Przejdź do głównej treści

UMOWA POWIERZENIA PRZETWARZANIA DANYCH

Niniejsza umowa powierzenia przetwarzania danych (zwana dalej „Umową”), zgodnie z art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, dalej: „RODO”) stanowi podstawę prawną powierzenia przetwarzania danych osobowych i zostaje zawarta pomiędzy:

Administratorem danych osobowych (zwanym dalej „Administratorem” lub „Klientem”) jest Strona, zawierająca umowę o świadczenie usługi Vasco Audience oraz niniejszą Umowę, a Podmiotem Przetwarzającym (zwanym dalej „Procesorem” lub “Podmiotem Przetwarzającym”) jest Vasco Electronics S.A. z siedzibą w Krakowie, al. 29 Listopada 20, 31-401 Kraków, Polska.

Umowa zostaje zawarta z chwilą elektronicznej akceptacji przez Klienta. Osoba dokonująca akceptacji, działająca jako pracownik, pełnomocnik, konsultant lub inny agent Klienta, oświadcza i gwarantuje, że posiada pełne i wiążące uprawnienia do działania w imieniu Klienta oraz do zawarcia Umowy.

PREAMBUŁA

Umowa jest zawarta w związku ze świadczeniem przez Podmiot Przetwarzający na rzecz Administratora usługi Vasco Audience (dalej: Umowa Główna).

W związku z realizacją Umowy Głównej Podmiot Przetwarzający będzie przetwarzał w imieniu Administratora dane osobowe, co zgodnie z przepisem art. 28 ust. 3 RODO wymaga zawarcia niniejszej Umowy.

  1. DEFINICJE

    W Umowie, o ile wyraźnie nie zaznaczono inaczej, poniższe terminy mają następujące znaczenie:

