(1) MEFERI Technologies Co., Ltd., spółka zarejestrowana zgodnie z prawem chińskim, z siedzibą pod adresem 5F, A5, Tianfu Software Park, No. 1129, Century City Road, High-tech Zone, 610000, Chengdu, Syczuan, Chińska Republika Ludowa („MEFERI”, „Przetwarzający”, „My”, „Nas” lub „Nasz”); i

(2) Klient („Klient”, „Kontroler” lub „Ty”), czyli podmiot prawny, który subskrybował lub korzysta z Usług MEFERI zdefiniowanych poniżej i zaakceptował główne warunki świadczenia usług MEFERI lub inną umowę ramową („Umowa główna”).

Niniejsza Umowa o przetwarzaniu danych osobowych stanowi integralną część Umowy głównej i odzwierciedla umowę stron dotyczącą przetwarzania danych osobowych przez MEFERI w imieniu Klienta w związku ze świadczeniem Usług.

Akceptując Umowę główną lub uzyskując dostęp do Usług bądź korzystając z nich po udostępnieniu niniejszej Umowy o ochronie danych osobowych, Klient zawiera niniejszą Umowę o ochronie danych osobowych w swoim imieniu, a w zakresie wymaganym przez obowiązujące prawo o ochronie danych osobowych, w imieniu i na rzecz swoich upoważnionych Użytkowników.

W przypadku jakiegokolwiek konfliktu pomiędzy niniejszą Umową o przetwarzaniu danych osobowych a Umową główną, niniejsza Umowa o przetwarzaniu danych osobowych ma pierwszeństwo w zakresie takiego konfliktu w odniesieniu do przetwarzania danych osobowych.

1. DEFINICJE

1.1. „Umowa Główna” oznacza główną umowę pisemną (która może być zatytułowana: Warunki Świadczenia Usług, Ogólne Warunki Świadczenia Usług, Umowa Ramowa o Świadczenie Usług, Umowa o Świadczenie Usług, Umowa Subskrypcyjna lub podobnie) zawartą pomiędzy Klientem a MEFERI (lub Podmiotem Powiązanym MEFERI, zgodnie z Sekcją 18.4) w sprawie świadczenia Usług, w tym wszelkich szczegółowych warunków planu usług (takich jak „MeCare (Nazwa Planu): Ogólne Warunki Świadczenia Usług”) oraz wszelkich formularzy zamówień lub oświadczeń o pracy sporządzonych na ich podstawie. Niniejsza Umowa DPA stanowi integralną część Umowy Głównej.

1.2. „Obowiązujące prawo o ochronie danych” oznacza wszystkie prawa i przepisy mające zastosowanie do przetwarzania danych osobowych na mocy niniejszej umowy DPA, w tym między innymi RODO oraz wszelkie krajowe przepisy wykonawcze, regulacje i akty wykonawcze, z uwzględnieniem wszelkich zmian lub aktualizacji wprowadzanych od czasu do czasu.

1.3. „Administrator” ma znaczenie określone w art. 4 ust. 7 RODO. Dla celów niniejszej Umowy o przetwarzaniu danych osobowych, Administratorem jest Klient.

1.4. „Podmiot danych” ma znaczenie określone w artykule 4 ust. 1 RODO.

1.5. „RODO” oznacza Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

1.6. „Dane osobowe” mają znaczenie określone w artykule 4(1) RODO i ograniczają się do Danych osobowych przetwarzanych przez MEFERI w imieniu Klienta w ramach świadczenia Usług, zgodnie z opisem zawartym w Załączniku 1.

1.7. „Naruszenie Danych Osobowych” ma znaczenie określone w Artykule 4(12) RODO, w szczególności naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmiany, nieautoryzowanego ujawnienia lub dostępu do Danych Osobowych Klienta przesyłanych, przechowywanych lub w inny sposób Przetwarzanych przez MEFERI.

1.8. „Przetwarzanie” ma znaczenie określone w artykule 4 ust. 2 RODO. Terminy „przetwarzać” i „przetwarzany” należy interpretować odpowiednio.

1.9. „Podmiot przetwarzający” oznacza MEFERI Technologies Co., Ltd. (MEFERI) lub, w stosownych przypadkach zgodnie z Sekcją 18.4 niniejszej Umowy o przetwarzaniu danych, podmiot stowarzyszony MEFERI będący stroną Umowy głównej z Klientem.

1.10. „Usługi” oznaczają produkty i usługi świadczone przez MEFERI na rzecz Klienta na mocy Umowy Głównej, w tym w szczególności rozwiązanie chmurowe Shadowalk MDM/EMM firmy MEFERI, hostowane w chmurze komponenty rozwiązania Inteligentnego Asystenta Klienta (ISA) firmy CIAO, w którym MEFERI pełni rolę podmiotu przetwarzającego, oraz wszelkie powiązane usługi wsparcia (w tym między innymi usługi świadczone na podstawie umowy serwisowej MEFERI MeCare), w ramach których MEFERI Przetwarza Dane Osobowe Klienta. Dla wyjaśnienia, Usługi nie obejmują wdrożeń lokalnych oprogramowania MEFERI, w których bieżące Przetwarzanie Danych Osobowych odbywa się wyłącznie w środowisku Klienta, z wyjątkiem sytuacji, gdy MEFERI uzyskuje dostęp do takich systemów w celu uzyskania wsparcia zgodnie z instrukcjami Klienta.

1.11. „Podwykonawca” oznacza dowolną osobę trzecią zaangażowaną przez MEFERI do przetwarzania danych osobowych w imieniu Klienta w związku ze świadczonymi Usługami.

1.12. „Środki techniczne i organizacyjne” lub „Środki techniczne i organizacyjne” oznaczają środki bezpieczeństwa wdrożone przez MEFERI w celu ochrony Danych osobowych, zgodnie z opisem zawartym w Załączniku 2.

1.13. „Rozwiązania partnerów zewnętrznych” oznaczają oprogramowanie lub usługi dostarczane przez strony trzecie, które mogą być zintegrowane ze sprzętem lub Usługami MEFERI lub używane w połączeniu z nimi, takie jak rozwiązania płatnicze (np. WorldLine „Tap on Mobile”) lub oprogramowanie do samodzielnego skanowania w handlu detalicznym (np. 4MAX „Scan & Go”), gdzie Klient może mieć bezpośrednią umowę z taką stroną trzecią.

2. ROLE I ODPOWIEDZIALNOŚĆ

2.1. Role Stron: Klient jest Administratorem, a MEFERI jest Podmiotem Przetwarzającym Dane Osobowe Klienta. Każda ze Stron będzie przestrzegać swoich obowiązków wynikających z Obowiązującego Prawa o Ochronie Danych.

2.2. Obowiązki Klienta jako Administratora: Klient oświadcza i gwarantuje, że:

a. Przestrzegała i będzie przestrzegać wszystkich stosownych postanowień Obowiązującego Prawa o Ochronie Danych w odniesieniu do Przetwarzania Danych Osobowych oraz wszelkich instrukcji przetwarzania wydanych dla MEFERI;

b. Ponosi wyłączną odpowiedzialność za dokładność, jakość i legalność Danych Osobowych oraz za środki, za pomocą których pozyskał Dane Osobowe, w tym za uzyskanie wszystkich niezbędnych zgód, dostarczenie wszystkich niezbędnych powiadomień i posiadanie ważnej podstawy prawnej do Przetwarzania Danych Osobowych przez MEFERI zgodnie z niniejszą Umową o Ochronie Danych i Umową Główną; i

c. Instrukcje dla MEFERI dotyczące przetwarzania danych osobowych muszą być zgodne z obowiązującymi przepisami o ochronie danych.

2.3. Obowiązki MEFERI jako podmiotu przetwarzającego: MEFERI ma obowiązek:

a. Przetwarzać Dane Osobowe wyłącznie na podstawie udokumentowanych poleceń Klienta, w tym w odniesieniu do przekazywania Danych Osobowych do państwa trzeciego lub organizacji międzynarodowej, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego, któremu podlega MEFERI; w takim przypadku MEFERI poinformuje Klienta o tym wymogu prawnym przed Przetwarzaniem, chyba że prawo to zabrania przekazywania takich informacji z uwagi na ważny interes publiczny (art. 28 ust. 3 lit. a) RODO). Umowa Główna i niniejsza Umowa o Powierzeniu Danych Osobowych stanowią udokumentowane polecenia Klienta dla MEFERI dotyczące Przetwarzania Danych Osobowych.

b. Niezwłocznie poinformować Klienta, jeżeli zdaniem MEFERI instrukcja narusza obowiązujące prawo o ochronie danych (art. 28(3) RODO).

