Umowa o przetwarzaniu danych

Umowa o Przetwarzaniu Danych Botpress (DPA)

Niniejsza DPA stanowi uzupełnienie i integralną część umowy zawartej pomiędzy podmiotem z grupy Botpress wskazanym w Warunkach korzystania z usługi a Klientem. DPA obowiązuje od momentu włączenia jej do tej umowy poprzez odniesienie.

1. Definicje

1.a Pojęcia pisane wielką literą, które nie zostały zdefiniowane w niniejszym dokumencie, mają znaczenie nadane im w Umowie.

1.b W niniejszej DPA:

(a) „Umowa” ma znaczenie nadane temu pojęciu w Warunkach korzystania z usługi.

(b) „Grupa Botpress” oznacza Botpress oraz wszelkie podmioty powiązane.

(c) „Kalifornijskie Dane Osobowe” oznaczają Dane Osobowe podlegające ochronie na mocy CCPA.

(d) „Kanadyjskie Przepisy o Ochronie Danych” oznaczają Personal Information Protection and Electronic Documents Act, SC 2000, c 5 oraz Act respecting the protection of personal information in the private sector, CQLR c P-39.1, wraz z późniejszymi zmianami, zastąpieniami lub nowelizacjami.

(e) „CCPA” oznacza California Civil Code Sec. 1798.100 i następne (znane również jako California Consumer Privacy Act z 2018 roku).

(f) „Konsument”, „Przedsiębiorstwo”, „Sprzedaż” oraz „Dostawca Usług” mają znaczenie nadane im w CCPA.

(g) „Administrator” oznacza osobę lub podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania Danych Osobowych.

(h) „Przepisy o Ochronie Danych” oznaczają wszelkie obowiązujące na świecie przepisy dotyczące ochrony danych i prywatności, mające zastosowanie do stron niniejszej DPA, w tym m.in. Europejskie Przepisy o Ochronie Danych, Kanadyjskie Przepisy o Ochronie Danych oraz CCPA, wraz z późniejszymi zmianami, uchyleniami, konsolidacjami lub zastąpieniami.

(i) „Osoba, której dane dotyczą” oznacza osobę fizyczną, której dotyczą Dane Osobowe.

(j) „Europa” oznacza Unię Europejską, Europejski Obszar Gospodarczy i/lub ich państwa członkowskie, Szwajcarię oraz Wielką Brytanię.

(k) „Europejskie Przepisy o Ochronie Danych” oznaczają przepisy o ochronie danych obowiązujące w Europie, wraz z późniejszymi zmianami, zastąpieniami lub nowelizacjami.

(l) „Dane Europejskie” oznaczają Dane Osobowe podlegające ochronie na mocy Europejskich Przepisów o Ochronie Danych.

(m) „Dozwolone Podmioty Powiązane” oznaczają wszelkie Podmioty Powiązane Klienta, które (i) są uprawnione do korzystania z Usług Programowych zgodnie z Umową, (ii) kwalifikują się jako Administrator Danych Osobowych przetwarzanych przez Botpress oraz (iii) podlegają Europejskim Przepisom o Ochronie Danych.

(n) „Osoba” należy interpretować szeroko i obejmuje każdą osobę fizyczną, korporację, spółkę z ograniczoną odpowiedzialnością, spółkę komandytową, spółkę, stowarzyszenie, spółkę osobową, fundusz powierniczy lub masę spadkową, wspólne przedsięwzięcie, organ rządowy lub jego jednostkę organizacyjną, bądź inny podmiot.

(o) „Dane Osobowe” oznaczają wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

(p) „Przetwarzanie” lub „Przetwarzać” oznacza wszelkie operacje lub zestaw operacji wykonywanych przez Podmiot Przetwarzający na Danych Osobowych, niezależnie od tego, czy są wykonywane automatycznie.

(q) „Podmiot Przetwarzający” oznacza Osobę, która przetwarza Dane Osobowe w imieniu Administratora.

(r) „Organ Nadzorczy” oznacza, w zależności od sytuacji, każdą Osobę lub organ ścigania bądź inną agencję posiadającą uprawnienia regulacyjne, nadzorcze lub rządowe (na podstawie przepisów ustawowych lub innych) w zakresie całości lub części przetwarzania Danych Osobowych w związku ze świadczeniem lub otrzymywaniem Usług, w tym m.in. europejskie organy nadzoru nad ochroną danych.

(s) „Naruszenie Bezpieczeństwa” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmiany, nieuprawnionego ujawnienia lub dostępu do Danych Osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych przez Botpress i/lub Podwykonawców w związku ze świadczeniem Usług, z wyłączeniem zdarzeń, które nie naruszają bezpieczeństwa Danych Osobowych, takich jak nieudane próby logowania, pingi, skanowanie portów, ataki typu odmowa usługi oraz inne ataki sieciowe na zapory lub systemy sieciowe.