    1. Przepisy dotyczące ochrony danych – wszelkie obowiązujące przepisy i regulacje dotyczące prywatności i ochrony danych; w tym w szczególności RODO oraz wszelkie krajowe przepisy dotyczące ochrony danych.
    2. Administrator, Procesor, Podmiot przetwarzający, Dane osobowe, Przetwarzanie, Naruszenie danych osobowych, Dane osobowe szczególnej kategorii mają znaczenie nadane w RODO.
    3. Użytkownik – klienci oraz ich reprezentacji, oraz użytkownicy końcowi Administratora, których dane są powierzane Podmiotowi Przetwarzającemu w ramach świadczenia usługi Vasco Audience.
    4. RODO - Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
  2. ZAKRES UMOWY I INSTRUKCJE PRZETWARZANIA
    1. Podmiot przetwarzający będzie przetwarzał powierzone mu Dane Osobowe na podstawie Umowy, zgodnie z zakresem przetwarzania stanowiącym załącznik nr 1 do Umowy.
    2. Dane osobowe powierzone przez Administratora danych będą przetwarzane przez Podmiot przetwarzający wyłącznie w celu realizacji Umowy Głównej.
  3. OBOWIĄZKI PODMIOTU PRZETWARZAJĄCEGO
    1. Podmiot przetwarzający zobowiązuje się przetwarzać Dane Osobowe Użytkownika wyłącznie w celu prawidłowej realizacji usługi Vasco Audience zgodnie z zakresem i udokumentowanymi instrukcjami Administratora oraz szczegółowym opisem w Załączniku nr 1 do Umowy.
    2. Podmiot przetwarzający zobowiązuje się dołożyć należytej staranności przy przetwarzaniu powierzonych Danych Osobowych.
    3. Podmiot przetwarzający zobowiązuje się do zabezpieczenia przetwarzanych Danych Osobowych poprzez stosowanie odpowiednich środków technicznych i organizacyjnych, zapewniających zgodność z RODO, w tym w szczególności adekwatny stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób, których dane dotyczą. Wykaz środków technicznych i organizacyjnych stosowanych przez Podmiot przetwarzający stanowi załącznik nr 3 do Umowy.
    4. Podmiot przetwarzający zobowiązuje się do nadania upoważnień do przetwarzania danych osobowych wszystkim osobom, które będą uczestniczyły w procesie przetwarzania powierzonych danych osobowych. Jednocześnie Podmiot przetwarzający oświadcza, że w procesie przetwarzania danych uczestniczyć będą wyłącznie osoby niezbędne do realizacji usług określonych w Umowie głównej oraz posiadające odpowiednie przeszkolenie z zakresu ochrony danych osobowych.
    5. Podmiot przetwarzający oświadcza, że upoważnione przez niego osoby do przetwarzania danych osobowych są zobowiązane do zachowania tajemnicy lub będą podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy, o której mowa w art. 28 ust. 3 pkt b) RODO, zarówno w okresie zatrudnienia ich w Podmiocie przetwarzającym, jak i po jego ustaniu. Podmiot przetwarzający zapewnia ponadto, że osoby, o których mowa w niniejszym ustępie będą przetwarzały dane osobowe zgodnie z zasadą wiedzy koniecznej.
    6. Po zakończeniu świadczenia usług związanych z przetwarzaniem, Podmiot przetwarzający niezwłocznie usuwa lub zwraca Administratorowi wszelkie dane osobowe oraz usuwa wszelkie istniejące kopie danych, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych.
    7. Podmiot Przetwarzający zobowiązany jest do udokumentowanego poinformowania Administratora o wątpliwości co do zgodności z prawem wydanych poleceń lub instrukcji, pod rygorem utraty możliwości dochodzenia roszczeń przeciwko Administratorowi.
    8. W miarę możliwości Podmiot przetwarzający pomaga Administratorowi wywiązywać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą oraz wywiązywania się z obowiązków określonych w art. 32-36 RODO. W razie wpływu do Podmiotu przetwarzającego żądania w zakresie realizacji praw osób, których dotyczą powierzone dane, Podmiot przetwarzający niezwłocznie informuje o tym Administratora. Udzielając informacji, Podmiot przetwarzający przekazuje Administratorowi dane nadawcy i treść żądania oraz określa, w jakim zakresie jest w stanie przyczynić się do realizacji żądania.
    9. W przypadku stwierdzenia naruszenia ochrony danych osobowych Podmiot Przetwarzający zobowiązany jest zgłosić ten fakt Administratorowi bez zbędnej zwłoki, nie później jednak niż w terminie 48h od stwierdzenia naruszenia. Naruszenie należy zgłosić Administratorowi w formie elektronicznej, na adres mailowy: gdpr@vasco-electronics.com.
  4. OBOWIĄZKI ADMINISTRATORA
    1. Korzystanie z Usługi w sposób zgodny z prawem, w tym z postanowieniami RODO oraz innymi mającymi zastosowanie przepisami prawa dotyczącymi ochrony prywatności i danych osobowych.
    2. Administrator zobowiązany jest zweryfikować, czy charakter usługi Vasco Audience, jej funkcjonalności oraz zobowiązania Podmiotu Przetwarzającego wynikające z Umowy, spełniają jego potrzeby, w szczególności w zakresie konieczności zastosowania dodatkowych środków bezpieczeństwa w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka związanego z przetwarzanymi Danymi Osobowymi.
    3. Bez uszczerbku dla zobowiązań Podmiotu Przetwarzającego określonych w Sekcji III Umowy w zakresie dotyczącym zastosowania środków technicznych i organizacyjnych Administrator ponosi wyłączną odpowiedzialność za:
      1. zabezpieczenie wszelkich danych uwierzytelniających konta, haseł, kluczy dostępu i innych mechanizmów autoryzacyjnych używanych do uzyskania dostępu do usługi Vasco Audience;
      2. zabezpieczenie systemów, urządzeń końcowych i sieci używanych przez Administratora oraz jego Użytkowników do uzyskania dostępu do usługi Vasco Audience;
      3. tworzenie i utrzymywanie, o ile jest to wymagane specyfiką prowadzonej działalności lub wewnętrznymi politykami Klienta, kopii zapasowych Danych Klienta poza usługą Vasco Audience.
  5. DALSZE POWIERZENIE DANYCH
    1. Podmiot przetwarzający może powierzyć dane osobowe objęte Umową do dalszego przetwarzania swoim podwykonawcom jedynie po uzyskaniu uprzedniej zgody Administratora danych. Załącznik nr 2 stanowi listę dalszych podmiotów przetwarzających zgłoszonych przez Podmiot Przetwarzający i zaakceptowanych przez Administratora.
    2. Powierzenie przetwarzania danych osobowych dalszym podmiotom przetwarzającym, którzy nie zostali określeni w załączniku nr 2 do Umowy wymaga uprzedniego zgłoszenia Administratorowi w celu umożliwienia mu skutecznego wyrażenia sprzeciwu. W przypadku zgłoszenia sprzeciwu przez Administratora, Podmiot Przetwarzający nie ma prawa dokonać dalszego powierzenia przetwarzania danych podmiotowi przetwarzającemu.