3. SZCZEGÓŁY PRZETWARZANIA

3.1. Przedmiot przetwarzania, czas trwania przetwarzania, charakter i cel przetwarzania, rodzaje danych osobowych oraz kategorie osób, których dane dotyczą, określono w Załączniku 1 (Szczegóły przetwarzania) do niniejszej umowy DPA.

4. POUFNOŚĆ

4.1. MEFERI zapewnia, że jego personel upoważniony do przetwarzania danych osobowych zobowiązał się do zachowania poufności lub że podlega odpowiedniemu ustawowemu obowiązkowi zachowania poufności (art. 28 ust. 3 lit. b) RODO).

5. BEZPIECZEŃSTWO PRZETWARZANIA

5.1. Biorąc pod uwagę stan wiedzy technicznej, koszty wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania, a także ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, MEFERI wdraża i utrzymuje odpowiednie środki techniczne i organizacyjne, aby zapewnić poziom bezpieczeństwa odpowiadający ryzyku, zgodnie z opisem w Załączniku 2 (Środki techniczne i organizacyjne) (art. 28 ust. 3 lit. c) i art. 32 RODO).

5.2. MEFERI może od czasu do czasu aktualizować lub modyfikować TOM-y, pod warunkiem, że takie aktualizacje i modyfikacje nie spowodują istotnego pogorszenia ogólnego bezpieczeństwa Usług.

6. PODPRZETWARZANIE

6.1. Ogólne upoważnienie: Klient udziela MEFERI ogólnego pisemnego upoważnienia do angażowania Podmiotów przetwarzających do przetwarzania Danych osobowych w imieniu Klienta w związku ze świadczeniem Usług (artykuł 28(2) RODO).

6.2. Aktualni Podmioty Przetwarzające i Powiadomienie o Nowych Podmiotach Przetwarzających: MEFERI będzie prowadzić listę swoich aktualnych Podmiotów Przetwarzających, która będzie udostępniana Klientowi na żądanie lub za pośrednictwem wyznaczonej strony internetowej (patrz Załącznik 3). MEFERI będzie informować Klienta o wszelkich planowanych zmianach dotyczących dodania lub zastąpienia innych Podmiotów Przetwarzających z co najmniej trzydziestodniowym (30) wyprzedzeniem, dając Klientowi możliwość wyrażenia sprzeciwu wobec takich zmian.

6.3. Sprzeciw wobec nowych podprocesorów: Jeżeli Klient ma uzasadnione podstawy, aby sprzeciwić się korzystaniu przez MEFERI z usług nowego podprocesora, Klient zobowiązany jest niezwłocznie powiadomić MEFERI na piśmie w ciągu dziesięciu (10) dni roboczych od otrzymania powiadomienia od MEFERI. W przypadku sprzeciwu Klienta, MEFERI dołoży uzasadnionych starań, aby umożliwić Klientowi zmianę Usług lub zalecić komercyjnie uzasadnioną zmianę konfiguracji lub sposobu korzystania z Usług przez Klienta, aby uniknąć Przetwarzania Danych Osobowych przez nowego podprocesora, wobec którego zgłoszono sprzeciw, bez nadmiernego obciążania Klienta. Jeżeli MEFERI nie będzie w stanie udostępnić takiej zmiany w rozsądnym terminie, nieprzekraczającym trzydziestu (30) dni kalendarzowych, Klient może wypowiedzieć odpowiednią część Usług, których MEFERI nie może świadczyć bez korzystania z usług nowego podprocesora, wobec którego zgłoszono sprzeciw, poprzez pisemne powiadomienie MEFERI.

6.4. Obowiązki podprocesora: MEFERI zapewni, że każdy zaangażowany przez niego podprocesor podlega pisemnej umowie lub innemu aktowi prawnemu na mocy prawa Unii lub państwa członkowskiego nakładającemu obowiązki ochrony danych, które są co najmniej równoważne tym nałożonym na MEFERI na mocy niniejszej umowy o ochronie danych, w szczególności zapewniającemu wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych w taki sposób, aby przetwarzanie spełniało wymogi obowiązującego prawa o ochronie danych (art. 28 ust. 4 RODO).

6.5. Odpowiedzialność: MEFERI ponosi pełną odpowiedzialność wobec Klienta za realizację obowiązków w zakresie ochrony danych swoich Podmiotów Przetwarzających.

7. PRAWA PODMIOTU DANYCH

7.1. Biorąc pod uwagę charakter Przetwarzania, MEFERI będzie pomagać Klientowi poprzez wdrażanie odpowiednich środków technicznych i organizacyjnych, o ile będzie to możliwe, w celu wypełnienia obowiązku Klienta w zakresie odpowiadania na żądania dotyczące wykonywania praw Podmiotu Danych określonych w Rozdziale III RODO (np. prawo dostępu, sprostowania, usunięcia itp.) (art. 28 ust. 3 lit. e RODO).

7.2. Jeżeli MEFERI otrzyma żądanie bezpośrednio od Podmiotu Danych dotyczące Danych Osobowych Klienta, MEFERI niezwłocznie powiadomi Klienta o takim żądaniu i nie udzieli Podmiotowi Danych odpowiedzi, z wyjątkiem potwierdzenia, że żądanie dotyczy Klienta. Klient ponosi odpowiedzialność za udzielenie odpowiedzi na wszystkie takie żądania Podmiotu Danych.

8. POMOC DLA ADMINISTRATORA

8.1. Biorąc pod uwagę charakter Przetwarzania i informacje dostępne dla MEFERI, MEFERI zapewni Klientowi uzasadnioną pomoc w zapewnieniu przestrzegania jego obowiązków zgodnie z artykułami 32–36 RODO (Bezpieczeństwo Przetwarzania, Zgłoszenie Naruszenia Danych Osobowych Organowi Nadzorczemu, Zawiadomienie Podmiotu Danych o Naruszeniu Danych Osobowych, Ocena Skutków dla Ochrony Danych oraz Wcześniejsze Konsultacje z Organem Nadzorczym) (Artykuł 28(3)(f) RODO).

9. POWIADOMIENIE O NARUSZENIU DANYCH OSOBOWYCH

9.1. Powiadomienie Klienta:

MEFERI powiadomi Klienta bez zbędnej zwłoki, a w każdym przypadku w ciągu czterdziestu ośmiu (48) godzin od momentu dowiedzenia się o naruszeniu ochrony danych osobowych dotyczącym danych osobowych Klienta (artykuł 28(3)(f) i artykuł 33(2) RODO).

9.2. W takim powiadomieniu należy, w miarę możliwości, określić:

a. Charakter naruszenia danych osobowych, w tym, w miarę możliwości, kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę rekordów danych osobowych, których dotyczy naruszenie;

b. Nazwa i dane kontaktowe Inspektora Ochrony Danych MEFERI lub innego punktu kontaktowego, w którym można uzyskać więcej informacji;

c. Prawdopodobne konsekwencje naruszenia danych osobowych; i

d. Środki podjęte lub proponowane przez MEFERI w celu zaradzenia naruszeniu ochrony danych osobowych, w tym, w stosownych przypadkach, środki mające na celu złagodzenie jego możliwych negatywnych skutków.

9.3. W przypadku, gdy nie jest możliwe udzielenie wszystkich informacji w tym samym czasie, informacje mogą być przekazywane etapami bez zbędnej zwłoki.

9.4. Klient ponosi wyłączną odpowiedzialność za przestrzeganie własnych obowiązków w zakresie powiadamiania o naruszeniu danych osobowych zgodnie z Obowiązującym Prawem o Ochronie Danych. Powiadomienie MEFERI o Naruszeniu Danych Osobowych lub odpowiedź na nie zgodnie z niniejszym Paragrafem 9 nie będą interpretowane jako przyznanie się MEFERI do winy lub odpowiedzialności w związku z Naruszeniem Danych Osobowych.