(t) „Usługi” oznaczają Usługi Programowe lub Usługi Profesjonalne świadczone przez dowolny podmiot z Grupy Botpress na rzecz Klienta lub jego podmiotów powiązanych.

(u) „Standardowe Klauzule Umowne” oznaczają standardowe klauzule umowne załączone do decyzji Komisji Europejskiej (UE) 2021/914 z dnia 4 czerwca 2021 r.; wraz z późniejszymi zmianami, zastąpieniami lub nowelizacjami.

(v) „Podwykonawca” oznacza każdy Podmiot Przetwarzający zaangażowanego przez Botpress lub podmioty powiązane Botpress w celu wsparcia realizacji zobowiązań Botpress dotyczących świadczenia Usług na mocy Umowy. Podwykonawcy mogą obejmować podmioty trzecie lub podmioty powiązane Botpress, ale nie obejmują osób zatrudnionych lub zaangażowanych przez Botpress.

(w) „Kraj Trzeci” oznacza jurysdykcję lub odbiorcę: (i) nieuznanego przez Komisję Europejską za zapewniającego odpowiedni poziom ochrony danych osobowych; oraz (ii) nieobjętego odpowiednimi ramami uznanymi przez właściwe organy lub sądy za zapewniające odpowiedni poziom ochrony danych osobowych;

(x) „Dane o Użytkowaniu” oznaczają dane dotyczące korzystania z Oprogramowania przez Upoważnionych Użytkowników, które mogą zawierać Dane Osobowe, jeśli identyfikacja poszczególnych użytkowników jest konieczna, z wyłączeniem wszelkich Danych z Konwersacji. Dane o Użytkowaniu mogą obejmować Dane Osobowe pracowników i współpracowników Klienta, ale nie dotyczą użytkowników końcowych korzystających z Botów Klienta.

2. Rola stron

2.a W zakresie przetwarzania Danych z Konwersacji za pośrednictwem Usług, strony potwierdzają i zgadzają się, że Klient działa jako Administrator, a Botpress jako Podmiot Przetwarzający.

2.b Jeśli Klient działa jako Podmiot Przetwarzający w imieniu Administratora, Botpress jest uznawany za podwykonawcę Klienta.

2.c Botpress jest Administratorem w odniesieniu do Danych o Użytkowaniu.

3. Zgodność z Przepisami o Ochronie Danych

3.a Każda ze stron będzie przetwarzać Dane Osobowe zgodnie ze wszystkimi obowiązującymi Przepisami o Ochronie Danych.

3.b Botpress nie odpowiada za zgodność z przepisami o ochronie danych mającymi zastosowanie do Klienta lub branży Klienta, które nie mają zastosowania do Botpress.

3.c Jeśli Botpress dowie się, że nie może przetwarzać Danych Osobowych zgodnie z instrukcjami Klienta z powodu wymogu prawnego wynikającego z obowiązującego prawa, Botpress (i) niezwłocznie poinformuje Klienta o tym wymogu prawnym, o ile pozwala na to obowiązujące prawo; oraz (ii) w razie potrzeby wstrzyma wszelkie przetwarzanie (poza przechowywaniem i zapewnieniem bezpieczeństwa dotkniętych Danych Osobowych) do czasu wydania przez Klienta nowych instrukcji zgodnych z obowiązującym prawem. W przypadku zastosowania tego postanowienia, Botpress nie ponosi odpowiedzialności wobec Klienta za niewykonanie odpowiednich Usług Programistycznych lub Usług Profesjonalnych do czasu, gdy Botpress uzna, że instrukcje Klienta są zgodne z prawem.

4. Obowiązki Botpress

4.a Botpress będzie przetwarzać Dane Osobowe wyłącznie w celach opisanych w niniejszej DPA lub zgodnie z innymi uzgodnieniami w ramach zgodnych z prawem instrukcji otrzymanych od Klienta, chyba że obowiązujące prawo stanowi inaczej.

4.b Botpress wdroży i będzie utrzymywać odpowiednie środki techniczne i organizacyjne w celu ochrony Danych Osobowych przed incydentami bezpieczeństwa, w tym opisane w Załączniku 2 do niniejszej DPA („Środki Bezpieczeństwa”). Botpress może modyfikować lub aktualizować Środki Bezpieczeństwa według własnego uznania, pod warunkiem że taka modyfikacja lub aktualizacja nie spowoduje istotnego pogorszenia poziomu ochrony zapewnianego przez te środki.

