Zaloguj się

Umowa Powierzenia Przetwarzania Danych

Ostatnia aktualizacja: 21 stycznia 2025 r.

Umowa Powierzenia Przetwarzania Danych („UPPD”) stanowi część każdej Umowy pomiędzy Articulate Global, LLC (wraz z Podmiotami Powiązanymi, „Articulate”) a klientem („Klient”, „Ty”, „Twój”) w zakresie świadczenia Usług przez Articulate, zgodnie z definicją poniżej. Klient zawiera niniejszą Umowę Powierzenia Przetwarzania Danych w imieniu własnym i wszystkich swoich Podmiotów Powiązanych, którym zezwoli na korzystanie z Usług zgodnie z Umową („Upoważniony Podmiot Powiązany”). Articulate i Klient zwani są osobno „stroną”, a łącznie „stronami”.

1. Definicje

Na potrzeby niniejszej Umowy Powierzenia Przetwarzania Danych, terminy pisane wielką literą mają znaczenie określone poniżej. Pozostałe terminy pisane wielką literą mają znaczenie określone w Umowie.

1.1 Podmiot Powiązany oznacza jakikolwiek podmiot, który bezpośrednio lub pośrednio kontroluje, jest kontrolowany lub znajduje się pod wspólną kontrolą ze stroną niniejszej Umowy Powierzenia Przetwarzania Danych.

1.2 Umowa oznacza podstawową(-e) umowę(-y) zawartą(-e) pomiędzy Articulate a Klientem w formie pisemnej w sprawie świadczenia Usług przez Articulate na rzecz Klienta.

1.3 Prawo Właściwe oznacza wszelkie prawa, przepisy i inne wymogi prawne mające zastosowanie do (i) Articulate w związku z jego rolą dostawcy Usług lub (ii) Klienta. Może to obejmować na przykład Ogólne Rozporządzenie o Ochronie Danych Osobowych (Rozporządzenie (UE) 2016/679) („RODO”); równoważne wymogi w Wielkiej Brytanii, w tym Ogólne Rozporządzenie o Ochronie Danych w Wielkiej Brytanii i Ustawę o Ochronie Danych z 2018 r. („Ustawa o Ochronie Danych w Wielkiej Brytanii”); Kalifornijską Ustawę o Ochronie Prywatności Konsumentów i powiązane z nią przepisy („CCPA”) oraz Kalifornijską Ustawę o Prawach do Prywatności i powiązane z nią przepisy wykonawcze po wejściu w życie („CPRA”); Ustawę o Ochronie Danych Osobowych i Dokumentów Elektronicznych, SC 2000, c.5 („PIPEDA”); Australijską Ustawę o Ochronie Prywatności z 1988 r. i Australijskie Zasady Prywatności („Ustawa o Ochronie Prywatności”); Ustawę o Ochronie Danych Konsumentów w Wirginii po wejściu w życie („VCDPA”); Ustawę o Ochronie Prywatności Konsumentów w Stanie Utah po wejściu w życie („UCPA”) oraz Ustawę o Ochronie Prywatności w Kolorado i powiązane z nią przepisy po wejściu w życie („CPA”). Każda ze stron odpowiada wyłącznie za przepisy Prawa Właściwego, które mają do niej zastosowanie.

1.4 Administrator oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania Danych Osobowych.

1.5 Zawartość Klienta (lub „Twoja Zawartość”) oznaczają wszelkie treści i informacje, które Klient, Autoryzowany Podmiot Powiązany lub Użytkownik przesyła, importuje lub opracowuje w ramach Usług, bądź które Articulate otrzymuje od Klienta, Autoryzowanego Podmiotu Powiązanego lub Użytkownika w inny sposób, za pośrednictwem Usług.

1.6 Podmiot Danych oznacza zidentyfikowaną lub możliwą do zidentyfikowania osobę fizyczną. W przypadku gdy zastosowanie mają ustawy CCPA lub CPRA, termin ten obejmuje również zidentyfikowane lub możliwe do zidentyfikowania gospodarstwo domowe.

1.7 Dane Osobowe oznaczają (i) wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej w rozumieniu RODO (niezależnie od tego, czy RODO ma zastosowanie); (ii) „Dane Osobowe” w rozumieniu VCDPA i CPA (niezależnie od tego, czy mają zastosowanie); (iii) „informacje osobowe” w rozumieniu PIPEDA, CCPA, CPRA i Ustawy o Ochronie Prywatności (niezależnie od tego, czy mają zastosowanie); oraz (iv) wszelkie analogiczne terminy zdefiniowane w Prawie Właściwym.

1.8 Naruszenie Danych Osobowych oznacza przypadkowe lub niezgodne z prawem zniszczenie, utratę, zmianę, nieautoryzowane ujawnienie lub uzyskanie dostępu do Danych Osobowych.

1.9 Przetwarzać i „Przetwarzanie” oznaczają dowolną operację lub zestaw operacji wykonywanych na Danych Osobowych lub zestawach Danych Osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, rejestrowanie, organizowanie, tworzenie, strukturyzacja, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, konsultowanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

1.10 „Podmiot Przetwarzający” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza Dane Osobowe w imieniu Administratora.

1.11 „Usługi” oznaczają oprogramowanie oferowane przez Articulate w modelu „oprogramowanie jako usługa” zgodnie z opisem w ofercie cenowej (tj. Articulate 360, Rise lub obydwa) lub inne usługi wskazane w ofercie cenowej.

1.12 „Standardowe Klauzule Umowne” i „Standardowe Klauzule Umowne 2021” oznaczają klauzule wydane zgodnie z Decyzją Wykonawczą Komisji Europejskiej (UE) 2021/914 z dnia 4 czerwca 2021 r. w sprawie standardowych klauzul umownych dotyczących przekazywania Danych Osobowych państwom trzecim zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679, dostępne pod adresem https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj i ukończone zgodnie z opisem zamieszczonym poniżej w sekcji „Przesyłanie Danych”.

1.13 „Podmiot Podprzetwarzający” oznacza każdego podwykonawcę zaangażowanego przez Articulate w celu przetwarzania danych osobowych.

