Załącznik dotyczący przetwarzania danych dla przedsiębiorstw
WPROWADZENIE
Wersja: 1 Data: [12 marca 2026 r.] Niniejszy aneks dotyczący przetwarzania danych, wraz z załącznikami („DPA”), stanowi część Ramowej umowy o świadczenie usług oraz poszczególnych zamówień (zwanych łącznie „Umowa”) znajdujące się pomiędzy Tobą („Klient” lub „Kontroler”) oraz Doodle AG z siedzibą pod adresem Werdstrasse 21, 8004 Zurych, Szwajcaria (wraz z wszelkimi spółkami zależnymi i podmiotami powiązanymi, zwanymi łącznie „Doodle” lub „Procesor”) oraz określa dodatkowe warunki, które mają zastosowanie w przypadku, gdy informacje przekazane przez użytkownika firmie Doodle na mocy Umowy zawierają dane osobowe (zdefiniowane poniżej).
1. DEFINICJE
A. „CCPA” oznacza kalifornijską ustawę o ochronie prywatności konsumentów (California Consumer Privacy Act z 2018 r., Kodeks cywilny stanu Kalifornii § [1798.100 – 1798.199.100]) oraz przepisy wykonawcze do niej, z uwzględnieniem wszelkich zmian wprowadzanych od czasu do czasu, w tym między innymi na mocy kalifornijskiej ustawy o prawach do prywatności z 2020 r.
B. „Ramy ochrony danych osobowych” oznacza, w zależności od przypadku, Ramy ochrony danych UE–USA, rozszerzenie tych ram na Wielką Brytanię oraz Ramy ochrony danych Szwajcaria–USA opracowane przez Departament Handlu Stanów Zjednoczonych, Komisję Europejską, rząd Wielkiej Brytanii oraz szwajcarską administrację federalną, umożliwiające organizacjom z siedzibą w Stanach Zjednoczonych uczestniczącym w tych ramach ochrony danych otrzymywanie danych osobowych z Unii Europejskiej / Europejskiego Obszaru Gospodarczego, Wielkiej Brytanii i Gibraltaru oraz Szwajcarii zgodnie z obowiązującymi przepisami o ochronie danych w tych regionach.
C. „Przepisy dotyczące ochrony danych” oznacza wszystkie obowiązujące federalne, stanowe i zagraniczne przepisy dotyczące ochrony danych, prywatności i bezpieczeństwa danych, a także obowiązujące rozporządzenia i oficjalne dyrektywy, które ze względu na swój charakter mają moc prawną, wraz z wprowadzanymi od czasu do czasu zmianami, a w odniesieniu do przetwarzania danych osobowych przez Podmiot przetwarzający – w zakresie bezpośrednio mającym zastosowanie do takiego przetwarzania, w tym między innymi unijne przepisy o ochronie danych, brytyjskie przepisy o ochronie danych, szwajcarskie przepisy o ochronie danych, ustawę o prywatności z 1988 r., ustawę o ochronie danych osobowych i dokumentów elektronicznych oraz CCPA.
D. „Osoba, której dane dotyczą” oznacza osobę fizyczną lub konsumenta, którego dotyczą dane osobowe.
E. „Wniosek osoby, której dane dotyczą” oznacza wniosek osoby, której dane dotyczą, o skorzystanie z praw przysługujących jej na mocy przepisów o ochronie danych w odniesieniu do jej danych osobowych.
F. „Przepisy UE dotyczące ochrony danych” oznacza RODO wraz z wszelkimi mającymi zastosowanie aktami wykonawczymi lub rozporządzeniami, a także przepisami Unii Europejskiej lub państw członkowskich, z uwzględnieniem wprowadzanych od czasu do czasu zmian.
G. „RODO” oznacza ogólne rozporządzenie o ochronie danych (rozporządzenie (UE) 2016/679 Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych).
H. „Impreza” oznacza albo Klienta, albo firmę Doodle.
I. „Strony” oznacza łącznie Klienta i firmę Doodle.
J. „Dane osobowe”oznacza wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, które są przetwarzane przez Doodle w imieniu Klienta w związku ze świadczeniem Usług na rzecz Klienta, o ile informacje te są chronione jako „dane osobowe” lub „informacje osobowe” lub pod podobnym terminem na mocy przepisów o ochronie danych.
K. „Proces” lub „Przetwarzanie” oznacza każdą operację lub zbiór operacji wykonywanych na danych osobowych, niezależnie od tego, czy odbywa się to w sposób zautomatyzowany, czy nie, takich jak gromadzenie, rejestrowanie, porządkowanie, przechowywanie, dostosowywanie lub zmiana, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przekazywanie, rozpowszechnianie lub udostępnianie w inny sposób, zestawianie lub łączenie, blokowanie, usuwanie lub niszczenie.
L.„Naruszenie bezpieczeństwa” oznacza potwierdzone naruszenie środków bezpieczeństwa informacji stosowanych przez Doodle, prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmiany, nieuprawnionego ujawnienia lub uzyskania dostępu do danych osobowych objętych niniejszą umową o przetwarzaniu danych (DPA).
M. „Usługi” oznacza usługi świadczone przez Doodle na rzecz Klienta na mocy Umowy.
N. „Standardowe klauzule umowne” lub „SCC” oznacza wzorcowe klauzule dotyczące przekazywania danych osobowych podmiotom przetwarzającym z siedzibą w państwach trzecich, zatwierdzone przez Komisję Europejską, których zatwierdzona wersja została określona w decyzji wykonawczej Komisji Europejskiej 2021/914 z dnia 4 czerwca 2021 r. oraz pod adresem: https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX%3A32021D0914&locale=e.
O. „Szwajcarskie przepisy dotyczące ochrony danych” oznacza wszystkie przepisy dotyczące ochrony danych, przetwarzania danych osobowych, prywatności i/lub łączności elektronicznej obowiązujące w danym momencie w Szwajcarii, w tym szwajcarską federalną ustawę o ochronie danych z dnia 25 września 2020 r. oraz rozporządzenia do niej.
