Umowa o powierzeniu przetwarzania danych. Podpisana w kilka minut.

W naszej standardowej współpracy klient występuje jako administrator danych, a DPP Automate jako procesor. Kiedy angażujemy stronę trzecią do przetwarzania w naszym imieniu — na przykład naszego dostawcę uwierzytelniania lub hosta bazy danych — strona ta działa jako dalszy procesor. Umowa reguluje stosunek umowny między administratorem a procesorem i wiąże naszych dalszych procesorów równoważnymi obowiązkami poprzez umowy back-to-back. Umowa obejmuje wszystkie dane osobowe, które klient powierza nam za pośrednictwem platformy, API, kanałów wsparcia oraz każdego strukturalnego importu, który przyjmujemy w jego imieniu.

Umowa otwiera się ujawnieniami wymaganymi przez art. 28 ust. 3: przedmiot (obsługa platformy Cyfrowych Paszportów Produktów dla klienta), czas trwania (okres podstawowej umowy o świadczenie usług), charakter i cel przetwarzania (przechowywanie, odpytywanie i wydawanie danych produktowych i zgodnościowych), kategorie danych osobowych i osób, których dane dotyczą, oraz obowiązki i prawa administratora. To pięć pól, które każdy regulator i każdy dział zakupów sprawdza w pierwszej kolejności; trzymamy je na pierwszej stronie załącznika, a nie ukryte w schedule — łatwe do zweryfikowania przed podpisem.

Kategorie osób, których dane dotyczą, to zazwyczaj pracownicy klienta obsługujący platformę, dostawcy klienta odpowiadający na kwestionariusze deklaracji materiałowych oraz — tylko gdy obejmuje to regulacja w zakresie — osoby nazwane w dokumentacji zgodności. Kategorie danych osobowych ograniczają się do identyfikatorów konta, służbowych danych kontaktowych i metadanych operacyjnych potrzebnych do przypisywania działań w dzienniku audytu. Nie przetwarzamy szczególnych kategorii danych, danych o wyrokach skazujących ani danych dzieci. Wszystko poza tą listą wymaga pisemnej zmiany umowy przed pobraniem.

Umowa udziela ogólnej pisemnej zgody na korzystanie z dalszych procesorów i wymienia ich aktualną listę w załączniku aktualizowanym na żywo niżej na tej stronie. Informujemy klientów pisemnie co najmniej trzydzieści dni przed dodaniem lub zmianą dalszego procesora. Klient może w tym oknie zgłosić sprzeciw z uzasadnionych powodów ochrony danych — wówczas wycofujemy zmianę lub, jeśli jest niezbędna do obsługi usługi, przyznajemy prawo do rozwiązania bez kar dotkniętej części usług. Każdy dalszy procesor jest związany równoważnymi obowiązkami ochrony danych.

Naszą domyślną pozycją jest pełna rezydencja danych w UE. Dane osobowe klienta hostowane są we Frankfurcie z repliką w Amsterdamie; w normalnej eksploatacji nie opuszczają obszaru UE/EOG. Tam, gdzie dalszy procesor ma siedzibę poza UE — np. nasz dostawca uwierzytelniania z USA — transfer regulują unijne Standardowe Klauzule Umowne (decyzja wykonawcza 2021/914), Moduł 2, uzupełnione udokumentowaną Oceną Skutków Transferu. SCC są załączone do umowy — administrator dysponuje wiążącym tekstem w swojej kontrasygnowanej kopii.

Personel mający dostęp do danych osobowych klienta jest związany pisemnymi obowiązkami poufności, które trwają po zakończeniu zaangażowania. Środki techniczne i organizacyjne są udokumentowane w dedykowanym załączniku i zgodne z kontrolami zwalidowanymi w naszym dorocznym raporcie SOC 2 Type II oraz certyfikacji ISO 27001. Zestaw kontroli obejmuje zarządzanie dostępem z autoryzacją opartą na rolach i krótko żyjącymi tokenami, szyfrowanie w transporcie i w spoczynku, segmentację sieci, zarządzanie podatnościami, logowanie i monitoring oraz udokumentowany plan reakcji na incydenty. Załącznik jest aktualizowany przy każdej zmianie zestawu kontroli.

Osoby, których dane dotyczą, kierują swoje żądania do administratora, nie do nas. Jeśli żądanie trafi do nas omyłkowo, przekazujemy je dalej bez działania. Dostarczamy narzędzia i udokumentowane API pozwalające administratorowi zaspokoić prawa dostępu, sprostowania, usunięcia, ograniczenia, przenoszenia i sprzeciwu bez konieczności otwierania ręcznego zgłoszenia wsparcia. Gdy administrator mimo to potrzebuje pomocy człowieka — np. by zlokalizować artefakt w wielu środowiskach — odpowiadamy w terminie wskazanym przez administratora na piśmie, bez dodatkowego kosztu.

Powiadamiamy administratora o każdym naruszeniu ochrony danych osobowych dotyczącym jego danych bez zbędnej zwłoki, a w każdym razie w ciągu dwudziestu czterech godzin od powzięcia o nim wiadomości. Powiadomienie wstępne zawiera charakter naruszenia, kategorie i przybliżoną liczbę osób oraz rekordów, których ono dotyczy, prawdopodobne konsekwencje oraz podjęte lub proponowane środki. Gdy pełna informacja nie jest jeszcze dostępna, powiadomienie wstępne wskazuje pojedynczy punkt kontaktu i zobowiązuje się do kadencji aktualizacji. Nasz runbook reakcji na incydenty jest co kwartał przeglądany i ćwiczony oraz dostępny dla administratora na podstawie NDA.

Zgodność jest wykazywana w pierwszej kolejności poprzez nasze coroczne atestacje stron trzecich — SOC 2 Type II i ISO 27001 — udostępniane administratorowi na podstawie NDA. Tam, gdzie regulator administratora lub jego wewnętrzny SZBI wymagają audytu on-site lub zdalnego poza atestacjami, przyjmujemy jeden audyt w okresie dwunastu miesięcy bez dodatkowego kosztu, z rozsądnym pokryciem kosztów audytów dodatkowych. Audyty są koordynowane z rozsądnym wyprzedzeniem i prowadzone w sposób nieuwłaczający poufności innych klientów ani integralności środowiska produkcyjnego.

Po rozwiązaniu lub wygaśnięciu umowy o świadczenie usług zwracamy lub usuwamy wszystkie dane osobowe klienta w ciągu trzydziestu dni od pisemnego wniosku administratora. Administrator wybiera opcję. Po jej wykonaniu wystawiamy pisemny certyfikat usunięcia — wskazujący dane, środowiska i systemy, których dotyczy. Taśmy zapasowe i niezmienialne dzienniki audytu zachowywane są przez okres ustalony przez regulację w zakresie — typowo dziesięć lat dla ESPR — a następnie usuwane według tego samego udokumentowanego harmonogramu. Te obowiązki retencyjne trwają po rozwiązaniu umowy.