Warunki przetwarzania danych firmy Quartix

1. Kontekst i cel

Spółka, spółka osobowa, stowarzyszenie lub osoba fizyczna wyrażająca zgodę na niniejsze warunki („Klient”) oraz Quartix Technologies plc, Quartix Limited, Quartix SAS, Quartix Inc lub jakikolwiek inny podmiot, który jest bezpośrednio lub pośrednio kontrolowany przez Quartix Technologies plc (odpowiednio „Quartix”), zawarły umowę („Umowa”), na mocy której Quartix świadczy Usługi na rzecz Klienta.

W ramach niniejszej Umowy Klient będzie przekazywać Dane firmie Quartix. Celem niniejszych Warunków przetwarzania danych („Warunki”) jest zapewnienie odpowiednich ustaleń dotyczących przekazywania Danych między Klientem a firmą Quartix. Niniejsze Warunki stanowią część Umowy, a w przypadku jakichkolwiek rozbieżności między Umową a niniejszymi Warunkami pierwszeństwo mają postanowienia Umowy.

2. Definicje i interpretacja

Zgodnie z niniejszymi Warunkami:

„Przepisy o ochronie danych” oznaczają wszystkie obowiązujące statuty, przepisy prawa, przepisy prawa wtórnego, zasady, rozporządzenia i wytyczne organu nadzorczego (lub jego brytyjskiego odpowiednika) dotyczące prywatności, poufności, bezpieczeństwa, marketingu bezpośredniego lub ochrony Danych osobowych lub danych korporacyjnych (w tym dyrektywy 95/46/WE, 2002/58/WE i 97/66/WE, ustawa o ochronie danych z 2018 r., przepisy dotyczące prywatności i łączności elektronicznej (dyrektywa WE) z 2003 r. (512003/2426), rozporządzenie dotyczące ustawy o uprawnieniach dochodzeniowych z 2000 r., ustawa o uprawnieniach dochodzeniowych z 2016 r., rozporządzenia telekomunikacyjne (zgodne z prawem praktyki biznesowej) (przechwytywanie komunikacji) z 2000 r. (SI 2000/2699) oraz RODO).

„Dane” oznaczają wszelkie dane, które są objęte Przepisami o ochronie danych, w tym między innymi dane osobowe i dane wrażliwe zgodnie z definicją zawartą w RODO.

„RODO” oznacza Ogólne rozporządzenie o ochronie danych lub brytyjskie RODO (UK GDPR) (zgodnie z definicją w brytyjskiej ustawie o ochronie danych z 2018 r.), w zależności od przypadku.

„Usługi” oznaczają usługi świadczone przez Dostawcę w ramach Umowy.

„Administrator” ma znaczenie nadane mu w Przepisach o ochronie danych.

„Osoba, której dane dotyczą” ma znaczenie nadane jej w Przepisach o ochronie danych.

„Dane osobowe” mają znaczenie nadane im w Przepisach o ochronie danych.

„Podmiot przetwarzający” ma znaczenie nadane mu w Przepisach o ochronie danych.

„Podwykonawca przetwarzający” ma znaczenie nadane mu w Przepisach o ochronie danych.

„Organ nadzorczy” ma znaczenie nadane mu w Przepisach o ochronie danych.

3. Przetwarzanie danych

Klient gwarantuje, oświadcza i zobowiązuje się wobec firmy Quartix, że ma zgodne z prawem podstawy do przetwarzania Danych, że poinformował i będzie nadal informować Osoby, których dane dotyczą, o celu przetwarzania Danych oraz że będzie przez cały czas przestrzegać swoich zobowiązań wynikających z Przepisów o ochronie danych.

