DATA PROCESSING ADDENDUM

BAS-IP / DODATEK DOTYCZĄCY PRZETWARZANIA DANYCH

Ostatnia aktualizacja: [10.12.2025]

Niniejszy Aneks dotyczący Przetwarzania Danych (dalej ’DPA’) zostaje zawarty pomiędzy Tobą (dalej ’Klient’, ’Ty’, ’Twój’) a BAS-IP DISTRIBUTION LTD (dalej ’Firma’, ’BAS-IP’, ’my’, 'my’ lub ’nasze’), dalej nazywana indywidualnie „Stroną” lub razem jako „Imprezy. Niniejsza DPA uzupełnia Warunki i Zasady (dalej ’Umowa’), zawarte między stronami.

To DPA reguluje przetwarzanie danych osobowych, które Klient przekazuje BAS-IP w związku z korzystaniem z produktów i usług BAS-IP (razem z 'Usługami’), a także wszelkich danych osobowych uzyskanych przez BAS-IP w trakcie świadczenia usług dla Klienta.

O ile w tej DPA nie zdefiniowano inaczej, wszystkie terminy pisane wielką literą użyte w tej umowie będą miały znaczenia określone w Porozumieniu. Niniejsza DPA pozostaje w mocy do czasu wygaśnięcia Umowy między Tobą a nami dotyczącej korzystania z Usług. W przypadku jakiegokolwiek konfliktu między tym DPA a Porozumieniem, w odniesieniu do przetwarzania danych osobowych mają pierwszeństwo postanowienia tego DPA.

1. Definicje

Na potrzeby niniejszego DPA obowiązują następujące definicje:

„Dane klienta” oznaczają wszelkie dane osobowe, które klient przesyła, przesyła lub w inny sposób udostępnia BAS-IP w związku z Usługami, a także wszelkie dane osobowe przetwarzane przez BAS-IP w trakcie wykonywania Usług.

„Przepisy o ochronie danych osobowych” oznaczają wszystkie obowiązujące przepisy i rozporządzenia dotyczące przetwarzania danych klientów, w tym te Unii Europejskiej, Europejskiego Obszaru Gospodarczego oraz jej państw członkowskich, Wielkiej Brytanii, takie jak:

Ogólne rozporządzenie UE o ochronie danych osobowych (RODO UE);
Ogólne rozporządzenie o ochronie danych w Wielkiej Brytanii (UK GDPR);
Ustawa o ochronie danych osobowych z 2018 roku;
Data (Use and Access) Act 2025 (DUAA);
wszelkie inne obowiązujące przepisy i regulacje dotyczące ochrony danych, w zakresie obowiązującym wobec Stron oraz działań przetwarzających na mocy tego DPA – wszelkie inne obowiązujące przepisy i regulacje.

„Mechanizm Transferu Danych” oznacza każdy prawnie uznany mechanizm, instrument lub ramy umożliwiające transfer danych klientów z jednej jurysdykcji do drugiej zgodnie z obowiązującymi przepisami o ochronie danych, w tym, między innymi, z klauzulami umownymi UE oraz Dodatkiem Wielkiej Brytanii.

“Sądy Wyższych Komitetów Unii Europejskiej” oznacza standardowe klauzule umowne UE dotyczące przekazywania danych klientów do krajów trzecich zgodnie z rozporządzeniem (UE) 2016/679 Parlamentu Europejskiego i Rady zatwierdzonymi przez Decyzję Wykonawczą Komisji Europejskiej (UE) 2021/914 z dnia 4 czerwca 2021 r., zgodnie z obowiązującym określeniem w https://eurlex.europa.eu/eli/dec_impl/2021/914/oj.

„Ogólne rozporządzenie o ochronie danych osobowych (RODO)” oznacza Rozporządzenie (UE) 2016/679 Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 roku dotyczące ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych oraz uchylające dyrektywę 95/46/WE.

„Międzynarodowy transfer danych” oznacza każdy transfer danych klientów z kraju, w którym dane są zbierane, do kraju spoza tej jurysdykcji, gdzie obowiązujące przepisy dotyczące ochrony danych wymagają odpowiednich zabezpieczeń dla takiego transferu.