    3. Podmiot przetwarzający poinformuje Administratora o zamiarze zaangażowania nowego podwykonawcy lub zastąpienia istniejącego z co najmniej 14-dniowym wyprzedzeniem. Administrator może sprzeciwić się tej zmianie w ciągu 14 dni od otrzymania powiadomienia, przy czym zgłoszony sprzeciw musi być należycie uzasadniony i oparty na racjonalnych podstawach związanych z zagrożeniem dla ochrony przetwarzanych danych osobowych, niezgodnością z RODO lub brakiem odpowiednich gwarancji ze strony proponowanego dalszego podmiotu przetwarzającego. W przypadku braku należytego uzasadnienia sprzeciwu Podmiot Przetwarzający ma prawo do wezwania Administratora do uzupełnienia sprzeciwu. Po przyjęciu sprzeciwu przez Podmiot Przetwarzający, każda ze Stron ma prawo rozwiązać Umowę ze skutkiem natychmiastowym.
    4. Przekazanie powierzonych danych do państwa trzeciego może nastąpić jedynie na udokumentowane polecenie Administratora danych, chyba że obowiązek taki nakłada na Podmiot przetwarzający prawo Unii lub prawo państwa członkowskiego, któremu podlega Podmiot przetwarzający. W takim przypadku przed rozpoczęciem przetwarzania Podmiot przetwarzający informuje Administratora danych o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.
    5. Podmiot Przetwarzający zobowiązuje się, że przekazanie Danych Osobowych poza Europejski Obszar Gospodarczy (EOG) nastąpi wyłącznie, jeżeli Podmiot przyjmujący Dane zapewni odpowiedni poziom ochrony, który jest zgodny z RODO, a transfer opiera się na jednym z mechanizmów zabezpieczających wskazanych w Rozdziale V RODO, w szczególności: decyzji Komisji Europejskiej stwierdzającej odpowiedni poziom ochrony (art. 45 RODO), Standardowych Klauzulach Umownych (SCC) lub innych odpowiednich zabezpieczeniach.
    6. Dalsi podwykonawcy, o których mowa w ust. 1 powyżej, powinni spełniać te same gwarancje i obowiązki, jakie zostały nałożone na Podmiot przetwarzający w Umowie.
    7. Podmiot przetwarzający ponosi odpowiedzialność wobec Administratora za niewywiązanie się ze spoczywających na podwykonawcy obowiązków wynikających z Umowy.
  6. PRAWO DO AUDYTU I ZWROT DANYCH
    1. Administrator ma prawo przeprowadzać audyty i inspekcje w celu sprawdzenia zgodności przetwarzania Danych przez Podmiot Przetwarzający zgodnie z wymogami niniejszej Umowy.
    2. Audyt, o którym mowa w ust. 1 powyżej, może nastąpić wyłącznie po powiadomieniu Podmiotu Przetwarzającego o zamiarze jego przeprowadzenia z co najmniej 14-dniowym wyprzedzeniem.
    3. Po otrzymaniu wniosku Administratora o skorzystaniu z prawa audytu Strony uzgodnią termin rozpoczęcia audytu, czas jego trwania, zakres oraz środki kontroli bezpieczeństwa i poufności mające zastosowanie podczas audytu. Podmiot Przetwarzający ma prawo zaproponować Administratorowi realizację audytu w formie pisemnej zamiast audytu stacjonarnego w siedzibie Podmiotu Przetwarzającego, o ile przedłożony materiał jest wystarczający do weryfikacji zgodności przetwarzania.
    4. Administrator, realizując prawo kontroli w siedzibie Podmiotu Przetwarzającego, zobowiązuje się przeprowadzać audyt wyłącznie w standardowych godzinach pracy Podmiotu Przetwarzającego oraz w sposób, który minimalizuje zakłócenia jego bieżącej, codziennej działalności.
    5. Przed rozpoczęciem audytu w siedzibie Podmiotu Przetwarzającego, Administrator zobowiązany jest zapewnić, że osoby upoważnione do przeprowadzenia audytu podpiszą zobowiązanie do zachowania poufności i przedstawią Podmiotowi Przetwarzającemu dokumenty poświadczające ich upoważnienie. Podmiot Przetwarzający ma prawo odmówić dostępu do swoich systemów osobom, które nie spełnią tych wymogów lub naruszają wewnętrzne zasady bezpieczeństwa Podmiotu Przetwarzającego.
    6. Administrator zgadza się nie korzystać z prawa do audytu częściej niż raz na dwanaście (12) miesięcy kalendarzowych, z wyjątkiem sytuacji, gdy audyt jest wymagany przez właściwy organ ochrony danych lub jest niezbędny ze względu na udowodnione Naruszenie Danych.
    7. Podmiot Przetwarzający może zaproponować Administratorowi akceptację raportu z audytu zewnętrznego zamiast fizycznej inspekcji, o ile raport ten dotyczy systemów wykorzystywanych do usługi Vasco Audience.
  7. PRAWO KONTROLI
    1. Na wniosek Administratora Podmiot przetwarzający udostępnia wszelkie informacje niezbędne do realizacji lub wykazania spełnienia obowiązków wynikających z Rozporządzenia.
    2. Informacji, o których mowa w ust. 1, udziela się w terminie 30 dni roboczych, z zastrzeżeniem terminowej realizacji zadań wynikających z Rozporządzenia od dnia doręczenia wniosku, z zastrzeżeniem ust. 3 poniżej.
    3. Jeżeli wniosek, o którym mowa w ust. 1, dotyczy realizacji obowiązku zgłoszenia naruszenia ochrony danych osobowych lub usunięcia jego skutków, Podmiot przetwarzający udziela informacji w najbliższym możliwym terminie, nie później niż w ciągu 48 godzin od doręczenia wniosku.
  8. ODPOWIEDZIALNOŚĆ PODMIOTU PRZETWARZAJĄCEGO
    1. Podmiot Przetwarzający ponosi odpowiedzialność wyłącznie za szkodę wyrządzoną w wyniku przetwarzania, gdy nie dopełnił obowiązków, które RODO lub Umowa nakładają bezpośrednio na Podmiot Przetwarzający, albo gdy działał poza zgodnymi z prawem instrukcjami Administratora Danych lub wbrew tym instrukcjom.
    2. Podmiot Przetwarzający nie ponosi odpowiedzialności w szczególności za:
      1. nieprawidłowości wynikające z instrukcji Administratora;
      2. błędy w konfiguracji usługi Vasco Audience dokonanej przez Administratora;
      3. naruszenia spowodowane przez osoby trzecie, gdy Podmiot Przetwarzający nie dopełnił należytej staranności w zakresie określonym w Umowie.
    3. Podmiot Przetwarzający zobowiązuje się do niezwłocznego poinformowania Administratora Danych o postępowaniu, decyzji administracyjnej, orzeczeniu sądowym, kontroli lub inspekcji, o ile jest to prawnie dozwolone oraz ma to bezpośredni i istotny wpływ na przetwarzanie Danych Osobowych powierzonych na mocy niniejszej Umowy, lub na środki ochrony tych danych w systemach Podmiotu Przetwarzającego.
    4. Obowiązek informacyjny, o którym mowa w ust. 3 powyżej nie obejmuje postępowań i kontroli, które dotyczą wyłącznie wewnętrznych procesów Podmiotu Przetwarzającego, jego pracowników, lub innych klientów, jeżeli nie prowadzą one do bezpośredniego ryzyka naruszenia bezpieczeństwa lub poufności przetwarzanych w imieniu Klienta Danych Osobowych.
  9. CZAS OBOWIĄZYWANIA UMOWY