1.14 „Dokumentacja Dotycząca Zaufania i Zgodności” oznacza dokumentację dotyczącą prywatności, bezpieczeństwa danych i informacji o Podmiocie Podprzetwarzającym, mającą zastosowanie do określonych Usług zakupionych przez Klienta, która może być okresowo aktualizowana i dostępna za pośrednictwem strony internetowej Articulate pod adresami https://www.articulate.com/trust/ i https://www.articulate.com/trust/gdpr/

1.15 „Aneks do brytyjskiej Ustawy o Standardowych Klauzulach Umownych” oznacza Dodatek na temat Międzynarodowych Klauzul Umownych dotyczących Przekazywania Danych do Standardowych Klauzul Umownych Komisji Europejskiej (dostępny od daty wejścia w życie pod adresem https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/international-transfers/international-data-transfer-agreement-and-guidance/), wypełniony zgodnie z opisem w sekcji „Transfery Danych” poniżej.

1.16 „Użytkownik” oznacza osobę lub osoby, którym Klient zezwala na dostęp do Usług i korzystanie z nich.

2. Zakres i relacje stron

2.1 Niniejsza Umowa Powierzenia Przetwarzania Danych ma zastosowanie wyłącznie do Danych Osobowych znajdujących się w Zawartości Klienta.

2.2 W odniesieniu do takich Danych Osobowych Klient jest Administratorem (lub oświadcza, że działa w imieniu Administratora z pełnym upoważnieniem), a Articulate jest jego Podmiotem Przetwarzającym.

2.3 Jeśli Klient działa w imieniu zewnętrznego Administratora (lub w imieniu pośredników, takich jak inne Podmioty Przetwarzające Administratora), w zakresie dozwolonym przez prawo:

2.3.1 Będziesz pełnić funkcję jedynej osoby kontaktowej dla Articulate w kontaktach z takimi stronami trzecimi;

2.3.2 Articulate nie jest zobowiązany bezpośrednio współpracować z żadną stroną trzecią w sprawach związanych z niniejszą Umową Powierzenia Przetwarzania Danych; i

2.3.3 W przypadku gdy Articulate byłoby zobowiązane do udzielenia informacji, pomocy, współpracy lub czegokolwiek innego takiej stronie trzeciej, Articulate może udzielić tych informacji wyłącznie Klientowi; ale

2.3.4 Articulate ma prawo postępować zgodnie z instrukcjami strony trzeciej w odniesieniu do Danych Osobowych strony trzeciej zamiast instrukcji Klienta, jeśli Articulate uzna, że jest to wymagane prawnie w danych okolicznościach.

3. Instrukcje Klienta dla Articulate

3.1 Articulate będzie przetwarzać Dane Osobowe wyłącznie w sposób opisany w Umowie, chyba że Prawo Właściwe zobowiązuje do innego postępowania. W takim przypadku Articulate poinformuje Klienta o tym wymogu prawnym przed rozpoczęciem Przetwarzania, chyba że będzie to prawnie zabronione.

3.2 Szczegóły dotyczące Przetwarzania określono w Załączniku 1 do niniejszej umowy.

3.3 Umowa, łącznie z niniejszą Umową Powierzenia Przetwarzania Danych, wraz z konfiguracją wszelkich ustawień lub opcji w Usługach, stanowią kompletne i ostateczne instrukcje dla Articulate dotyczące Przetwarzania Danych Osobowych, w tym na potrzeby Standardowych Klauzul Umownych, jeżeli mają one zastosowanie.

3.4 Klient będzie przestrzegał Prawa Właściwego w zakresie korzystania z Usług, w tym poprzez uzyskanie wszelkich zgód i dostarczenie wszelkich powiadomień wymaganych na mocy Prawa Właściwego w celu umożliwienia Articulate świadczenia Usług. Klient zapewnia, że ma prawo przekazać Dane Osobowe do Articulate, aby Articulate i jego Podmioty Podprzetwarzające mogli legalnie Przetwarzać Dane Osobowe zgodnie z niniejszą Umową Powierzenia Przetwarzania Danych.

3.5 Klientowi nie będzie wydawał Articulate poleceń dotyczących Przetwarzania Danych Osobowych w sposób naruszający Prawo Właściwe. Articulate niezwłocznie poinformuje Klienta, jeżeli zdaniem Articulate jego instrukcje naruszają Prawo Właściwe.

4. Ograniczenie wykorzystania danych

4.1 Articulate nie będzie „sprzedawać” Danych Osobowych zgodnie z definicją tego terminu zawartą w CCPA (niezależnie od tego, czy obowiązuje CCPA), VCDPA lub CPA i nie będzie „udostępniać” Danych Osobowych w rozumieniu CPRA (niezależnie od tego, czy obowiązuje CPRA). Articulate nie będzie przechowywać, wykorzystywać ani ujawniać Danych Osobowych poza bezpośrednią relacją biznesową pomiędzy Klientem a Articulate.

4.2 W przypadku prawnego obowiązku udostępnienia Danych Osobowych stronie trzeciej w zakresie dozwolonym przez prawo: (i) Articulate niezwłocznie zapewni Klientowi uzasadnioną możliwość zakwestionowania obowiązku prawnego lub ubiegania się o ochronę przed ujawnieniem, oraz (ii) Articulate, po konsultacji z Klientem, ujawni wyłącznie minimalną ilość Danych Osobowych niezbędną do wypełnienia obowiązku prawnego.

4.3 Articulate będzie przestrzegać wszelkich obowiązujących ograniczeń na mocy ustawy CPRA w zakresie łączenia Danych Osobowych znajdujących się w Zawartości Klienta z Danymi Osobowymi, które Articulate otrzymuje od innej osoby/osób lub w ich imieniu, bądź które Articulate zbiera w wyniku jakiejkolwiek interakcji między Articulate a Podmiotem Danych.

5. Podmioty Podprzetwarzające

5.1 Articulate może angażować Podmioty Podprzetwarzające do Przetwarzania Danych Osobowych w związku ze świadczeniem Usług, zgodnie z Prawem Właściwym. Przed rozpoczęciem Przetwarzania Danych Osobowych przez Podmiot Podprzetwarzający Articulate nałoży na niego zobowiązania umowne, które są zasadniczo takie same jak te nałożone na Articulate na mocy niniejszej Umowy Powierzenia Przetwarzania Danych. Articulate ponosi odpowiedzialność za realizację zadań swoich Podmiot ów Podprzetwarzających w takim samym zakresie, w jakim Articulate ponosi odpowiedzialność za realizację własnych zadań wynikających z Umowy.