„Organ publiczny” oznacza agencję rządową lub organy ścigania, w tym organy sądowe.

„Wrażliwe dane klientów” oznaczają dane klientów ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność do związków zawodowych, dane genetyczne lub dane biometryczne w celu jednoznacznej identyfikacji osoby fizycznej, dane dotyczące zdrowia, życia seksualnego lub orientacji seksualnej osoby lub dane dotyczące wyroków karnych i przestępstw.

„Usługi” oznaczają usługi świadczone przez Spółkę na rzecz Klienta.

„Organ nadzorczy” oznacza niezależny organ publiczny odpowiedzialny za monitorowanie stosowania przepisów dotyczących ochrony danych.

„Techniczne i organizacyjne środki bezpieczeństwa” oznaczają środki mające na celu ochronę danych osobowych przed niezamierzonym zniszczeniem lub niezamierzoną utratą, zmianą, nieautoryzowanym ujawnieniem lub dostępem, szczególnie gdy przetwarzanie polega na przesyłaniu danych przez sieć oraz przed wszelkimi innymi nielegalnymi formami przetwarzania.

„UK GDPR” oznacza zachowaną wersję Ogólnego Rozporządzenia UE o ochronie danych osobowych, ponieważ stanowi ona część prawa brytyjskiego, wraz z wszelkimi zmianami wprowadzonymi przez Ustawę o ochronie danych osobowych z 2018 roku oraz inne obowiązujące brytyjskie przepisy regulujące przetwarzanie danych osobowych.

„Brytyjski aneks” oznacza Międzynarodowy Dodatek do Standardowych Klauzul Umownych UE, który został wydany przez Komisarza ds. Informacji dla Stron dokonujących Ograniczonych Transferów w rozumieniu brytyjskich przepisów o ochronie danych, jak jest obecnie określone w https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf.

„Kontroler„, „procesor„, „podprocesor”, „podmiot danych„, „dane osobowe” oraz „przetwarzanie” mają znaczenia określone w Przepisach o ochronie danych osobowych.

2. Role i obowiązki

Gdy BAS-IP przetwarza Dane Klientów w Twoim imieniu w związku z Usługami, potwierdzasz i zgadzasz się, że w odniesieniu do przetwarzania Danych Klientów jesteś kontrolerem lub procesorem, a my jesteśmy procesorem lub podprocesorem (zgodnie z Przepisami o ochronie danych) działającym w Twoim imieniu. Opis takiego przetwarzania znajduje się w Załączniku 1 niniejszego DPA. Niniejsza DPA będzie miała zastosowanie do ustalonych ról i nie dotyczy sytuacji, w których działamy jako kontroler zgodnie z Polityką Prywatności BAS-IP.

Jeśli Klient jest przetwórcą, Klient gwarantuje BAS-IP, że instrukcje i działania Klienta dotyczące danych osobowych, w tym powołanie BAS-IP na podprocesora oraz, w razie stosowności, zawarcie wniosków dotyczących Kodeksów Sądowych UE lub innych dodatków na podstawie Sekcji 9 niniejszego DPA (w tym, jeśli mogą zostać zmienione w sekcji 9 poniżej), zostały (i będą), na czas trwania niniejszego DPA nadal być autoryzowane przez odpowiedniego kontrolera zewnętrznego.

3. Instrukcje

Strony zgadzają się, że niniejsza DPA oraz obowiązująca Umowa stanowią pełne i ostateczne udokumentowane instrukcje Klienta dotyczące przetwarzania Danych Klienta (dalej „Instrukcje„), gdzie Klient pełni rolę kontrolera lub procesora, a BAS-IP działa jako procesor lub podprocesor zgodnie z Przepisami o Ochronie Danych.

Wszelkie dodatkowe lub alternatywne instrukcje muszą być uzgodnione na piśmie przez strony i będą zgodne z niniejszym DPA oraz Umową.