10. USUNIĘCIE LUB ZWROT DANYCH

10.1. Na życzenie Klienta, MEFERI usunie lub zwróci Klientowi wszystkie Dane Osobowe po zakończeniu świadczenia Usług związanych z Przetwarzaniem, a także usunie istniejące kopie, chyba że prawo Unii lub państwa członkowskiego wymaga przechowywania Danych Osobowych (art. 28 ust. 3 lit. g) RODO). Szczegółowe terminy przechowywania i usuwania danych będą określone w Umowie Głównej lub w inny sposób uzgodniony.

11. AUDYTY I INSPEKCJE

11.1. MEFERI udostępni Klientowi wszelkie informacje niezbędne do wykazania zgodności z obowiązkami określonymi w artykule 28 RODO oraz umożliwi Klientowi lub innemu audytorowi upoważnionemu przez Klienta przeprowadzanie audytów, w tym inspekcji, oraz będzie do nich przyczyniać się (art. 28(3)(h) RODO).

11.2. Audyty te będą przeprowadzane w normalnych godzinach pracy MEFERI, z zastrzeżeniem uzasadnionego, pisemnego powiadomienia z wyprzedzeniem nie krótszym niż trzydzieści (30) dni kalendarzowych, i nie będą w sposób nieuzasadniony zakłócać działalności gospodarczej MEFERI. Klient i MEFERI wspólnie uzgodnią zakres, termin i czas trwania audytu.

11.3. Klient zobowiązany jest zapewnić, aby każdy audytor działał na podstawie pisemnej umowy o zachowaniu poufności. Klient ponosi własne koszty oraz wszelkie koszty wyznaczonego przez siebie audytora. Jeżeli audyt wykaże istotne naruszenie niniejszej Umowy o Ochronie Danych Osobowych przez MEFERI, MEFERI pokryje uzasadnione koszty audytu, do ustalonego wspólnie limitu.

11.4. W zakresie dozwolonym przez prawo, MEFERI może wypełnić swoje obowiązki audytorskie, dostarczając Klientowi stosowne certyfikaty od niezależnego audytora zewnętrznego (np. ISO 27001, SOC 2 typu II) lub ich podsumowania, z zastrzeżeniem odpowiednich zobowiązań dotyczących zachowania poufności.

12. MIĘDZYNARODOWE PRZEKAZYWANIE DANYCH

12.1. MEFERI nie będzie przekazywać Danych Osobowych do żadnego kraju spoza Europejskiego Obszaru Gospodarczego (EOG) lub kraju uznanego za odpowiedni przez Komisję Europejską zgodnie z artykułem 45 RODO bez zapewnienia odpowiednich zabezpieczeń wymaganych w rozdziale V RODO (np. poprzez zawarcie standardowych klauzul umownych zatwierdzonych przez Komisję Europejską).

12.2. Główne lokalizacje przetwarzania danych w ramach Usług, w szczególności miejsca, w których Dane Osobowe Klienta są hostowane przez MEFERI w jego głównej infrastrukturze chmurowej, będą znajdować się na terenie Europejskiego Obszaru Gospodarczego (EOG), z wykorzystaniem regionu eu-west-3 Amazon Web Services (AWS) (Paryż, Francja). Szczegółowe informacje na temat podprocesorów, w tym dostawców infrastruktury chmurowej i ich lokalizacji, znajdują się w Załączniku 3.

12.3. Jeżeli MEFERI dokonuje transferu Danych Osobowych do Podmiotu Przetwarzającego w państwie trzecim (tj. poza EOG lub w państwie uznanym przez Komisję Europejską za niewystarczające), które nie zapewnia odpowiedniego poziomu ochrony, MEFERI zapewni, że takie transfery będą objęte odpowiednim mechanizmem transferu zgodnie z Rozdziałem V RODO, takim jak Standardowe Klauzule Umowne. Dotyczy to transferów, które mogą mieć miejsce, gdy MEFERI korzysta z usług podwykonawcy, którego infrastruktura lub personel pomocniczy znajdują się w takich państwach trzecich, nawet jeśli główne miejsce przetwarzania określone w punkcie 12.2 znajduje się w EOG.

13. KORZYSTANIE PRZEZ TP1T Z ROZWIĄZAŃ PARTNERÓW ZEWNĘTRZNYCH

13.1. Klient przyjmuje do wiadomości, że sprzęt lub Usługi MEFERI mogą być wykorzystywane w połączeniu z rozwiązaniami partnerów zewnętrznych (np. rozwiązaniami do przetwarzania płatności na urządzeniach CIAO, określonym oprogramowaniem do zarządzania sprzedażą detaliczną).

13.2. W przypadku gdy Klient zdecyduje się na korzystanie z takich Rozwiązań Partnerów Zewnętrznych, Klient może nawiązać bezpośrednią umowę z dostawcami takich rozwiązań. W takich przypadkach dostawca zewnętrzny może działać jako Administrator lub Podmiot Przetwarzający Dane Osobowe, które przetwarza w związku ze swoimi usługami, zgodnie z umową zawartą przez Klienta z tym podmiotem zewnętrznym.

13.3. Niniejsza Umowa o przetwarzaniu danych osobowych (DPA) reguluje wyłącznie Przetwarzanie Danych Osobowych przez MEFERI jako Podmiot Przetwarzający dla Klienta. Nie ma ona zastosowania do czynności Przetwarzania prowadzonych przez dostawców Rozwiązań Partnerów Zewnętrznych, z którymi Klient utrzymuje bezpośrednie relacje, chyba że dostawca ten działa jako Podmiot Przetwarzający dla MEFERI zgodnie z Sekcją 6 niniejszej Umowy o przetwarzaniu danych.

14. ODPOWIEDZIALNOŚĆ I ODSZKODOWANIE

14.1. Odpowiedzialność każdej ze stron na mocy niniejszej Umowy DPA podlega ograniczeniom i wyłączeniom odpowiedzialności określonym w Umowie Głównej.

14.2. Klient zobowiązuje się zabezpieczyć i zwolnić MEFERI z odpowiedzialności za wszelkie roszczenia, działania, roszczenia osób trzecich, straty, szkody i wydatki (w tym uzasadnione koszty obsługi prawnej) poniesione przez MEFERI w wyniku naruszenia przez Klienta jego zobowiązań wynikających z niniejszej Umowy o ochronie danych lub obowiązującego prawa o ochronie danych.

15. OKRES OBOWIĄZYWANIA I ROZWIĄZANIE UMOWY

15.1. Niniejsza Umowa o przetwarzaniu danych osobowych wchodzi w życie z dniem wejścia w życie Umowy Głównej i pozostaje w mocy do momentu rozwiązania lub wygaśnięcia Umowy Głównej lub do momentu zaprzestania przez MEFERI Przetwarzania Danych Osobowych w imieniu Klienta, w zależności od tego, co nastąpi później.

15.2. Obowiązki zachowania poufności, usunięcia/zwrotu danych oraz wszelkie postanowienia, które ze względu na swój charakter powinny przetrwać rozwiązanie umowy, pozostaną w mocy po rozwiązaniu lub wygaśnięciu niniejszej Umowy o przetwarzaniu danych.

16. ZMIANY W NINIEJSZEJ UMOWIE PRYWATNOŚCI

16.1. MEFERI może od czasu do czasu zmieniać niniejszą Umowę o przetwarzaniu danych osobowych poprzez zamieszczenie zmienionej wersji na swojej stronie internetowej lub poprzez powiadomienie Klienta w inny sposób.

16.2. W przypadku wprowadzenia przez MEFERI istotnej zmiany w niniejszej Umowie o Porozumieniu, MEFERI powiadomi Klienta z odpowiednim wyprzedzeniem o zmianie (np. pocztą elektroniczną na adres wskazany przez Klienta lub powiadomieniem w ramach Usług). Dalsze korzystanie przez Klienta z Usług po upływie tego okresu powiadomienia będzie równoznaczne z akceptacją zmienionej Umowy o Porozumieniu. W przypadku sprzeciwu Klienta wobec istotnej zmiany, Klient może rozwiązać Umowę Główną zgodnie z jej postanowieniami.