5.2 Aktualna lista Podmiotów Podprzetwarzających jest dostępna na stronie https://www.articulate.com/trust/gdpr/subprocessors dla usług Articulate 360 i https://rise.com/gdpr/subprocessors  dla usług Rise. Articulate niezwłocznie (a w każdym przypadku na trzydzieści (30) dni przed planowanym rozpoczęciem Przetwarzania Danych Osobowych przez nowy Podmiot Podprzetwarzający) powiadomi Klientów poprzez aktualizację wyżej wymienionych list Podmiotów Podprzetwarzających dotyczących każdego nowego Podmiotu Podprzetwarzającego, zanim rozpocznie on Przetwarzanie Danych Osobowych, chyba że nadzwyczajne okoliczności (takie jak awaria istniejącego Podmiotu Podprzetwarzającego) wymagają wcześniejszego Przetwarzania Danych Osobowych przez niego.

5.3 Klient możesz sprzeciwić się korzystaniu przez Articulate z usług nowego Podmiotu Podprzetwarzającego, powiadamiając o tym Articulate w ciągu dziesięciu (10) dni roboczych od momentu powiadomienia Klienta przez Articulate o nowym Podmiocie Podprzetwarzającym zgodnie z sekcją 5.2. Jeżeli Klient zgłosi uzasadniony sprzeciw wobec nowego Podmiotu Podprzetwarzającego, Articulate dołoży uzasadnionych starań, aby umożliwić Klientowi zmianę Usług lub zalecić komercyjnie uzasadnioną zmianę w konfiguracji Klienta lub sposobie korzystania przez niego z Usług, aby uniknąć Przetwarzania Danych Osobowych przez nowy Podmiot Podprzetwarzający, wobec którego zgłoszono sprzeciw, bez nadmiernego obciążania Klienta. Jeżeli Articulate nie będzie w stanie zastosować takiej zmiany w rozsądnym terminie, który w żadnym wypadku nie przekroczy trzydziestu (30) dni, Klient może rozwiązać Umowę i/lub stosowne zamówienie/zamówienia, składając Articulate pisemne zawiadomienie i zaprzestając korzystania z Usług w dniu rozwiązania umowy. Articulate zwróci Klientowi proporcjonalną kwotę pokrywającą pozostały okres obowiązywania takiej subskrypcji lub zamówienia/zamówień po dacie rozwiązania umowy w odniesieniu do takich zakończonych Usług. Jeżeli Klient nie wniesie sprzeciwu wobec wykorzystania nowego Podmiotu Podprzetwarzającego i rozwiąże umowę zgodnie z powyższymi ustaleniami, uznaje się, że Podmiot Podprzetwarzający został przez Klienta zaakceptowany.

5.4 Zgoda Klienta na postanowienia niniejszej sekcji 5 stanowi zgodę na mocy Standardowych Klauzul Umownych, jeżeli mają zastosowanie, oraz na Przetwarzanie Danych Osobowych przez Podmioty Podprzetwarzające wymienione w obowiązującej Dokumentacji Zaufania i Zgodności z Przepisami obowiązującej w dniu wejścia w życie Umowy.

5.5 Na pisemny wniosek Klienta Articulate przekaże Klientowi kopie umów Podmiotu Podprzetwarzającego; pod warunkiem jednak, że w zakresie, w jakim takie umowy Podmiotu Podprzetwarzającego zawierają informacje handlowe lub postanowienia niezwiązane z informacjami wymaganymi przez obowiązujące Przepisy i Regulacje Dotyczące Ochrony Danych, takie niezwiązane informacje mogą zostać usunięte lub zredagowane według uznania Articulate.

6. Bezpieczeństwo

6.1 Articulate pomoże Klientowi w przestrzeganiu obowiązków bezpieczeństwa wynikających z RODO i innego Prawa Właściwego w zakresie istotnym dla roli Articulate w Przetwarzaniu Danych Osobowych, biorąc pod uwagę charakter Przetwarzania i informacje dostępne dla Articulate, poprzez wdrożenie środków technicznych i organizacyjnych, opisanych w Załączniku 2 do niniejszej Umowy Powierzenia Przetwarzania Danych, bez uszczerbku dla prawa Articulate do dokonywania przyszłych zmian lub modyfikacji środków, które nie obniżają istotnie poziomu bezpieczeństwa Danych Osobowych.

6.2 Klient ponosi wyłączną odpowiedzialność za zapoznanie się z dostępną dokumentacją i funkcjami bezpieczeństwa (jeśli są dostępne) oraz za dokonanie samodzielnej oceny, czy Usługi i związane z nimi zabezpieczenia spełniają jego potrzeby, w tym obowiązki Klienta w zakresie bezpieczeństwa wynikające z Prawa Właściwego. Klienta może korzystać z Usług wyłącznie wtedy, gdy zobowiązania dotyczące bezpieczeństwa określone w niniejszej Umowie Powierzenia Przetwarzania Danych zapewniają poziom bezpieczeństwa odpowiedni do ryzyka związanego z Danymi Osobowymi. Korzystając z Usług, Klient zgadza się i oświadcza, że zobowiązania dotyczące bezpieczeństwa określone w niniejszej Umowie Powierzenia Przetwarzania Danych zapewniają poziom bezpieczeństwa odpowiedni do ryzyka związanego z Danymi Osobowymi.

6.3 Articulate zapewni, że osoby upoważnione przez Articulate do Przetwarzania Danych Osobowych (i) podlegają pisemnej umowie o zachowaniu poufności obejmującej takie dane lub mają odpowiedni ustawowy obowiązek zachowania poufności oraz (ii) zostaną odpowiednio przeszkolone do pełnionej roli w zakresie Przetwarzania Danych Osobowych.

7. Powiadomienie o naruszeniu Danych Osobowych

7.1 Articulate i Klient będą przestrzegać obowiązków związanych z Naruszeniem Danych Osobowych, które mają do nich bezpośrednie zastosowanie na mocy RODO i innego Prawa Właściwego, w tym wszelkich obowiązków powiadomienia Podmiotów Danych, organów rządowych lub stron trzecich.