4.c Botpress będzie traktować Dane Osobowe jako informacje poufne Klienta i zapewni, że wszyscy pracownicy lub współpracownicy upoważnieni do dostępu lub przetwarzania Danych Osobowych będą zobowiązani do zachowania odpowiedniej poufności (na mocy umowy lub przepisów prawa) w odniesieniu do tych Danych Osobowych.

4.d Botpress usunie lub zwróci wszystkie Dane Osobowe Przetwarzane na podstawie niniejszej DPA po rozwiązaniu lub wygaśnięciu Umowy. Botpress może zachować kopie Danych Osobowych, jeśli jest to wymagane przez obowiązujące prawo lub jeśli Dane Osobowe zostały zarchiwizowane w systemach kopii zapasowych; takie dane będą bezpiecznie odizolowane, chronione przed dalszym Przetwarzaniem i usunięte zgodnie z obowiązującymi praktykami usuwania.

5. Obowiązki Klienta

5.a Klient jest odpowiedzialny za zapewnienie, że korzystanie z Usług Oprogramowania lub Oprogramowania odbywa się zgodnie ze wszystkimi obowiązującymi Przepisami o Ochronie Danych, w tym poprzez zapewnienie, że (i) jest upoważniony do wyznaczenia Botpress do Przetwarzania Danych Osobowych w jego imieniu zgodnie z niniejszą DPA, (ii) ma prawo przekazać lub udostępnić Dane Osobowe Botpress do Przetwarzania zgodnie z warunkami Umowy (w tym niniejszą DPA), (iii) zapewnia, że instrukcje Klienta dotyczące Przetwarzania Danych Osobowych są zgodne z obowiązującym prawem, w tym Przepisami o Ochronie Danych;

5.b Klient niezwłocznie powiadomi Botpress na piśmie, jeśli ma powody sądzić lub został poinformowany, że Przetwarzanie Danych Osobowych dokonywane przez Klienta za pośrednictwem Usług jest lub może być niezgodne z obowiązującym prawem, w tym Przepisami o Ochronie Danych.

5.c Klient jest odpowiedzialny za ocenę, czy środki bezpieczeństwa wdrożone przez Botpress odpowiednio spełniają obowiązki Klienta wynikające z obowiązujących Przepisów o Ochronie Danych. Klient jest również odpowiedzialny za zapewnienie, że dostęp do Usług Oprogramowania jest zabezpieczony i ograniczony do upoważnionego personelu.

‍6. Naruszenie bezpieczeństwa

6.a Botpress niezwłocznie powiadomi Klienta, jeśli dowie się o jakimkolwiek Naruszeniu Bezpieczeństwa, i przekaże na bieżąco informacje dotyczące takiego Naruszenia Bezpieczeństwa, gdy tylko będą one znane lub na uzasadnione żądanie Klienta.

6.b Na żądanie Botpress niezwłocznie udzieli Klientowi odpowiedniej pomocy, niezbędnej do umożliwienia Klientowi powiadomienia o Naruszeniu Bezpieczeństwa organów nadzorczych i/lub osób, których dane dotyczą, jeśli takie powiadomienie jest wymagane na mocy Przepisów o Ochronie Danych.

7. Podprzetwarzający

7.a Botpress może angażować Podprzetwarzających do Przetwarzania Danych Osobowych. Aktualna lista Podprzetwarzających znajduje się w Załączniku 3, a wszelkie zmiany dotyczące Podprzetwarzających będą zgłaszane Klientowi.

7.b Botpress wybiera Podprzetwarzających, którzy zapewniają zobowiązania dotyczące ochrony danych na co najmniej takim samym poziomie ochrony Danych Osobowych, jak określone w niniejszej DPA (w tym, w stosownych przypadkach, Standardowe Klauzule Umowne), w zakresie odpowiednim do charakteru usług świadczonych przez takich Podprzetwarzających. Botpress pozostaje odpowiedzialny za zgodność każdego Podprzetwarzającego z obowiązkami wynikającymi z niniejszej DPA oraz za wszelkie działania lub zaniechania takiego Podprzetwarzającego powodujące naruszenie któregokolwiek z obowiązków Botpress wynikających z niniejszej DPA.

7.c Jeśli Botpress Przetwarza Dane Europejskie w imieniu Klienta, Klient może sprzeciwić się nowemu Podprzetwarzającemu z uzasadnionych powodów związanych z ochroną danych. W przypadku otrzymania takiego sprzeciwu Botpress zobowiązuje się do prowadzenia rozmów w dobrej wierze w celu osiągnięcia komercyjnie uzasadnionego rozwiązania. Jeśli nie uda się osiągnąć takiego rozwiązania, Botpress może zrezygnować z powołania nowego Podprzetwarzającego lub umożliwić Klientowi rozwiązanie subskrypcji tej części Usług Programistycznych, która opiera się na nowym Podprzetwarzającym, bez odpowiedzialności dla którejkolwiek ze stron (z zastrzeżeniem opłat naliczonych przed rozwiązaniem).

