Niniejszy Aneks o Przetwarzaniu Danych („APD") stanowi część Regulaminu („Regulamin") dostępnego pod adresem https://yeshello.app/page/terms, zawartego pomiędzy Thrive Route Digital Limited, spółką zarejestrowaną w Hongkongu (numer rejestracji działalności: 73780714) („YesHello", „Podmiot Przetwarzający", „my", „nas") a użytkownikiem („Administrator", „Ty", „Twój") — łącznie zwanymi „Stronami".
Niniejszy APD ma zastosowanie w przypadku, gdy YesHello przetwarza Dane Osobowe w Twoim imieniu w związku ze świadczeniem Usługi, w szczególności za pośrednictwem formularzy pozyskiwania leadów, formularzy kontaktowych oraz innych funkcji zbierania danych na Twoich Kartach.
1. Definicje
Terminy pisane wielką literą, niezdefiniowane w niniejszym APD, mają znaczenie nadane im w Regulaminie. Ponadto:
„Właściwe Prawo o Ochronie Danych" oznacza wszelkie przepisy prawa i regulacje mające zastosowanie do przetwarzania Danych Osobowych na mocy niniejszego APD, w tym Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych („RODO"), Ogólne Rozporządzenie o Ochronie Danych Zjednoczonego Królestwa, Rozporządzenie Hongkongu o Danych Osobowych (Prywatność) (Cap. 486), Kalifornijską Ustawę o Ochronie Prywatności Konsumentów zmienioną Kalifornijską Ustawą o Prawach do Prywatności („CCPA/CPRA") oraz wszelkie inne właściwe przepisy dotyczące ochrony danych.
„Administrator" oznacza Ciebie, Użytkownika YesHello, który określa cele i środki przetwarzania Danych Osobowych zbieranych za pośrednictwem Twoich Kart.
„Osoba, Której Dane Dotyczą" oznacza zidentyfikowaną lub możliwą do zidentyfikowania osobę fizyczną, której Dane Osobowe są przetwarzane na mocy niniejszego APD, w tym Odwiedzających, którzy przesyłają informacje za pośrednictwem Twoich Kart.
„Dane Osobowe" oznaczają wszelkie informacje dotyczące Osoby, Której Dane Dotyczą, przetwarzane przez YesHello w Twoim imieniu za pośrednictwem Usługi.
„Naruszenie Ochrony Danych Osobowych" oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do Danych Osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych przez YesHello.
„Podmiot Przetwarzający" oznacza YesHello, który przetwarza Dane Osobowe w imieniu Administratora.
„Podpodmiot Przetwarzający" oznacza każdą osobę trzecią zaangażowaną przez YesHello do przetwarzania Danych Osobowych w imieniu Administratora.
„Standardowe Klauzule Umowne" lub „SKU" oznaczają standardowe klauzule umowne zatwierdzone przez Komisję Europejską w zakresie przekazywania Danych Osobowych do krajów spoza Europejskiego Obszaru Gospodarczego.
2. Zakres i Role
2.1 Role
Jesteś Administratorem, a YesHello jest Podmiotem Przetwarzającym w odniesieniu do Danych Osobowych zbieranych od Odwiedzających za pośrednictwem formularzy pozyskiwania leadów, formularzy kontaktowych i innych funkcji zbierania danych na Twoich Kartach. YesHello przetwarza te Dane Osobowe wyłącznie w Twoim imieniu i zgodnie z Twoimi udokumentowanymi instrukcjami.
2.2 Zakres Przetwarzania
Kategorie Danych Osobowych, Osoby, Których Dane Dotyczą, oraz czynności przetwarzania objęte niniejszym APD są następujące:
Osoby, Których Dane Dotyczą: Odwiedzający, którzy wchodzą w interakcję z Twoimi Kartami i przesyłają informacje za pośrednictwem formularzy lub innych skonfigurowanych przez Ciebie funkcji zbierania danych.
Kategorie Danych Osobowych: Określone przez skonfigurowane przez Ciebie pola formularza, które mogą obejmować imiona i nazwiska, adresy e-mail, numery telefonów, nazwy firm, stanowiska, wiadomości oraz wszelkie inne pola, które zdecydujesz się zbierać.
Czynności Przetwarzania: Zbieranie, przechowywanie, pobieranie, przesyłanie (w tym za pośrednictwem skonfigurowanych przez Ciebie webhooków), wyświetlanie na panelu Twojego Konta oraz usuwanie.