7.2 Biorąc pod uwagę charakter Przetwarzania oraz informacje dostępne dla Articulate, Articulate w rozsądnym zakresie pomoże Klientowi w wypełnianiu obowiązków związanych z Naruszeniem Ochrony Danych Osobowych, które mają zastosowanie do Klienta na mocy Prawa Właściwego, informując Klienta bez zbędnej zwłoki po uzyskaniu wiedzy o potwierdzonym Naruszeniu Ochrony Danych Osobowych. Takie powiadomienie nie jest równoznaczne z uznaniem winy lub odpowiedzialności. Jeśli to możliwe, niniejsze zawiadomienie będzie zawierać bieżącą ocenę Articulate w odniesieniu do poniższych kwestii, która może opierać się na niepełnych danych:

7.2.1 Charakter Naruszenia Danych Osobowych, w tym, w miarę możliwości, kategorie i przybliżoną liczbę Podmiotów Danych oraz kategorie i przybliżoną liczbę rekordów Danych Osobowych, których dotyczy naruszenie;

7.2.2 Prawdopodobne konsekwencje Naruszenia Danych Osobowych; i

7.2.3 Środki podjęte lub proponowane przez Articulate w celu zaradzenia Naruszeniu Danych Osobowych, w tym, w stosownych przypadkach, środki mające na celu złagodzenie jego możliwych negatywnych skutków.

7.3 Articulate dołoży wszelkich starań, aby ustalić przyczynę potwierdzonego Naruszenia Danych Osobowych i podejmie takie środki zaradcze, jakie Articulate uzna za konieczne i rozsądne.

7.4 Klient ma prawo w każdej chwili podjąć rozsądne i odpowiednie kroki w celu zatrzymania i naprawienia nieautoryzowanego wykorzystania Danych Osobowych.

8. Wsparcie w odpowiadaniu Podmiotom Danych

8.1 Jeśli Articulate otrzyma Wniosek lub skargę od Podmiotu Danych, skierowaną do Klienta lub Autoryzowanego Podmiotu Powiązanego, Articulate niezwłocznie przekaże Wniosek lub skargę Klientowi.

8.2 Biorąc pod uwagę charakter Przetwarzania, Articulate w rozsądnym zakresie pomoże Klientowi w wypełnieniu obowiązku Klienta mającego na celu uwzględnienie żądań osób fizycznych dotyczących wykonywania ich praw wynikających z RODO lub innego Prawa Właściwego (takich jak prawo dostępu do swoich Danych Osobowych) („ Żądanie Podmiotu Danych ”), stosując w miarę możliwości odpowiednie środki organizacyjne i techniczne. W zakresie, w jakim podczas korzystania z Usług Klient nie jest w stanie odpowiedzieć na Żądanie Podmiotu Danych, Articulate na wniosek Klienta podejmie uzasadnione starania, aby pomóc Klientowi odpowiedzieć na takie żądanie, w zakresie, w jakim Articulate jest zobowiązany do tego na mocy Prawa Właściwego i jest do tego prawnie upoważniony.

9. Pomoc w przeprowadzaniu Oceny Skutków dla Ochrony Danych (DPIA) i konsultacjach z Organami Nadzorującymi

9.1 Biorąc pod uwagę charakter Przetwarzania oraz informacje dostępne dla Articulate, Articulate, na pisemne żądanie Klienta, udzieli Klientowi uzasadnionej pomocy i będzie współpracować z Klientem w celu przeprowadzenia przez Klienta wszelkich prawnie wymaganych ocen skutków dla ochrony danych w związku z Przetwarzaniem lub proponowanym Przetwarzaniem Danych Osobowych w ramach Usług, a także podczas powiązanych konsultacji z organami nadzoru. Dodatkowe wsparcie w zakresie oceny skutków ochrony danych lub relacji z organami regulacyjnymi będzie wymagało wzajemnego porozumienia w sprawie opłat, zakresu zaangażowania Articulate i wszelkich innych warunków, które strony uznają za stosowne.

10. Transfery danych

10.1 Klient upoważnia Articulate i jego Podmioty Podprzetwarzające do dokonywania międzynarodowych transferów Danych Osobowych zgodnie z niniejszą Umową Powierzenia Przetwarzania Danych i Prawem Właściwym.

10.2 W zakresie wymaganym przez prawo, Standardowe Klauzule Umowne z 2021 r. stanowią część niniejszej Umowy Powierzenia Przetwarzania Danych i mają pierwszeństwo przed pozostałą częścią niniejszej umowy w zakresie wszelkich konfliktów i (z wyjątkiem tych opisanych w sekcji 10.4) będą uznawane za zrealizowane w następujący sposób:

10.2.1 W zakresie, w jakim Klient działa jako administrator, a Articulate jako podmiot przetwarzający Klienta w odniesieniu do Danych Osobowych podlegających Standardowym Klauzulom Umownym z 2021 r., zastosowanie ma Moduł 2. W zakresie, w jakim Klient działa jako podmiot przetwarzający, a Articulate działa jako podmiot podprzetwarzający Klienta w odniesieniu do Danych Osobowych podlegających Standardowym Klauzulom Umownym z 2021 r., zastosowanie ma Moduł 3.

10.2.2 Włączono klauzulę 7 (opcjonalna klauzula dokowania).

10.2.3 Zgodnie z klauzulą 9 (Wykorzystanie Podmiotów Podprzetwarzających), strony wybierają opcję 2 (Ogólne pisemne upoważnienie). Początkowa lista Podmiotów Podprzetwarzających jest dostępna na stronie https://www.articulate.com/trust/gdpr/subprocessors/ dla usług Articulate 360 i https://rise.com/gdpr/subprocessors  dla usług Rise. Jeżeli Articulate zamierza dodać lub zastąpić Podmiot Podprzetwarzający znajdujący się na tej liście, Articulate powiadomi o tym Klientów poprzez aktualizację wyżej wymienionych list co najmniej trzydzieści (30) dni przed planowaną datą rozpoczęcia Przetwarzania Danych Osobowych przez Podmiot Podprzetwarzający.

10.2.4 Zgodnie z klauzulą 11 (Środki odwoławcze) opcjonalny wymóg, zgodnie z którym Podmioty Danych mają możliwość złożenia skargi do niezależnego organu rozstrzygającego spory, nie ma zastosowania.