17. Prawo właściwe i rozstrzyganie sporów

17.1. Prawo właściwe: Niniejsza Umowa DPA podlega przepisom prawa wskazanego jako prawo właściwe w Umowie Głównej zawartej pomiędzy Klientem a podmiotem MEFERI będącym stroną takiej Umowy Głównej („Podmiot MEFERI zawierający Umowę”) i zgodnie z nimi będzie interpretowana.

17.2. Rozstrzyganie sporów:

a. Strony podejmą wszelkie starania w celu polubownego rozwiązania wszelkich sporów, kontrowersji lub roszczeń wynikających z niniejszej Umowy DPA, jej interpretacji, ważności, naruszenia lub rozwiązania („Spór”), w drodze negocjacji prowadzonych w dobrej wierze między ich upoważnionymi przedstawicielami. b. Jeżeli Spór nie może zostać rozwiązany w drodze negocjacji w ciągu trzydziestu (30) dni kalendarzowych od pisemnego powiadomienia Strony o rozpoczęciu negocjacji, Spór taki zostanie rozstrzygnięty zgodnie z mechanizmem rozstrzygania sporów (np. arbitraż lub postępowanie sądowe) i miejscem rozstrzygnięcia określonymi w Umowie Głównej. c. W przypadku gdy Umowa Główna przewiduje arbitraż:

i. Taki arbitraż będzie podstawowym mechanizmem rozstrzygania sporów w ramach niniejszej Umowy DPA. ii. O ile Umowa Główna nie stanowi inaczej lub jeśli Umowa Główna nie określa szczegółów arbitrażu w sprawach związanych z niniejszą Umową DPA, Strony zgadzają się, że każdy taki Spór może zostać poddany arbitrażowi administrowanemu przez wzajemnie uzgodnioną, międzynarodowo uznaną instytucję arbitrażową (taką jak Sąd Arbitrażu Międzynarodowego w Shenzhen (SCIA), Międzynarodowe Centrum Arbitrażu w Singapurze (SIAC) lub Międzynarodowe Centrum Arbitrażu w Hongkongu (HKIAC) lub odpowiednią instytucję w Unii Europejskiej, jeśli Umawiający się Podmiot MEFERI jest podmiotem stowarzyszonym z siedzibą w UE). iii. Arbitraż będzie prowadzony w języku angielskim. Siedziba lub miejsce prawne arbitrażu będzie określone w Umowie Głównej lub, jeśli nie określono inaczej lub jeśli dla danego Sporu zostanie uzgodniona inna lokalizacja, lokalizacja wybrana za obopólną zgodą Stron lub, jeśli nie zostanie osiągnięte takie porozumienie w rozsądnym terminie, przez Umawiający się Podmiot MEFERI. iv. Orzeczenie arbitrażowe jest ostateczne i wiążące dla obu Stron, z zastrzeżeniem prawa do odwołania się przewidzianego w prawie miejsca arbitrażu w przypadku niesprawiedliwości proceduralnej lub braku jurysdykcji.

d. Jeżeli Umowa Główna przewiduje możliwość rozstrzygania sporów na drodze sądowej, właściwe są sądy wskazane w Umowie, z zastrzeżeniem postanowień Sekcji 17.3 poniżej.

17.3. Obowiązkowe przepisy o ochronie danych: a. Niezależnie od innych postanowień niniejszej umowy DPA lub Umowy głównej, w przypadku gdy obowiązujące przepisy o ochronie danych (w tym, ale nie wyłącznie, RODO) przyznają osobie, której dane dotyczą, obowiązkowe prawa do wszczęcia postępowania przed sądami właściwymi dla jej zwykłego pobytu lub miejsca pracy lub miejsca, w którym doszło do domniemanego naruszenia, lub do złożenia skargi do organu nadzorczego, prawa te nie będą naruszane przez postanowienia niniejszej umowy DPA. b. W przypadku gdy ma zastosowanie RODO, MEFERI i Klient zapewnią, że żaden wybór prawa właściwego lub jurysdykcji nie uniemożliwi osobom, których dane dotyczą, korzystania z obowiązkowych przepisów prawa państwa członkowskiego Unii Europejskiej, w którym mieszkają.

17.4. Kontynuacja realizacji: Do czasu rozstrzygnięcia Sporu Strony będą kontynuować realizację swoich wzajemnych zobowiązań wynikających z niniejszej Umowy o partnerstwie gospodarczym w zakresie, w jakim jest to możliwe, chyba że Umowa o partnerstwie gospodarczym lub Umowa główna zostaną rozwiązane.

18. INFORMACJE KONTAKTOWE / OCHRONA DANYCH

18.1. Podmiot przetwarzający: MEFERI Technologies Co., Ltd. Adres: 5F, A5, Tianfu Software Park, No. 1129, Century City Road, High-tech Zone, 610000, Chengdu, Syczuan, Chiny

– Adres e-mail do przesyłania zapytań dotyczących ochrony danych: legal@meferi.com

18.2. Zapytania dotyczące ochrony danych i inspektor ochrony danych (dla MEFERI Technologies Co., Ltd.): Wszelkie zapytania dotyczące ochrony danych w ramach niniejszej umowy DPA należy kierować na adres e-mail podany dla MEFERI Technologies Co., Ltd. w punkcie 18.1 powyżej.

18.3. Przedstawiciel w UE dla MEFERI Technologies Co., Ltd. (zgodnie z artykułem 27 RODO): Nazwa Przedstawiciela w UE: MEFERI Poland Sp. z oo Adres: Ul. Modelarska 18/2, 40-142 Katowice, Polska Adres e-mail do zapytań dotyczących ochrony danych w UE (dla osób, których dane dotyczą, i organów nadzorczych w UE w związku z przetwarzaniem przez MEFERI Technologies Co., Ltd.): poland@meferi.com

18.4. Przetwarzanie przez podmioty stowarzyszone MEFERI: W przypadku gdy Klient zawiera Umowę główną z podmiotem stowarzyszonym MEFERI Technologies Co., Ltd. (np. MEFERI Poland Sp. z oo) („Podmiot stowarzyszony MEFERI zawierający Umowę”), a taki Podmiot stowarzyszony MEFERI zawierający Umowę działa jako Podmiot przetwarzający dane osobowe na mocy tej Umowy głównej:

a) Niniejsza Umowa o przetwarzaniu danych ma zastosowanie do czynności przetwarzania wykonywanych przez Podmiot stowarzyszony MEFERI będący stroną Umowy, a wszelkie odniesienia do „MEFERI” lub „Podmiotu przetwarzającego” w niniejszym dokumencie uznaje się za odnoszące się do takiego Podmiotu stowarzyszonego MEFERI będącego stroną Umowy.

b) Dane kontaktowe do zapytań dotyczących ochrony danych osobowych związanych z przetwarzaniem przez Podmiot Powiązany MEFERI, będący stroną Umowy, będą określone w Umowie Głównej lub w inny sposób przekazane Klientowi przez Podmiot Powiązany MEFERI będący stroną Umowy. W przypadku MEFERI Poland Sp. z o.o. dane kontaktowe to: Adres: Ul. Modelarska 18/2, 40-142 Katowice, Polska

E-mail: poland@meferi.com

Telefon: +48 734-143-579

c) Prawo właściwe i sposób rozstrzygania sporów w ramach niniejszej Umowy o partnerstwie w sprawie przetwarzania danych w takich przypadkach zostaną określone w Umowie głównej zawartej z Podmiotem stowarzyszonym MEFERI.

19. CAŁOŚĆ ZGADZA SIĘ MENT

19.1. Niniejsza Umowa DPA, wraz z Załącznikami, stanowi całość porozumienia pomiędzy stronami w odniesieniu do przedmiotu niniejszej Umowy i zastępuje wszelkie wcześniejsze i równoczesne umowy, propozycje lub oświadczenia, pisemne lub ustne, dotyczące jej przedmiotu.

NA DOWÓD CZEGO strony potwierdzają swoją zgodę na niniejszą Umowę o przetwarzaniu danych z dniem wejścia w życie Umowy głównej lub rozpoczęcia korzystania z Usług przez Klienta.

