1. Strony
Administrator Danych
Ty, klient
Procesor Danych
ClientFlow
1.1 Zakres przetwarzania
Niniejsza UPD ma zastosowanie do przetwarzania danych osobowych w przypadku gdy:
- ClientFlow przetwarza dane osobowe w imieniu Administratora w ramach świadczenia Usługi
- Przetwarzanie dotyczy zarządzania relacjami klientów Administratora
- Osobami, których dane dotyczą, są klienci i kontakty biznesowe Administratora
Czynności przetwarzania
- Przechowywanie i organizacja informacji kontaktowych klientów
- Rejestrowanie i śledzenie transakcji płatniczych
- Wysyłanie autoryzowanych komunikatów (przypomnienia, powiadomienia)
- Generowanie analiz i raportów na podstawie zagregowanych danych
2. Kategorie Danych
| Kategoria | Przykłady | Cel |
|---|---|---|
| Dane Konta | Email, imię, zdjęcie profilowe | Dostęp do usługi |
| Dane Klientów | Imiona klientów, telefony, emaile | Funkcjonalność CRM |
| Rekordy Płatności | Kwoty, daty, statusy | Śledzenie płatności |
| Dane Użytkowania | Czasy logowania, użycie funkcji | Bezpieczeństwo, ulepszenia |
3. Obowiązki Procesora
Zobowiązujemy się:
- Przetwarzać dane wyłącznie według Twoich udokumentowanych instrukcji
- Zapewnić, że personel jest związany poufnością
- Wdrożyć odpowiednie środki bezpieczeństwa
- Wspierać w żądaniach osób, których dane dotyczą
- Powiadomić Cię o naruszeniach danych w ciągu 72 godzin
- Usunąć dane po rozwiązaniu umowy (po okresie retencji)
4. Środki Bezpieczeństwa
Techniczne
- TLS 1.3 (transmisja)
- AES-256 (przechowywanie)
- Uwierzytelnianie OAuth 2.0
- Kontrola dostępu oparta na rolach
- Monitorowanie w czasie rzeczywistym
Organizacyjne
- Polityki bezpieczeństwa
- Plan reagowania na incydenty
- Regularne audyty
- Przeglądy bezpieczeństwa dostawców
- Szkolenia pracowników
5. Podprocesory
Korzystamy z następujących autoryzowanych podprocesorów:
| Dostawca | Usługa | Lokalizacja | DPF |
|---|---|---|---|
| Google Cloud | Uwierzytelnianie | USA | Tak |
| iyzico | Płatności | Turcja | Standardowe Klauzule Umowne |
| Meta (WhatsApp) | Wiadomości | USA | Tak |
| Wyślij ponownie | USA | Standardowe Klauzule Umowne | |
| Supabase | Baza danych | UE/USA | Standardowe Klauzule Umowne |
| Cloudflare | Buforowanie | UE | Standardowe Klauzule Umowne |
DPF = Certyfikacja Ramach Ochrony Prywatności UE-USA
Powiadomienia o zmianach podmiotów przetwarzających
O wszelkich zamierzonych zmianach dotyczących podwykonawców przetwarzania poinformujemy Cię:
- Powiadomienie z co najmniej 14-dniowym wyprzedzeniem przed dodaniem lub wymianą podmiotów podwykonawców przetwarzania
- Powiadomienie e-mailem na adres e-mail Twojego zarejestrowanego konta
- Możesz sprzeciwić się zmianom w ciągu 14 dni, kontaktując się z nami
- Jeśli Twój sprzeciw nie zostanie rozpatrzony, możesz zakończyć usługi, których to dotyczy
5.1 Prawa audytowe
Administrator ma prawo do weryfikacji zgodności z niniejszą UPD:
- Żądanie odpowiedniej dokumentacji i certyfikatów
- Przeprowadzanie audytów z co najmniej 30-dniowym pisemnym wyprzedzeniem
- Audyty przeprowadzane są w normalnych godzinach pracy
- Audytor musi podpisać umowę o zachowaniu poufności
Zakres audytu
- Środki bezpieczeństwa i zabezpieczenia techniczne
- Zgodność podprocesorów
- Procedury obsługi danych
- Możliwości reagowania na incydenty
Koszty audytów ponosi Administrator, chyba że audyt ujawni istotną niezgodność.
