Niniejsza umowa jest włączona przez odniesienie (w stosownych przypadkach i z zastrzeżeniem wszelkich wyraźnych umów stanowiących inaczej) do umów o świadczenie usług, w których ASK4 Solutions Limited, ASK4 Business Limited lub ASK4 Data Centres Limited, zgodnie z umową lub zamówieniem na świadczenie usług, ("ASK4") działają jako Podmiot Przetwarzający.
Niniejsza umowa nie ma zastosowania w przypadku, gdy ASK4 Limited lub inne spółki z grupy ASK4 świadczą mieszkaniowe lub zarządzane usługi internetowe, działając jako administrator.
Definicje
"Administrator", "Podmiot Danych", "Dane Osobowe", "Podmiot Przetwarzający" i "Podprzetwarzający" mają znaczenie nadane im zgodnie z obowiązującymi przepisami dotyczącymi prywatności i ochrony danych;
"Klient" oznacza osobę, z którą ASK4 zawarła umowę o świadczenie Usług;
"Dane Osobowe Klienta" mają znaczenie nadane im w paragrafie 2.1 niniejszej umowy;
"Załącznik dotyczący Przetwarzania" oznacza załącznik do niniejszej umowy określający szczegóły Przetwarzania związanego ze świadczeniem Usług;
"Przepisy dotyczące prywatności i ochrony danych" oznaczają obowiązujące przepisy chroniące dane osobowe i prywatność osób fizycznych, w tym w szczególności brytyjskie RODO, ustawę o ochronie danych z 2018 r. oraz przepisy dotyczące prywatności i łączności elektronicznej (dyrektywa WE) z 2003 r. (SI 2426/2003) wraz z wszelkimi obowiązującymi wiążącymi wytycznymi i kodeksami postępowania wydawanymi od czasu do czasu przez odpowiednie organy nadzorcze;
"Incydent bezpieczeństwa" oznacza naruszenie bezpieczeństwa ASK4 prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmiany, nieuprawnionego ujawnienia lub dostępu do Danych osobowych Klienta;
"Usługi" oznaczają wsparcie IT, hosting, kolokację w centrum danych, usługi telekomunikacyjne lub inne usługi świadczone na rzecz Klienta przez ASK4;
"brytyjskie RODO" ma znaczenie nadane mu w sekcji 3(10) (uzupełnionej sekcją 205(4)) ustawy o ochronie danych z 2018 r.; oraz
"Nieudany Incydent Bezpieczeństwa" oznacza incydent, który nie skutkuje nieautoryzowanym dostępem do Danych Osobowych Klienta i może obejmować, bez ograniczeń, pingi i inne ataki rozgłoszeniowe na zapory sieciowe lub serwery brzegowe, skanowanie portów, nieudane próby logowania, ataki typu "odmowa usługi", podsłuchiwanie pakietów (lub inny nieautoryzowany dostęp do danych o ruchu, który nie skutkuje dostępem wykraczającym poza nagłówki) lub podobne incydenty.
1. Zakres i role
1.1 Niniejsza umowa ma zastosowanie wyłącznie w przypadku, gdy Dane Osobowe są przetwarzane w ramach świadczenia Usług przez Klienta ("Dane Osobowe Klienta").
1.2 ASK4 będzie działać jako Podmiot Przetwarzający lub Podprzetwarzający na rzecz Klienta, który może działać jako Administrator lub Podmiot Przetwarzający w odniesieniu do Danych Osobowych Klienta.
2. Przetwarzanie Danych
2.1 Niniejsza umowa i Załącznik dotyczący Przetwarzania stanowią pisemne Instrukcje Klienta dla ASK4 dotyczące Przetwarzania Danych Osobowych, które w celu uniknięcia wątpliwości będą ograniczone do Przetwarzania niezbędnego do świadczenia Usług ("Instrukcje Przetwarzania").
2.2 Klient nie będzie wydawał dodatkowych lub alternatywnych Instrukcji Przetwarzania w celu zmiany zakresu niniejszej umowy, chyba że uzgodniono inaczej z ASK4.
2.3 Klient gwarantuje, że: (a) Instrukcje Przetwarzania; (b) gromadzenie Danych Osobowych Klienta; oraz (c) z zastrzeżeniem zgodności ASK4 z niniejszą umową, Przetwarzanie Danych Osobowych Klienta jest zgodne z przepisami dotyczącymi prywatności i ochrony danych. Klient ponosi wyłączną odpowiedzialność za dostarczenie wszelkich rzetelnych informacji o Przetwarzaniu Danych Osobowych przez ASK4 swoim pracownikom lub innym odpowiednim Podmiotom Danych.