4. Opis przetwarzania

Przetwarzanie danych klientów w imieniu klienta w związku z usługami opisane jest w załączniku 1 niniejszego DPA. Zastrzegamy sobie prawo do aktualizacji opisu przetwarzania od czasu do czasu, aby odzwierciedlić nową funkcjonalność będącą częścią Usług.

5. Zobowiązania klienta

5.1. Obowiązki kontrolera

W ramach DPA, gdy Klient działa jako kontroler, jest odpowiedzialny za spełnienie wszystkich wymagań obowiązujących Klienta jako kontrolera zgodnie z Przepisami o Ochronie Danych Osobowych.

Działając jako kontroler, musisz:

(a) utrzymywanie dokładności, jakości, poufności i bezpieczeństwa Danych Klienta;

(b) przestrzegać i realizować swoje obowiązki wynikające z przepisów o ochronie danych, w tym w zakresie praw podmiotów danych, bezpieczeństwa danych i poufności, oraz zapewnić odpowiednią podstawę prawną do przetwarzania danych osobowych;

(c) dostarczać BAS-IP wyłącznie dane klienta uzyskane zgodnie z prawem oraz zapewniać, że dane te są odpowiednie, istotne i proporcjonalne do zamierzonych celów;

(d) zapewnienie, że Twoje instrukcje dla BAS-IP dotyczące przetwarzania danych klientów są zgodne z przepisami o ochronie danych, w tym zasadami minimalizacji danych, ograniczenia celu oraz ograniczenia przechowywania.

5.2. Obowiązki procesora

W ramach DPA, gdy Klient pełni funkcję procesora, jest odpowiedzialny za spełnienie wszystkich wymagań obowiązujących Klienta jako procesora zgodnie z Ustawami o Ochronie Danych.

Działając jako Procesor, musisz:

(a) dostarczać BAS-IP wyłącznie instrukcje przetwarzania, które dokładnie odzwierciedlają udokumentowane instrukcje danego kontrolera;

(b) dostarczać BAS-IP wyłącznie dane klienta uzyskane zgodnie z prawem od odpowiedniego kontrolera, które są wystarczające, istotne i ograniczone do tego, co jest niezbędne do dozwolonych celów;

(d) spełniać wszystkie obowiązki wynikające z obowiązujących przepisów dotyczących ochrony danych osobowych jako osoba przetwarzająca;

(e) zapewni, że Twój personel lub jakakolwiek osoba trzecia uzyskująca dostęp do danych klientów jest zgodna z niniejszym DPA oraz Umową.

6. Zobowiązania BAS-IP

6.1. Obowiązki ogólne

Gdy BAS-IP działa jako procesor/podprocesor, musimy:

(a) przetwarzać dane klientów zgodnie z Waszymi Instrukcjami i wyłącznie w określonych celach;

(b) informują Państwa, jeśli, według rozsądnej opinii BAS-IP:

(i) Twoje instrukcje naruszają lub mogą naruszać obowiązujące przepisy dotyczące ochrony danych osobowych; lub

(ii) BAS-IP nie jest w stanie spełnić Twoich Instrukcji;

(c) wdrażanie i utrzymywanie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poufności danych klientów;

(d) przestrzegać wszystkich obowiązujących przepisów dotyczących ochrony danych, w tym obowiązków dotyczących praw podmiotów danych, bezpieczeństwa danych i poufności;

(e) zapewnić, poprzez pisemne umowy lub inne prawnie wiążące środki, że każdy podprocesor zaangażowany w przetwarzanie danych klientów w imieniu BAS-IP podlega równoważnym obowiązkom ochrony danych określonym w niniejszej DPA i Umowy;

(f) prowadzić dokładne rejestry wszystkich czynności przetwarzających wykonywanych w Twoim imieniu na mocy niniejszej DPA i udostępniać takie dokumenty na żądanie;

(g) bez zbędnej zwłoki powiadomić Cię, jeśli BAS-IP dowie się, że jakiekolwiek Dane Klienta dostarczone przez Ciebie są niedokładne, niepełne lub przestarzałe;

(g) stosowanie odpowiednich i niezbędnych zabezpieczeń lub ograniczeń przy przetwarzaniu wrażliwych danych klientów, zgodnie z przepisami o ochronie danych lub instrukcjami;

(h) dostarczyć Ci wszystkie informacje rozsądnie niezbędne do wykazania zgodności BAS-IP z obowiązkami wynikającymi z obowiązujących przepisów o ochronie danych.

