Umowa Przetwarzania Danych
Niniejsza Umowa stanowi część Warunków Świadczenia Usług i odzwierciedla nasze zobowiązanie do zgodności z RODO i CCPA.
Wersja 1.0 | Ostatnia Aktualizacja: Grudzień 2024
1. Strony
Administrator Danych
Ty, klient
Procesor Danych
ClientFlow
1.1 Zakres przetwarzania
Niniejsza UPD ma zastosowanie do przetwarzania danych osobowych w przypadku gdy:
- ClientFlow przetwarza dane osobowe w imieniu Administratora w ramach świadczenia Usługi
- Przetwarzanie dotyczy zarządzania relacjami klientów Administratora
- Osobami, których dane dotyczą, są klienci i kontakty biznesowe Administratora
Czynności przetwarzania
- Przechowywanie i organizacja informacji kontaktowych klientów
- Rejestrowanie i śledzenie transakcji płatniczych
- Wysyłanie autoryzowanych komunikatów (przypomnienia, powiadomienia)
- Generowanie analiz i raportów na podstawie zagregowanych danych
2. Kategorie Danych
| Kategoria | Przykłady | Cel |
|---|---|---|
| Dane Konta | Email, imię, zdjęcie profilowe | Dostęp do usługi |
| Dane Klientów | Imiona klientów, telefony, emaile | Funkcjonalność CRM |
| Rekordy Płatności | Kwoty, daty, statusy | Śledzenie płatności |
| Dane Użytkowania | Czasy logowania, użycie funkcji | Bezpieczeństwo, ulepszenia |
3. Obowiązki Procesora
Zobowiązujemy się:
- Przetwarzać dane wyłącznie według Twoich udokumentowanych instrukcji
- Zapewnić, że personel jest związany poufnością
- Wdrożyć odpowiednie środki bezpieczeństwa
- Wspierać w żądaniach osób, których dane dotyczą
- Powiadomić Cię o naruszeniach danych w ciągu 72 godzin
- Usunąć dane po rozwiązaniu umowy (po okresie retencji)
4. Środki Bezpieczeństwa
Techniczne
- TLS 1.3 (transmisja)
- AES-256 (przechowywanie)
- Uwierzytelnianie OAuth 2.0
- Kontrola dostępu oparta na rolach
- Monitorowanie w czasie rzeczywistym
Organizacyjne
- Spisane procedury bezpieczeństwa i przetwarzania danych
- Procedura reagowania na incydenty
- Przeglądy dostawców i podprocesorów
- Zobowiązania do zachowania poufności dla każdej osoby mającej dostęp do danych
- Zarządzanie zmianami w systemach produkcyjnych
5. Podprocesory
Korzystamy z następujących autoryzowanych podprocesorów:
| Dostawca | Usługa | Lokalizacja | DPF |
|---|---|---|---|
| Google Cloud | Uwierzytelnianie | USA | Tak |
| iyzico | Płatności | Turcja | Standardowe Klauzule Umowne |
| Meta (WhatsApp) | Wiadomości | USA | Tak |
| Wyślij ponownie | USA | Standardowe Klauzule Umowne | |
| Supabase | Baza danych | UE/USA | Standardowe Klauzule Umowne |
| Cloudflare | Buforowanie | UE | Standardowe Klauzule Umowne |
DPF = Certyfikacja Ramach Ochrony Prywatności UE-USA
Powiadomienia o zmianach podmiotów przetwarzających
O wszelkich zamierzonych zmianach dotyczących podwykonawców przetwarzania poinformujemy Cię:
- Powiadomienie z co najmniej 14-dniowym wyprzedzeniem przed dodaniem lub wymianą podmiotów podwykonawców przetwarzania
- Powiadomienie e-mailem na adres e-mail Twojego zarejestrowanego konta
- Możesz sprzeciwić się zmianom w ciągu 14 dni, kontaktując się z nami
- Jeśli Twój sprzeciw nie zostanie rozpatrzony, możesz zakończyć usługi, których to dotyczy
5.1 Prawa audytowe
Administrator ma prawo do weryfikacji zgodności z niniejszą UPD:
- Żądanie odpowiedniej dokumentacji i certyfikatów
- Przeprowadzanie audytów z co najmniej 30-dniowym pisemnym wyprzedzeniem
- Audyty przeprowadzane są w normalnych godzinach pracy
- Audytor musi podpisać umowę o zachowaniu poufności
Zakres audytu
- Środki bezpieczeństwa i zabezpieczenia techniczne
- Zgodność podprocesorów
- Procedury obsługi danych
- Możliwości reagowania na incydenty
Koszty audytów ponosi Administrator, chyba że audyt ujawni istotną niezgodność.