    Umowa obowiązuje od dnia jej zawarcia przez czas trwania Umowy Głównej, a także przez czas niezbędny do zakończenia przetwarzania Danych Osobowych powierzonych Podmiotowi Przetwarzającemu zgodnie z Umową, w tym ich usunięcia lub zwrotu Administratorowi.

  10. POSTANOWIENIA KOŃCOWE
    1. Strony potwierdzają, że Umowa stanowi integralną część Umowy Głównej oraz Regulaminu Świadczenia Usługi Vasco Audience. W przypadku jakiejkolwiek sprzeczności pomiędzy postanowieniami Umowy a Umową Główną lub Regulaminem w zakresie praw i obowiązków dotyczących ochrony danych osobowych, postanowienia Umowy mają pierwszeństwo.
    2. Wszelkie kwestie dotyczące ważności, wykładni i wykonania Umowy, w tym spory z niej wynikające, podlegają prawu polskiemu.
    3. Wszelkie spory, kontrowersje lub roszczenia wynikające z Umowy lub w związku z nią, w tym dotyczące jej ważności, naruszenia, rozwiązania lub nieważności, Strony będą próbowały w pierwszej kolejności rozstrzygnąć polubownie.
    4. Sądem właściwym dla rozpatrzenia sporów wynikających z Umowy będzie sąd właściwy dla Podmiotu Przetwarzającego.
    5. Podmiot Przetwarzający zastrzega sobie możliwość zmiany Umowy w trybie przewidzianym dla zmian Umowy Głównej. Podmiot Przetwarzający zobowiązuje się do poinformowania Administratora o wszelkich istotnych zmianach Umowy z odpowiednim wyprzedzeniem wynoszącym co najmniej 14 dni przed ich wejściem w życie.
    6. W przypadku braku akceptacji nowych warunków Umowy, Klient ma prawo wypowiedzieć Umowę w trybie natychmiastowym. W tym celu, nie później niż w terminie 14 dni od daty wejścia w życie zmian w Umowie, Klient musi:
      1. usunąć Konto;
      2. powiadomić Vasco mailowo na adres support@vasco-electronics.com o wypowiedzeniu Umowy w związku z brakiem akceptacji zmian Umowy.
    7. Brak wypowiedzenia terminie określonym w ust. 6 powyżej oznacza akceptację nowych postanowień Umowy.
    8. Jeżeli którekolwiek postanowienie Umowy zostanie uznane przez sąd właściwy za nieważne, niezgodne z prawem lub niewykonalne, nie będzie to miało wpływu na ważność, legalność i wykonalność pozostałych postanowień Umowy. W takim przypadku Strony zobowiązują się do niezwłocznego zastąpienia nieważnego, niezgodnego z prawem lub niewykonalnego postanowienia nowym postanowieniem, którego treść i cel będą jak najbliższe pierwotnemu zamiarowi gospodarczemu Stron.