—

DODATEK 1

SZCZEGÓŁY PRZETWARZANIA

Niniejszy Załącznik 1 stanowi część Umowy o przetwarzaniu danych osobowych i opisuje przetwarzanie danych osobowych przez MEFERI w imieniu Klienta.

A. LISTA STRON

Kontroler(zy) / Klient(zy):

Podmiot prawny, który zawarł Umowę Główną z MEFERI w celu świadczenia Usług. Klient określa cele i sposoby Przetwarzania Danych Osobowych.

Procesor(y) / MEFERI:

MEFERI Technologies Co., Ltd. lub, w stosownych przypadkach zgodnie z Sekcją 18.4 niniejszej Umowy o partnerstwie w sprawie przetwarzania danych, podmiot stowarzyszony MEFERI będący stroną Umowy głównej z Klientem, świadczący Usługi na rzecz Klienta.

B. OPIS PRZETWARZANIA

1. Przedmiot przetwarzania:

Przetwarzanie danych osobowych w kontekście świadczenia, utrzymywania, obsługi i ulepszania usług MEFERI subskrybowanych przez Klienta na mocy Umowy głównej, obejmujących między innymi rozwiązanie w chmurze MEFERI Shadowalk MDM/EMM oraz hostowane w chmurze komponenty rozwiązania CIAO Intelligent Shopper Assistant (ISA).

2. Czas trwania przetwarzania:

Przez okres obowiązywania Umowy głównej pomiędzy MEFERI a Klientem i do momentu usunięcia lub zwrotu wszystkich Danych osobowych zgodnie z Sekcją 10 Ustawy o ochronie danych osobowych.

3. Charakter i cel przetwarzania:

– W przypadku rozwiązania chmurowego Shadowalk MDM/EMM MEFERI: Aby umożliwić Klientowi zdalne zarządzanie, zabezpieczanie, monitorowanie i obsługę floty urządzeń mobilnych. Obejmuje to dostarczanie urządzeń, zarządzanie konfiguracją, zarządzanie aplikacjami, egzekwowanie zasad bezpieczeństwa, śledzenie urządzeń (jeśli Klient je włączył), zdalną diagnostykę oraz generowanie raportów dotyczących stanu i użytkowania urządzeń dla Klienta.

– W przypadku komponentów ISA Cloud MEFERI CIAO (gdzie MEFERI to Procesor): W celu ułatwienia obsługi inteligentnego asystenta zakupowego dla Klienta (sprzedawcy detalicznego). Może to obejmować uwierzytelnianie użytkowników, zarządzanie listami zakupów, przetwarzanie informacji o produktach, danych o interakcji z klientami (w celu przeprowadzania analiz dla sprzedawcy detalicznego) oraz umożliwienie integracji z usługami stron trzecich zgodnie z zaleceniami Klienta.

– Umowy serwisowe MeCare: W przypadku usług MeCare MEFERI (gdzie MEFERI działa jako Podmiot przetwarzający): świadczenie umownych usług wsparcia, konserwacji, napraw, monitorowania i zarządzania urządzeniami zgodnie z opisem w obowiązującym dokumencie „MeCare (nazwa planu): Ogólne warunki świadczenia usług” oraz Przewodniku po usługach wsparcia MeCare, co może obejmować uzyskiwanie dostępu, gromadzenie lub w inny sposób przetwarzanie danych osobowych przechowywanych na urządzeniach Klienta lub przesyłanych za ich pośrednictwem, bądź przekazywanych przez Klienta w trakcie świadczenia usług.

– W zakresie usług wsparcia: w celu zapewnienia wsparcia technicznego, rozwiązywania problemów, konserwacji i aktualizacji Usług, co może wiązać się z dostępem do Danych osobowych przetwarzanych w ramach Usług lub w systemach Klienta na żądanie i zgodnie z instrukcjami Klienta.

– Przestrzegać udokumentowanych instrukcji Klienta określonych w niniejszej Umowie o partnerstwie i polityce prywatności oraz Umowie głównej.

– Aby wypełnić obowiązujące obowiązki prawne.

4. Kategorie podmiotów danych:

– Pracownicy, kontrahenci i upoważnieni użytkownicy Klienta: Osoby, które administrują Usługami lub korzystają z nich w imieniu Klienta (np. administratorzy IT korzystający z Shadowalk, pracownicy sprzedaży detalicznej zarządzający CIAO lub korzystający z niego).

– Użytkownicy końcowi urządzeń zarządzanych przez Klienta (w przypadku Shadowalk): Osoby fizyczne (np. pracownicy Klienta) korzystające z komputerów mobilnych lub innych urządzeń zarządzanych przez Klienta za pośrednictwem rozwiązania Shadowalk.

– Klienci Klienta (kupujący) (w przypadku CIAO, jeśli MEFERI przetwarza ich Dane Osobowe w chmurze w imieniu Klienta sprzedawcy detalicznego): Osoby fizyczne korzystające z urządzeń ISA CIAO w sklepie sprzedawcy detalicznego.

5. Rodzaje przetwarzanych danych osobowych:

Konkretne rodzaje Przetwarzanych Danych Osobowych zależą od Usług, z których korzysta Klient, oraz sposobu, w jaki Klient konfiguruje i korzysta z tych Usług. Dane Osobowe mogą obejmować:

– Konto użytkownika i dane kontaktowe: imię i nazwisko, adres e-mail, nazwa użytkownika, hasła, numer telefonu, stanowisko, dział, identyfikator pracownika, rola/uprawnienia w ramach Usług (jeśli ma to zastosowanie do administrowania usługami przez Klienta).

– Informacje o urządzeniu (dla Shadowalk): identyfikatory urządzenia (np. numer seryjny, IMEI, adres MAC, UDID), model urządzenia, wersja systemu operacyjnego, adres IP, informacje o sieci, ustawienia konfiguracji urządzenia, zainstalowane aplikacje, dane o lokalizacji urządzenia (jeśli Klient włączył tę funkcję).

– Dane dotyczące użytkowania i dziennika (dla chmury Shadowalk i CIAO): Dzienniki systemowe, ślady audytu, dzienniki aktywności, dane dotyczące wydajności, dane diagnostyczne związane z korzystaniem z Usług.

– Dane kupującego (w stosownych przypadkach dla CIAO): szczegóły konta kupującego (np. identyfikator programu lojalnościowego, adres e-mail, jeśli został podany przez kupującego w celu rejestracji za pośrednictwem aplikacji sprzedawcy w urządzeniu CIAO), listy zakupów, historia skanowania produktów, dane dotyczące interakcji z urządzeniem CIAO.

– Dane wsparcia: Informacje przekazane przez Klienta podczas interakcji ze wsparciem, w tym dane kontaktowe, opis problemów, szczegóły konfiguracji systemu i wszelkie Dane osobowe zawarte w dziennikach lub plikach udostępnionych MEFERI na potrzeby rozwiązywania problemów.

– Wszelkie inne Dane osobowe, które Klient (lub jego upoważnieni użytkownicy bądź Podmioty danych) zdecydują się przekazać w ramach Usług.

6. Szczególne kategorie danych osobowych (jeśli istnieją):

MEFERI nie zamierza przetwarzać żadnych szczególnych kategorii danych osobowych (zgodnie z definicją zawartą w art. 9 RODO) w imieniu Klienta. Klient nie będzie przesyłał, udostępniał ani zlecał MEFERI przetwarzania żadnych szczególnych kategorii danych osobowych, chyba że zostanie to wyraźnie uzgodnione na piśmie z MEFERI i z zastrzeżeniem odpowiednich zabezpieczeń. W przypadku przekazania takich danych przez Klienta bez uprzedniej zgody, Klient ponosi wyłączną odpowiedzialność za zapewnienie ważnej podstawy prawnej dla takiego przetwarzania.

—

DODATEK 2

BEZPIECZEŃSTWO TECHNICZNE I ORGANIZACYJNE MEASURES (TOMS)

Niniejszy Załącznik 2 opisuje środki techniczne i organizacyjne wdrożone przez MEFERI w celu zapewnienia odpowiedniego poziomu bezpieczeństwa Przetwarzania Danych Osobowych. MEFERI może okresowo aktualizować te środki, pod warunkiem, że takie aktualizacje nie wpłyną istotnie na ogólne bezpieczeństwo Usług.