P. „Brytyjskie przepisy dotyczące ochrony danych” oznacza wszystkie przepisy dotyczące ochrony danych, przetwarzania danych osobowych, prywatności i/lub łączności elektronicznej obowiązujące w danym momencie w Wielkiej Brytanii („Wielka Brytania”), w tym brytyjską wersję RODO oraz ustawę o ochronie danych z 2018 r.
Pytanie: „Brytyjskie RODO” oznacza brytyjskie ogólne rozporządzenie o ochronie danych, które stanowi część prawa Wielkiej Brytanii na mocy sekcji 3 ustawy z 2018 r. o wystąpieniu z Unii Europejskiej.
R. Terminy „Procesor” oraz „Kontroler” będą miały znaczenie nadane im na mocy obowiązujących przepisów o ochronie danych. Wszelkie terminy pisane wielką literą, które nie zostały zdefiniowane w niniejszym DPA, będą miały znaczenie nadane im w Umowie i zostają niniejszym przyjęte przez odniesienie w niniejszym Załączniku.
2. PRZETWARZANIE I PRZEKAZYWANIE DANYCH OSOBOWYCH
A. Obowiązki klienta. W stosunkach między Klientem a firmą Doodle Klient pełni rolę administratora danych osobowych i ma obowiązek: (a) określić cel oraz zasadnicze środki przetwarzania danych osobowych zgodnie z Umową; (b) ponosi odpowiedzialność za prawidłowość danych osobowych; oraz (c) wypełnia swoje obowiązki wynikające z przepisów o ochronie danych, w tym, w stosownych przypadkach, zapewnia, że Klient posiada podstawę prawną do gromadzenia danych osobowych, przekazuje osobom, których dane dotyczą, wszelkie wymagane informacje oraz/lub uzyskuje zgodę osoby, której dane dotyczą, na przetwarzanie danych osobowych.
B. Obowiązki związane z doodle’ami. Doodle jest administratorem danych osobowych i ma obowiązek (a) Przetwarzać dane osobowe w imieniu Klienta zgodnie z pisemnymi instrukcjami Klienta (o ile nie zrezygnowano z tego wymogu w formie pisemnej) przekazanymi w okresie obowiązywania niniejszej Umowy o przetwarzaniu danych; oraz (b) wywiązywać się ze swoich zobowiązań wynikających z przepisów o ochronie danych. Opis przetwarzania danych osobowych, które ma być realizowane na mocy niniejszej Umowy o przetwarzaniu danych (DPA), znajduje się w załączniku 1. Strony uzgadniają, że Umowa, w tym niniejsza Umowa o przetwarzaniu danych, wraz z korzystaniem przez Klienta z Usług zgodnie z Umową, stanowią kompletne i ostateczne pisemne instrukcje Klienta dla Doodle w odniesieniu do przetwarzania danych osobowych, a dodatkowe instrukcje wykraczające poza zakres niniejszych instrukcji będą wymagały uprzedniego pisemnego porozumienia, podpisanego przez obie strony, pomiędzy Klientem a Doodle. W przypadku, gdy firma Doodle ma uzasadnione podstawy, by sądzić, że istnieje sprzeczność między jakimkolwiek prawem o ochronie danych a instrukcjami Klienta, firma Doodle niezwłocznie poinformuje o tym Klienta, a Strony będą współpracować w dobrej wierze w celu rozwiązania tej sprzeczności i osiągnięcia celów określonych w takich instrukcjach.
C. Wykorzystanie danych. Firma Doodle nie będzie wykorzystywać danych osobowych, z wyjątkiem przypadków, w których wykorzystanie tych danych odbywa się zgodnie z instrukcjami Klienta, jest dozwolone na mocy Umowy oraz jest niezbędne do wnoszenia i obrony roszczeń, do przestrzegania wymogów postępowania sądowego, do współpracy z organami regulacyjnymi oraz do innych podobnych, dopuszczalnych celów wyraźnie określonych w przepisach dotyczących ochrony danych.
D. Miejsce przetwarzania. Strony przyjmują do wiadomości i uzgadniają, że przetwarzanie danych osobowych będzie odbywać się w Unii Europejskiej (UE), w Szwajcarii oraz ewentualnie w (innych) jurysdykcjach poza miejscem zamieszkania osób, których dane dotyczą, a Klient będzie przestrzegał wszystkich wymogów dotyczących powiadomień i zgód związanych z takim przekazywaniem i przetwarzaniem danych w zakresie wymaganym przez przepisy o ochronie danych. E. Zwrot lub zniszczenie danych. Firma Doodle zwróci lub bezpiecznie zniszczy dane osobowe zgodnie z instrukcjami Klienta, na jego żądanie lub po zamknięciu konta (kont) Klienta, chyba że dane osobowe muszą zostać zachowane w celu zapewnienia zgodności z obowiązującym prawem.
3. PRZEPISY DOTYCZĄCE OCHRONY DANYCH W SZWAJCARII, UE I WIELKIEJ BRYTANII
Niniejsza sekcja ma zastosowanie w odniesieniu do przetwarzania danych osobowych, jeżeli przetwarzanie to podlega szwajcarskim przepisom o ochronie danych, unijnym przepisom o ochronie danych lub brytyjskim przepisom o ochronie danych.