7.d Jeśli jest to wymagane przez prawo lub na mocy Standardowych Klauzul Umownych, Botpress dołoży uzasadnionych starań, aby udostępnić Klientowi wymagane informacje dotyczące umów Botpress z Podprzetwarzającymi. Klient przyjmuje do wiadomości, że niektóre informacje mogą zostać zredagowane lub udostępnione na zasadzie poufności.

8. Przekazywanie Danych Osobowych

8.a Przetwarzanie Danych Osobowych innych niż Dane Europejskie przez podmioty z Grupy Botpress będzie odbywać się w dowolnej jurysdykcji, w której takie przetwarzanie jest dozwolone przez obowiązujące prawo jurysdykcji prywatności.

8.b Przetwarzanie Danych Europejskich będzie odbywać się wyłącznie:

a) Na terenie Europy;

b) w jurysdykcji zapewniającej odpowiedni poziom ochrony na podstawie decyzji Komisji Europejskiej zgodnie z obowiązującymi Przepisami o Ochronie Danych;

c) w dowolnej jurysdykcji, przez organizację lub podmiot oferujący odpowiednie zabezpieczenia, w tym poprzez Standardowe Klauzule Umowne;

d) w dowolnej jurysdykcji, za pisemną zgodą Klienta lub osoby, której dane dotyczą.

8.c Gdy Przetwarzanie Danych Europejskich odbywa się w kraju trzecim, strony uznają, że zawarły Standardowe Klauzule Umowne wyłącznie w odniesieniu do odpowiednich Danych Osobowych i odpowiedniego Przetwarzania. Strony uzgadniają, że dla celów Standardowych Klauzul Umownych:

a) Jeśli Klient jest Administratorem, a Botpress Procesorem, stosuje się Moduł 2 (Administrator do Procesora).

b) Jeśli Klient jest Procesorem, a Botpress podprocesorem, stosuje się Moduł 3 (Procesor do Procesora).

c) W odniesieniu do Danych Użytkowania stosuje się Moduł 1 (Administrator do Administratora).

d) w Klauzuli 7 Standardowych Klauzul Umownych, opcjonalna klauzula dokowania nie ma zastosowania;

e) w Klauzuli 9 Standardowych Klauzul Umownych, stosuje się Opcję 2, a okres uprzedniego pisemnego powiadomienia o zmianach podprocesora wynosi 10 dni;

f) w Klauzuli 11 Standardowych Klauzul Umownych, opcjonalny zapis nie ma zastosowania;

g) w Klauzuli 17 (Opcja 1), Standardowe Klauzule Umowne podlegają prawu irlandzkiemu;

h) w Klauzuli 18(b) Standardowych Klauzul Umownych, spory będą rozstrzygane przez sądy Irlandii;

i) Botpress będzie "importerem danych", a Klient "eksporterem danych" (w imieniu swoim i Dozwolonych Podmiotów Powiązanych);

j) odpowiednie informacje zawarte w Załączniku 1 i Załączniku 2 niniejszej DPA uznaje się za włączone do Załączników Standardowych Klauzul Umownych;

k) jeśli i w zakresie, w jakim Standardowe Klauzule Umowne są sprzeczne z jakimkolwiek postanowieniem niniejszej DPA, Standardowe Klauzule Umowne mają pierwszeństwo w zakresie takiej sprzeczności.

8.d Przekazywanie danych do Szwajcarii i Wielkiej Brytanii. W zakresie, w jakim przekazanie Danych Osobowych między Klientem a Botpress i/lub Podprzetwarzającym podlega Przepisom o Ochronie Danych Szwajcarii lub Wielkiej Brytanii, Standardowe Klauzule Umowne uznaje się za odpowiednio zmienione, aby odzwierciedlały wymagania obowiązujących przepisów szwajcarskich i brytyjskich, w tym odniesienia do ustawodawstwa, prawa właściwego oraz właściwych organów i sądów.

9. Przetwarzanie zgodnie z CCPA

9.a Przetwarzając Kalifornijskie Dane Osobowe zgodnie z instrukcjami Klienta, strony potwierdzają i uzgadniają, że Klient jest Przedsiębiorcą, a Botpress jest Dostawcą Usług na potrzeby CCPA. Strony uzgadniają, że Botpress będzie Przetwarzał Kalifornijskie Dane Osobowe jako Dostawca Usług wyłącznie w celu realizacji Usług Programistycznych i Usług Profesjonalnych na podstawie Umowy ("Cel Biznesowy") lub w inny sposób dozwolony przez CCPA.