Czas Trwania: Przez cały okres aktywności Twojego Konta, a następnie przez sześćdziesiąt (60) dni od rozwiązania Konta, zgodnie z Regulaminem, chyba że Właściwe Prawo o Ochronie Danych wymaga dłuższego okresu przechowywania.
3. Obowiązki Administratora
Zobowiązujesz się do:
(a) Zapewnienia, że zbieranie i przetwarzanie Danych Osobowych za pośrednictwem Usługi jest zgodne z Właściwym Prawem o Ochronie Danych, w tym do posiadania ważnej podstawy prawnej przetwarzania;
(b) Przekazywania Osobom, Których Dane Dotyczą, odpowiednich informacji o ochronie prywatności przed lub w momencie zbierania danych, informujących je o Twojej tożsamości jako Administratora i celach przetwarzania;
(c) Udzielania odpowiedzi na żądania Osób, Których Dane Dotyczą (dostęp, sprostowanie, usunięcie, przenoszalność, sprzeciw, ograniczenie) w terminach wymaganych przez Właściwe Prawo o Ochronie Danych;
(d) Zapewnienia, że wszelkie instrukcje wydawane YesHello dotyczące przetwarzania Danych Osobowych są zgodne z Właściwym Prawem o Ochronie Danych;
(e) Prowadzenia własnych rejestrów czynności przetwarzania zgodnie z wymogami Właściwego Prawa o Ochronie Danych; oraz
(f) Niezwłocznego powiadamiania YesHello o wszelkich okolicznościach, które mogą wpływać na zdolność YesHello do wypełniania swoich obowiązków wynikających z niniejszego APD.
4. Obowiązki Podmiotu Przetwarzającego
4.1 Instrukcje Przetwarzania
YesHello przetwarza Dane Osobowe wyłącznie zgodnie z Twoimi udokumentowanymi instrukcjami, chyba że jest do tego zobowiązany przez właściwe prawo. Twoje instrukcje są udokumentowane w: (a) niniejszym APD; (b) Regulaminie; oraz (c) korzystaniu przez Ciebie z funkcji i ustawień Usługi (w tym konfiguracji formularzy, konfiguracji webhooków i żądań eksportu danych). Jeżeli YesHello jest zobowiązany przez właściwe prawo do przetwarzania Danych Osobowych w innym celu, poinformuje Cię o tym wymogi prawnym przed przetwarzaniem, chyba że prawo zabrania ujawnienia tej informacji.
4.2 Poufność
YesHello zapewni, że osoby upoważnione do przetwarzania Danych Osobowych zobowiązały się do zachowania poufności lub podlegają odpowiedniemu ustawowemu obowiązkowi zachowania poufności.
4.3 Środki Bezpieczeństwa
YesHello wdroży i będzie utrzymywał odpowiednie techniczne i organizacyjne środki ochrony Danych Osobowych przed przypadkowym lub niezgodnym z prawem zniszczeniem, utratą, zmianą, nieuprawnianym ujawnieniem lub dostępem. Środki te obejmują:
(a) Szyfrowanie podczas transmisji: Wszelkie dane przesyłane pomiędzy Użytkownikami, Odwiedzającymi a serwerami YesHello są szyfrowane przy użyciu protokołu TLS 1.2 lub wyższego; (b) Szyfrowanie w spoczynku: Dane Osobowe przechowywane na serwerach YesHello są szyfrowane w spoczynku; (c) Kontrola dostępu: Dostęp do Danych Osobowych jest ograniczony do upoważnionego personelu na zasadzie niezbędnej wiedzy, z zastosowaniem uwierzytelniania i kontroli dostępu opartej na rolach; (d) Bezpieczeństwo infrastruktury: Wszystkie serwery są hostowane w centrach danych zlokalizowanych w Niemczech, z fizycznymi zabezpieczeniami, systemami gaśniczymi i redundantnym zasilaniem; (e) Kopia zapasowa i odtwarzanie: Regularne automatyczne kopie zapasowe z testowanymi procedurami odtwarzania; (f) Bezpieczeństwo sieci: Ochrona zaporą sieciową, wykrywanie włamań i monitorowanie infrastruktury serwerowej; (g) Zarządzanie podatnościami: Regularne aktualizacje i łatanie oprogramowania serwerowego i zależności; oraz (h) Reagowanie na incydenty: Udokumentowane procedury reagowania na incydenty w zakresie identyfikowania, powstrzymywania i usuwania skutków incydentów bezpieczeństwa.