3. Poufność Danych Osobowych Klienta
3.1 ASK4 zachowa poufność Danych Osobowych Klienta i nie będzie uzyskiwać dostępu do Danych Osobowych Klienta, wykorzystywać ich ani ujawniać osobom trzecim, z wyjątkiem przypadków, gdy jest to konieczne do utrzymania lub świadczenia Usług lub gdy jest to konieczne do przestrzegania prawa lub ważnego i wiążącego nakazu organu ścigania, organu rządowego lub organu sądowego (takiego jak wezwanie do sądu lub nakaz sądowy). Jeżeli organ rządowy wyśle do ASK4 żądanie dotyczące Danych Osobowych Klienta, ASK4 podejmie próbę przekierowania organu rządowego, aby zażądał tych danych bezpośrednio od Klienta. W ramach tych działań ASK4 może przekazać organowi rządowemu podstawowe dane kontaktowe Klienta. W przypadku konieczności ujawnienia Danych Osobowych Klienta organowi rządowemu, ASK4 (o ile jest to prawnie dozwolone) powiadomi Klienta o żądaniu z odpowiednim wyprzedzeniem, aby umożliwić Klientowi ubieganie się o nakaz ochronny lub inny odpowiedni środek zaradczy.
4. Bezpieczeństwo przetwarzania danych
4.1 ASK4 zapewni wystarczające gwarancje, że wdrożyła wszelkie niezbędne lub odpowiednie środki techniczne i organizacyjne w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka.
4.2 Strony przyjmują do wiadomości i zgadzają się, że Klient jest zobowiązany do współpracy ze środkami bezpieczeństwa ASK4 i nie będzie omijać ani nie stosować się do żadnych procesów bezpieczeństwa ASK4.
4..3 Ponieważ ASK4 nie posiada wiedzy lub posiada ograniczoną wiedzę na temat Danych Osobowych Klienta, Klient ponosi wyłączną odpowiedzialność za: (a) pseudonimizację i szyfrowanie w celu zapewnienia odpowiedniego poziomu bezpieczeństwa; (b) środki zapewniające bieżącą poufność, integralność, dostępność i odporność systemów przetwarzania i usług, które są obsługiwane przez Klienta; (c) środki umożliwiające Klientowi odpowiednie tworzenie kopii zapasowych i archiwizację w celu przywrócenia dostępności i dostępu do Danych Osobowych Klienta w odpowiednim czasie w przypadku incydentu fizycznego lub technicznego; oraz (d) procesy regularnego testowania, oceny i ewaluacji skuteczności środków technicznych i organizacyjnych wdrożonych przez Klienta (przy czym ASK4 zapewni regularne testowanie skuteczności swoich środków bezpieczeństwa).
5. Podprzetwarzanie
5.1 Klient zgadza się, że ASK4 może korzystać z Podmiotów Przetwarzających wymienionych w Załączniku dotyczącym Przetwarzania w celu wypełnienia swoich zobowiązań umownych w zakresie świadczenia Usług.
5.2 Jeżeli ASK4 zaangażuje jakikolwiek nowy Podmiot Przetwarzający do wykonywania czynności przetwarzania Danych Osobowych Klienta w imieniu Klienta, ASK4 powiadomi lub zapewni Klientowi mechanizm uzyskania powiadomienia o takiej aktualizacji. Jeśli Klient sprzeciwi się nowemu Podprzetwarzającemu w ciągu 14 dni od powiadomienia przez ASK4, wówczas Klient i ASK4 omówią w dobrej wierze sposób rozwiązania obaw Klienta, pod warunkiem, że jeśli Klient ma uzasadnione podstawy do sprzeciwu, które nie mogą zostać uwzględnione przez ASK4 w rozsądnym terminie od daty sprzeciwu, może rozwiązać umowę o świadczenie Usług za 14-dniowym pisemnym wypowiedzeniem skierowanym do ASK4. Z wyjątkiem przypadków określonych w niniejszej umowie, w nagłych wypadkach lub gdy Klient może w inny sposób wyrazić zgodę, ASK4 nie zezwoli żadnemu Podprzetwarzającemu na wykonywanie czynności przetwarzania Danych Osobowych Klienta w imieniu Klienta.
5.3 ASK4 ograniczy dostęp wszystkich Podprzetwarzających do Danych Osobowych Klienta w zakresie niezbędnym do utrzymania Usług lub świadczenia Usług na rzecz Klienta, a ASK4 zabroni Podprzetwarzającym dostępu do Danych Osobowych Klienta w jakimkolwiek innym celu.