6.2. Powiadomienia dla klienta

Po uzyskaniu informacji o tym poinformujemy Cię o wszelkich prawnie wiążących żądaniach ujawnienia danych klientów przez organ publiczny, chyba że prawo nie zabrania nam informować Klienta, na przykład w celu zachowania poufności dochodzenia przeprowadzonego przez organ publiczny. Poinformujemy Cię, jeśli BAS-IP dowie się o jakimkolwiek powiadomieniu, zapytaniu lub dochodzeniu przeprowadzonym przez Organ Nadzorczy w związku z przetwarzaniem danych klientów na podstawie niniejszej umowy o DPA przeprowadzonym między Tobą a nami.

6.3. Poufność

Nie będziemy uzyskiwać dostępu, używać ani ujawniać żadnym osobom trzecim żadnych Danych Klienta, z wyjątkiem sytuacji niezbędnej do utrzymania lub świadczenia Usług lub w przypadku spełnienia zobowiązań umownych i prawnych lub wiążącego nakazu organu publicznego (takiego jak wezwanie sądowe lub nakaz sądowy).

Zapewnimy, że każdy pracownik/wykonawca, którego upoważniamy do dostępu do danych klientów w naszym imieniu, podlega odpowiedniej poufności, zobowiązaniom umownym lub ustawowym w odniesieniu do danych klientów.

6.4. Środki bezpieczeństwa

Będziemy wdrażać i utrzymywać odpowiednie środki techniczne i organizacyjne w celu ochrony danych klientów przed wszelkimi naruszeniami, takimi jak rzeczywiste lub podejrzewane przypadkowe lub bezprawne zniszczenie, utrata, zmiana, nieautoryzowane ujawnienie lub dostęp do danych klientów przesyłanych, przechowywanych lub przetwarzanych (dalej „Incydenty Bezpieczeństwa„) zgodnie z naszymi standardami bezpieczeństwa określonymi w Załączniku 2 niniejszego DPA.

Potwierdzasz, że środki bezpieczeństwa podlegają postępowi technicznemu, dlatego możemy modyfikować lub aktualizować Harmonogram 2 niniejszego DPA według własnego uznania, pod warunkiem, że taka modyfikacja lub aktualizacja nie spowoduje istotnego pogorszenia warunków bezpieczeństwa przewidzianych w Załączniku 2 niniejszego DPA.

6.5. Incydent bezpieczeństwa

Po uzyskaniu wiedzy o incydencie bezpieczeństwa, będziemy:

powiadomić Cię bez zbędnej zwłoki po tym, jak dowiemy się o incydencie bezpieczeństwa;
dostarczać terminowe informacje dotyczące Incydentu Bezpieczeństwa (rodzaj danych osobowych, kategorie i potencjalna liczba dotkniętych osób lub rejestrów), gdy stanie się to znane lub na które Państwo z uzasadnionym żądaniem zażądają; oraz
Niezwłocznie podejmuj rozsądne kroki, aby powstrzymać i zbadać każdy Incydent Bezpieczeństwa, aby móc powiadomić odpowiednie organy i/lub dotknięte Podmioty Danych o Incydencie Bezpieczeństwa.

Nasze powiadomienie lub odpowiedź na Incydent Bezpieczeństwa nie może być interpretowane jako przyznanie się do jakiejkolwiek winy lub odpowiedzialności w związku z incydentem bezpieczeństwa.

6.6. Zwrot lub usunięcie danych klienta

Po zakończeniu lub wygaśnięciu umowy zawartej między Tobą a nami, usuniemy lub zwrócimy wszystkie dane klientów, które posiadamy lub kontrolujemy. Ten wymóg nie będzie miał zastosowania w zakresie, w jakim wymagane jest to przez obowiązujące prawo lub odpowiednie zobowiązania umowne do przechowywania części lub wszystkich Danych Klienta.