YesHello będzie regularnie przeglądał i aktualizował te środki, aby zapewnić ich ciągłą adekwatność, uwzględniając stan techniki, koszty wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania, a także ryzyko dla praw i wolności Osób, Których Dane Dotyczą.
4.4 Pomoc przy Żądaniach Osób, Których Dane Dotyczą
YesHello, uwzględniając charakter przetwarzania, będzie Ci pomagał za pomocą odpowiednich środków technicznych i organizacyjnych w wywiązywaniu się z obowiązku odpowiadania na żądania Osób, Których Dane Dotyczą. W przypadku gdy Osoba, Której Dane Dotyczą, skontaktuje się bezpośrednio z YesHello z żądaniem dotyczącym Twoich danych, YesHello niezwłocznie przekieruje to żądanie do Ciebie i nie udzieli Osobie, Której Dane Dotyczą, odpowiedzi bezpośrednio bez Twojej instrukcji, chyba że wymaga tego prawo.
4.5 Pomoc w Zachowaniu Zgodności
YesHello będzie pomagał Ci w zapewnieniu zgodności z Twoimi obowiązkami dotyczącymi bezpieczeństwa przetwarzania, zgłaszania naruszeń ochrony Danych Osobowych, ocen skutków dla ochrony danych oraz uprzednich konsultacji z organami nadzorczymi, uwzględniając charakter przetwarzania i informacje dostępne YesHello.
4.6 Usuwanie i Zwrot Danych
Po rozwiązaniu Regulaminu lub na Twoje pisemne żądanie YesHello, według Twojego wyboru, usunie lub zwróci wszystkie Dane Osobowe przetwarzane w Twoim imieniu i usunie istniejące kopie, chyba że właściwe prawo wymaga ich przechowywania. Po rozwiązaniu Konta Dane Osobowe zostaną usunięte w ciągu sześćdziesięciu (60) dni zgodnie z Regulaminem. Możesz eksportować swoje dane w dowolnym momencie za pośrednictwem funkcji eksportu Usługi.
5. Podpodmioty Przetwarzające
5.1 Upoważnienie
Udzielasz ogólnego pisemnego upoważnienia dla YesHello do angażowania Podpodmiotów Przetwarzających w celu przetwarzania Danych Osobowych w Twoim imieniu, z zastrzeżeniem wymogów niniejszego Rozdziału 5.
5.2 Wykaz Podpodmiotów Przetwarzających
YesHello prowadzi kompletny i aktualny wykaz wszystkich bieżących Podpodmiotów Przetwarzających, obejmujący ich nazwy, lokalizacje oraz czynności przetwarzania, które wykonują, na następującej dedykowanej stronie:
https://yeshello.app/page/subprocessors
Wykaz jest aktualizowany z wyprzedzeniem przed wszelkimi zmianami i stanowi miarodajne źródło informacji o Podpodmiotach Przetwarzających. Akceptując niniejszy APD, potwierdzasz i wyrażasz zgodę na Podpodmioty Przetwarzające wymienione na tej stronie według stanu na Datę Wejścia w Życie.
5.3 Powiadamianie o Zmianach
YesHello powiadomi Cię drogą e-mailową co najmniej trzydzieści (30) dni przed zaangażowaniem nowego Podpodmiotu Przetwarzającego lub zastąpieniem istniejącego. Wykaz Podpodmiotów Przetwarzających pod adresem https://yeshello.app/page/subprocessors zostanie zaktualizowany jednocześnie z wydaniem powiadomienia.
5.4 Prawo do Sprzeciwu
Jeżeli masz uzasadniony sprzeciw wobec nowego Podpodmiotu Przetwarzającego z powodów związanych z ochroną danych, możesz powiadomić YesHello na piśmie w ciągu czternastu (14) dni od otrzymania powiadomienia. YesHello podejmie uzasadnione handlowo starania w celu uwzględnienia Twojego sprzeciwu, co może obejmować zaproponowanie alternatywnej konfiguracji, która nie wymaga korzystania z zakwestionowanego Podpodmiotu Przetwarzającego. Jeżeli YesHello nie może w uzasadniony sposób uwzględnić Twojego sprzeciwu, każda ze Stron może rozwiązać odpowiednią część Usługi, a Ty otrzymasz proporcjonalny zwrot wszelkich z góry zapłaconych opłat za rozwiązaną część.