A. Przekazywanie danych osobowych. Klient przyjmuje do wiadomości i zgadza się, że firma Doodle ma siedzibę w Szwajcarii. O ile nie ma zastosowania wyjątek określony w przepisach UE dotyczących ochrony danych, szwajcarskich przepisach dotyczących ochrony danych lub brytyjskich przepisach dotyczących ochrony danych (w zależności od tego, które mają zastosowanie), przekazywanie danych osobowych podlegających przepisom UE dotyczącym ochrony danych, szwajcarskich przepisów o ochronie danych lub brytyjskich przepisów o ochronie danych (w zależności od przypadku) do odbiorcy w jurysdykcji, która nie jest objęta decyzją w sprawie adekwatności na mocy obowiązujących przepisów o ochronie danych, podlega umowie o przekazywaniu danych w formie określonej przez unijne przepisy o ochronie danych, szwajcarskie przepisy o ochronie danych lub brytyjskie przepisy o ochronie danych (w zależności od przypadku) (np. standardowe klauzule umowne lub ich odpowiedniki), o ile sporządzenie takiego dokumentu stanowi ważny środek umożliwiający przekazywanie danych osobowych podlegających przepisom UE o ochronie danych, szwajcarskim przepisom o ochronie danych lub brytyjskim przepisom o ochronie danych (w zależności od przypadku), lub odbywać się zgodnie z jakimkolwiek innym ważnym mechanizmem przekazywania przewidzianym przez przepisy UE o ochronie danych, szwajcarskich przepisów o ochronie danych lub brytyjskich przepisów o ochronie danych (w zależności od przypadku). W zakresie, w jakim przepisy UE o ochronie danych, szwajcarskie przepisy o ochronie danych lub brytyjskie przepisy o ochronie danych (w zależności od przypadku) wymagają dodatkowych środków umownych, technicznych lub organizacyjnych w celu zgodnego z prawem przekazywania danych osobowych podlegających przepisom UE o ochronie danych, szwajcarskich przepisów o ochronie danych lub brytyjskich przepisów o ochronie danych (w zależności od przypadku), każda ze Stron będzie współpracować w dobrej wierze oraz wdroży i wyrazi zgodę na takie środki, w tym między innymi na zawarcie standardowych klauzul umownych (jeśli jest to wymagane), które mogą być niezbędne do umożliwienia i utrzymania zgodności z prawem takiego przekazywania.
A-1. Standardowe klauzule umowne.
a. Firma Doodle (jako „podmiot przekazujący dane”) oraz Klient (jako „podmiot odbierający dane”) niniejszym zawierają standardowe klauzule umowne, Moduł 4, w odniesieniu do wszelkich przekazywania danych osobowych podlegających przepisom UE o ochronie danych, szwajcarskim przepisom o ochronie danych lub brytyjskim przepisom o ochronie danych (w zależności od przypadku) z Doodle do Klienta. Strony potwierdzają, że mają dostęp do standardowych klauzul umownych i zapoznały się z ich treścią, oraz niniejszym zrzekają się konieczności zamieszczania ich treści w niniejszej umowie o przetwarzaniu danych (DPA). W przypadku sprzeczności między niniejszą umową o przetwarzaniu danych a standardowymi klauzulami umownymi pierwszeństwo mają standardowe klauzule umowne.
b. W odniesieniu do standardowych klauzul umownych Strony uzgadniają, że załącznik 1.A. do niniejszej umowy o przetwarzaniu danych stanowi załącznik I.A. do standardowych klauzul umownych, a załączniki 1.B.–I. stanowią załącznik I.B. Strony uzgadniają ponadto, że (i) Zastosowanie ma punkt 7; (ii) Punkt 11 lit. a) ma zastosowanie bez możliwości wyboru; (iii) Standardowe klauzule umowne podlegają prawu szwajcarskiemu, a właściwe są sądy w Zurychu (klauzule 17 i 18).
c. W odniesieniu do standardowych klauzul umownych, w przypadku gdy przekazanie danych z Doodle do Klienta podlega szwajcarskim przepisom o ochronie danych, (i) rOdniesienia do prawa Unii Europejskiej należy rozumieć jako odnoszące się również do szwajcarskiej federalnej ustawy o ochronie danych („FDPA”); (ii) Szwajcaria będzie uznawana za „państwo członkowskie”, a odniesienia do „państwa członkowskiego” będą interpretowane jako obejmujące Szwajcarię; (iii) terminy użyte w standardowych klauzulach umownych, które zostały zdefiniowane w ustawie FDPA, będą interpretowane zgodnie z ustawą FDPA. d. W odniesieniu do standardowych klauzul umownych, w przypadku gdy przekazanie danych z Doodle do Klienta podlega brytyjskim przepisom o ochronie danych, klauzule te należy interpretować zgodnie z postanowieniami części 2 (Klauzule obowiązkowe) brytyjskiego aneksu dotyczącego międzynarodowego przekazywania danych do standardowych klauzul umownych Komisji Europejskiej („UK IDTA”), a Strony potwierdzają, że informacje wymagane na potrzeby części 1 (Tabele) brytyjskiego aneksu UK IDTA zostają niniejszym uzupełnione w następujący sposób:
1. W odniesieniu do tabeli 1: pola dotyczące stron uznaje się za wstępnie wypełnione danymi eksportera i importera określonymi w załączniku 1.A do niniejszego dokumentu;
2. W odniesieniu do tabeli 2: wspomniane klauzule, w tym informacje zawarte w załączniku, przy czym w odniesieniu do umowy IDTA między Wielką Brytanią a UE i Szwajcarią wchodzą w życie wyłącznie te moduły, klauzule lub postanowienia fakultatywne z wymienionych powyżej klauzul;
3. W odniesieniu do tabeli 3: informacje zawarte w załączniku przedstawiono poniżej:
i. Załącznik IA: Wykaz stron: zgodnie z załącznikiem 1.A do niniejszego dokumentu; ii. Załącznik IB: Opis przekazania: zgodnie z załącznikiem 1.B do niniejszego dokumentu; iii. Załącznik II: Nie dotyczy;
4. W odniesieniu do tabeli 4: każda ze stron może wypowiedzieć brytyjską umowę o unikaniu podwójnego opodatkowania (IDTA) zgodnie z postanowieniami sekcji 19 tej umowy.
B. Obowiązki. Doodle ma: (i) w rozsądnym zakresie wspierać Klienta w wypełnianiu jego obowiązków wynikających z art. 32–36 RODO, ich odpowiedników w brytyjskich przepisach o ochronie danych lub ich odpowiedników w szwajcarskich przepisach o ochronie danych, w zależności od przypadku a); (ii) prowadzić rejestr wszystkich kategorii czynności związanych z przetwarzaniem danych, realizowanych w imieniu Klienta zgodnie z art. 30 ust. 2 RODO lub odpowiednimi przepisami brytyjskiego prawa o ochronie danych lub szwajcarskiego prawa o ochronie danych, w zależności od tego, które z nich ma zastosowanie; oraz (iii) współpracować, na żądanie, z organem nadzorczym UE, Wielkiej Brytanii lub Szwajcarii, w zależności od przypadku, w zakresie świadczenia Usług.