6.7. Rozsądna pomoc

Zobowiązujemy się udzielać Klientowi rozsądnej pomocy w kwestii:

(a) każde żądanie podmiotu danych dotyczące dostępu do danych lub poprawy, usunięcia, ograniczenia, przenośności, blokowania lub usunięcia danych klienta, które przetwarzamy w imieniu klienta. W przypadku gdy podmiot danych prześle takie żądanie bezpośrednio do nas, obowiązuje sekcja 7 niniejszej DPA;

(b) dochodzenie w sprawie Incydentu Bezpieczeństwa oraz przekazywanie niezbędnych powiadomień dotyczących takich Incydentów, z zastrzeżeniem Sekcji 6.5 niniejszej DPA;

(c) przygotowanie ocen wpływu na ochronę danych (tzw. ’DPIA’) oraz, w razie potrzeby, konsultacje klienta z Organem Nadzorczym na podstawie artykułów 35 i 36 RODO.

6.8 Audyt i certyfikacja

6.8.1 Audyt organów nadzorczych

Jeśli organ nadzorczy wymaga audytu naszych obiektów przetwarzania danych, które wykonujemy do przetwarzania danych klientów w celu ustalenia lub monitorowania zgodności klienta z przepisami o ochronie danych, będziemy współpracować z audytem. Klient ponosi odpowiedzialność za wszystkie koszty i opłaty związane z takim audytem, w tym za wszelkie rozsądne koszty i opłaty za cały czas poświęcony na taki audyt, a także za stawki za usługi świadczone przez nas.

6.8.2 Audyty

Klient może, przed rozpoczęciem przetwarzania i w regularnych odstępach czasu, następnie audytować podjęte przez nas działania techniczne i organizacyjne. Jeśli Klient jest kontrolerem w zakresie danych osobowych przetwarzanych przez nas w jego imieniu, na podstawie rozsądnej i terminowej porozumienia z wyprzedzeniem, w regularnych godzinach pracy i bez zakłóceń w działalności działalności, możemy przekazać Klientowi wszelkie niezbędne informacje do wykazania zgodności z obowiązkami określonymi w artykule 28 RODO oraz umożliwić i przyczyniać się do audytów, w tym inspekcje przeprowadzane przez Klienta lub innego audytora zleconego przez Klienta w odniesieniu do takiego przetwarzania.

Na pisemne żądanie Klienta i w rozsądnym terminie dostarczymy Klientowi wszystkie informacje niezbędne do takiego audytu, w zakresie, w jakim są one w naszej kontroli i nie jesteśmy wykluczeni z ich ujawnienia przez obowiązujące prawo, obowiązek zachowania poufności ani inne zobowiązania wobec osób trzecich.

7. Wnioski o podmioty danych

W przypadku, gdy osoba z danych skontaktuje się z nami w sprawie wykonywania swoich praw wynikających z Przepisów o Ochronie Danych (w szczególności wniosków o dostęp, naprawę lub usunięcie danych klientów), dołożymy wszelkich uzasadnionych środków, aby przekazać takie wnioski do Ciebie. Jeśli jesteśmy prawnie zobowiązani do odpowiedzi na takie żądanie, natychmiast Cię powiadomimy i przekażemy kopię wniosku, chyba że jest nam to prawnie zabronione.

8. Podprocesory

BAS-IP posiada ogólne pisemne upoważnienie od Klienta do angażowania podprocesorów z uzgodnionej listy. BAS-IP zobowiązuje się poinformować Klienta o wszelkich planowanych zmianach na tej liście dotyczących dodania lub wymiany podprocesorów co najmniej 10 dni przed rozpoczęciem działania danego podprocesora, dając tym samym Klientowi możliwość zgłoszenia sprzeciwu wobec takich zmian. BAS-IP dostarcza Klientowi informacje niezbędne do umożliwienia mu skorzystania z prawa do sprzeciwu.

Jeśli obowiązuje sekcja 9 niniejszego DPA, procedura angażowania subprocesorów będzie regulowana przez odpowiednie przepisy sekcji 9 niniejszej DPA. W takim przypadku pierwszeństwo mają postanowienia artykułu 9.