10. Żądania stron trzecich

10.a Klient jest odpowiedzialny za obsługę wszelkich żądań od Osób, których dane dotyczą, lub organów nadzorczych dotyczących ich Danych Osobowych i powinien korzystać z funkcji Usług Programistycznych umożliwiających uzyskanie odpowiednich informacji o przetwarzaniu Danych Osobowych.

10.b Jeśli Klient nie jest w stanie samodzielnie obsłużyć żądania Osoby, której dane dotyczą, lub organu nadzorczego ("Żądanie"), Botpress zapewni Klientowi odpowiednią pomoc w celu udzielenia odpowiedzi na takie żądania dotyczące Przetwarzania Danych Osobowych na podstawie Umowy. Z wyjątkiem sytuacji, gdy żądanie wynika z niewywiązania się przez Botpress z obowiązków wynikających z niniejszej DPA, Klient zwróci Botpress uzasadnione koszty związane z udzieleniem takiej pomocy.

10.c Jeśli Żądanie lub inna komunikacja dotycząca Przetwarzania Danych Osobowych na podstawie Umowy zostanie skierowana bezpośrednio do Botpress, Botpress niezwłocznie poinformuje o tym Klienta i zaleci Osobie, której dane dotyczą, lub organowi nadzorczemu złożenie Żądania bezpośrednio do Klienta. Klient będzie wyłącznie odpowiedzialny za merytoryczną odpowiedź na takie Żądania lub komunikaty dotyczące Danych Osobowych.

11. Audyt dotyczący danych osobowych

11.a Na żądanie i po uprzednim powiadomieniu Botpress, Klient jest uprawniony, na własny koszt, do przeprowadzenia niezbędnych weryfikacji w celu zapewnienia, że Dane Osobowe przetwarzane przez Botpress w imieniu Klienta są przetwarzane zgodnie z instrukcjami Klienta. Na żądanie Klienta, Botpress umożliwi audyt i inspekcję przetwarzania realizowanego przez Botpress. Taki audyt może zostać przeprowadzony przez Klienta i/lub osobę trzecią (wybraną przez Klienta i zaakceptowaną przez Botpress w uzasadniony sposób) działającą w imieniu Klienta. Klient podejmie wszelkie niezbędne środki, aby nie spowodować szkody ani zakłóceń w siedzibach, sprzęcie, personelu i działalności podmiotów z Grupy Botpress.

11.b Klient i Botpress uzgodnią z wyprzedzeniem charakter, zakres i czas trwania każdego audytu przeprowadzanego przez Klienta, a Klient zwróci Botpress wszelkie uzasadnione koszty związane z takim audytem, które mogą zostać oszacowane na żądanie Klienta przed rozpoczęciem audytu. W miarę możliwości wszelkie wymagania audytowe Klienta mogą być spełnione poprzez raporty z audytów zewnętrznych udostępnione przez Botpress, jeśli są dostępne.

11.c Jeśli Botpress przetwarza Dane Europejskie w imieniu Klienta, Botpress udostępni Klientowi, na uzasadnione żądanie (na zasadzie poufności): (i) podsumowanie raportu z testów bezpieczeństwa oraz (ii) pisemne odpowiedzi na wszelkie uzasadnione zapytania Klienta niezbędne do potwierdzenia zgodności Botpress z niniejszą DPA, pod warunkiem że Klient nie będzie korzystał z tego prawa częściej niż raz w roku kalendarzowym, chyba że wykaże uzasadnione podstawy do podejrzenia niezgodności Botpress z DPA.

12. Ograniczenie odpowiedzialności

12.a Łączna odpowiedzialność Botpress i jego podmiotów powiązanych, wynikająca z niniejszej DPA (oraz innych DPA między stronami) oraz Standardowych Klauzul Umownych (jeśli mają zastosowanie), niezależnie od podstawy prawnej, ogranicza się do łącznej kwoty Opłat zapłaconych przez Klienta na rzecz Botpress za Usługi w okresie 12 miesięcy poprzedzających zdarzenie będące podstawą odpowiedzialności.

13. Jurysdykcja

O ile obowiązujące przepisy o ochronie danych nie stanowią inaczej, niniejsza DPA podlega i jest interpretowana zgodnie z prawem właściwym dla Umowy, a wszelkie spory dotyczące niniejszej Umowy będą rozstrzygane przez właściwe sądy wskazane w Propozycji.

W zakresie, w jakim przepisy o ochronie danych wymagają, aby niniejsza DPA podlegała prawu państwa członkowskiego Unii Europejskiej, niniejsza DPA podlega prawu Irlandii, a spory dotyczące niniejszej Umowy będą rozstrzygane przez sądy irlandzkie.