ZAŁĄCZNIK NR 1

OPIS SPOSOBU PRZETWARZANIA DANYCH OSOBOWYCH

Przedmiot i charakter przetwarzania

Przedmiotem przetwarzania są treści wypowiedzi oraz ich tłumaczenia, głos oraz dane identyfikacyjne Użytkowników organizowanych przez Klienta wydarzeń. Charakter przetwarzania jest zautomatyzowany i polega na obsłudze procesu tłumaczenia maszynowego w czasie zbliżonym do rzeczywistego.

Przetwarzanie obejmuje czynności takie jak: zbieranie, utrwalanie, porządkowanie, przechowywanie, weryfikowanie, przesyłanie oraz usuwanie danych na polecenie Administratora.

Cel przetwarzania

Realizacja Umowy Głównej tj. świadczenie na rzecz Klienta usługi automatycznego tłumaczenia wypowiedzi w formacie jeden-do-wielu lub kilku-do-wielu za pośrednictwem aplikacji Vasco Audience. Umożliwienie Klientowi zarządzania dostępem i listą uczestników wydarzenia oraz umożliwienie uczestnikom zadawania pytań w formie tekstowej oraz otrzymywanie tłumaczenia.

Czas trwania przetwarzania

Przetwarzanie trwa przez czas obowiązywania Umowy Głównej. Dane treści publikowane przez Użytkownika są przechowywane do momentu zamknięcia wydarzenia, wyczyszczenia historii lub do usunięcia Konta przez Klienta.

Rodzaj (kategorie) Danych Osobowych

Dane związane w wypowiedziami:

  1. głos mówcy;
  2. treści opublikowane przez mówcę, w tym transkrypcje i ich tłumaczenia;
  3. treść pytań wraz z ich tłumaczeniami zadawane przez uczestników w formie tekstowej.

Dane identyfikacyjne uczestnika takie jak nazwa Użytkownika powiązane z konkretnym wydarzeniem organizowanym przez Administratora.

Kategorie osób, których dane dotyczą

Użytkownicy korzystający z Usługi Vasco Audience w roli mówcy oraz uczestnicy wydarzeń, którzy dołączają do konkretnego wydarzenia organizowanego przez Administratora.