Uzgodniona lista podprocesorów jest przedstawiona w Załączniku 3 niniejszego DPA.

9. Transfery danych klientów

9.1. Ogólne

Potwierdzasz i zgadzasz się, że korzystanie z usług BAS-IP może wiązać się z przenoszeniem danych klientów do innych jurysdykcji, zgodnie z obowiązującymi przepisami o ochronie danych.

Gdy takie transfery wymagają odpowiednich zabezpieczeń, stosuje się odpowiednie mechanizmy transferu danych, takie jak Unijne Komitety Transferu Danych oraz Dodatek Wielkiej Brytanii. Mechanizmy Transferu Danych są włączone do tej DPA i stanowią jej integralną część, jak opisano w sekcji 9.2. oraz 9,3.

W przypadku jakiegokolwiek konfliktu pomiędzy postanowieniami niniejszego DPA a odpowiednimi mechanizmami transferu danych, przepisy odpowiedniego mechanizmu transferu danych mają pierwszeństwo wyłącznie w zakresie takiego konfliktu.

9.2. Transfery na mocy RODO

Gdy przetwarzanie danych klientów w Twoim imieniu w związku z usługami stanowi „transfer” zgodnie z RODO, stosuje się standardowe klauzule umowne.

Gdy jesteś kontrolerem, a my jesteśmy przetwórcami, obowiązuje Moduł Drugi z SCC UE, a gdy jesteś przetwórcą, a my podprocesorem, obowiązuje Moduł Trzeci SCC UE.

Na potrzeby SCC UE BAS-IP jest „importerem danych”, a ty jesteś „eksporterem danych”.

Odpowiednie przepisy zawarte w Kodeksach Najwyższych Sądu UE są uwzględniane w formie odniesienia i stanowią integralną część tego DPA. Klauzule i aneksy Komitetów Szpiku Sądowego UE są uznawane za wypełnione w następujący sposób:

(i) w klauzuli 7 opcjonalna klauzula o dopełnieniu nie ma zastosowania;

(ii) w klauzuli 9, opcja 2 (Ogólne pisemne upoważnienie) ma zastosowanie. Na potrzeby klauzuli 9(a) termin poinformowania Eksportera danych wynosi 10 dni;

(iii) w klauzuli 11 nie ma zastosowania przepis opcjonalny;

(iv) w klauzuli 13 obowiązuje konkretna opcja w zależności od konkretnej sprawy;

(v) w klauzuli 17 obowiązuje opcja 1. Szpiki Sądu Wyższego Szczebla UE będą regulowane przez prawo Republiki Federalnej Niemiec;

(vi) w punkcie 18(b) spory rozstrzygane są przez sądy Republiki Federalnej Niemiec;

(vii) Załącznik I Komitetów Społecznych UE jest uznawany za uzupełniony z informacjami zawartymi w Załączniku 1 niniejszego DPA;

(viii) Załącznik II Kodeksu Najwyższego Szczebla UE jest uznawany za uzupełniony informacjami zawartymi w Załączniku 2 niniejszego DPA.

9.3. Transfery w ramach brytyjskiego Systemu Ochrony Danych

Gdy przetwarzanie danych klientów w Twoim imieniu w związku z usługami stanowi „ograniczony transfer” zgodnie z brytyjskim prawem o ochronie danych, obowiązuje brytyjski aneks do usług.

Gdy jesteś kontrolerem, a BAS-IP jest procesorem, obowiązuje Moduł Drugi z SCC UE, a gdy jesteś procesorem, a my podprocesorem, Moduł Trzeci SCC UE będzie obowiązywał, zgodnie z podsekcją 9.2. tego DPA.

Na potrzeby brytyjskiego dodatku, BAS-IP to „importer”, a ty jesteś „eksporterem”.