14. Postanowienia ogólne

14.a Pierwszeństwo. W przypadku jakiejkolwiek niezgodności pomiędzy postanowieniami niniejszej DPA a innymi postanowieniami Umowy, postanowienia DPA mają zawsze pierwszeństwo, chyba że wyraźnie wskazano, że inne postanowienie Umowy ma pierwszeństwo lub że dane postanowienie DPA zostaje uchylone lub zmodyfikowane.

14.b Zmiany. Botpress może zmieniać niniejszą DPA, aby odzwierciedlić zmiany w swoich praktykach przetwarzania danych. Wszelkie inne zmiany niż doprecyzowanie języka (o czym Klient będzie rutynowo informowany) zostaną przedstawione Klientowi i nie będą obowiązywać bez jego akceptacji. Jeśli zmiana niniejszej DPA będzie wymagana przez obowiązujące prawo, Klient będzie miał możliwość zaakceptowania tej zmiany lub zakończenia subskrypcji Usług Programowych.

14.c  Rozdzielność postanowień. Jeśli którekolwiek z postanowień tej Umowy o przetwarzaniu danych zostanie uznane za nieważne lub niewykonalne, ważność i wykonalność pozostałych postanowień nie zostanie naruszona.‍

‍

Aneks 1 – Szczegóły przetwarzania

Identyfikacja Administratora

Klient

Osoba kontaktowa: osoba wskazana w Propozycji zaakceptowanej przez Klienta.

Identyfikacja Podmiotu przetwarzającego

Jeśli Klient znajduje się w Kanadzie: Technologies Botpress Inc. Jeśli Klient znajduje się w innym miejscu: Botpress, Inc.

Osoba kontaktowa:

Jean-Bernard Perron [email protected]

Kategorie osób, których dane dotyczą

Klient może przekazywać Dane Osobowe w trakcie korzystania z Usługi Programistycznej, w zakresie określonym i kontrolowanym wyłącznie przez Klienta, zgodnie z obowiązującymi warunkami świadczenia usług, które mogą obejmować, lecz nie ograniczają się do Danych Osobowych dotyczących następujących kategorii osób, których dane dotyczą:

• Osoby korzystające z Oprogramowania w imieniu Klienta
• Użytkownicy końcowi botów Klienta

Kategorie Danych Osobowych

Klient może przekazywać Dane Osobowe do Usług Programistycznych i może umożliwić Użytkownikom końcowym przekazywanie Danych Osobowych do Usług Programistycznych, w zakresie określonym i kontrolowanym wyłącznie przez Klienta, zgodnie z obowiązującymi warunkami świadczenia usług.

Usługa Programistyczna nie jest przeznaczona do przetwarzania danych wrażliwych; Klient jest odpowiedzialny za ocenę przydatności Usług Programistycznych do przetwarzania danych wrażliwych.

Botpress będzie przetwarzać dane kontaktowe Użytkowników Upoważnionych (imię, e-mail, telefon) oraz dane dotyczące korzystania z produktu i zachowań użytkowników w celach wsparcia technicznego i statystycznych.

Charakter przetwarzania

• Przechowywanie i inne operacje przetwarzania niezbędne do świadczenia, utrzymania i ulepszania Usług świadczonych Klientowi;
• Ujawnianie zgodnie z Umową (w tym niniejszą DPA) i/lub w przypadkach wymaganych przez obowiązujące przepisy prawa;
• Botpress będzie przetwarzać Dane Osobowe w zakresie niezbędnym do świadczenia Usług zgodnie z Umową oraz zgodnie z dalszymi instrukcjami Klienta wynikającymi z korzystania z Usług.
• Botpress przetwarza Dane Użytkowania w celu świadczenia wsparcia technicznego oraz do celów statystycznych (w celu ulepszania i rozwoju produktu).

Okres przechowywania Danych Osobowych

Z zastrzeżeniem obowiązku Botpress do usunięcia lub zwrotu danych Klientowi, zgodnie z Umową Botpress będzie przetwarzać Dane Osobowe przez czas trwania Umowy, chyba że uzgodniono inaczej na piśmie.

