Strany a rozsah
Tyto podmínky zpracování údajů (DPA) tvoří závazky podle článku 28 GDPR mezi Dawidem Sobolewskim, provozujícím Konfi Cloud jako individuální poskytovatel služeb v Polsku (zpracovatel), a firemním zákazníkem, který přijal podmínky Konfi Cloud (správce).
Tyto podmínky se automaticky vztahují na jakékoli osobní údaje, které zákazník nebo jeho koncoví uživatelé zadávají, nahrávají nebo jinak zpracovávají v rámci pracovního prostoru Konfi Cloud. Spolupodepsaná kopie je k dispozici na vyžádání na adrese support@getkonfi.com; níže uvedená verze v produktu je standardní nabídka, která platí, dokud nebude na místě podepsaná varianta.
Předmět, trvání a kategorie
- Předmět: poskytování řídicí roviny Konfi Cloud SaaS a související podpory operátora.
- Trvání: po dobu, po kterou má zákazník aktivní účet Konfi Cloud nebo pracovní prostor a během jakéhokoli písemně dohodnutého období uchování po ukončení.
- Povaha a účel zpracování: hostování, ukládání, organizování, získávání, zobrazování, přenos a jiné nakládání s daty zákazníků, aby zákazník a jeho koncoví uživatelé mohli používat Konfi Cloud.
- Kategorie subjektů údajů: zaměstnanci zákazníka, dodavatelé, koncoví zákazníci, dodavatelé a jakékoli jiné osoby, jejichž osobní údaje se zákazník rozhodne vložit do pracovního prostoru.
- Kategorie osobních údajů: identifikační a kontaktní údaje, přihlašovací údaje k účtu a autentizační metadata, obchodní údaje a údaje o objednávkách, fakturační a daňové údaje, podpůrná komunikace a jakékoli další osobní údaje, které se zákazník rozhodne zpracovávat.
Pokyny pro zpracování
Konfi Cloud zpracovává osobní údaje pouze na základě zdokumentovaných pokynů správce, jak je uvedeno v těchto podmínkách DPA, hlavních podmínkách Konfi Cloud, zásadách ochrany osobních údajů, konfiguraci, kterou si zákazník zvolí v pracovním prostoru, a jakýchkoli písemných pokynech přijatých poskytovatelem služeb.
Pokud platné právní předpisy vyžadují, aby poskytovatel služeb zpracovával osobní údaje jinak, poskytovatel služeb bude před zpracováním informovat správce, pokud tento zákon takové informace nezakazuje z důležitých důvodů veřejného zájmu.
Subprocesory
Řadič opravňuje poskytovatele služeb k používání dílčích zpracovatelů uvedených na stránce Dílčí zpracovatelé. Poskytovatel služeb bude tento seznam aktualizovat a předem upozorní na jakékoli zamýšlené přidání nebo nahrazení dílčího zpracovatele prostřednictvím webové stránky, oznámení v produktu nebo e-mailu na kontakty správce pracovního prostoru.
Správce může vznést námitku proti novému dílčímu zpracovateli z přiměřených důvodů souvisejících s GDPR do 30 dnů od oznámení. Pokud strany nemohou námitku vyřešit, správce může dotčené služby ukončit a obdržet poměrnou část předplacených, nevyužitých poplatků za tyto služby.
Bezpečnostní opatření
- Šifrování osobních údajů při přenosu (TLS) a v klidu tam, kde je základní poskytovatelé nabízejí.
- Správa identity a přístupu s oprávněními na základě rolí, vynucení MFA pro role operátora a správce a protokolování auditu privilegovaných akcí.
- Ochrana sítě a aplikací včetně Firebase App Check, omezování rychlosti, podepsaných webhooků a izolace mezi řídicí rovinou a runtime daty tenanta.
- Provozní opatření včetně produkčního přístupu s nejnižšími oprávněními, pravidelného střídání pověření, monitorování zranitelnosti, zálohování a reakce na incidenty.
- Zaměstnanci jednající z pověření poskytovatele služeb jsou vázáni povinností mlčenlivosti.
Požadavky subjektu údajů
Poskytovatel služeb bude správci s přihlédnutím k povaze zpracování a dostupným informacím pomáhat při plnění jeho povinností reagovat na žádosti subjektu údajů podle kapitoly III GDPR.
Pokud se subjekt údajů obrátí přímo na poskytovatele služeb s požadavkem, který se týká údajů v rámci zákaznického pracovního prostoru, poskytovatel služeb, je-li to přiměřené, odkáže subjekt údajů příslušnému správci nebo předá žádost.
Bezpečnostní incidenty a pomoc
Poskytovatel služeb pomůže správci zajistit soulad s články 32 až 36 GDPR (bezpečnost zpracování, oznámení o narušení, posouzení vlivu na ochranu údajů a předchozí konzultace), přičemž zohlední povahu zpracování a dostupné informace.
Poskytovatel služeb oznámí správci bez zbytečného odkladu poté, co se dozví o porušení zabezpečení osobních údajů, které se týká údajů zákazníka, a poskytne informace potřebné k tomu, aby správce splnil své vlastní oznamovací povinnosti.
Audity
Poskytovatel služeb zpřístupní správci informace nezbytné k prokázání souladu s článkem 28 GDPR a umožní audity, včetně inspekcí, prováděné správcem nebo jiným auditorem pověřeným správcem, a bude se na nich podílet, s výhradou přiměřených omezení důvěrnosti a bezpečnosti.
První úrovní auditu bude obvykle dokumentace a certifikace dostupné od příslušných dílčích zpracovatelů. Přímé audity na místě mohou být uspořádány s přiměřeným upozorněním a na náklady správce, pokud audit neodhalí závažné porušení ze strany poskytovatele služeb.
Mezinárodní převody
Někteří dílčí zpracovatelé zpracovávají osobní údaje mimo Evropský hospodářský prostor, zejména ve Spojených státech amerických. Předávání závisí na rozhodnutích Evropské komise o přiměřenosti tam, kde se použijí (včetně rámce EU-US Data Privacy Framework, pokud je poskytovatel certifikován), a na standardních smluvních doložkách s doplňkovými opatřeními, pokud tomu tak není.
Podrobnosti o umístění zpracování každého dílčího procesoru a mechanismu přenosu jsou uvedeny na stránce Subprocessors.
Termín, ukončení a smazání
Po ukončení služeb poskytovatel služeb podle volby správce vymaže nebo vrátí osobní údaje zpracovávané jménem správce a vymaže stávající kopie, pokud platné zákony nevyžadují další uchovávání. Standardní retenční okna jsou popsána v zásadách ochrany osobních údajů.
Tyto podmínky DPA zůstávají v platnosti, dokud poskytovatel služeb zpracovává osobní údaje jménem správce.
Kontakt
Dotazy týkající se těchto podmínek DPA nebo žádost o kopii s podpisem můžete zasílat na adresu support@getkonfi.com.