. Quartix zachowa poufność Danych i zgadza się przetwarzać Dane wyłącznie zgodnie z Przepisami o ochronie danych i następującymi postanowieniami (w zakresie, w jakim są one wymagane przez Przepisy o ochronie danych):

a) Quartix będzie przetwarzać Dane:

(i) zgodnie z Informacją o ochronie prywatności klientów Quartix https://www.quartix.com/pl-pl/dane-klienta-sledzenie-gps-i-prywatnosc/, która określa dane, które mogą być gromadzone, a także cele, do których mogą być one wykorzystywane;

(ii) wyłącznie w sposób niezbędny do świadczenia Usług i zgodnie z instrukcjami Klienta określonymi w Umowie lub w inny sposób uzgodniony między stronami na piśmie;

(iii) wyłącznie w Europejskim Obszarze Gospodarczym lub Wielkiej Brytanii, chyba że przekazanie Danych zostanie zatwierdzone przez Klienta lub odbędzie się do kraju, w przypadku którego Komisja Europejska lub, w odniesieniu do przekazania z obszaru Wielkiej Brytanii, Komisja Europejska lub właściwy organ nadzorczy okresowo określa, że zapewnia on odpowiedni poziom ochrony zgodnie z Przepisami o ochronie danych lub że przekazanie Danych jest zabezpieczone odpowiednimi środkami określonymi w RODO;

(iv) w stosownych przypadkach, zgodnie ze standardowymi klauzulami umownymi (Podmioty przetwarzające) zatwierdzonymi przez Komisję Europejską decyzją Komisji C(2010)593.

b) Quartix zapewnia, że wszyscy pracownicy i inni przedstawiciele Quartix mający dostęp do Danych:

(i) zapoznali się z niniejszymi Warunkami;

(ii) odbyli szkolenie w zakresie Przepisów o ochronie danych i związanych z nimi dobrych praktyk;

(iii) są zobowiązani do zachowania poufności.

c) Quartix i Klient uzgodnili wdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu zabezpieczeń odpowiedniego do danego ryzyka.

d) Klient udziela firmie Quartix prawa do angażowania stron trzecich (w tym agentów i podwykonawców) w proces przetwarzania Danych. Firma Quartix zapewnia, że zawarła umowy z takimi stronami trzecimi, które zapewniają poziom ochrony Danych równoważny poziomowi określonemu w niniejszych Warunkach. Firma Quartix pozostaje odpowiedzialna wobec Klienta za wypełnianie przez takie strony trzecie obowiązków w zakresie ochrony prywatności w odniesieniu do Danych.

e) Biorąc pod uwagę charakter przetwarzania, firma Quartix przyjmuje takie środki techniczne i organizacyjne, jakie są niezbędne, aby umożliwić jej, w miarę możliwości, wsparcie Klienta w wypełnianiu jego obowiązku odpowiadania na żądania Osób, których dane dotyczą, korzystających z praw określonych w rozdziale III RODO – prawa do usunięcia, sprostowania, dostępu, ograniczenia, przenoszenia, sprzeciwu i prawa do niepodlegania procesowi zautomatyzowanego podejmowania decyzji itp.

f) Quartix zapewni Klientowi takie wsparcie, jakie umożliwi Klientowi wywiązanie się z obowiązków wynikających z art. 32–36 RODO – zapewnienie bezpieczeństwa danych, powiadamianie o naruszeniach danych, przekazywanie informacji o naruszeniach danych Osobom, których dane dotyczą, ocena skutków dla ochrony danych oraz, w razie potrzeby, konsultacja z ICO (lub odpowiednim organem nadzorczym).

g) Quartix będzie prowadzić pisemny rejestr wszystkich kategorii czynności przetwarzania wykonywanych w imieniu Klienta, zawierający wszystkie informacje wymagane na mocy Przepisów o ochronie danych, a także udostępni ten rejestr właściwemu organowi nadzorczemu Unii Europejskiej lub Państwa członkowskiego (i/lub jego brytyjskiemu odpowiednikowi) na żądanie tego organu nadzorczego.

h) W zakresie wymaganym przez Przepisy o ochronie danych, Quartix usunie Dane, jeśli w dowolnym momencie Klient wyda uzasadnione polecenie ich usunięcia, a w każdym razie po zakończeniu przetwarzania zgodnie z Przepisami o ochronie danych (po upływie okresu przechowywania). Jeśli Klient jest klientem monitorującym pojazdy flotowe, ma on możliwość ustawienia okresu przechowywania danych po zalogowaniu się do aplikacji do monitorowania floty. W przypadku, gdy Quartix ma usunąć Dane, takie usunięcie obejmuje zniszczenie wszystkich istniejących kopii (w zakresie wymaganym przez Przepisy o ochronie danych).

