Strany a rozsah
Tieto podmienky spracovania údajov (DPA) tvoria záväzky podľa článku 28 GDPR medzi Dawidom Sobolewskim, prevádzkujúcim Konfi Cloud ako individuálny poskytovateľ služieb v Poľsku (spracovateľ), a obchodným zákazníkom, ktorý prijal podmienky Konfi Cloud (správca).
Tieto podmienky sa automaticky vzťahujú na akékoľvek osobné údaje, ktoré zákazník alebo jeho koncoví používatelia zadajú, odovzdajú alebo inak spracujú v rámci pracovného priestoru Konfi Cloud. Spolupodpísaná kópia je k dispozícii na požiadanie na adrese support@getkonfi.com; verzia v produkte uvedená nižšie je štandardná ponuka, ktorá platí, kým nebude zavedený protipodpísaný variant.
Predmet, trvanie a kategórie
- Predmet: poskytovanie riadiacej roviny Konfi Cloud SaaS a súvisiacej podpory operátora.
- Trvanie: pokiaľ má zákazník aktívny účet Konfi Cloud alebo pracovný priestor a počas akéhokoľvek písomne dohodnutého obdobia uchovávania po ukončení.
- Povaha a účel spracovania: hosting, ukladanie, organizovanie, získavanie, zobrazovanie, prenos a iné zaobchádzanie s údajmi o zákazníkoch tak, aby zákazník a jeho koncoví používatelia mohli používať Konfi Cloud.
- Kategórie dotknutých osôb: zamestnanci zákazníka, dodávatelia, koncoví zákazníci, dodávatelia a akékoľvek iné osoby, ktorých osobné údaje sa zákazník rozhodne vložiť do pracovného priestoru.
- Kategórie osobných údajov: identifikačné a kontaktné údaje, prihlasovacie údaje k účtu a autentifikačné metadáta, obchodné údaje a údaje o objednávkach, fakturačné a daňové údaje, podporná komunikácia a akékoľvek iné osobné údaje, ktoré sa zákazník rozhodne spracovávať.
Pokyny na spracovanie
Konfi Cloud spracúva osobné údaje iba na základe zdokumentovaných pokynov prevádzkovateľa, ako je uvedené v týchto podmienkach DPA, hlavných podmienkach Konfi Cloud, zásadách ochrany osobných údajov, konfigurácii, ktorú si zákazník zvolí v pracovnom priestore, a akýchkoľvek písomných pokynov prijatých poskytovateľom služieb.
Ak platné právne predpisy vyžadujú, aby poskytovateľ služieb spracúval osobné údaje inak, poskytovateľ služieb o tom pred spracovaním informuje prevádzkovateľa, pokiaľ tento zákon takéto informácie nezakazuje z dôležitých dôvodov verejného záujmu.
Subprocesory
Kontrolór oprávňuje poskytovateľa služieb používať podprocesorov uvedených na stránke Podprocesorov. Poskytovateľ služieb bude tento zoznam aktualizovať a vopred upozorní na akékoľvek zamýšľané pridanie alebo nahradenie subdodávateľa prostredníctvom webovej lokality, oznámenia v produkte alebo e-mailom kontaktom správcu pracovného priestoru.
Prevádzkovateľ môže namietať voči novému subdodávateľovi z primeraných dôvodov súvisiacich s GDPR do 30 dní od oznámenia. Ak strany nemôžu námietku vyriešiť, správca môže ukončiť dotknuté služby a získať pomernú časť predplatených, nevyužitých poplatkov za tieto služby.
Bezpečnostné opatrenia
- Šifrovanie osobných údajov pri prenose (TLS) a v pokoji tam, kde ich poskytovatelia poskytujú.
- Správa identity a prístupu s povoleniami na základe rolí, presadzovanie MFA pre roly operátora a správcu a protokolovanie auditu privilegovaných akcií.