Odpowiednie przepisy zawarte w brytyjskim Aneksie są włączone przez odniesienie i stanowią integralną część niniejszego DPA. Tabele w Aneksie Brytyjskim uważa się za wypełnione w następujący sposób:

(i) Tabela 1 w części 1 jest uznawana za wypełnioną z informacjami zawartymi w załączniku 1 niniejszego DPA, a oficjalny numer rejestracyjny importera to 328138502, a oficjalny numer rejestracyjny eksportera znajduje się na koncie klienta, jeśli taki istnieje;

(ii) Tabela 2 w części 1 jest uważana za wypełnioną zgodnie z informacjami zawartymi w ustępie 9.2. tej DPA;

(iii) Tabela 3 w części 1 jest uznawana za wypełnioną informacjami zawartymi w załącznikach 1, 2 i 3 niniejszego DPA;

(iv) w Tabeli 4 w części 1 żadna ze stron nie może zakończyć tego Dodatku zgodnie z Sekcją 19 Aneksu Wielkiej Brytanii.

ZAŁĄCZNIK 1 – OPIS PRZETWARZANIA

LISTA PARTII

Klient (eksporter danych)

Imię: Ty, 'Klient’

Adres: odpowiednie informacje znajdują się na koncie klienta.

Imię i nazwisko, stanowisko oraz dane kontaktowe osoby kontaktowej: odpowiednie informacje znajdują się na koncie klienta.

Działania związane z danymi przekazywanymi na podstawie tych klauzul: świadczenie usług.

Podpis i data: Strony zgadzają się, że wykonanie Umowy przez Eksportera Danych będzie stanowić wykonanie tej DPA zarówno przez Importera Danych, jak i Eksportera Danych. Data rejestracji konta na Platformie będzie traktowana jako data zawarcia niniejszego DPA.

Rola: kontroler lub procesor

BAS-IP DISTRIBUTION LTD (Importer danych)

Nazwa: BAS-IP DISTRIBUTION LTD

Adres: Crown House 27 Old Gloucester Street, Londyn, Anglia

Imię i nazwisko, stanowisko oraz dane kontaktowe osoby kontaktowej: [proszę wstawić imię i nazwisko, stanowisko oraz dane kontaktowe, np. e-mail]

Działania związane z danymi przekazywanymi na podstawie tych klauzul: świadczenie usług.

Rola: procesor lub podprocesor

OPIS TRANSFERU

Kategorie podmiotów danych, których dane osobowe są przesyłane:

Klienci klienta;
innych podmiotów danych, których dane osobowe są przekazywane podczas usług świadczonych przez Spółkę Klientowi.
Kategorie przesyłanych danych osobowych:

dane osobowe związane z klientami klienta;
inne dane osobowe, które mogą być przekazywane podczas świadczonych usług Spółki Klientowi.
Dane wrażliwe przesyłane (jeśli dotyczy) i stosowane ograniczenia lub zabezpieczenia, które w pełni uwzględniają charakter danych i związane z nimi ryzyka:

Importer danych może uzyskać dostęp do danych wrażliwych tylko wtedy, gdy takie dane są udostępniane przez Klienta i wyłącznie w zakresie niezbędnym do realizacji Usług. W takich przypadkach importer danych wdraża techniczne i organizacyjne środki określone w Załączniku 2, wraz z innymi odpowiednimi i niezbędnymi zabezpieczeniami lub ograniczeniami, uwzględniając charakter wrażliwych danych oraz ryzyka związane z ich przetwarzaniem, zgodnie z obowiązującymi przepisami i przepisami.

Częstotliwość transferu:

Dane osobowe są przekazywane na bieżąco.

Charakter procesu:

Przetwarzanie danych osobowych obejmuje następujące czynności: zbieranie, rejestrowanie, organizację, strukturowanie, przechowywanie, adaptację lub zmianę, odzyskiwanie, konsultacje, dopasowanie lub kombinację, ograniczanie, usuwanie lub niszczenie.

Cel(y) transferu danych i dalszego przetwarzania:

Celem przetwarzania danych na podstawie tych klauzul jest świadczenie usług dla Eksportera Danych przez Importera Danych na podstawie Umowy zawartej między Importerem Danych a Eksporterem Danych.