1. Polityki i zarządzanie bezpieczeństwem informacji:

a. MEFERI stosuje wewnętrzne zasady i procedury mające na celu ochronę Danych Osobowych.

b. Określono i przypisano odpowiedzialność za bezpieczeństwo informacji.

c. Regularnie przeprowadzane są oceny ryzyka w celu identyfikacji i ograniczania zagrożeń dla Danych Osobowych.

2. Bezpieczeństwo personelu:

a. Pracownicy i kontrahenci mający dostęp do Danych Osobowych podlegają obowiązkowi zachowania poufności.

b. Szkolenia z zakresu bezpieczeństwa są zapewniane odpowiedniemu personelowi w zakresie jego obowiązków w zakresie ochrony danych i bezpieczeństwa.

c. Weryfikacja przeszłości może być przeprowadzana w przypadku personelu pełniącego wrażliwe funkcje, jeżeli zezwala na to obowiązujące prawo.

3. Kontrola dostępu fizycznego:

a. Podjęto środki mające na celu uniemożliwienie nieautoryzowanego dostępu fizycznego do pomieszczeń i obiektów MEFERI, w których mogą być przetwarzane Dane osobowe (np. biura).

b. Obejmuje to obwody bezpieczeństwa, systemy kontroli dostępu, nadzór i rejestrowanie dostępu fizycznego, w stosownych przypadkach.

c. W przypadku centrów danych wykorzystywanych przez MEFERI do świadczenia Usług (tj. centrów danych głównego dostawcy usług w chmurze, Amazon Web Services – AWS), MEFERI opiera się na solidnych fizycznych środkach bezpieczeństwa wdrożonych przez AWS.

4. Kontrola dostępu do systemu (dostęp logiczny):

a. Dostęp do systemów informatycznych Przetwarzanie Danych Osobowych jest ograniczone do upoważnionego personelu.

b. Stosowane są unikalne identyfikatory użytkowników i silne mechanizmy uwierzytelniania (np. złożone hasła, uwierzytelnianie wieloskładnikowe, gdy jest to właściwe i wykonalne).

c. Prawa dostępu przyznawane są na podstawie zasady najmniejszych uprawnień (kontrola dostępu oparta na rolach).

d. Regularnie przeprowadzane są przeglądy uprawnień dostępu.

e. Do zdalnego dostępu używane są bezpieczne protokoły.

5. Kontrola dostępu do danych:

a. Wdrożono środki mające na celu zapewnienie, że osoby upoważnione do korzystania z systemu przetwarzania danych mogą uzyskać dostęp wyłącznie do Danych Osobowych, do których odnosi się ich prawo dostępu, zgodnie z przypisanymi im rolami i obowiązkami.

b. Dane osobowe nie są odczytywane, kopiowane, modyfikowane ani usuwane bez zezwolenia w trakcie Przetwarzania, użytkowania i po przechowywaniu, z wyjątkiem sytuacji, gdy jest to konieczne do świadczenia Usług lub zgodnie z instrukcjami Klienta.

c. W stosownych przypadkach wdrożono podział obowiązków i danych.

6. Sterowanie skrzynią biegów:

a. Dane osobowe są chronione przed nieautoryzowanym odczytem, kopiowaniem, modyfikacją lub usunięciem podczas transmisji elektronicznej lub transportu.

b. Technologie szyfrowania (np. Transport Layer Security – TLS/Secure Sockets Layer – SSL dla danych w trakcie przesyłu) służą do ochrony Danych osobowych przesyłanych za pośrednictwem sieci publicznych.

c. W przypadku przesyłu nośników fizycznych zawierających Dane Osobowe, jeżeli taki przesył ma miejsce, stosuje się bezpieczne metody.

7. Sterowanie wejściowe:

a. Wdrażane są środki mające na celu zapewnienie możliwości późniejszego sprawdzenia i ustalenia, czy i przez kogo Dane Osobowe zostały wprowadzone, zmodyfikowane lub usunięte z systemów przetwarzania danych (np. za pomocą dzienników audytów).

b. Wdrożono funkcje rejestrowania i audytu dla krytycznych działań systemowych związanych z Przetwarzaniem Danych Osobowych.

8. Tworzenie kopii zapasowych i odzyskiwanie danych:

a. Regularnie tworzone są kopie zapasowe Danych Osobowych Przetwarzanych w ramach Usług w celu zapewnienia dostępności i integralności danych.

b. Procedury tworzenia kopii zapasowych i odzyskiwania danych są definiowane i okresowo testowane.

c. Kopie zapasowe są przechowywane bezpiecznie.

9. Kontrola dostępności i odporności:

a. Systemy są projektowane i konfigurowane w celu zapewnienia dostępności Danych Osobowych oraz odporności systemów i usług przetwarzania.

b. Obejmuje to środki takie jak redundancja, odporność na błędy i możliwości odzyskiwania po awarii, wykorzystujące przede wszystkim infrastrukturę głównego dostawcy usług w chmurze MEFERI (Amazon Web Services – AWS).

10. Segregacja danych:

a. Dane osobowe Klienta są logicznie oddzielone od danych innych klientów MEFERI w ramach Usług.

11. Bezpieczne tworzenie oprogramowania (dla platform chmurowych MEFERI):

a. Bezpieczne praktyki i zasady kodowania są włączone do cyklu rozwoju oprogramowania MEFERI dla jego platform chmurowych.

b. W razie potrzeby przeprowadzane są testy bezpieczeństwa (np. skanowanie podatności, testy penetracyjne) w zależności od potrzeb Usług.

c. Wdrożono procedury identyfikowania, oceny i usuwania luk w zabezpieczeniach oprogramowania MEFERI.

12. Zarządzanie incydentami:

a. MEFERI opracowuje plan reagowania na incydenty oraz procedury wykrywania, reagowania i odzyskiwania po incydentach bezpieczeństwa, w tym naruszeniach danych osobowych.

b. Incydenty są badane, dokumentowane i podejmowane są odpowiednie działania naprawcze.

c. Plany komunikacji są ustalane w celu przekazywania powiadomień wewnętrznych i zewnętrznych zgodnie z wymogami obowiązującego prawa o ochronie danych oraz niniejszej umowy o ochronie danych.

13. Zarządzanie podprocesorami:

a. Przed zaangażowaniem Podmiotów Przetwarzających przeprowadzana jest należyta staranność, aby mieć pewność, że są w stanie zapewnić odpowiedni poziom ochrony danych.

b. Z podmiotami przetwarzającymi zawarto umowy, które nakładają obowiązki w zakresie ochrony danych co najmniej równoważne tym nałożonym na MEFERI na mocy niniejszej umowy o ochronie danych.

14. Monitorowanie i rejestrowanie:

a. Systemy przetwarzające Dane Osobowe są monitorowane pod kątem zdarzeń i nieprawidłowości związanych z bezpieczeństwem, jeżeli jest to właściwe i wykonalne.

b. W razie potrzeby gromadzimy i przeglądamy odpowiednie logi w celu wykrywania, badania i reagowania na incydenty bezpieczeństwa.

15. Szyfrowanie:

a. Szyfrowanie danych osobowych w spoczynku jest wdrażane tam, gdzie jest to właściwe i technicznie wykonalne (np. w przypadku baz danych zawierających poufne dane osobowe).

b. Szyfrowanie danych osobowych przesyłanych przez sieci publiczne jest realizowane przy użyciu standardowych protokołów branżowych (np. TLS).

*(Klient przyjmuje do wiadomości, że Środki Bezpieczeństwa podlegają postępowi technicznemu i rozwojowi oraz że MEFERI może od czasu do czasu aktualizować lub modyfikować Środki Bezpieczeństwa, pod warunkiem, że takie aktualizacje i modyfikacje nie spowodują pogorszenia ogólnego bezpieczeństwa Usług zakupionych przez Klienta.)*

—

DODATEK 3

PODPROCESORZY

Klient udziela MEFERI ogólnego upoważnienia do korzystania z kategorii Podmiotów Przetwarzających wymienionych poniżej. MEFERI będzie prowadzić aktualną listę swoich Podmiotów Przetwarzających, która będzie udostępniana Klientowi poprzez jej opublikowanie na wyznaczonej stronie internetowej w witrynie MEFERI. https://meferi.com/en/us/legal/subprocessors ) i udostępni tę listę Klientowi na pisemny wniosek skierowany do osoby kontaktowej ds. ochrony danych MEFERI (np. legal@meferi.com ).