ZAŁĄCZNIK 2

DALSZE POWIERZENIE DANYCH

Poniżej znajduje się lista podwykonawców, których Podmiot Przetwarzający może zaangażować w świadczenie usług na rzecz Administratora.

DANE PODMIOTU LOKALIZACJA CEL PRZETWARZANIA
Google LLC Unia Europejska Dostawca platformy do tworzenia i zarządzania aplikacjami mobilnymi i webowymi
Google LLC Globalne endpointy Dostawca usługi tłumaczenia
Microsoft Azure Globalne endpointy Dostawca usługi tłumaczenia
AWS Globalne endpointy Dostawca usługi tłumaczenia
DeepL Unia Europejska Dostawca usługi tłumaczenia
Translate.com Unia Europejska Dostawca usługi tłumaczenia
DigitalOcean Unia Europejska Dostawca serwera pośredniczącego
AWS Japonia/USA Dostawca serwera pośredniczącego
Cloudflare, Inc. United States Dostawca balancera


ZAŁĄCZNIK 3

WYKAZ ŚRODKÓW TECHNICZNYCH I ORGANIZACYJNYCH

Lista środków bezpieczeństwa stosowanych przez Vasco

Środki pseudonimizacji i szyfrowania danych osobowych.

Wszystkie dane wysyłane do lub z Vasco są szyfrowane podczas przesyłania przy użyciu TLS 1.2+.

Wszystkie endpointy aplikacji są obsługiwane wyłącznie przez TLS/SSL.

Środki zapewniające poufność, integralność, dostępność i odporność systemów oraz usług przetwarzania.

Vasco regularnie przeprowadza testy w celu określenia swojej odporności na zakłócenia działalności biznesowej.

Dane są bezpiecznie archiwizowane.

Procesy regularnego testowania, oceny i ewaluacji skuteczności środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa przetwarzania.

Vasco stale monitoruje swoją infrastrukturę pod kątem zgodność ze standardami branżowymi i najlepszymi praktykami.

Vasco przeprowadza regularne przeglądy systemów i procesów bezpieczeństwa.

Vasco wykorzystuje niezależną firmę zewnętrzną do przeprowadzania corocznych testów penetracyjnych aplikacji i systemów internetowych.

Środki identyfikacji i autoryzacji użytkowników.

Vasco stosuje odpowiednie mechanizmy dostępu do danych. Vasco ogranicza liczbę upoważnionych pracowników i stosuje hierarchiczne zarządzanie uprawnieniami zgodnie z wymaganiami stanowiska i pozycji pracownika.

Vasco zapewnia dostęp do Danych w oparciu o zasadę ograniczonego dostępu, w dozwolonym celu i zgodnie z zasadą najmniejszego przywileju.

Vasco przeprowadza regularne przeglądy dostępu użytkowników. Konta są usuwane, a dostęp do nich cofany po rozwiązaniu/rezygnacji z zatrudnienia lub zmianie roli zawodowej, w wyniku której pracownicy nie potrzebują już dostępu do danych.

Vasco monitoruje i ostrzega wewnętrzny zespół IT o wszelkich podejrzanych działaniach użytkowników wykrytych na platformie, wykorzystując narzędzia do analizy zachowań użytkowników.

Vasco monitoruje systemy produkcyjne i wdraża kontrole i procedury bezpieczeństwa mające na celu zapobieganie, wykrywanie i reagowanie na zagrożenia i ryzyka związane z identyfikacją i autoryzacją użytkowników.

Przed uzyskaniem zgody na przetwarzanie danych pracownicy są zapoznawani z zasadami przetwarzania danych Vasco i są zobowiązani do zachowania poufności wszystkich informacji.

Vasco regularnie przeprowadza sesje szkoleniowe dla pracowników mające na celu ciągłe zwiększanie świadomości i wiedzy na temat przetwarzania danych osobowych.

Środki ochrony danych podczas przechowywania danych.

Endpointy przechowywania danych nie są dostępne publicznie i są monitorowane, aby zapobiec nieautoryzowanemu dostępowi.

Vasco na bieżąco aktualizuje swoje systemy i oprogramowanie o najnowsze uaktualnienia, aktualizacje, poprawki błędów, nowe wersje i inne modyfikacje niezbędne do zapewnienia bezpieczeństwa Danych.