10.2.5 Zgodnie z klauzulą 17 (Prawo Właściwe) strony wybierają Opcję 1 (prawo Państwa Członkowskiego UE, które zezwala na uprawnienia stron trzecich jako beneficjentów). Strony wybierają prawo irlandzkie.

10.2.6 Zgodnie z klauzulą 18 (Wybór forum i jurysdykcji) strony wybierają sądy w Irlandii.

10.2.7 Zgodnie z Załącznikiem I(A) do Standardowych Klauzul Umownych z 2021 r. (Lista stron):

10.2.7.1 Klient jest eksporterem. Dane kontaktowe eksportera, z których może korzystać Articulate, podano w Umowie. Dane kontaktowe eksportera, z których mogą korzystać Podmioty Danych, znajdują się w jego polityce prywatności, podobnie jak tożsamość i dane kontaktowe inspektora ochrony danych eksportera (jeśli istnieje) oraz przedstawiciela w Unii Europejskiej (jeśli istnieje).

10.2.7.2 Działalność eksportera w zakresie danych przekazywanych na podstawie niniejszych Klauzul polega na korzystaniu przez niego z odpowiednich Usług.

10.2.7.3 Importerem jest Articulate. Adres pocztowy importera podany jest w Umowie, a jego adres e-mail to [e-mail chroniony], z zastrzeżeniem aktualizacji tych adresów przez Articulate zgodnie z Umową.

10.2.7.4 Działalność importera w odniesieniu do danych przekazywanych na podstawie niniejszych Klauzul polega na świadczeniu przez niego odpowiednich Usług.

10.2.7.5 W momencie zakupu Usług przez Klienta uznaje się, że strony podpisały Załącznik I(A) do Standardowych Klauzul Umownych z 2021 r.

10.2.8 W przypadku konkretnych Usług szczegóły dotyczące Załącznika I(B) Standardowych Klauzul Umownych z 2021 r. (Opis przeniesienia) podano w Załączniku 1 do Umowy Powierzenia Przetwarzania Danych.

10.2.9 Zgodnie z Załącznikiem I(C) do Standardowych Klauzul Umownych z 2021 r. (Właściwy organ nadzorczy) strony zobowiązane są do przestrzegania zasad identyfikacji takiego organu określonych w Klauzuli 13, a w zakresie dozwolonym przez prawo wybrać Irlandzką Komisję Ochrony Danych.

10.2.10 Załącznik II do Standardowych Klauzul Umownych z 2021 r. (Środki techniczne i organizacyjne) znajduje się w Załączniku 2 do niniejszej Umowy Powierzenia Przetwarzania Danych.

10.2.11 Załącznik III do Standardowych Klauzul Umownych 2021 (Lista Podmiotów Podprzetwarzających) nie ma zastosowania.

10.3 W zakresie wymaganym prawnie na mocy brytyjskiego prawa o Ochronie Danych, Aneks do brytyjskich Standardowych Klauzul Umownych stanowi część niniejszej Umowy Powierzenia Przetwarzania Danych i ma pierwszeństwo przed pozostałą częścią niniejszej umowy, zgodnie z postanowieniami Aneksu do brytyjskich Standardowych Klauzul Umownych. Terminy pisane wielką literą, niezdefiniowane i użyte w niniejszej sekcji 10.3, mają znaczenie określone w Aneksie do brytyjskich Standardowych Klauzul Umownych. Na potrzeby Aneksu do brytyjskich Standardowych Klauzul Umownych:

10.3.1 Tabela 1 Aneksu do brytyjskiej Ustawy o Standardowych Klauzulach Umownych: stronami są Klient i Articulate, a dane kontaktowe podano w sekcji 10.2.7 niniejszej Umowy Powierzenia Przetwarzania Danych.

10.3.2 Tabela 2 Aneksu do brytyjskiej Ustawy o Standardowych Klauzulach Umownych: zatwierdzone Standardowe Klauzule Umowne to Standardowe Klauzule Umowne określone w sekcji 10.2 niniejszej Umowy Powierzenia Przetwarzania Danych.

10.3.3 Tabela 3 Aneksu do brytyjskich Standardowych Klauzul Umownych:

10.3.3.1 Załącznik 1A: zgodnie z postanowieniami sekcji 10.2.7 niniejszej Umowy Powierzenia Przetwarzania Danych.

10.3.3.2 Załącznik 1B: zgodnie z postanowieniami Załącznika 1 do niniejszej Umowy Powierzenia Przetwarzania Danych.

10.3.3.3 Załącznik II: zgodnie z Załącznikiem 2 do niniejszej Umowy Powierzenia Przetwarzania Danych.

10.3.3.4 Załącznik III: nie dotyczy.

10.3.4 Tabela 4 Aneksu do brytyjskich Standardowych Klauzul Umownych: żadnej ze stron nie przysługuje prawo do rozwiązania umowy określone w sekcji 19 Aneksu do brytyjskich Standardowych Klauzul Umownych.

10.3.5 Poprzez zawarcie niniejszej Umowy Powierzenia Przetwarzania Danych strony podpisują Aneks do brytyjskich Standardów Klauzul Umownych.

10.4 W przypadku przekazywania Danych Osobowych podlegających Szwajcarskiej Ustawie Federalnej o Ochronie Danych („ FADP ”), Standardowe Klauzule Umowne z 2021 r. stanowią część niniejszej Umowy Powierzenia Przetwarzania Danych zgodnie z postanowieniami sekcji 10.2 niniejszej umowy, ale z następującymi różnicami w zakresie wymaganym przez FADP:

10.4.1 Odniesienia do RODO w Standardowych Klauzulach Umownych z 2021 r. należy rozumieć jako odniesienia do FADP, o ile transfer danych podlega wyłącznie FADP, a nie RODO.

10.4.2 Termin „państwo członkowskie” w Standardowych Klauzulach Umownych z 2021 r. nie będzie interpretowany w taki sposób, aby wykluczyć Podmioty Danych w Szwajcarii z możliwości dochodzenia swoich praw w miejscu ich zwykłego pobytu (Szwajcaria) zgodnie z klauzulą 18 lit.(c) Standardowych Klauzul Umownych z 2021 r.