5.4 ASK4 zawrze pisemną umowę z Podprzetwarzającym i w zakresie, w jakim Podprzetwarzający wykonuje te same usługi przetwarzania danych, które są świadczone przez ASK4 na mocy niniejszej umowy, ASK4 nałoży na Podprzetwarzającego równoważne zobowiązania umowne, jakie ASK4 posiada na mocy niniejszej umowy, a ASK4 pozostanie odpowiedzialna za przestrzeganie zobowiązań wynikających z niniejszej umowy oraz za wszelkie działania lub zaniechania Podprzetwarzających, które powodują naruszenie przez ASK4 któregokolwiek ze zobowiązań ASK4 wynikających z niniejszej umowy.
6. Prawa Podmiotów Danych
6.1 Biorąc pod uwagę charakter Usług, ASK4 zaleca, aby Klient wdrożył własne procesy w celu zapewnienia, że będzie w stanie wywiązać się ze swoich zobowiązań wobec Podmiotów Danych. ASK4 na pisemny wniosek pomoże Klientowi w wypełnianiu jego obowiązków wobec Podmiotów Danych, biorąc pod uwagę charakter przetwarzania i informacje dostępne ASK4, z zastrzeżeniem, że zobowiązania ASK wobec Klienta w odniesieniu do wszelkich wniosków o dostęp do danych będą ograniczone do minimalnego zakresu wymaganego na mocy przepisów o ochronie prywatności i danych, a cała odpowiedzialność za wnioski o dostęp do danych spoczywa na Kliencie.
6.2 Jeżeli Podmiot Danych skontaktuje się z ASK4 w sprawie poprawienia lub usunięcia swoich Danych Osobowych, ASK4 dołoży uzasadnionych handlowo starań, aby przekazać takie wnioski Klientowi.
7. Powiadomienie o Naruszeniu Bezpieczeństwa
7.1 ASK4: (a) powiadomi Klienta o Przypadku Naruszenia Bezpieczeństwa bez zbędnej zwłoki po powzięciu wiadomości o Przypadku Naruszenia Bezpieczeństwa; oraz (b) podejmie uzasadnione kroki w celu złagodzenia skutków i zminimalizowania wszelkich szkód wynikających z Przypadku Naruszenia Bezpieczeństwa.
7..2 Klient zgadza się, że Niepomyślne Incydenty Bezpieczeństwa nie będą podlegać postanowieniom niniejszego paragrafu 8.
7.3 Zobowiązanie ASK4 do zgłoszenia lub zareagowania na Incydenty Bezpieczeństwa zgodnie z niniejszym paragrafem 8 nie jest i nie będzie interpretowane jako uznanie przez ASK4 jakiejkolwiek winy lub odpowiedzialności ASK4 w odniesieniu do Incydentu Bezpieczeństwa.
7.4 Aby pomóc Klientowi w związku z wszelkimi powiadomieniami o naruszeniu Danych Osobowych, które Klient jest zobowiązany złożyć zgodnie z obowiązującymi przepisami dotyczącymi prywatności i ochrony danych, ASK4 zawrze w powiadomieniu, o którym mowa w ust. 1, takie informacje o Incydencie Bezpieczeństwa, jakie ASK4 może w uzasadniony sposób ujawnić Klientowi, biorąc pod uwagę charakter Usług, informacje dostępne ASK4 oraz wszelkie ograniczenia dotyczące ujawniania informacji, takie jak poufność.
8. Certyfikaty i audyty ASK4
8.1 ASK4 udostępni swój certyfikat ISO 27001 na żądanie.
8.2 ASK4 korzysta z zewnętrznych audytorów w celu weryfikacji adekwatności swoich środków bezpieczeństwa. Audyt ten: (a) będzie przeprowadzany co najmniej raz w roku; (b) będzie przeprowadzany zgodnie z normami ISO 27001 lub innymi alternatywnymi normami, które są zasadniczo równoważne normie ISO 27001; (c) będzie przeprowadzany przez niezależnych zewnętrznych specjalistów ds. bezpieczeństwa wybranych i opłaconych przez ASK4; oraz (d) będzie skutkował wygenerowaniem raportu z audytu ("Raport"), który będzie stanowił poufną informację ASK4.
8.3 Na pisemny wniosek Klienta, ASK4 (pod warunkiem, że strony zawarły stosowną umowę o zachowaniu poufności) według własnego uznania: (a) dostarczy Klientowi kopię Raportu, aby Klient mógł w uzasadniony sposób zweryfikować przestrzeganie przez ASK4 zobowiązań wynikających z niniejszej umowy; lub (b) z odpowiednim wyprzedzeniem i nie częściej niż raz w okresie 12 miesięcy umożliwi Klientowi przeprowadzenie audytu nadzorowanego w godzinach.
9. Ocena Wpływu na Prywatność i Wcześniejsze Konsultacje
9.1 Biorąc pod uwagę charakter Usług i informacje dostępne dla ASK4, ASK4 zapewni Klientowi uzasadnioną pomoc, gdy będzie to konieczne, aby Klient wypełnił wszelkie obowiązki w zakresie oceny wpływu na ochronę danych i wcześniejszych konsultacji wymaganych zgodnie z obowiązującymi przepisami dotyczącymi prywatności i ochrony danych.