Kategorie podmiotów przetwarzających i cel:

1. Dostawcy infrastruktury chmurowej: – Podprocesor i szczegóły dotyczące głównego hostingu usług świadczonych Klientowi na mocy Umowy głównej:

– Podmiot: Amazon Web Services EMEA SARL (lub właściwy podmiot zawierający umowę z AWS w przypadku usług świadczonych w EOG).

– Cel: zapewnienie podstawowej infrastruktury przetwarzania w chmurze (serwerów, pamięci masowej, sieci, baz danych) do hostowania Usług MEFERI (np. Shadowalk Cloud, zaplecza CIAO Cloud) świadczonych Klientowi na mocy Umowy głównej.

– Miejsce przetwarzania danych osobowych klientów (hosting główny): Głównym regionem AWS do przetwarzania danych osobowych klientów na mocy niniejszej umowy DPA jest eu-west-3 (Paryż, Francja) w Europejskim Obszarze Gospodarczym (EOG).

– Zabezpieczenia transferu danych: AWS udostępnia Dodatek dotyczący przetwarzania danych (DPA), który zawiera Standardowe Klauzule Umowne (SCC) regulujące transfer danych osobowych, mające zastosowanie w przypadku przetwarzania danych przez AWS w lokalizacjach poza EOG lub ich przesyłania do lokalizacji poza EOG, które nie są objęte decyzją o odpowiednim poziomie ochrony. Klient może zapoznać się z Dodatkiem dotyczącym przetwarzania danych AWS pod adresem  https://d1.awsstatic.com/legal/aws-dpa/aws-dpa.pdf i informacje o zgodności AWS z GDPR na stronie  https://aws.amazon.com/compliance/gdpr-center/

– Uwaga dotycząca sieci CDN (jeśli dotyczy): Jeśli MEFERI korzysta z usług AWS CloudFront lub podobnych sieci dostarczania treści (CDN) w celu zwiększenia wydajności Usług, kopie niektórych danych (zazwyczaj zasobów statycznych lub treści w pamięci podręcznej, które mogą, ale nie muszą, zawierać Dane Osobowe, w zależności od konfiguracji) mogą być tymczasowo buforowane w lokalizacjach brzegowych AWS na całym świecie. Jednakże, właściwe przechowywanie i główne przetwarzanie Danych Osobowych Klienta w ramach Usług pozostanie w regionie AWS określonym powyżej (eu-west-3). MEFERI zapewni, że wszelkie Dane Osobowe Klienta rozpowszechniane za pośrednictwem sieci CDN będą przetwarzane zgodnie z wymogami RODO.

– Inni dostawcy infrastruktury chmurowej w zakresie usług świadczonych Klientowi na mocy Umowy głównej:

– Obecnie MEFERI nie korzysta z usług innych zewnętrznych dostawców infrastruktury chmurowej w zakresie hostingu głównego ani bezpośredniego świadczenia Usług zdefiniowanych w Umowie głównej, poza zakresem opisanym powyżej.

2. Dostawcy usług komunikacyjnych:

– Cel: Ułatwienie podstawowej komunikacji z Klientem lub jego upoważnionymi użytkownikami w związku ze świadczeniem i korzystaniem z Usług (np. dostarczanie powiadomień o usługach pocztą elektroniczną, resetowanie haseł, alertów bezpieczeństwa i dostarczanie wiadomości SMS w przypadku ważnych alertów lub kodów uwierzytelniania dwuskładnikowego).

– Konkretni podprocesorzy, których użyto:

– W przypadku komunikacji e-mailowej:

– Podmiot: Amazon Web Services EMEA SARL (korzystający z Amazon Simple Email Service – SES).

– Konkretny cel usługi MEFERI: wysyłanie powiadomień e-mail dotyczących transakcji i usług upoważnionym użytkownikom Klienta (np. alerty dotyczące konta, resetowanie hasła, aktualizacje usług, krytyczne informacje dotyczące bezpieczeństwa) w związku z Usługami.

– Lokalizacja przetwarzania: Infrastruktura do wysyłania wiadomości e-mail znajduje się głównie w regionach AWS, z których MEFERI korzysta w ramach swoich Usług (np. skonfigurowanych do wysyłania z regionu EOG, takiego jak eu-west-1 Irlandia lub eu-west-3 Paryż, jeśli to możliwe). Przetwarzanie wszelkich Danych Osobowych (takich jak adresy e-mail i treść wiadomości e-mail) za pośrednictwem SES podlega Załącznikowi AWS dotyczącemu przetwarzania danych.

– Zabezpieczenia dotyczące transferu danych: Objęte Dodatkiem dotyczącym przetwarzania danych w Amazon Web Services, który zawiera standardowe klauzule umowne. Dostępne

Na: https://d1.awsstatic.com/legal/aws-dpa/aws-dpa.pdf.

– W przypadku komunikacji SMS:

– Podmiot: Twilio Inc.

– Konkretny cel usługi MEFERI: wysyłanie powiadomień SMS do upoważnionych użytkowników Klienta w ramach Usług, np. w przypadku alertów krytycznych lub dostarczania kodów uwierzytelniania dwuskładnikowego (2FA), jeśli takie funkcje są włączone i używane przez Klienta.

– Charakter przetwarzanych danych: Zwykle obejmuje numery telefonów upoważnionych użytkowników Klienta i treść wiadomości SMS (np. kody uwierzytelniające, teksty alertów).

– Miejsce przetwarzania: głównie USA.

– Zabezpieczenia dotyczące transferu danych: Transfer danych osobowych podlega Dodatkowi dotyczącemu przetwarzania danych firmy Twilio, który zawiera standardowe klauzule umowne (SCC). Klient może zapoznać się z DPA firmy Twilio pod adresem: https://www.twilio.com/legal/data-protection-addendum.

– Inni dostawcy usług komunikacyjnych:

– Obecnie MEFERI nie korzysta z usług innych zewnętrznych dostawców usług komunikacyjnych do przetwarzania Danych Osobowych Klienta w ramach niniejszej Umowy o Porozumieniu (DPA) poza zakresem opisanym powyżej dla wiadomości e-mail i SMS. W przypadku wprowadzenia i akceptacji przez Klienta określonych funkcji wymagających innych rodzajów usług komunikacyjnych, MEFERI zaktualizuje tę listę i powiadomi Klienta zgodnie z Sekcją 6.2 niniejszej Umowy o Porozumieniu.

3. Dostawcy usług analitycznych i monitorowania wydajności usług:

– Cel: Monitorowanie wydajności, identyfikacja błędów i analiza wzorców użytkowania Usług MEFERI (np. Shadowalk Cloud, zaplecza CIAO Cloud) w celu utrzymania i poprawy stabilności, funkcjonalności i komfortu użytkowania Usług. Dane przetwarzane przez tych dostawców na potrzeby Usług MEFERI są zazwyczaj pseudonimizowane, agregowane lub składają się z danych technicznych/operacyjnych. MEFERI nie korzysta z usług tych dostawców w celu analizowania konkretnej zawartości Danych Osobowych Klienta w ramach Usług, chyba że Klient otrzyma wyraźne polecenie lub uzgodnienia z nim w celach wsparcia lub rozwiązywania problemów.

– Konkretni podprocesorzy, których użyto:

– Podmiot: Functional Software, Inc. (prowadząca działalność pod nazwą Sentry).

– Konkretny cel MEFERI: śledzenie błędów w czasie rzeczywistym, diagnostyka i monitorowanie wydajności w ramach usług opartych na chmurze MEFERI (Shadowalk Cloud, zaplecze CIAO Cloud) w celu ułatwienia identyfikowania i rozwiązywania problemów technicznych.