Vasco zapewnia szkolenia w zakresie bezpieczeństwa i prywatności dla wszystkich pracowników mających dostęp do danych.

Umowy z pracownikami zawierają zapisy zobowiązujące do zachowania poufności w odniesieniu do informacji i danych powierzonych pracownikom w ramach wykonywania obowiązków służbowych.

Instancje klientów są rozdzielone na poziomie logiki systemu, a próby dostępu do danych poza dozwolonymi ograniczeniami domeny są uniemożliwianie i rejestrowane. Izolacja danych jest również regularnie kontrolowana poprzez testy penetracyjne przeprowadzane przez wewnętrzne zespoły ds. bezpieczeństwa, a także corocznie przez niezależną firmę zewnętrzną.

Vasco korzysta z oprogramowania chroniącego przed złośliwym oprogramowaniem i aktualizuje je regularnie.

Listy kontroli dostępu (ACL) są utrzymywane i regularnie aktualizowane.

Środki zapewniające fizyczne bezpieczeństwo lokalizacji, w których przetwarzane są dane osobowe.

Serwery Vasco są hostowane w AWS i Digital Ocean, które gwarantują fizyczne bezpieczeństwo lokalizacji, w których przetwarzane są dane osobowe.

Certyfikaty SOC2 dla AWS i Digital Ocean są weryfikowane przez Vasco po odnowieniu certyfikacji.

Środki zapewniające rejestrowanie zdarzeń.

Dzienniki dostępu, bezpieczeństwa i aplikacji są rejestrowane i bezpiecznie przechowywane w zaszyfrowanym formacie przez okres nie dłuższy niż 1 rok.

Okres przechowywania dzienników zależy od ich rodzaju, znaczenia w kontekście bezpieczeństwa oraz zapewnienia jakości i wsparcia usług.

Środki zapewniające minimalizację danych.

Gromadzenie danych jest ograniczone do celów przetwarzania.

Stosowane są środki bezpieczeństwa zapewniające jedynie minimalny dostęp niezbędny do wykonywania wymaganych funkcji i usług.

Vasco przestrzega praw osób fizycznych do sprostowania danych i starannie analizuje wszelkie roszczenia dotyczące dokładności danych osobowych, jak udokumentowano w Polityce Prywatności Vasco.

Środki zapewniające ograniczone przechowywanie danych.

Przechowywanie danych jest ograniczone do celów przetwarzania.

Vasco wdrożyło odpowiednie procesy w celu zapewnienia zgodności z wnioskami osób fizycznych o usunięcie danych w ramach "prawa do bycia zapomnianym".

Środki zapewniające rozliczalność.

Vasco wdraża odpowiednie środki w celu zapewnienia zgodności z przepisami dotyczącymi prywatności danych w regionach, w których prowadzi działalność, na najwyższym szczeblu kierowniczym i w całej organizacji.

Vasco wdrożyło politykę ochrony danych osobowych.

Vasco przy projektowaniu nowych rozwiązań technologicznych stosuje zasady privacy by design oraz privacy by default.

Vasco utrzymuje pisemne umowy z organizacjami, które przetwarzają dane osobowe w jej imieniu.

Vasco prowadzi dokumentację czynności przetwarzania.

W przypadku przelewów do (pod)procesorów, opisują również konkretne środki techniczne i organizacyjne, które mają zostać podjęte przez (pod)podmiot przetwarzający, aby mógł on udzielić wsparcia administratorowi, a w przypadku przekazywania danych przez podmiot przetwarzający do podrzędnego podmiotu przetwarzającego.

Vasco przeprowadza ocenę kontroli bezpieczeństwa danych stron trzecich przed zaangażowaniem biznesowym.

Vasco ograniczy dostęp dalszego podwykonawcy przetwarzania do Danych wyłącznie do tego, co jest ściśle niezbędne do świadczenia Usług.

Vasco nakłada umowne obowiązki w zakresie ochrony danych na każdego wyznaczonego przez siebie podprzetwarzającego, który wymaga od takiego podprzetwarzającego ochrony Danych zgodnie ze standardem wymaganym przez obowiązujące Rozporządzenie o Ochronie Danych. Obejmuje to odpowiednie środki techniczne i organizacyjne w celu ochrony danych osobowych.