6. Retencja i Usuwanie Danych
Twoje dane są zachowywane w celu odzyskania konta i zgodności z przepisami.
| Harmonogram | Akcja |
|---|---|
| Natychmiast | Konto dezaktywowane |
| Bezterminowo | Dane zachowane (zarchiwizowane) |
| W dowolnym momencie | Konto może być reaktywowane |
7. Przepisy CCPA
Zgodnie z CCPA działamy jako "Usługodawca" i:
- Przetwarzamy dane tylko w określonych celach biznesowych
- Nie sprzedajemy informacji osobowych
- Wspieramy w żądaniach praw konsumentów
- Wdrażamy rozsądne środki bezpieczeństwa
8. Powiadamianie o naruszeniu danych
W przypadku naruszenia ochrony danych osobowych zobowiązujemy się do następujących działań:
Harmonogram powiadamiania
- Powiadomienie w ciągu 72 godzin od wykrycia naruszenia
- Przedstawienie wstępnej oceny zakresu i wpływu naruszenia
- Dostarczenie szczegółowego pisemnego powiadomienia w ciągu 5 dni roboczych
Treść powiadomienia
- Charakter naruszenia, w tym kategorie i przybliżona liczba dotkniętych osób
- Imię i nazwisko oraz dane kontaktowe naszego Inspektora Ochrony Danych
- Opis prawdopodobnych konsekwencji naruszenia
- Środki podjęte lub zaproponowane w celu usunięcia naruszenia
- Środki łagodzące możliwe negatywne skutki
Będziemy w pełni współpracować z Twoim dochodzeniem i wszelkimi zapytaniami organów regulacyjnych oraz pomagać w powiadomieniach o naruszeniu organów nadzorczych i dotkniętych osób zgodnie z obowiązującym prawem.
9. Międzynarodowe transfery danych
Gdy dane osobowe są przekazywane poza Europejski Obszar Gospodarczy (EOG), zapewniamy odpowiednie zabezpieczenia:
Mechanizmy transferu
Decyzje o adekwatności UE
Transfery do krajów uznanych za adekwatne przez Komisję Europejską
Ramy Ochrony Prywatności UE-USA
Dla procesorów z USA certyfikowanych w ramach DPF
Standardowe Klauzule Umowne (SCC)
Klauzule zatwierdzone przez Komisję UE (wersja 2021) dla innych transferów
Przeprowadzamy oceny wpływu transferu tam, gdzie jest to wymagane, i wdrażamy dodatkowe środki (techniczne, organizacyjne i umowne) w razie potrzeby, aby zapewnić zasadniczo równoważny poziom ochrony.
Na żądanie możesz otrzymać kopie odpowiednich mechanizmów transferu.
10. Odpowiedzialność i odszkodowania
Odpowiedzialność procesora
ClientFlow ponosi odpowiedzialność za szkody spowodowane przetwarzaniem niezgodnym z niniejszą UPD lub gdy działaliśmy poza lub wbrew prawnym instrukcjom Administratora.
Odpowiedzialność administratora
Administrator ponosi odpowiedzialność za szkody spowodowane przetwarzaniem naruszającym obowiązujące prawo ochrony danych lub niespełniającym obowiązków Administratora wynikających z niniejszej UPD.
Ograniczenia
- Żadna ze stron nie ponosi odpowiedzialności za szkody pośrednie, przypadkowe lub wynikowe
- Całkowita łączna odpowiedzialność w ramach niniejszej UPD jest ograniczona do opłat zapłaconych w ciągu 12 miesięcy poprzedzających roszczenie
- Ograniczenia te nie mają zastosowania do naruszeń poufności, umyślnego niewłaściwego postępowania lub rażącego zaniedbania
Każda ze stron zgadza się zabezpieczyć drugą stronę przed roszczeniami osób trzecich wynikającymi z naruszenia niniejszej UPD lub mających zastosowanie przepisów o ochronie danych przez stronę zabezpieczającą.
11. Rozwiązanie i zwrot danych
Czas trwania
Niniejsza UPD obowiązuje przez czas trwania Umowy o Świadczenie Usług oraz tak długo, jak przetwarzamy dane osobowe w Twoim imieniu.
Po rozwiązaniu
- Według Twojego wyboru zwrócimy lub usuniemy wszystkie dane osobowe w ciągu 30 dni
- Możesz zażądać eksportu danych w powszechnie używanym formacie czytelnym maszynowo
- Na żądanie potwierdzimy usunięcie danych
- Dane mogą być przechowywane, jeśli wymaga tego obowiązujące prawo
Sekcje dotyczące poufności, odpowiedzialności i praw do ochrony danych pozostają w mocy po rozwiązaniu niniejszej UPD.