10.4.3 Odniesienia do Danych Osobowych w Standardowych Klauzulach Umownych z 2021 r. odnoszą się również do danych o możliwych do zidentyfikowania podmiotach prawnych do czasu wejścia w życie zmian w FADP, które eliminują ten szerszy zakres.

10.4.4 Zgodnie z załącznikiem I(C) do Standardowych Klauzul Umownych z 2021 r. (Właściwy organ nadzorczy):

10.4.4.1 W przypadku gdy przekazanie danych podlega wyłącznie ustawie FADP, a nie Ogólnemu Rozporządzeniu o Ochronie Danych Osobowych (RODO), organem nadzorczym jest Szwajcarski Federalny Komisarz ds. Ochrony Danych i Informacji.

10.4.4.2 W przypadku gdy przekazanie danych podlega zarówno FADP, jak i RODO, organem nadzorczym jest Szwajcarski Federalny Komisarz ds. Ochrony Danych i Informacji, o ile przekazanie danych podlega FADP, a organem nadzorczym jest organ określony w sekcji 10.2.9 niniejszej Umowy Powierzenia Przetwarzania Danych, o ile przekazanie danych podlega RODO.

11. Audyty

11.1 Na pisemny wniosek Klienta, Articulate udostępni mu wszelkie informacje niezbędne do wykazania zgodności z niniejszą Umową Powierzenia Przetwarzania Danych oraz umożliwi audyty i będzie w nich uczestniczyć, w tym inspekcjach, przeprowadzanych przez Klienta lub innego, upoważnionego przez Klienta, audytora, na następujących zasadach:

11.1.1 Jeżeli żądany zakres audytu został uwzględniony w raporcie z audytu wydanym przez niezależnego audytora w ciągu poprzednich dwunastu (12) miesięcy, a Articulate dostarczy Klientowi taki raport i potwierdzi, że nie zaszły żadne znane istotne zmiany w audytowanych zabezpieczeniach, Klient zgadza się przyjąć ustalenia przedstawione w raporcie zamiast żądać przeprowadzenia audytu tych samych zabezpieczeń, których raport dotyczy. Raport stanowi Informację Poufną Articulate.

11.1.2 Jeżeli nie zostało to uwzględnione w raporcie, Articulate dostarczy pisemny opis środków zapewniających zgodność z niniejszą Umową o Przetwarzaniu Danych Osobowych. To są Poufne Informacje firmy Articulate.

11.1.3 Klient zgadza się wykonywać wszelkie przysługujące mu prawo do przeprowadzenia audytu lub inspekcji, w tym na mocy Standardowych Klauzul Umownych, jeśli mają zastosowanie, poprzez zlecenie Articulate dostarczenia raportu i/lub informacji opisanych powyżej. Jeżeli Klient chce zmienić niniejsze instrukcje dotyczące audytu, może wnioskować o zmianę tych instrukcji, wysyłając do Articulate pisemne powiadomienie zgodnie z postanowieniami Umowy. Takie dodatkowe wsparcie może być dostępne i będzie wymagało wzajemnego porozumienia w sprawie opłat, które zostaną naliczone, zakresu audytu, zakresu zaangażowania Articulate i wszelkich innych warunków, które strony uznają za stosowne.

11.1.4 Klient jest zobowiązany powiadomić Articulate na piśmie na sześćdziesiąt (60) dni przed przeprowadzeniem audytu, a takie audyty nie mogą odbywać się częściej niż raz w ciągu dwunastu (12) miesięcy. Klient może przeprowadzać audyty wyłącznie w standardowych godzinach pracy Articulate i jest zobowiązany do zminimalizowania zakłóceń w działalności Articulate.

11.1.5 W zakresie dozwolonym przez prawo oraz w zakresie, w jakim audyty zakłócają normalny tok działalności Articulate, Klient zwróci Articulate wszelkie koszty związane z pomocą związaną z audytem, według stawek uzgodnionych wspólnie przez strony.

11.1.6 Żadne z postanowień niniejszej Umowy Powierzenia Przetwarzania Danych nie będzie wymagało od Articulate ujawnienia lub udostępnienia:

11.1.6.1 jakichkolwiek danych jakiegokolwiek innego klienta Articulate;

11.1.6.2 dostępu do systemów;

11.1.6.3 informacji księgowych i finansowych Articulate;

11.1.6.4 jakichkolwiek tajemnic handlowych Articulate;

11.1.6.5 wszelkich informacji lub dostępu, które według uzasadnionej opinii Articulate mogłyby (A) naruszyć bezpieczeństwo systemów lub siedziby Articulate; lub (B) spowodować naruszenie przez Articulate jej zobowiązań wynikających z Prawa Właściwego lub obowiązujących umów; lub

11.1.6.6 wszelkie informacje poszukiwane z jakiegokolwiek powodu innego niż wypełnianie w dobrej wierze obowiązków wynikających z Prawa Właściwego w zakresie audytu zgodności z niniejszą Umową Powierzenia Przetwarzania Danych.

11.1.7 Klient niezwłocznie powiadomi Articulate i udzieli informacji o wszelkich faktycznych lub podejrzewanych niezgodnościach wykrytych podczas audytu.

12. Zwrot lub zniszczenie

12.1 Articulate, według wyboru Klienta, zwróci mu i/lub zniszczy wszystkie Dane Osobowe na jego żądanie lub sześć miesięcy po zakończeniu lub wygaśnięciu korzystania przez Klienta z odpowiedniej Usługi, z wyjątkiem sytuacji, gdy Prawo Właściwe wymaga przechowywania Danych Osobowych. Poświadczenie usunięcia danych wymagane na mocy Standardowych Klauzul Umownych (jeśli mają zastosowanie) zostanie wydane wyłącznie na pisemny wniosek.

12.2 Żadne postanowienie nie zobowiązuje Articulate do usuwania Danych Osobowych z plików utworzonych w celach bezpieczeństwa, tworzenia kopii zapasowych i zapewnienia ciągłości działania firmy wcześniej, niż jest to wymagane przez uzasadnione procesy przechowywania danych Articulate.

13. Postanowienia ogólne

13.1 Przeniesienie własności. Niniejsza Umowa Powierzenia Przetwarzania Danych wchodzi w życie z korzyścią dla każdego następcy prawnego całości lub zasadniczej części przedsiębiorstwa i aktywów każdej ze stron i jest dla niego wiążąca, niezależnie od tego, czy nastąpiło to w wyniku fuzji, sprzedaży aktywów, innych umów lub z mocy prawa.