4. CCPA
A. CCPA. Niniejsza sekcja ma zastosowanie do serwisu Doodle, który pełni rolę dostawcy usług dla Klienta (o ile niniejsza sekcja nie stanowi inaczej) w zakresie przetwarzania danych osobowych podlegających przepisom CCPA. Klient przekazuje dane osobowe firmie Doodle, a firma Doodle przetwarza takie dane osobowe wyłącznie w celach określonych w niniejszej Umowie, w tym w niniejszym DPA. W przypadku sprzeczności między postanowieniami niniejszej sekcji, z jednej strony, a postanowieniami Umowy, z drugiej strony, pierwszeństwo mają postanowienia niniejszej sekcji. Wszystkie terminy pisane wielką literą, użyte w niniejszym punkcie, ale niezdefiniowane w Umowie, mają znaczenie nadane im w CCPA, o ile nie określono inaczej.
B. Firma Doodle nie będzie: a. sprzedawać ani udostępniać danych osobowych; b. przechowywać, wykorzystywać ani ujawniać danych osobowych (i) w jakimkolwiek celu, w tym w celach komercyjnych, innych niż cele biznesowe określone w Umowie lub w uzasadniony sposób związane z Usługami, lub innych niż dozwolone na mocy CCPA, lub (ii) poza bezpośrednią relacją biznesową między Stronami, chyba że CCPA wyraźnie na to zezwala; c. łączyć Dane osobowe z danymi osobowymi, które Doodle otrzymuje od innej osoby lub osób, w ich imieniu, lub gromadzi w wyniku własnej interakcji z Konsumentem, z zastrzeżeniem, że Doodle może łączyć Dane osobowe w celu realizacji dowolnego Celu biznesowego dozwolonego przez CCPA. C. Doodle będzie przestrzegać obowiązków mających do niego zastosowanie jako do dostawcy usług na mocy CCPA oraz zapewni danym osobowym taki sam poziom ochrony prywatności, jaki CCPA wymaga od przedsiębiorstw. D. Klient ma prawo podjąć uzasadnione i odpowiednie kroki w celu zapewnienia, że firma Doodle wykorzystuje dane osobowe w sposób zgodny z obowiązkami Klienta wynikającymi z CCPA. Procedura podejmowania takich kroków jest określona w sekcji 8 poniżej. E. Doodle powiadomi Klienta, jeśli stwierdzi, że nie jest już w stanie wywiązywać się ze swoich obowiązków jako dostawca usług zgodnie z CCPA. Jeśli Doodle powiadomi o tym Klienta, Klient ma prawo podjąć uzasadnione i odpowiednie kroki w celu zaprzestania i usunięcia skutków nieuprawnionego wykorzystania danych osobowych. F. Doodle może zaangażować podwykonawcę przetwarzania w celu pomocy w przetwarzaniu danych osobowych w celach biznesowych w imieniu Klienta na podstawie pisemnej (wystarczy forma tekstowa) umowy wiążącej podwykonawcę przetwarzania, która jest zgodna z CCPA. G. W zakresie, w jakim Klient ujawnia, udostępnia lub w inny sposób przekazuje dane osobowe firmie Doodle, czyni to wyłącznie w ograniczonych i określonych celach biznesowych opisanych w załączniku 1. H. W zakresie, w jakim Klient ujawnia lub w inny sposób udostępnia firmie Doodle dane pozbawione elementów umożliwiających identyfikację, lub firma Doodle pozbawia dane osobowe elementów umożliwiających identyfikację, firma Doodle zobowiązuje się do (i)podjąć odpowiednie środki w celu zapewnienia, że dane pozbawione elementów umożliwiających identyfikację nie będą mogły zostać powiązane z konkretną osobą lub gospodarstwem domowym; (ii) publicznie zobowiązać się do przechowywania i wykorzystywania danych osobowych w formie pozbawionej elementów umożliwiających identyfikację oraz do niepodejmowania prób ponownej identyfikacji tych danych, a także (iii) nałożyć na każdego kolejnego odbiorcę umowny obowiązek przestrzegania wszystkich postanowień niniejszego punktu H. I. Doodle zapewni Klientowi uzasadnioną pomoc w zapewnieniu zgodności z obowiązkami Klienta w zakresie przeprowadzania ocen ryzyka i audytów cyberbezpieczeństwa oraz w przestrzeganiu wymagań Klienta dotyczących technologii zautomatyzowanego podejmowania decyzji, z uwzględnieniem charakteru przetwarzania oraz informacji dostępnych Doodle. J. Strony uzgadniają, że w ramach niniejszej Umowy nie przewiduje się sprzedaży ani udostępniania danych osobowych, a Strony uzgadniają, że przekazywanie danych osobowych przez jedną Stronę drugiej Stronie na mocy niniejszej Umowy jest niezbędne do realizacji celu biznesowego opisanego w sekcji 9 poniżej lub w załączniku 1 i nie stanowi części, a także jest wyraźnie wyłączone z wymiany świadczeń wzajemnych ani żadnej innej rzeczy mającej wartość między Stronami.
5. PODWYKONAWCY
A. Lista podwykonawców przetwarzania danych. Klient wyraża zgodę na korzystanie przez firmę Doodle z usług podwykonawców, którzy mogą przetwarzać dane osobowe w imieniu Klienta, aby pomóc firmie Doodle w świadczeniu Usług. Lista aktualnych podwykonawców firmy Doodle jest dostępna tutaj. Firma Doodle może od czasu do czasu aktualizować listę podwykonawców przetwarzających dane i udostępni wszelkie aktualizacje tej listy w Internecie oraz powiadomi o tym Klienta. Klient może zgłosić sprzeciw na piśmie w ciągu dwóch (2) tygodni od otrzymania powiadomienia, podając uzasadniony powód. W przypadku zgłoszenia sprzeciwu przez Klienta Strony będą negocjować w dobrej wierze w celu znalezienia rozwiązania. Jeżeli Strony nie osiągną porozumienia w sprawie rozwiązania w ciągu dwóch (2) miesięcy od powiadomienia o sprzeciwie, każda ze Stron może wypowiedzieć dane Zamówienie indywidualne, składając pisemne zawiadomienie w ciągu dwóch (2) tygodni od upływu terminu negocjacji. B. Umowy z podwykonawcami przetwarzania danych. Doodle zawrze z każdym takim podwykonawcą przetwarzającym dane pisemną umowę (wystarczy forma tekstowa), zawierającą zobowiązania w zakresie ochrony danych, które są co najmniej tak samo restrykcyjne jak zobowiązania określone w niniejszej umowie o przetwarzaniu danych (DPA).