- Ochrana siete a aplikácií vrátane Firebase App Check, obmedzovania rýchlosti, podpísaných webhookov a izolácie medzi riadiacou rovinou a prevádzkovými údajmi nájomníka.
- Prevádzkové opatrenia vrátane prístupu k produkcii s najnižším privilégiom, periodickej rotácie poverení, monitorovania zraniteľnosti, zálohovania a reakcie na incidenty.
- Personál konajúci pod vedením poskytovateľa služieb je viazaný povinnosťou mlčanlivosti.
Žiadosti subjektu údajov
Poskytovateľ služieb bude pomáhať prevádzkovateľovi, berúc do úvahy povahu spracovania a dostupné informácie, pri plnení jeho povinností reagovať na žiadosti dotknutých osôb podľa kapitoly III GDPR.
Ak dotknutá osoba kontaktuje priamo poskytovateľa služieb so žiadosťou, ktorá sa týka údajov v pracovnom priestore zákazníka, poskytovateľ služieb, ak je to vhodné, odkáže dotknutú osobu na príslušného prevádzkovateľa alebo postúpi žiadosť.
Bezpečnostné incidenty a pomoc
Poskytovateľ služieb bude prevádzkovateľovi pomáhať pri zabezpečovaní súladu s článkami 32 až 36 GDPR (bezpečnosť spracovania, oznamovanie porušenia, hodnotenia vplyvu na ochranu údajov a predchádzajúce konzultácie), pričom zohľadní povahu spracovania a dostupné informácie.
Poskytovateľ služby oznámi prevádzkovateľovi bez zbytočného odkladu po tom, čo sa dozvie o porušení ochrany osobných údajov, ktoré má vplyv na údaje zákazníka, a poskytne prevádzkovateľovi informácie potrebné na splnenie jeho vlastných oznamovacích povinností.
Audity
Poskytovateľ služieb sprístupní prevádzkovateľovi informácie potrebné na preukázanie súladu s článkom 28 GDPR a umožní a prispeje k auditom, vrátane inšpekcií, ktoré vykonáva prevádzkovateľ alebo iný audítor poverený prevádzkovateľom, s výhradou primeranej dôvernosti a bezpečnostných obmedzení.
Prvou úrovňou auditu bude zvyčajne dokumentácia a certifikácie dostupné od príslušných subdodávateľov. Priame audity na mieste možno zabezpečiť s primeraným upozornením a na náklady kontrolóra, pokiaľ audit neodhalí závažné porušenie zo strany poskytovateľa služieb.
Medzinárodné prevody
Niektorí subdodávatelia spracúvajú osobné údaje mimo Európskeho hospodárskeho priestoru, najmä v Spojených štátoch. Prenosy sa opierajú o rozhodnutia Európskej komisie o primeranosti tam, kde sa uplatňujú (vrátane rámca ochrany osobných údajov medzi EÚ a USA, keď je poskytovateľ certifikovaný) a od štandardných zmluvných doložiek s doplňujúcimi opatreniami, ak nie.
Podrobnosti o umiestnení spracovania každého podprocesora a mechanizme prenosu sú uvedené na stránke Podprocesory.
Termín, ukončenie a vymazanie
Po ukončení poskytovania služieb poskytovateľ služieb podľa voľby prevádzkovateľa vymaže alebo vráti osobné údaje spracúvané v mene prevádzkovateľa a vymaže existujúce kópie, pokiaľ príslušné právne predpisy nevyžadujú ďalšie uchovávanie. Štandardné okná uchovávania sú popísané v zásadách ochrany osobných údajov.
Tieto podmienky DPA zostávajú v platnosti, pokiaľ poskytovateľ služieb spracúva osobné údaje v mene prevádzkovateľa.
Kontakt
Otázky týkajúce sa týchto podmienok DPA alebo vyžiadanie spolupodpísanej kópie môžete zaslať na adresu support@getkonfi.com.