6. Retencja i Usuwanie Danych
Dane osobowe przechowujemy wyłącznie tak długo, jak jest to konieczne do opisanych celów lub zgodnie z wymogami obowiązującego prawa (np. turecka Ustawa o postępowaniu podatkowym oraz turecki Kodeks handlowy, które wymagają przechowywania dokumentacji księgowej i handlowej nawet do 10 lat).
| Harmonogram | Akcja |
|---|---|
| Na żądanie usunięcia konta | Aktywne dane klienta są usuwane lub anonimizowane w ciągu 30 dni |
| Do 10 lat | Dokumentacja płatności i rozliczeń jest przechowywana tam, gdzie wymagają tego przepisy podatkowe i handlowe |
| Przy rozwiązaniu umowy | Dane osobowe są zwracane lub usuwane w ciągu 30 dni, chyba że zastosowanie mają obowiązki prawne dotyczące retencji |
7. Przepisy CCPA
Zgodnie z CCPA działamy jako "Usługodawca" i:
- Przetwarzamy dane tylko w określonych celach biznesowych
- Nie sprzedajemy informacji osobowych
- Wspieramy w żądaniach praw konsumentów
- Wdrażamy rozsądne środki bezpieczeństwa
8. Powiadamianie o naruszeniu danych
W przypadku naruszenia ochrony danych osobowych zobowiązujemy się do następujących działań:
Harmonogram powiadamiania
- Powiadomienie w ciągu 72 godzin od wykrycia naruszenia
- Przedstawienie wstępnej oceny zakresu i wpływu naruszenia
- Dostarczenie szczegółowego pisemnego powiadomienia w ciągu 5 dni roboczych
Treść powiadomienia
- Charakter naruszenia, w tym kategorie i przybliżona liczba osób, których dane dotyczą
- Dane kontaktowe ds. prywatności w celu uzyskania dodatkowych informacji
- Opis prawdopodobnych konsekwencji naruszenia
- Środki podjęte lub zaproponowane w celu rozwiązania naruszenia
- Środki łagodzące możliwe negatywne skutki
Będziemy w pełni współpracować z Twoim dochodzeniem i wszelkimi zapytaniami organów regulacyjnych oraz pomagać w powiadomieniach o naruszeniu organów nadzorczych i dotkniętych osób zgodnie z obowiązującym prawem.
9. Międzynarodowe transfery danych
Gdy dane osobowe są przekazywane poza Europejski Obszar Gospodarczy (EOG), zapewniamy odpowiednie zabezpieczenia:
Mechanizmy transferu
Decyzje o adekwatności UE
Transfery do krajów uznanych za adekwatne przez Komisję Europejską
Ramy Ochrony Prywatności UE-USA
Dla procesorów z USA certyfikowanych w ramach DPF
Standardowe Klauzule Umowne (SCC)
Klauzule zatwierdzone przez Komisję UE (wersja 2021) dla innych transferów
Przeprowadzamy oceny wpływu transferu tam, gdzie jest to wymagane, i wdrażamy dodatkowe środki (techniczne, organizacyjne i umowne) w razie potrzeby, aby zapewnić zasadniczo równoważny poziom ochrony.
Na żądanie możesz otrzymać kopie odpowiednich mechanizmów transferu.
10. Odpowiedzialność i odszkodowania
Odpowiedzialność procesora
ClientFlow ponosi odpowiedzialność za szkody spowodowane przetwarzaniem niezgodnym z niniejszą UPD lub gdy działaliśmy poza lub wbrew prawnym instrukcjom Administratora.
Odpowiedzialność administratora
Administrator ponosi odpowiedzialność za szkody spowodowane przetwarzaniem naruszającym obowiązujące prawo ochrony danych lub niespełniającym obowiązków Administratora wynikających z niniejszej UPD.
Ograniczenia
- Żadna ze stron nie ponosi odpowiedzialności za szkody pośrednie, przypadkowe lub wynikowe
- Całkowita łączna odpowiedzialność w ramach niniejszej UPD jest ograniczona do opłat zapłaconych w ciągu 12 miesięcy poprzedzających roszczenie
- Ograniczenia te nie mają zastosowania do naruszeń poufności, umyślnego niewłaściwego postępowania lub rażącego zaniedbania
Każda ze stron zgadza się zabezpieczyć drugą stronę przed roszczeniami osób trzecich wynikającymi z naruszenia niniejszej UPD lub mających zastosowanie przepisów o ochronie danych przez stronę zabezpieczającą.
11. Rozwiązanie i zwrot danych
Czas trwania
Niniejsza UPD obowiązuje przez czas trwania Umowy o Świadczenie Usług oraz tak długo, jak przetwarzamy dane osobowe w Twoim imieniu.
Po rozwiązaniu
- Według Twojego wyboru zwrócimy lub usuniemy wszystkie dane osobowe w ciągu 30 dni
- Możesz zażądać eksportu danych w powszechnie używanym formacie czytelnym maszynowo
- Na żądanie potwierdzimy usunięcie danych
- Dane mogą być przechowywane, jeśli wymaga tego obowiązujące prawo
Sekcje dotyczące poufności, odpowiedzialności i praw do ochrony danych pozostają w mocy po rozwiązaniu niniejszej UPD.