5.5 Obowiązki Podpodmiotów Przetwarzających
YesHello nałoży na każdy Podpodmiot Przetwarzający obowiązki w zakresie ochrony danych, które są istotnie nie mniej rygorystyczne niż te określone w niniejszym APD. YesHello pozostaje w pełni odpowiedzialny wobec Ciebie za wykonanie obowiązków każdego Podpodmiotu Przetwarzającego.
6. Międzynarodowe Przekazywanie Danych
6.1 Lokalizacja Hostingu
Dane Osobowe przetwarzane na mocy niniejszego APD są przechowywane na serwerach zlokalizowanych w Niemczech.
6.2 Przekazywanie Danych Poza EOG
W przypadku gdy Dane Osobowe pochodzące z Europejskiego Obszaru Gospodarczego, Zjednoczonego Królestwa lub Szwajcarii są przekazywane do Podpodmiotu Przetwarzającego zlokalizowanego poza tymi regionami, YesHello zapewnia, że takie przekazywanie odbywa się zgodnie z Właściwym Prawem o Ochronie Danych. Mechanizmy przekazywania mające zastosowanie do każdego Podpodmiotu Przetwarzającego są wskazane w wykazie Podpodmiotów Przetwarzających pod adresem https://yeshello.app/page/subprocessors. YesHello stosuje jeden lub więcej z następujących mechanizmów:
(a) Decyzji stwierdzającej odpowiedni stopień ochrony wydanej przez Komisję Europejską dla kraju odbiorcy; (b) Standardowych Klauzul Umownych (SKU) zatwierdzonych przez Komisję Europejską, włączonych do umów YesHello z Podpodmiotami Przetwarzającymi; (c) Certyfikacji odbiorcy w ramach zatwierdzonego mechanizmu przekazywania danych (takiego jak Ramy Ochrony Danych UE-USA); lub (d) Jakiegokolwiek innego zgodnego z prawem mechanizmu przekazywania uznanego na mocy Właściwego Prawa o Ochronie Danych.
6.3 Dodatkowe Zabezpieczenia
W przypadku gdy opiera się na Standardowych Klauzulach Umownych, YesHello przeprowadzi ocenę skutków przekazywania i wdroży dodatkowe środki, jeżeli będzie to konieczne do zapewnienia, że poziom ochrony Danych Osobowych nie zostanie osłabiony przez przekazanie.
7. Powiadamianie o Naruszeniu Ochrony Danych Osobowych
7.1 Powiadamianie Administratora
YesHello powiadomi Cię bez zbędnej zwłoki, a w każdym razie w ciągu siedemdziesięciu dwóch (72) godzin od stwierdzenia Naruszenia Ochrony Danych Osobowych dotyczącego Danych Osobowych przetwarzanych w Twoim imieniu.
7.2 Treść Powiadomienia
Powiadomienie będzie zawierać, w zakresie dostępnych informacji:
(a) Opis charakteru Naruszenia Ochrony Danych Osobowych, w tym kategorie i przybliżoną liczbę Osób, Których Dane Dotyczą, oraz rekordów danych; (b) Prawdopodobne konsekwencje naruszenia; (c) Opis środków podjętych lub proponowanych w celu zaradzenia naruszeniu, w tym środków mających na celu złagodzenie jego ewentualnych negatywnych skutków; oraz (d) Imię, nazwisko i dane kontaktowe osoby, od której można uzyskać więcej informacji.
7.3 Bieżące Informacje
W przypadku gdy nie jest możliwe podanie wszystkich informacji w momencie wstępnego powiadomienia, YesHello będzie przekazywał informacje etapami bez dalszej zbędnej zwłoki, gdy tylko będą dostępne.
7.4 Współpraca
YesHello będzie współpracował z Tobą i podejmował uzasadnione handlowo kroki w celu pomocy w dochodzeniu, ograniczaniu i usuwaniu skutków Naruszenia Ochrony Danych Osobowych. YesHello zachowa dowody związane z naruszeniem na potrzeby dochodzenia.
7.5 Brak Oceny Ryzyka
Powiadomienie przez YesHello o Naruszeniu Ochrony Danych Osobowych nie stanowi uznania jakiejkolwiek winy ani odpowiedzialności. Ponosisz odpowiedzialność za ocenę, czy naruszenie wymaga powiadomienia organów nadzorczych lub Osób, Których Dane Dotyczą, zgodnie z Właściwym Prawem o Ochronie Danych.