6. OCHRONA DANYCH
A. Bezpieczeństwo danych. Doodle zastosuje uzasadnione z handlowego punktu widzenia środki techniczne i organizacyjne, odpowiednie do charakteru danych osobowych, w celu zapewnienia bezpieczeństwa, poufności i integralności danych osobowych oraz ochrony tych danych przed nieuprawnionym lub niezgodnym z prawem dostępem, zniszczeniem, wykorzystaniem, modyfikacją lub ujawnieniem. Doodle wdroży i będzie utrzymywać co najmniej środki techniczne i organizacyjne określone w załączniku 2. B. Upoważniony personel. Doodle zapewni, że pracownicy, wykonawcy, przedstawiciele i audytorzy Doodle, którzy muszą mieć dostęp do danych osobowych w celu umożliwienia Doodle wypełnienia zobowiązań wynikających z Umowy, będą zobowiązani do zachowania poufności w odniesieniu do tych danych osobowych. Naruszenia bezpieczeństwa. W przypadku stwierdzenia naruszenia bezpieczeństwa firma Doodle niezwłocznie: (i) powiadomić Klienta o naruszeniu bezpieczeństwa; (ii) zbadanie naruszenia bezpieczeństwa; (iii) przekazać Klientowi niezbędne informacje dotyczące naruszenia bezpieczeństwa zgodnie z obowiązującym prawem; oraz (iv) podjąć uzasadnione działania w celu zapobieżenia ponownemu wystąpieniu naruszenia bezpieczeństwa. Firma Doodle udostępni odpowiednią dokumentację oraz inne materiały związane ze skutkami naruszenia bezpieczeństwa dla Klienta w zakresie niezbędnym do zapewnienia zgodności z przepisami o ochronie danych, z zastrzeżeniem wszelkich zobowiązań dotyczących poufności ciążących na firmie Doodle na mocy obowiązujących przepisów prawa lub umów.
7. POMOC
A. Pomoc dotycząca procesora. Na pisemny wniosek Klienta firma Doodle udzieli mu odpowiedniej pomocy w zakresie niezbędnym do wypełnienia przez Klienta jego zobowiązań wynikających z przepisów o ochronie danych, w tym poprzez przekazanie Klientowi informacji na temat technicznych i organizacyjnych środków bezpieczeństwa stosowanych przez firmę Doodle, a także w zakresie niezbędnym do przeprowadzenia ocen ochrony danych (których procedura została określona w sekcji 8 poniżej). B. Wnioski osób, których dane dotyczą. Jeżeli osoba zaproszona, pracownik Klienta lub inna odpowiednia osoba, której dane dotyczą, złoży do serwisu Doodle wniosek dotyczący danych osobowych, serwis Doodle poinformuje tę osobę o konieczności skierowania wniosku bezpośrednio do klienta serwisu Doodle, który jest odpowiednim administratorem tych danych osobowych, oraz powiadomi Klienta o takim wniosku, jeśli osoba, której dane dotyczą, wskaże Klienta jako odpowiedniego administratora w stosunku do serwisu Doodle. Klient ponosi odpowiedzialność za wnioski osób, których dane dotyczą. Doodle zapewni pełną współpracę i pomoc administratorowi w związku z wszelkimi wnioskami osób, których dane dotyczą, o dostęp do przechowywanych na ich temat danych osobowych lub w związku z wszelkimi innymi wnioskami, zarzutami lub skargami ze strony właściwego organu lub osoby, której dane dotyczą, w tym poprzez niezwłoczne pisemne powiadomienie administratora o otrzymaniu takiego zawiadomienia lub wniosku. Dane kontaktowe dotyczące wniosków osób, których dane dotyczą, można znaleźć na naszej stronie strona internetowa. C. Koszty. Jeżeli firma Doodle w dobrej wierze stwierdzi, że wniosek o pomoc złożony na podstawie niniejszego punktu jest nieuzasadniony, nadmiernie uciążliwy i wykracza poza branżowe oczekiwania dotyczące pomocy w danej sprawie, Strony uzgodnią w dobrej wierze wysokość kosztów, jakie Klient ma pokryć na rzecz firmy Doodle z tytułu takiej pomocy.
8. AUDYTY
W ciągu trzydziestu (30) dni od otrzymania pisemnego wniosku Klienta, nie częściej niż raz w roku, Doodle udostępni Klientowi (lub wzajemnie uzgodnionemu audytorowi zewnętrznemu) informacje niezbędne w uzasadnionym zakresie do wykazania zgodności Doodle z zobowiązaniami określonymi w niniejszej Umowie o przetwarzaniu danych (DPA) w postaci najnowszych raportów z audytu lub certyfikacji przeprowadzonych przez podmiot zewnętrzny (takich jak SOC 2 lub Cloud Verify). Jeżeli po otrzymaniu raportów Klient, kierując się rozsądną oceną sytuacji, stwierdzi, że potrzebne są dalsze informacje w celu potwierdzenia, że Doodle wywiązuje się ze swoich zobowiązań wynikających z niniejszej Umowy o przetwarzaniu danych (DPA) lub w celu przeprowadzenia przez Klienta oceny ochrony danych, Klient może zwrócić się na piśmie z prośbą o takie dodatkowe informacje. Następnie Strony będą współpracować w dobrej wierze w celu uzgodnienia dodatkowych informacji, które ma dostarczyć Doodle, a Doodle dostarczy uzgodnione informacje. W przypadku gdy obowiązujące przepisy o ochronie danych przewidują prawo do kontroli na miejscu, Doodle zezwoli Klientowi na przeprowadzenie takich kontroli. Wszelkie informacje przekazane przez Doodle na mocy niniejszego punktu uznaje się za Informacje poufne Doodle i podlegają one zobowiązaniom dotyczącym poufności określonym w Umowie.