– Charakter przetwarzanych danych: Zwykle obejmuje komunikaty o błędach, ślady stosu, informacje o urządzeniu/przeglądarce, adresy IP (które MEFERI może skonfigurować tak, aby były anonimizowane lub nieprzechowywane, jeśli jest to możliwe w ramach możliwości Sentry) oraz inne metadane operacyjne związane ze zdarzeniami serwisowymi. MEFERI konfiguruje integrację z Sentry w celu zminimalizowania przechwytywania danych osobowych klienta.

– Miejsce przetwarzania: głównie USA.

– Zabezpieczenia transferu danych: Transfery danych podlegają Dodatkowi dotyczącemu przetwarzania danych Sentry, który zawiera standardowe klauzule umowne. Dostępne pod adresem: https://sentry.io/legal/dpa/

– Analityka witryn internetowych i portali (MEFERI jako administrator):

– W przypadku analiz związanych z korporacyjną witryną internetową MEFERI (np. meferi.com) i innymi publicznymi portalami należącymi do MEFERI, w których MEFERI pełni rolę Administratora Danych, szczegółowe informacje na temat dostawców usług analitycznych (takich jak Google Analytics) oraz przetwarzania danych opisano w ogólnej Polityce Prywatności MEFERI. Dostawcy ci nie są wymienieni tutaj jako podprocesorzy w ramach niniejszej Umowy o Ochronie Danych, chyba że przetwarzają również Dane Osobowe Klienta w imieniu MEFERI w kontekście Usług świadczonych Klientowi.

4. Narzędzia wsparcia i obsługi klienta:

– Cel: Zarządzanie zapytaniami dotyczącymi obsługi klienta, świadczenie usług pomocy technicznej i ułatwianie komunikacji związanej ze wsparciem usług MEFERI.

– Konkretne narzędzia użyte:

– MEFERI korzysta z autorskiego portalu obsługi klienta i systemu zgłoszeń, dostępnych pod adresem support.meferi.com. System ten jest opracowywany i utrzymywany przez MEFERI i hostowany w infrastrukturze chmurowej MEFERI, udostępnianej przez Amazon Web Services (AWS), zgodnie ze szczegółowym opisem w Sekcji 1 („Dostawcy Infrastruktury Chmurowej”) niniejszego Załącznika.

– Dane osobowe przesyłane przez upoważnionych użytkowników Klienta za pośrednictwem tego portalu pomocy technicznej (np. dane kontaktowe, treść zapytania) są przetwarzane w systemie obsługiwanym przez MEFERI.

– MEFERI nie korzysta obecnie z zewnętrznych dostawców oprogramowania jako usługi (SaaS) dla swojej platformy obsługi klienta, na której przetwarzane są dane osobowe klientów w ramach niniejszej umowy DPA. – Przetwarzanie danych i zgoda użytkownika w Portalu Wsparcia:

– Użytkownicy uzyskujący dostęp do support.meferi.com podlegają warunkom Polityki prywatności MEFERI oraz wszelkim obowiązującym Umowom użytkownika portalu pomocy technicznej, które regulują zasady gromadzenia i wykorzystywania przez MEFERI Danych osobowych przesyłanych bezpośrednio przez użytkowników do portalu.

– Przyszłe zaangażowanie zewnętrznych dostawców:

– Jeżeli w przyszłości MEFERI zdecyduje się na współpracę z dostawcami narzędzi wsparcia technicznego lub obsługi klienta będącymi stronami trzecimi w celu przetwarzania Danych osobowych Klienta, lista ta zostanie zaktualizowana, a Klient zostanie powiadomiony zgodnie z Sekcją 6.2 niniejszej Umowy o przetwarzaniu danych osobowych.

5. Podwykonawcy techniczni (np. w zakresie specjalistycznego rozwoju, konserwacji lub testowania zabezpieczeń):

– Obecnie firma MEFERI świadczy specjalistyczne usługi techniczne, zajmuje się tworzeniem oprogramowania, konserwacją systemów i testowaniem bezpieczeństwa swoich usług (takich jak rozwiązanie w chmurze MEFERI Shadowalk MDM/EMM oraz hostowane w chmurze komponenty rozwiązania CIAO Intelligent Shopper Assistant (ISA)), wykorzystując głównie swój wewnętrzny personel.

– MEFERI nie korzysta obecnie z usług zewnętrznych podwykonawców technicznych w charakterze, który wymagałby od nich przetwarzania danych osobowych klientów w imieniu MEFERI na mocy niniejszej umowy DPA.

– Jeżeli w przyszłości MEFERI zdecyduje się na zatrudnienie takich technicznych podwykonawców, którzy będą przetwarzać dane osobowe klienta, MEFERI zaktualizuje tę listę podwykonawców i powiadomi Klienta zgodnie z Sekcją 6.2 niniejszej umowy o przetwarzaniu danych, zapewniając, że takie zaangażowanie będzie zgodne z wymogami dotyczącymi podprzetwarzania określonymi w niniejszej umowie o przetwarzaniu danych, w tym wdrożeniem odpowiednich zabezpieczeń dotyczących przesyłania danych, w razie potrzeby.

6. Autoryzowane punkty serwisowe i dostawcy usług logistycznych:

– Cel: świadczenie usług naprawy, diagnostyki i odnawiania urządzeń oraz powiązanych usług logistycznych dla produktów MEFERI na podstawie obowiązujących umów serwisowych (takich jak plany serwisowe MeCare) lub warunków gwarancji.

– Podmiot/kategoria: Autoryzowane zewnętrzne centra serwisowe lub partnerzy logistyczni, z którymi MEFERI lub jej podmioty stowarzyszone zawarły umowę na wykonywanie napraw i obsługi urządzeń MEFERI. (MEFERI utrzymuje sieć takich autoryzowanych dostawców; szczegółowe dane dotyczące dostawcy w przypadku danej naprawy mogą zależeć od lokalizacji Klienta i charakteru zgłoszenia serwisowego).

– Charakter przetwarzanych danych: Może obejmować:

– Dane kontaktowe przedstawicieli Klienta koordynujących naprawę (imię i nazwisko, adres e-mail, numer telefonu, adres wysyłki).

– Identyfikatory urządzenia (numer seryjny, model).

– Opis problemu podany przez Klienta.

Potencjalnie, wszelkie Dane Osobowe pozostające na urządzeniach wysłanych do naprawy, jeśli nie zostaną usunięte lub zabezpieczone przez Klienta przed wysyłką. MEFERI zaleca Klientom utworzenie kopii zapasowej i/lub usunięcie Danych Osobowych z urządzeń przed wysłaniem ich do naprawy, a odpowiedzialność MEFERI za utratę takich danych jest ograniczona zgodnie z Umową Główną lub obowiązującymi warunkami świadczenia usług. Jednakże, w zakresie, w jakim dostęp do tych danych uzyska serwis w trakcie diagnostyki lub naprawy, są one traktowane jako Dane Osobowe Klienta.

– Lokalizacja personelu przetwarzającego: Centra serwisowe mogą znajdować się w różnych regionach świata, w tym w Europejskim Obszarze Gospodarczym, Chińskiej Republice Ludowej lub innych krajach, w zależności od lokalizacji Klienta i sieci serwisowej MEFERI. MEFERI udostępni informacje o lokalizacji konkretnego centrum serwisowego na żądanie lub w ramach procesu RMA, jeśli będzie to możliwe.

– Zabezpieczenia Ochrony Danych: Wszystkie autoryzowane centra serwisowe i dostawcy usług logistycznych, którzy mogą uzyskiwać dostęp do Danych Osobowych Klienta, podlegają pisemnym umowom z MEFERI (lub podmiotem stowarzyszonym MEFERI, z którym zawarto umowę), które zawierają zobowiązania do zachowania poufności i warunki przetwarzania danych nakładające wymogi ochrony danych co najmniej równoważne tym określonym w niniejszej Umowie o Ochronie Danych. W przypadku przekazywania Danych Osobowych Klienta takim dostawcom zlokalizowanym poza Europejskim Obszarem Gospodarczym (EOG) w kraju, który Komisja Europejska nie uznała za odpowiedni, MEFERI zapewnia wdrożenie odpowiednich mechanizmów przekazywania danych zgodnie z Rozdziałem V RODO, takich jak Standardowe Klauzule Umowne (SCC). Dostęp do Danych Osobowych na urządzeniach jest ograniczony do zakresu niezbędnego do diagnostyki i naprawy.