‍

‍Aneks 2 – Środki bezpieczeństwa‍

1. Zarządzanie

Botpress wdraża odpowiednie polityki i procedury dotyczące Danych Osobowych, w tym:

• Procedury bezpieczeństwa informacji;
• Polityki dotyczące korzystania z Danych Osobowych;
• Procedura zgłaszania incydentów bezpieczeństwa i prywatności;
• Mechanizmy oceny ryzyka;
• Procedury audytu wewnętrznego;
• Środki kontraktowe;

‍2. Dostęp użytkownika

• Funkcje i odpowiedzialności użytkowników Botpress oraz profile użytkowników z dostępem do Danych Osobowych i systemów informatycznych są jasno określone.
• Botpress podejmuje działania informujące użytkowników o zasadach bezpieczeństwa mających wpływ na wykonywanie ich obowiązków oraz o konsekwencjach naruszenia tych zasad.
• Do uzyskiwania dostępu lub przesyłania Danych Osobowych nie są używane protokoły tekstowe w postaci otwartej. Do tych operacji akceptowany jest wyłącznie protokół SSL.
• Botpress zapewnia bezpieczeństwo procesów i procedur związanych z obsługą lub utylizacją nośników fizycznych lub sprzętu, które mogą zawierać Dane Osobowe.
• Dane Osobowe są fizycznie oddzielone lub logicznie oddzielone (jeśli znajdują się w bazie danych lub środowisku wirtualnym) od innych danych Botpress. Jeśli Dane Osobowe nie są fizycznie oddzielone od innych danych, systemów lub aplikacji niezwiązanych z Klientem, Botpress stosuje odpowiednie środki bezpieczeństwa, w tym kontrolę dostępu.

3. Kontrola dostępu

Botpress przechowuje serwery, odpowiednie bazy danych oraz inne komponenty sprzętowe i/lub programowe, w których przechowywane są Dane Osobowe, w bezpiecznym centrum danych z kontrolowanym i monitorowanym dostępem wyłącznie dla upoważnionego personelu.

Botpress stosuje skuteczne środki logicznej kontroli dostępu we wszystkich systemach używanych do tworzenia, przesyłania lub przetwarzania Danych Osobowych, w tym między innymi:

• Uwierzytelnianie użytkownika, który musi korzystać z unikalnych identyfikatorów ("ID użytkownika") i nazw.
• Odpowiednio złożona i silna polityka haseł.
  
• Uprawnienia użytkowników do zasobów informacyjnych zawierających Dane Osobowe muszą być przyznawane zgodnie z zasadą niezbędności do wykonywania obowiązków i odpowiedzialności użytkownika.
• Dostęp użytkowników do systemów komputerowych umożliwiających dostęp do Danych Osobowych jest natychmiast usuwany po odejściu użytkownika lub w przypadku zmiany stanowiska, jeśli nowe stanowisko nie wymaga dostępu.
• Domyślne hasła i ustawienia zabezpieczeń muszą zostać zmienione w produktach/aplikacjach firm trzecich wykorzystywanych do obsługi Danych Osobowych.
• Dostawcy usług zewnętrznych podlegają równoważnym wymaganiom i zobowiązaniom dotyczącym bezpieczeństwa jak upoważnieni użytkownicy Botpress podczas przetwarzania Danych Osobowych.
• Coroczna ponowna weryfikacja uzasadnienia kont użytkowników oraz powiązanych uprawnień z dostępem do informacji osobowych.

‍4. Architektura bezpieczeństwa sieci

Botpress stosuje skuteczne środki kontroli dostępu do sieci na wszystkich systemach wykorzystywanych do tworzenia, przesyłania lub przetwarzania Danych Osobowych, w tym między innymi:

• Zapory sieciowe są stale aktywne i zainstalowane na granicy sieci pomiędzy wewnętrzną (prywatną) siecią Botpress a siecią publiczną (Internet).
• Na sieci Botpress stosowane są odpowiednio skonfigurowane i monitorowane systemy wykrywania i zapobiegania włamaniom.
• Na bazach danych i innych systemach informatycznych wykorzystywanych do przetwarzania Danych Osobowych włączone są wyłącznie te usługi/procesy i porty, które są niezbędne do realizacji codziennych zadań. Wszystkie pozostałe usługi/procesy na hoście są wyłączone.
• Wszystkie systemy informatyczne, repozytoria i inne systemy wykorzystywane do przetwarzania Danych Osobowych muszą być fizycznie zlokalizowane w kontrolowanym centrum danych i wykorzystywane wyłącznie do celów przetwarzania tych danych.
• Bezpieczne kanały komunikacji (np. TLS, SFTP, SSH, IPSEC itp.) muszą być konsekwentnie stosowane do komunikacji z centrum danych Botpress.

5. Zarządzanie podatnościami

Botpress stosuje skuteczne mechanizmy zarządzania podatnościami na wszystkich systemach wykorzystywanych do tworzenia, przesyłania lub przetwarzania Danych Osobowych, w tym między innymi:

• Wdrożenie urządzeń do zapobiegania i wykrywania zagrożeń sieciowych, które pomagają filtrować wiadomości phishingowe i złośliwe oprogramowanie zanim dotrą do stacji roboczych zarządzanych przez Botpress i mających bezpośredni lub pośredni dostęp do Danych Osobowych.
• Wdrożenie oprogramowania antywirusowego i antymalware na wszystkich stacjach roboczych zarządzanych przez Botpress i przetwarzających Dane Osobowe.
• Utrzymywanie standardowego procesu i praktyki zarządzania poprawkami w celu zapewnienia ochrony wszystkich urządzeń wykorzystywanych do dostępu, przetwarzania lub przechowywania Danych Osobowych.
  