9. ROLA FIRMY Doodle JAKO ADMINISTRATORA DANYCH
Strony przyjmują do wiadomości i zgadzają się, że firma Doodle przetwarza określone dane osobowe jako administrator danych zgodnie z naszą Polityką prywatności oraz w celach w niej opisanych, w przypadkach gdy do takich danych osobowych mają zastosowanie przepisy UE, Wielkiej Brytanii lub Szwajcarii dotyczące ochrony danych: (i) w celu zarządzania relacjami z klientem, w tym tworzenia kont klientów, obsługi rozliczeń oraz prowadzenia działań sprzedażowych i marketingowych; (ii) do celów związanych z wewnętrzną działalnością operacyjną firmy Doodle, takich jak księgowość, audyty, przygotowywanie i składanie zeznań podatkowych oraz zapewnienie zgodności z przepisami; (iii) w celu monitorowania, badania, zapobiegania i wykrywania oszustw, incydentów związanych z bezpieczeństwem oraz innych przypadków nadużycia Usług; (iv) w celu weryfikacji tożsamości; (v) w celu wypełnienia obowiązków prawnych lub regulacyjnych dotyczących przetwarzania i przechowywania danych osobowych, którym podlega firma Doodle; (vi) w celu opracowywania, ulepszania i analizowania sposobu korzystania z jej produktów i usług, a także (vii) zgodnie z innymi przepisami ustaw o ochronie danych oraz zgodnie z treścią Polityki prywatności serwisu Doodle.
10. RÓŻNE
A. Konflikt. W przypadku jakiejkolwiek sprzeczności lub rozbieżności między niniejszym DPA a przepisami o ochronie danych, pierwszeństwo mają przepisy o ochronie danych. W przypadku jakiejkolwiek sprzeczności lub rozbieżności między postanowieniami niniejszego DPA a postanowieniami Umowy, postanowienia niniejszego DPA mają pierwszeństwo wyłącznie w zakresie, w jakim przedmiot umowy dotyczy przetwarzania danych osobowych. B. Poprawki. Niniejsza Umowa o przetwarzaniu danych nie może zostać zmieniona inaczej niż na podstawie pisemnego dokumentu podpisanego przez Strony. W przypadku stwierdzenia przez jakikolwiek organ ochrony danych, że Umowa lub niniejsze DPA są niewystarczające do zapewnienia zgodności z przepisami o ochronie danych lub zmianami w tych przepisach, Klient i Doodle zobowiązują się do współpracy w dobrej wierze w celu zmiany Umowy lub niniejszego DPA albo zawarcia dalszych, wzajemnie akceptowalnych umów o przetwarzaniu danych, tak aby zapewnić zgodność ze wszystkimi przepisami o ochronie danych. C. Odpowiedzialność. Odpowiedzialność każdej ze Stron wynikająca z niniejszej Umowy o przetwarzaniu danych (DPA) lub z nią związana, niezależnie od tego, czy wynika ona z umowy, czynu niedozwolonego czy też jakiejkolwiek innej podstawy odpowiedzialności, podlega ograniczeniom odpowiedzialności zawartym w Umowie. Dla uniknięcia wątpliwości, każde odniesienie w niniejszym dokumencie do „DPA” oznacza niniejszą Umowę o przetwarzaniu danych (DPA), łącznie z jej załącznikami i dodatkami. D. Prawo właściwe i arbitraż. W celu uniknięcia wątpliwości, do niniejszej Umowy o przetwarzaniu danych (DPA) zastosowanie ma sekcja 16.1 Ramowej umowy o świadczenie usług („Prawo właściwe i arbitraż”). E. Całość umowy. Niniejsza umowa o przetwarzaniu danych nie narusza praw i obowiązków Stron wynikających z Umowy, która nadal pozostaje w pełnej mocy. Niniejsze DPA wraz z Umową stanowi ostateczne, kompletne i wyłączne porozumienie Stron w odniesieniu do przedmiotu niniejszej umowy oraz zastępuje i łączy w sobie wszelkie wcześniejsze rozmowy i porozumienia między Stronami dotyczące tego przedmiotu.
ZAŁĄCZNIK 1: ZAKRES PRZETWARZANIA DANYCH
A. Wykaz stron a. Administrator danych. i. Administratorem danych jest Klient. ii. Adres: adres Klienta podany w Umowie. iii. Imię i nazwisko osoby kontaktowej, stanowisko oraz dane kontaktowe: Marko Midzor, kierownik działu IT, [email protected] iv. Działania związane z przedmiotem umowy: działania niezbędne do świadczenia Usług opisanych w Umowie. v. Podpis i data: Uznaje się, że Klient podpisał niniejszy Załącznik I poprzez zawarcie Ramowej Umowy o świadczenie usług. b. Podmiot przetwarzający dane. i. Podmiotem przetwarzającym dane jest firma Doodle AG. ii. Adres: Werdstrasse 21, 8004 Zurych, Szwajcaria iii. Imię i nazwisko, stanowisko oraz dane kontaktowe osób odpowiedzialnych: Kierownik działu IT w firmie Doodle: Marko Midzor E-mail: [email protected]. Inspektor ochrony danych w firmie Doodle AG: Elena Frahm, TÜV Informationstechnik GmbH, Am TÜV 1, 45307 Essen, Niemcy, e-mail: [email protected] iv. Odpowiednie działania: Działania niezbędne do świadczenia Usług opisanych w Umowie. v. Podpis i data: Uznaje się, że firma Doodle podpisała niniejszy Załącznik I poprzez zawarcie Ramowej Umowy o świadczenie usług. B. Kategorie osób, których dane osobowe są przetwarzane. Klient może przekazywać Doodle dane osobowe, których zakres określa i kontroluje Klient według własnego uznania; dane te mogą obejmować między innymi dane osobowe dotyczące następujących kategorii osób, których dane dotyczą: (i) użytkownicy końcowi Klienta (oraz podmiotów powiązanych z Klientem) w zakresie dozwolonym w Umowie, w tym pracownicy, wykonawcy, przedstawiciele i agenci, oraz (ii) osoby, z