z obowiązującymi przepisami o ochronie danych należy powiadomić organy nadzorcze i osoby, których dane dotyczą.

Udokumentujemy wszystkie naruszenia i będziemy prowadzić zapisy naszych dochodzeń, działań łagodzących i działań naprawczych.

9. Przechowywanie i usuwanie danych

SupportChat przechowuje **Dane Osobowe tylko przez okres niezbędny** do wypełnienia swoich zobowiązań wynikających z niniejszej Umowy lub w zakresie wymaganym przez obowiązujące przepisy prawa.

Polityka przechowywania danych:

• Stosujemy zasady minimalizacji danych, zapewniając, że dane są przechowywane jedynie w zakresie uzasadnionych potrzeb biznesowych i wymogów zgodności.
• Dane zostaną usunięte lub zanonimizowane, gdy przestaną być niezbędne do celów przetwarzania.
• Okresy przechowywania mogą się różnić w zależności od wymogów prawnych, umownych lub regulacyjnych.

Usuwanie danych kontrolowane przez klienta:

• Klienci mogą w dowolnym momencie zażądać **usunięcia danych osobowych**.
• Po zakończeniu świadczenia usług usuniemy lub zwrócimy dane osobowe zgodnie z instrukcjami klienta.
• Jeśli nie zostanie złożony wniosek o usunięcie, usuniemy Dane Osobowe **automatycznie** w rozsądnym terminie, chyba że przepisy prawa zobowiązują nas do ich zachowania.

Wyjątki od usuwania danych: W niektórych przypadkach możemy **przechowywać dane osobowe** poza uzgodnionym okresem przechowywania, w tym:

• W celu wypełnienia **obowiązków prawnych** (np. wymogi podatkowe, audytowe lub regulacyjne).
• W celu realizacji **uzasadnionych interesów**, takich jak zapobieganie oszustwom lub dochodzenia związane z bezpieczeństwem.
• Gdy jest to wymagane na mocy wiążącego żądania prawnego (np. nakazu sądowego).

Zapewniamy przestrzeganie **procedur bezpiecznego usuwania**, co zapobiega nieautoryzowanemu odzyskowi lub niewłaściwemu wykorzystaniu Danych Osobowych.

10. Prawo właściwe i rozstrzyganie sporów

Niniejszy Aneks dotyczący Przetwarzania Danych (DPA) będzie regulowany i interpretowany zgodnie z **tym samym prawem i jurysdykcją** określonymi w głównej umowie zawartej między SupportChat i klient.

Procedura rozwiązywania sporów: Jeżeli pojawi się jakikolwiek spór dotyczący niniejszego DPA, obie strony zgadzają się stosować ustrukturyzowany proces rozstrzygania, obejmujący::

• Negocjacje w dobrej wierze: Strony najpierw podejmą próbę rozwiązania sporów poprzez bezpośrednie rozmowy i negocjacje.
• Mediacja lub arbitraż: Jeżeli negocjacje zawiodą, spór może zostać skierowany na mediację lub arbitraż, zgodnie z postanowieniami umowy głównej.
• Postępowania prawne: Jeżeli nie zostanie osiągnięte porozumienie, spory mogą zostać rozstrzygnięte w drodze formalnych postępowań prawnych w właściwej jurysdykcji.

W przypadku jakiegokolwiek konfliktu między niniejszym DPA a umową główną, postanowienia niniejszego DPA będą miały pierwszeństwo wyłącznie w odniesieniu do kwestii ochrony danych, zapewniając zgodność z obowiązującymi przepisami. Ustawy o ochronie danych.

11. Postanowienia końcowe

Niniejszy aneks do przetwarzania danych stanowi integralną część ogólnego porozumienia pomiędzy SupportChat oraz Klient. Kontynuując korzystanie z Usług, Klient potwierdza i akceptuje postanowienia niniejszego DPA.

Jeżeli jakiekolwiek postanowienie niniejszego DPA zostanie uznane za nieważne lub niewykonalne, pozostałe postanowienia pozostaną w pełni obowiązujące. Strony zgadzają się zastąpić każde postanowienie niewykonalne postanowieniem, które w możliwie największym stopniu odzwierciedla pierwotne zamierzenie i jednocześnie jest zgodne z obowiązującymi przepisami.

Zmiany i aktualizacje: Zastrzegamy sobie prawo do zmiany lub aktualizacji niniejszego DPA w celu odzwierciedlenia zmian w obowiązujących przepisach o ochronie danych, praktykach branżowych lub potrzebach operacyjnych. Klienci zostaną powiadomieni o wszelkich istotnych zmianach, a dalsze korzystanie z Usług oznacza akceptację zaktualizowanych warunków.

Dane kontaktowe: W przypadku pytań, wątpliwości lub chęci otrzymania podpisanej kopii tej DPA, klienci mogą skontaktować się z nami pod adresem:: [email protected].