• Urządzenia i dokumenty zawierające Dane Osobowe muszą umożliwiać identyfikację przetwarzanych informacji, być zinwentaryzowane i dostępne wyłącznie dla użytkowników upoważnionych do dostępu do tych danych zgodnie z dokumentacją bezpieczeństwa.
• Środki zapobiegające kradzieży, utracie lub nieuprawnionemu dostępowi do Danych Osobowych podczas przesyłania i transferu.

6. Kopie zapasowe, odzyskiwanie i dostępność danych

Botpress wdraża następujące plany odzyskiwania po awarii i ciągłości działania, aby zminimalizować maksymalny czas przestoju i utratę danych.

• Botpress wdraża funkcje odzyskiwania po awarii zaprojektowane w celu przywrócenia funkcjonalności systemu zawierającego Dane Osobowe w czasie uzgodnionym przez strony lub, w przypadku braku takiego uzgodnienia, w rozsądnym terminie, biorąc pod uwagę charakter Danych Osobowych.
• Botpress systematycznie zapewnia, że Dane Osobowe są niedostępne dla osób innych niż upoważniony personel Botpress (np. zewnętrzne kopie zapasowe są systematycznie szyfrowane).
• Aby ograniczyć ryzyko związane z zagrożeniami środowiskowymi, sprzęt powinien być umieszczony z dala od lokalizacji narażonych na wysokie ryzyko środowiskowe i uzupełniony o redundantny sprzęt zlokalizowany w rozsądnej odległości.
• Mechanizmy bezpieczeństwa i redundancje powinny być wdrożone w celu ochrony sprzętu przed przerwami w dostawie mediów (np. awarie zasilania, zakłócenia sieci itp.).
• Należy ustanowić polityki i procedury dotyczące przechowywania i retencji danych oraz wdrożyć mechanizmy kopii zapasowych lub redundancji, aby zapewnić zgodność z wymaganiami prawnymi, regulacyjnymi, umownymi lub biznesowymi. Testowanie odzyskiwania danych z kopii zapasowych na dyskach lub taśmach powinno być przeprowadzane w zaplanowanych odstępach czasu.

7. Audyt bezpieczeństwa

Botpress stosuje środki kontroli na wszystkich systemach wykorzystywanych do tworzenia, przesyłania lub przetwarzania Danych Osobowych, w tym między innymi:

• Zewnętrzne skanowanie podatności lub audyty urządzeń infrastruktury publicznej zawierających Dane Osobowe.
• Zewnętrzne testy penetracyjne systemów Botpress przechowujących i przetwarzających Dane Osobowe.
• Okresowa ocena przez podmioty trzecie w przypadkach, gdy aplikacje lub procesy obsługują informacje finansowe.
• Botpress zobowiązuje się do usuwania wszystkich podatności wykrytych w wyniku testów penetracyjnych oraz do informowania Klienta o podjętych działaniach naprawczych.
  

8. Szkolenia i świadomość

Botpress wdraża program podnoszenia świadomości bezpieczeństwa dla swoich pracowników i dostawców usług, którzy mają kontakt z systemami przetwarzającymi Dane Osobowe, obejmujący:

• Botpress zapewnia, że jego personel rozumie zagrożenia i kwestie związane z zarządzaniem ryzykiem informacyjnym dotyczącym usług Botpress oraz odpowiednie polityki zarządzania ryzykiem informacyjnym.
• Personel Botpress otrzymuje szkolenia i regularne aktualizacje dotyczące odpowiednich polityk i procedur zarządzania ryzykiem informacyjnym zgodnie ze standardową klasyfikacją ryzyka oraz odpowiednimi procedurami.
• Personel podwykonawców jest informowany o klasyfikacji ryzyka informacyjnego Botpress oraz odpowiednich procedurach.
• Należy ustanowić polityki i procedury dotyczące usuwania widocznych dokumentów zawierających dane wrażliwe, gdy stanowisko pracy jest pozostawione bez nadzoru, oraz egzekwowania automatycznego wylogowania sesji roboczej po okresie bezczynności.

‍

Aneks 3 – Podprocesorzy

Botpress prowadzi aktualną listę Podprocesorów w swoim Trust Center. O ile nie wskazano inaczej, wszystkie dane są przetwarzane w Stanach Zjednoczonych.