którymi Klient (oraz podmioty powiązane z Klientem) umawia spotkania i spotyka się za pośrednictwem usług serwisu Doodle; mogą to być między innymi przedstawiciele serwisu, partnerzy biznesowi, współpracownicy, kandydaci do pracy, klienci oraz potencjalni klienci. Kategorie przetwarzanych danych osobowych. Klient może przekazywać Doodle dane osobowe, których zakres określa i kontroluje Klient według własnego uznania; dane te mogą obejmować między innymi następujące kategorie danych osobowych: imię i nazwisko; tytuł; stanowisko; pracodawca; dane kontaktowe (nazwa firmy, adres e-mail, numer telefonu, fizyczny adres siedziby); dane osobowe zawarte w szczegółach powiązanych wydarzeń kalendarzowych; przybliżoną lokalizację i/lub strefę czasową; oraz inne dane w formie elektronicznej wykorzystywane przez Klienta w ramach Usług. D. Przekazano dane wrażliwe (jeśli dotyczy). W niektórych przypadkach korzystania z Usług mogą być przekazywane dane wrażliwe, takie jak pochodzenie rasowe lub etniczne, przynależność do związków zawodowych lub dane dotyczące zdrowia. E. Częstotliwość transferu. Ciągły. F. Przedmiot/charakter przetwarzania danych. Procesy te mogą obejmować gromadzenie, przechowywanie, pobieranie, przeglądanie, wykorzystywanie, usuwanie lub niszczenie, a także ujawnianie poprzez przekazywanie, rozpowszechnianie lub udostępnianie w inny sposób danych osobowych Klienta w zakresie niezbędnym do świadczenia Usług zgodnie z instrukcjami Klienta, w tym do powiązanych celów wewnętrznych, o ile zezwalają na to obowiązujące przepisy prawa (takie jak kontrola jakości, rozwiązywanie problemów, bezpieczeństwo informacji, zapobieganie i wykrywanie spamu, oszustw i nadużyć oraz rozwój i ulepszanie produktów). G. Cel(e) przekazania danych i ich dalszego przetwarzania. Celem przetwarzania danych osobowych przez firmę Doodle jest świadczenie usług wynikających z umowy zawartej z klientem. H. Okres, przez jaki dane osobowe będą przechowywane, lub – jeśli nie jest to możliwe – kryteria stosowane do ustalenia tego okresu. Dane osobowe są przechowywane tak długo, jak jest to racjonalnie konieczne do realizacji celów, dla których zostały zebrane, do wypełnienia naszych zobowiązań umownych i prawnych oraz przez okresy przedawnienia mające zastosowanie w celu wnoszenia roszczeń i obrony przed nimi. I. W przypadku przekazywania danych do (pod)podmiotów przetwarzających należy również określić przedmiot, charakter i czas trwania przetwarzania. Przedmiot i charakter przetwarzania danych przez podwykonawców przetwarzania danych są określone w wykazie podwykonawców przetwarzania danych tutaj. Przetwarzanie danych przez podwykonawców będzie trwało tak długo, jak długo firma Doodle będzie świadczyć Usługi na rzecz Klienta na podstawie Umowy.
J. Cele biznesowe. (1) Przyczynianie się do zapewnienia bezpieczeństwa i integralności Usług (w zakresie, w jakim wykorzystanie odpowiednich danych osobowych jest racjonalnie konieczne i proporcjonalne do tych celów). (2) Debugowanie w celu identyfikacji i naprawy błędów, które zakłócają istniejącą, zamierzoną funkcjonalność Usług. (3) Świadczenie Usług w imieniu Klienta, w tym zapewnianie wsparcia technicznego Użytkownikom upoważnionym, weryfikacja informacji o Użytkownikach upoważnionych Klienta oraz zapewnianie przechowywania danych. (4) Prowadzenie wewnętrznych badań w celu rozwoju technologicznego i demonstracji Usług.
ZAŁĄCZNIK 2: ŚRODKI TECHNICZNE I ORGANIZACYJNE
Firma Doodle wdraża i utrzymuje co najmniej środki techniczne i organizacyjne określone w niniejszym załączniku. Podwykonawcy firmy Doodle wdrażają i utrzymują środki techniczne i organizacyjne, które zapewniają co najmniej taki sam poziom ochrony jak środki stosowane przez firmę Doodle, nawet jeśli środki te nie są identyczne.
A. Poufność (art. 32 ust. 1 lit. a)–b) RODO lub ich odpowiedniki w obowiązujących przepisach dotyczących ochrony danych)
a. Fizyczna kontrola dostępu. Środki mające na celu uniemożliwienie osobom nieuprawnionym dostępu do sprzętu, za pomocą którego dane są przetwarzane lub wykorzystywane:
Firma Doodle wdraża w swoich biurach systemy zarządzania nagraniami wideo oraz systemy kontroli dostępu fizycznego, aby uniemożliwić osobom nieuprawnionym (tj. nieposiadającym odpowiednich uprawnień dostępu) dostęp do sprzętu służącego do przetwarzania danych.
b. Elektroniczna kontrola dostępu. Środki mające na celu zapobieganie korzystaniu z systemów przetwarzania danych przez osoby nieuprawnione:
Dostęp jest ograniczony zgodnie z zasadą minimalnych uprawnień oraz zasadą ograniczonego dostępu do informacji.
Aplikacja Doodle wykorzystuje platformę do zarządzania tożsamością i dostępem, login i hasło, logowanie jednokrotne (SSO) oraz uwierzytelnianie wieloskładnikowe (MFA) w celu ograniczenia dostępu.
W serwisie Doodle obowiązują pisemne zasady dotyczące haseł, które są dostosowane do zasad dotyczących haseł w aplikacji usługi zarządzania tożsamością i egzekwowane za jej pośrednictwem.
Wszystkie laptopy marki Doodle są szyfrowane za pomocą aplikacji File Storage.