13.2 Kolejność pierwszeństwa. W odniesieniu do praw i obowiązków stron względem siebie, w przypadku sprzeczności pomiędzy postanowieniami Umowy a niniejszą Umową Powierzenia Przetwarzania Danych, postanowienia niniejszej umowy będą miały pierwszeństwo. W przypadku sprzeczności pomiędzy postanowieniami niniejszej Umowy Powierzenia Przetwarzania Danych a Standardowymi Klauzulami Umownymi, rozstrzygające znaczenie mają postanowienia Standardowych Klauzul Umownych.

13.3 Odpowiedzialność.W zakresie dozwolonym przez prawo niniejsza umowa podlega klauzuli o ograniczeniu odpowiedzialności zawartej w Umowie.

13.4 Pozostałe postanowienia. Niniejsza Umowa Powierzenia Przetwarzania Danych stanowi całość porozumienia stron w odniesieniu do przedmiotu niniejszej umowy i łączy wszystkie wcześniejsze komunikaty, porozumienia i umowy. Niniejsza Umowa Powierzenia Przetwarzania Danych może zostać zmieniona wyłącznie w drodze pisemnego porozumienia podpisanego przez strony. Niewykonanie przez którąkolwiek ze stron w dowolnym czasie któregokolwiek z postanowień niniejszej umowy nie będzie uznawane za zrzeczenie się tego postanowienia, ani żadnego innego postanowienia, ani też prawa tej strony do późniejszego wyegzekwowania jakiegokolwiek postanowienia niniejszej umowy. Jeżeli którekolwiek z postanowień niniejszej umowy zostanie uznane za nieważne lub niewykonalne, postanowienie takie uznaje się za zmienione w zakresie niezbędnym i możliwym do uczynienia go ważnym i wykonalnym. Nieważność lub niemożność wykonania jakiegokolwiek postanowienia nie narusza w żadnym wypadku pozostałych postanowień niniejszej umowy, a niniejsza umowa pozostanie w pełnej mocy i będzie interpretowana i egzekwowana tak, jakby takie postanowienie nie zostało uwzględnione lub zostało zmodyfikowane w sposób określony powyżej, w zależności od przypadku.

ZAŁĄCZNIK 1

Szczegóły przetwarzania danych

Przedmiot, charakter i cel przetwarzania oraz szczegóły operacji przetwarzania: świadczenie Usług zgodnie z Umową.

Termin/Czas trwania przetwarzania: zgodnie z postanowieniami Umowy i/lub wszelkimi obowiązującymi ofertami cenowymi, zamówieniem Klienta lub oświadczeniem o pracach.

Kategorie Podmiotów Danych: przekazywane Dane Osobowe mogą dotyczyć obecnych i przyszłych pracowników eksportera oraz jego kontrahentów, a także innych stron trzecich, zgodnie z ustaleniami eksportera.

Kategorie Danych

Dla Articulate 360 i Rise:

  • Imię i nazwisko
  • Pracodawca
  • Dane kontaktowe firmy (np. adres e-mail, numer telefonu)
  • Zdjęcie profilowe
  • Tytuł
  • Przybliżona lokalizacja
  • Preferencje językowe
  • Biografia zawodowa.

Szczególne Kategorie Danych (jeśli istnieją): Nie dotyczy.

Zastosowane zabezpieczenia i ograniczenia specyficzne dla szczególnych kategorii danych: Nie dotyczy. Niezależnie od okoliczności w odniesieniu do tej i innych kategorii Danych Osobowych stosuje się ten sam wysoki standard ochrony opisany w Załączniku 2 do Umowy Powierzenia Przetwarzania Danych.

Częstotliwość przekazywania danych (np. czy dane są przekazywane jednorazowo czy w sposób ciągły): sposób ciągły, tak długo jak jest to konieczne do świadczenia Usług zgodnie z Umową.

Okres, przez który dane osobowe będą przechowywane, lub, jeśli nie jest to możliwe, kryteria stosowane do ustalenia tego okresu: sześć (6) miesięcy albo krócej, jeśli jest to czas niezbędny do świadczenia Usług zgodnie z Umową lub gdy jest to okres wymagany przez Prawo Właściwe.

ZAŁĄCZNIK 2

Techniczne i organizacyjne środki bezpieczeństwa

Articulate (importer danych) wdraża następujące techniczne i organizacyjne środki bezpieczeństwa.