8. Audyt i Kontrola
8.1 Informacje i Zgodność
YesHello udostępni Ci wszelkie informacje w uzasadniony sposób niezbędne do wykazania zgodności z obowiązkami określonymi w niniejszym APD.
8.2 Prawa do Audytu
Masz prawo do przeprowadzania audytów, w tym inspekcji, w celu weryfikacji zgodności YesHello z niniejszym APD, z zastrzeżeniem następujących warunków:
(a) Złożysz wniosek o audyt z co najmniej trzydziestodniowym (30) wyprzedzeniem na piśmie; (b) Audyty będą przeprowadzane w normalnych godzinach pracy i nie będą w sposób nieuzasadniony zakłócać działalności YesHello; (c) Ponosisz koszty audytu, chyba że audyt ujawni istotne naruszenie niniejszego APD przez YesHello; (d) Wyniki audytu będą traktowane jako informacje poufne; oraz (e) Audyty nie będą przekraczać jednego (1) w okresie dwunastu miesięcy, chyba że jest to wymagane przez organ nadzorczy lub wywołane Naruszeniem Ochrony Danych Osobowych.
8.3 Zewnętrzny Audytor
Możesz wyznaczyć wykwalifikowanego, niezależnego audytora zewnętrznego do przeprowadzenia audytu w Twoim imieniu, pod warunkiem że audytor wyrazi zgodę na obowiązki zachowania poufności akceptowalne dla YesHello.
8.4 Alternatywne Zapewnienie
Jako alternatywę dla audytu na miejscu YesHello może dostarczyć Ci: (a) podsumowanie odpowiednich raportów audytu zewnętrznego lub certyfikacji (takich jak SOC 2 lub ISO 27001, jeżeli zostały uzyskane); (b) wypełnione standardowe kwestionariusze bezpieczeństwa; lub (c) inną dokumentację w uzasadniony sposób potwierdzającą zgodność z niniejszym APD. Rozważysz takie alternatywne zapewnienie w dobrej wierze przed skorzystaniem z prawa do audytu na miejscu.
9. Odpowiedzialność
Odpowiedzialność każdej ze Stron na mocy niniejszego APD podlega ograniczeniom odpowiedzialności określonym w Regulaminie. Żadne postanowienie niniejszego APD nie ogranicza odpowiedzialności żadnej ze Stron za naruszenia Właściwego Prawa o Ochronie Danych w zakresie, w jakim taka odpowiedzialność nie może być ograniczona na mocy tego prawa.
10. Czas Trwania i Rozwiązanie
10.1 Czas Trwania
Niniejszy APD pozostaje w mocy przez cały czas, w którym YesHello przetwarza Dane Osobowe w Twoim imieniu.
10.2 Przeżywalność Postanowień
Rozdziały 4.6 (Usuwanie i Zwrot Danych), 7 (Powiadamianie o Naruszeniu Ochrony Danych Osobowych), 8 (Audyt i Kontrola) oraz 9 (Odpowiedzialność) pozostają w mocy po rozwiązaniu niniejszego APD.
11. Prawo Właściwe
Niniejszy APD podlega prawu właściwemu i jest interpretowany zgodnie z prawem właściwym określonym w Regulaminie. W zakresie, w jakim Właściwe Prawo o Ochronie Danych wymaga zastosowania prawa określonej jurysdykcji (na przykład RODO wymaga, aby niektóre postanowienia podlegały prawu państwa członkowskiego UE), takie prawo ma zastosowanie do odpowiednich postanowień niniejszego APD.
12. Zmiany
YesHello może okresowo aktualizować niniejszy APD w celu odzwierciedlenia zmian w Właściwym Prawie o Ochronie Danych lub naszych środkach bezpieczeństwa. Aktualizacje wykazu Podpodmiotów Przetwarzających są zarządzane oddzielnie pod adresem https://yeshello.app/page/subprocessors zgodnie z Rozdziałem 5. O istotnych zmianach niniejszego APD zostaniesz powiadomiony zgodnie z Rozdziałem 20 Regulaminu. Aktualna wersja niniejszego APD jest zawsze dostępna pod adresem https://yeshello.app/page/dpa.
13. Kontakt
W przypadku pytań dotyczących niniejszego APD lub kwestii przetwarzania danych:
Thrive Route Digital Limited 21/F CMA Building, 64 Connaught Road Central, Hongkong E-mail: [email protected]