10. Przekazywanie danych
10.1 Wszelkie przekazywanie danych poza Wielką Brytanię będzie odbywać się zgodnie z brytyjskim RODO w taki sposób, że ASK4 zapewni, że kraj, do którego dane są przekazywane, zapewnia odpowiedni poziom ochrony lub ASK4 zastosuje standardowe klauzule umowne w celu zapewnienia odpowiedniego poziomu ochrony.
11. Zwrot lub usunięcie Danych Osobowych Klienta
11.1 Usługi zasadniczo: (a) zapewniają Klientowi kontrolę, której Klient może użyć do odzyskania lub usunięcia Danych Osobowych Klienta; lub (b) umożliwiają Klientowi zachowanie kontroli nad dostępem do Danych Osobowych Klienta i ich usuwaniem. Na pisemny wniosek ASK4 dołoży uzasadnionych handlowo starań, aby pomóc Klientowi w odzyskaniu lub usunięciu Danych Osobowych Klienta.
11.2 ASK4 zaprzestanie przetwarzania Danych Osobowych Klienta natychmiast po zakończeniu lub wygaśnięciu świadczenia Usług i (chyba że ASK4 ma uzasadniony interes w zatrzymaniu Danych Osobowych Klienta lub jest prawnie zobowiązana do zatrzymania Danych Osobowych Klienta) według wyboru Klienta zwróci lub bezpiecznie usunie Dane Osobowe Klienta.
DODATEK DO PRZETWARZANIA
Przedmiot umowy: Przedmiotem przetwarzania danych w ramach niniejszej umowy są Dane Osobowe Klienta.
Czas trwania przetwarzania: W stosunkach między ASK4 a Klientem okresem przetwarzania danych jest okres świadczenia Usług.
Cel: Celem Przetwarzania jest świadczenie Usług inicjowanych okresowo przez Klienta. Obowiązkiem Klienta jest informowanie ASK4 o wszelkich innych celach Przetwarzania oraz o wszelkich zmianach tego charakteru lub celu.
Charakter przetwarzania: Obliczenia, pamięć masowa, wsparcie IT i takie inne Usługi opisane w zamówieniu Klienta lub inicjowane przez Klienta od czasu do czasu.
Rodzaj Danych Osobowych Klienta: Imię i nazwisko pracownika, dane kontaktowe, rola (w tym uprawnienia) i informacje techniczne (takie jak informacje o zapytaniach dotyczących pomocy technicznej, które mogą, ale nie muszą być danymi osobowymi) związane ze świadczoną Usługą. Dane Osobowe Klienta przesłane do Usług w przypadku świadczenia Usług hostingu lub przechowywania. W przypadku świadczenia takich Usług obowiązkiem Klienta jest poinformowanie ASK4 o rodzajach Danych Osobowych Klienta, które mają być przetwarzane, oraz o wszelkich zmianach tych rodzajów danych.
Kategorie podmiotów danych: Podmiotami Danych mogą być klienci, pracownicy, dostawcy i użytkownicy końcowi Klienta. Obowiązkiem Klienta jest poinformowanie ASK4 o wszelkich innych kategoriach Podmiotów Danych, których dotyczą Dane Osobowe Klienta, oraz o wszelkich zmianach tych kategorii.
Podprocesory:
- DRD Communications Ltd (jako nabywca Inclarity Communications Limited (z siedzibą w Wielkiej Brytanii) - gdzie świadczone są usługi VoiP
- Gamma Telecomm Limited (z siedzibą w Wielkiej Brytanii) - gdzie świadczone są usługi VoiP
- Hurtowy dostawca usług telekomunikacyjnych - w przypadku świadczenia usług dzierżawy łączy (dane te zostaną podane w zamówieniu lub na żądanie)
- Formagrid, Inc. dostarcza Airtable - którego używamy jako oprogramowania do obsługi procesów biznesowych
- Aspire Community Enterprise (Sheffield) Ltd - za bezpieczne niszczenie sprzętu elektrycznego
- Utopi Limited - gdzie zapewniamy inteligentne pomiary i powiązane raportowanie ESG za pośrednictwem platformy i sprzętu Utopi.
UWAGA: ASK4 może odsprzedawać oprogramowanie dostarczane przez osoby trzecie w ramach usług (na przykład produkty Microsoft). Do przetwarzania danych osobowych zastosowanie ma odpowiednia umowa EULA/Umowa z Klientem (oraz wszelkie załączniki dotyczące przetwarzania danych lub podobne postanowienia w niej zawarte) między Klientem a Dostawcą, a nie niniejsza umowa.