i) W zakresie wymaganym przez Przepisy o ochronie danych Quartix, na uzasadnione żądanie Klienta, udostępni Klientowi informacje niezbędne do wykazania spełniania zobowiązań określonych w niniejszych Warunkach i umożliwi realizację wszelkich uzasadnionych żądań przeprowadzenia audytu ze strony Klienta – pod warunkiem, że Klient zrekompensuje Quartix wszelkie koszty poniesione w związku z przeprowadzeniem audytu (w tym koszty związane z czasem pracy pracowników); dostęp do niektórych rejestrów może być ograniczony przez Quartix w przypadku, gdy takie rejestry są uważane przez Quartix za wrażliwe z handlowego punktu widzenia (tego typu osądy są dokonywane przez Quartix według własnego uznania), nie są przeprowadzane żadne testy penetracyjne, skanowanie luk w zabezpieczeniach ani inne testy bezpieczeństwa; żadne rejestry ani kopie rejestrów nie mogą być usuwane ze stron Quartix; firmie Quartix zostanie przedstawione powiadomienie o audycie z 30-dniowym wyprzedzeniem, a umowy o zachowaniu poufności zostaną podpisane przez wszystkie strony chcące uczestniczyć w przeprowadzaniu audytu (w tym wszelkie strony działające w imieniu Klienta).

j) Quartix będzie przestrzegać odpowiednich ustaleń dotyczących bezpiecznego przekazywania Danych przez Klienta do Quartix i bezpiecznego przechowywania Danych przez Quartix.

k) Quartix zachowa integralność Danych bez wprowadzania zmian, zapewniając możliwość oddzielenia Danych od wszelkich innych utworzonych informacji.

l) W zakresie wymaganym przez Przepisy o ochronie danych Quartix, na uzasadnione żądanie Klienta, niezwłocznie zwróci, zmieni, przekaże, skopiuje lub usunie wszelkie Dane.

4. Obowiązek powiadomienia itp.

W zakresie wymaganym przez Przepisy o ochronie danych Quartix powiadomi Klienta: niezwłocznie po uzyskaniu informacji o faktycznej, podejrzewanej lub grożącej utracie, wycieku lub nieuprawnionym przetwarzaniu lub ujawnieniu jakichkolwiek Danych; niezwłocznie po otrzymaniu powiadomienia od dowolnego Organu nadzorczego, które odnosi się bezpośrednio lub pośrednio do przetwarzania Danych osobowych Klienta, i będzie współpracować z tym Organem nadzorczym; niezwłocznie, jeśli jakiekolwiek Dane osobowe Klienta będące w posiadaniu i/lub pod kontrolą Quartix zostaną utracone, uszkodzone lub staną się bezużyteczne z jakiegokolwiek powodu; niezwłocznie, jeśli Quartix ma powody, by sądzić, że działanie lub polecenie Klienta narusza Przepisy o ochronie danych.

5. Zakończenie obowiązywania

Po wygaśnięciu lub rozwiązaniu niniejszych Warunków Quartix niezwłocznie zaprzestanie wykorzystywania Danych oraz dopilnuje, aby jej przedstawiciele i podwykonawcy zaprzestali ich wykorzystywania, a także zorganizuje bezpieczny zwrot lub zniszczenie Danych (według uznania Klienta) w odpowiednim czasie (chyba że prawo Unii Europejskiej, Państwa członkowskiego i/lub Wielkiej Brytanii wymaga przechowywania Danych osobowych).

6. Prawa związane z danymi osobowymi

Quartix kompiluje dane zgromadzone w ramach świadczenia Usług w formie zagregowanej i zanonimizowanej („Dane zagregowane”), a Klient udziela firmie Quartix prawa do tego. Firma Quartix nabywa pełne prawa do zagregowanych danych i prawo własności do nich oraz przestaje być Podmiotem przetwarzającym działającym w imieniu Klienta w momencie, gdy dane te zostaną skompilowane w formie zanonimizowanej, jak również nie będzie zobowiązany do zachowania poufności, usunięcia, zwrotu lub wprowadzenia jakichkolwiek zmian w zagregowanych danych lub jakiejkolwiek ich części.