  1. Pseudonimizacja i szyfrowanie: Dane Osobowe są szyfrowane w stanie spoczynku na naszych serwerach z wykorzystaniem standardów branżowych (np. AES 256-bit), a zarządzaniem kluczami zajmuje się dostawca środowiska hostingowego Articulate, Amazon Web Services (AWS).
  2. Środki zapewniające ciągłą poufność, integralność, dostępność i odporność systemów i usług przetwarzania: Articulate korzysta z systemu wykrywania włamań w celu analizowania, wykrywania i raportowania zdarzeń sieciowych oraz innych sytuacji ostrzegawczych, a także angażuje partnerów zewnętrznych do przeprowadzania ocen bezpieczeństwa i aplikacji. Articulate korzysta również z usług Amazon Web Services (AWS) jako dostawcy hostingu, co zapewnia redundancję (np. w trzech (3) lub więcej fizycznie odizolowanych i niezależnych od zasobów, strefach dostępności).
  3. Środki odzyskiwania po awarii i ciągłości działania (przywracanie dostępności i dostępu do danych osobowych w razie incydentu fizycznego lub technicznego): Articulate stosuje politykę odzyskiwania po awarii i powiązane procedury, które stanowią, że w razie awarii Articulate odbuduje swoją infrastrukturę w celu przywrócenia usług tak szybko, jak to możliwe, celowanym czasem odzyskiwania (RTO) wynoszącym 72 godziny i celowanym punktem odzyskiwania (RPO) wynoszącym 24 godziny.
  4. Testowanie, ocena i analiza środków bezpieczeństwa: Articulate stosuje politykę reagowania na incydenty, która jest testowana co najmniej raz w roku lub za każdym razem, gdy nastąpi istotna zmiana w naszych zabezpieczeniach.
  5. Identyfikacja i autoryzacja Użytkownika: usługi Articulate 360 nie przechowują danych uwierzytelniających użytkowników. Zamiast tego opierają się na usłudze jednokrotnego logowania oferowanej przez stronę trzecią, która korzysta ze sprawdzonych i akceptowanych w branży protokołów tożsamości w celu uwierzytelniania użytkowników, w tym szyfrowanie w stanie spoczynku przy użyciu przynajmniej algorytmu kryptograficznego AES-256.
  6. Ochrona danych podczas transmisji: poufne dane są szyfrowane w trakcie przesyłu z wykorzystaniem przynajmniej protokołu Transport Layer Security TLS 1.2.
  7. Ochrona danych podczas przechowywania: poufne dane są szyfrowane w stanie spoczynku na naszych serwerach z wykorzystaniem standardu branżowego – Advanced Encryption Standard 256-bit. Zarządzaniem kluczami zajmuje się dostawca środowiska hostingowego Articulate, AWS.
  8. Bezpieczeństwo fizyczne miejsc, w których przetwarzane są Dane Osobowe: Articulate jest firmą w pełni rozproszoną, co oznacza, że nie posiadamy fizycznych biur. Usługi Articulate hostujemy na serwerach AWS. Centra danych AWS są nowoczesne, wykorzystują innowacyjne podejścia architektoniczne i inżynieryjne, znajdują się w niepozornych budynkach, a dostęp fizyczny jest ściśle kontrolowany zarówno na terenie obiektu, jak i w punktach wejścia do budynku (np. przez profesjonalną ochronę, nadzór wideo).
  9. Rejestrowanie zdarzeń: Articulate korzysta z rozwiązań SIEM zgodnych ze zdefiniowanymi standardami centralizacji rejestrów i funkcjonalnościami alertów, a także z AWS CloudWatch i AWS CloudTrail w celu śledzenia wszystkich zmian w infrastrukturze.
  10. Konfiguracja systemu, łącznie z konfiguracją domyślną: Articulate rejestruje wszystkie zmiany infrastruktury w kontroli wersji i wykorzystuje najlepsze praktyki branżowe w celu bezpiecznej i pewnej implementacji tych zmian w usługach Articulate.
  11. Zarządzanie wewnętrznym systemem IT i bezpieczeństwem IT: pracownicy Articulate podpisują umowy o zachowaniu poufności i po zatrudnieniu przechodzą szkolenie z zakresu bezpieczeństwa, a szkolenia z zakresu bezpieczeństwa odbywają się co roku. Articulate stosuje zasady i procedury dotyczące właściwej ochrony, zarządzania, przechowywania i usuwania danych. Articulate korzysta również z najnowocześniejszego oprogramowania antywirusowego i tego służącego do zarządzania urządzeniami mobilnymi na wszystkich stacjach roboczych Articulate, monitoruje źródła dostawców i stron trzecich w celu uzyskania aktualnych informacji o lukach w zabezpieczeniach, niezwłocznie rozpowszechnia istotne informacje o poprawkach i wymaga, aby stacje robocze wszystkich członków zespołu inżynierów i innych osób mających dostęp do serwerów AWS (naszego hosta) były szyfrowane w stanie spoczynku.
  12. Certyfikacja/zapewnienie jakości procesów i produktów: Articulate przechodzi coroczny audyt SOC2 typu 2 przeprowadzany przez stronę trzecią i posiada certyfikaty ISO 27001 i ISO 27701. Pracownicy są zobowiązani do ukończenia szkolenia w zakresie świadomości bezpieczeństwa zaraz po zatrudnieniu, a następnie odbywają coroczne kursy, aby w pełni rozumieć swoje obowiązki i odpowiedzialność w zakresie przestrzegania polityk korporacyjnych mających na celu ochronę danych klientów.
  13. Minimalizacja danych: Articulate zbiera Dane Osobowe niezbędne do świadczenia usług klientom i udziela dostępu do Danych Osobowych wyłącznie wtedy, gdy jest to konieczne, aby umożliwić pracownikom wykonywanie ich obowiązków. Articulate okresowo dokonuje przeglądu uprawnień dostępu i odbiera uprawnienia w ciągu 24 godzin od zakończenia zatrudnienia danej osoby w Articulate. Ponadto Dane Osobowe są przechowywane i bezpiecznie niszczone zgodnie z polityką Articulate dotyczącą przechowywania danych (lub wcześniej na życzenie Klienta), o ile nie ma prawnego wymogu przechowywania takich danych.
  14. Jakość danych: usługi Articulate weryfikują dane wprowadzane przez użytkownika oraz parametry HTTP.
  15. Ograniczone przechowywanie danych: Articulate stosuje zasady przechowywania danych, które wymagają regularnego usuwania Danych Osobowych. W ramach naszego procesu odzyskiwania danych po awarii, Articulate codziennie tworzy kopie zapasowe. Dane są archiwizowane przez około sześćdziesiąt (60) dni, a następnie automatycznie nadpisywane.
  16. Odpowiedzialność: Articulate wdrożyło program ochrony prywatności, wyznaczyło Inspektora Ochrony Danych, wdrożyło zasady i praktyki ochrony prywatności (w tym dotyczące reagowania na incydenty) oraz przeprowadza szkolenia pracowników co najmniej raz w roku.
  17. przenoszenie i usuwanie danych: Articulate przestrzega procedur określonych w Umowie o Przetwarzaniu Danych Osobowych w celu reagowania na żądania klientów dotyczące kopii, korekty lub usunięcia Danych Osobowych użytkowników końcowych.
  18. W przypadku przekazywania danych do podmiotów (pod)przetwarzających: określone środki techniczne i organizacyjne, które mają zostać podjęte przez podmiot (pod)przetwarzający w celu umożliwienia udzielenia pomocy administratorowi danych, a w przypadku przekazywania danych od podmiotu przetwarzającego do podmiotu podprzetwarzającego, do eksportera danych: Administratorzy i/lub użytkownicy eksportera danych mogą korzystać z funkcji samoobsługowych w ramach Usług w celu uzyskania dostępu, usunięcia lub poprawienia danych o użytkownikach końcowych. Wszelka pozostała pomoc będzie świadczona za pośrednictwem zespołu wsparcia.