Okres, przez który dane osobowe będą przechowywane, lub, jeśli to niemożliwe, kryteria użyte do ustalenia tego okresu:

Dane osobowe będą przechowywane przez czas trwania niniejszej umowy o zawarciu umowy o zawarciu między importerem danych a eksporterem danych, chyba że uzgodniono inaczej na piśmie lub że obowiązujące prawo wymaga od importera danych zachowania części lub całości przekazanych danych osobowych.

W przypadku transferów do (pod) procesorów należy również określić temat, charakter i czas trwania przetwarzania:

Temat: Wykonywanie usług

Natura: Zbieranie, rejestrowanie, organizacja, strukturyzacja, przechowywanie, adaptacja lub zmiana, odzyskiwanie, konsultacje, wyrównanie lub łączenie, ograniczenie, wymazanie lub zniszczenie.

Czas trwania: wydajność usług dla importera danych przez (podprocesora) na podstawie umowy o świadczeniu usług zawartej między importerem danych a (podprocesorem).

WŁAŚCIWY ORGAN NADZORCZY

Zgodnie z klauzulą 13, właściwy organ nadzorujący na podstawie tych klauzul jest określany w zależności od tego, która wersja klauzuli 13(a) ma zastosowanie do eksportera danych.

ZAŁĄCZNIK 2 – ŚRODKI TECHNICZNE I ORGANIZACYJNE

ŚRODKI TECHNICZNE I ORGANIZACYJNE, W TYM TECHNICZNE I ORGANIZACYJNE, MAJĄCE NA CELU ZAPEWNIENIE BEZPIECZEŃSTWA DANYCH

Opis technicznych i organizacyjnych środków wdrażanych przez importera danych, aby zapewnić odpowiedni poziom bezpieczeństwa, uwzględniając charakter, zakres, kontekst i cel przetwarzania oraz ryzyka dla praw i wolności osób fizycznych:

Data Importer zobowiązuje się do zachowania poufności, integralności, dostępności i odporności wszystkich danych osobowych podczas swoich działań przetwarzających oraz do zapewnienia ochrony danych osobowych przed utratą i zniszczeniem poprzez wdrożenie odpowiednich wewnętrznych polityk, procedur i innych odpowiednich środków bezpieczeństwa informacji.
Data Importer udziela dostępu do danych osobowych wyłącznie na zasadzie „need to know”, a takie dane są dostępne wyłącznie dla osób upoważnionych.
Data Importer wdrożył oparte na rolach kontrolę dostępu oraz listy kontroli dostępu, aby wymusić ścisłe rozdzielenie praw dostępu użytkownika.
Procedury bezpieczeństwa informacji Data Importera podlegają regularnym przeglądom.
Data Importer korzysta z niezawodnych dostawców usług i monitoruje, jakie techniczne i organizacyjne środki mają wdrożone, aby zapewnić ochronę danych osobowych przez cały czas.
Data Importer wdrożył środki mające na celu ochronę poufności i integralności danych osobowych podczas transferu danych.
Data Importer wdrożył techniczne i organizacyjne środki mające na celu powstrzymanie incydentów bezpieczeństwa oraz zapobieganie dalszej utracie i uszkodzeniom danych.

HARMONOGRAM 3 – PODPROCESORY

Kontroler upoważnił do użycia następujących podprocesorów:

Podprocesor 1

Nazwa: Hetzner Online GmbH / Hetzner Finland Oy

Adres: Industriestr. 25, 91710 Gunzenhausen, Niemcy / Huurrekuja 10, 04360 Tuusula (Helsinki / Tuusula), Finlandia

Imię i nazwisko, stanowisko oraz dane kontaktowe osoby: [email protected]

Opis przetwarzania: przechowywanie danych na serwerach Hetzner Online GmbH / Hetzner Finland Oy

Subprocesor 2

Nazwa: DigitalOcean, LLC

Adres: 105 Edgeview Drive, Ste. 425, Broomfield, CO 80021, Stany Zjednoczone

Imię i nazwisko, stanowisko oraz dane kontaktowe osoby: [email protected]

Opis przetwarzania: hostowanie danych na serwerach DigitalOcean, LLC