Dane klientów są szyfrowane w chmurze przy użyciu natywnego szyfru blokowego AES-256 aplikacji Cloud Environment, a klucze są zarządzane za pośrednictwem usługi zarządzania kluczami (KMS) tej aplikacji.
Doodle wykorzystuje protokół TLS 1.2 lub nowszy do szyfrowania danych klientów podczas przesyłania.
c. Wewnętrzna kontrola dostępu. Środki mające na celu zapewnienie, aby osoby uprawnione do korzystania z systemu przetwarzania danych miały dostęp wyłącznie do danych objętych ich uprawnieniami, a także aby dane nie mogły być odczytywane, kopiowane, modyfikowane ani usuwane bez upoważnienia w trakcie przetwarzania, użytkowania oraz po ich zapisaniu:
Dane klientów są szyfrowane w chmurze przy użyciu natywnego szyfru blokowego AES-256 aplikacji Cloud Environment, a klucze są zarządzane za pośrednictwem usługi zarządzania kluczami (KMS) tej aplikacji.
Doodle wykorzystuje protokół TLS 1.2 lub nowszy do szyfrowania danych klientów podczas przesyłania.
Kwestia podziału obowiązków została wyraźnie ujęta w Polityce kontroli dostępu, która zawiera ogólne omówienie stosowanej w firmie metodologii podziału obowiązków w zakresie dostępu.
Logiczne prawa dostępu są rozdzielane za pomocą uprawnień grupowych w aplikacji usługi zarządzania tożsamością.
Firma Doodle przeprowadza okresowe przeglądy uprawnień dostępu w celu zapewnienia podziału obowiązków.
Doodle wykorzystuje platformę ochrony punktów końcowych do monitorowania wewnętrznych punktów końcowych.
d. Kontrola izolacji. Środki mające na celu zapewnienie, by dane zebrane w różnych celach mogły być przetwarzane oddzielnie:
Dostęp do systemów klientów i danych konfiguracyjnych jest ograniczony wyłącznie do upoważnionych pracowników firmy Doodle.
Dostęp do środowiska produkcyjnego jest ograniczony wyłącznie do upoważnionego personelu, a wszystkie wdrożenia kodu i poprawki awaryjne podlegają obowiązkowym przeglądom międzykollegialnym, zautomatyzowanym procesom zatwierdzania w ramach CI/CD oraz procesom zarządzania zmianami opartym na systemie zgłoszeń.
Firma Doodle utrzymuje odrębną sieć dla gości i korzysta z rozwiązania MDM, które co sześć miesięcy zmienia i przesyła ukryte hasła do wewnętrznej sieci bezprzewodowej, zapewniając tym samym ścisłe rozgraniczenie dostępu.
e. Pseudonimizacja i szyfrowanie. Przetwarzanie danych osobowych w taki sposób, że dane te nie mogą już być przypisane do konkretnej osoby, której dane dotyczą, bez wykorzystania dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane oddzielnie oraz że podjęto odpowiednie środki techniczne i organizacyjne:
Wszystkie laptopy marki Doodle są szyfrowane za pomocą aplikacji File Storage.
Doodle wykorzystuje protokół TLS 1.2 lub nowszy do szyfrowania danych klientów podczas przesyłania.
Dane klientów są szyfrowane w chmurze przy użyciu natywnego szyfru blokowego AES-256 aplikacji Cloud Environment, a klucze są zarządzane za pośrednictwem usługi zarządzania kluczami (KMS) aplikacji Cloud Environment.
Dostęp do kluczy szyfrujących podlega ścisłym zasadom opartym na zasadzie minimalnych uprawnień i jest ograniczony do wąskiej grupy upoważnionych pracowników firmy Doodle.
B. Uczciwość
(art. 32 ust. 1 lit. b) RODO lub ich odpowiedniki w obowiązujących przepisach dotyczących ochrony danych)
a. Przekazanie kontroli. Środki mające na celu zapobieganie odczytaniu, skopiowaniu, zmianie lub usunięciu danych przez osoby nieuprawnione podczas transmisji elektronicznej, transportu lub przechowywania na nośnikach danych:
Wszystkie laptopy marki Doodle są szyfrowane za pomocą aplikacji File Storage.
Dane klientów są szyfrowane w chmurze przy użyciu natywnego szyfru blokowego AES-256 aplikacji Cloud Environment, a klucze są zarządzane za pośrednictwem usługi zarządzania kluczami (KMS) aplikacji Cloud Environment.
Doodle wykorzystuje protokół TLS 1.2 lub nowszy do szyfrowania danych klientów podczas przesyłania.
b. Kontrola wprowadzania danych i ujawniania informacji. Środki umożliwiające sprawdzenie z mocą wsteczną, czy i przez kogo dane zostały wprowadzone, zmodyfikowane, ujawnione (w stosownych przypadkach – komu) oraz usunięte z systemów przetwarzania danych:
Doodle prowadzi szczegółowe dzienniki dla wszystkich środowisk produkcyjnych. Dzienniki te są przechowywane w scentralizowanym repozytorium, które jest logicznie oddzielone od systemów produkcyjnych, co ma na celu zapobieganie manipulacjom i zapewnienie integralności danych na potrzeby analizy kryminalistycznej.
Wszystkie dzienniki dostępu i aktywności są przechowywane przez co najmniej rok w celu przeprowadzenia audytów zgodności oraz monitorowania bezpieczeństwa.
c. Kontrola magazynowa: Środki mające na celu uniemożliwienie osobom nieuprawnionym odczytywania, kopiowania, zmieniania, przenoszenia, usuwania lub niszczenia przechowywanych danych:
Dane klientów są zarządzane, przetwarzane i przechowywane zgodnie z odpowiednimi przepisami dotyczącymi ochrony danych oraz innymi regulacjami formalnie określonymi w naszych zasadach.
Serwis Doodle stosuje zasady kontroli dostępu opartej na rolach (RBAC), zgodnie z wewnętrznymi wytycznymi serwisu Doodle.
Uprawnienia administracyjne są ograniczone wyłącznie do kont, do których dostęp ma jedynie zespół ds. obsługi technicznej serwisu Doodle, któremu przyznano rolę administratora w ramach procedur kontroli zmian.
C. Dostępność i odporność
(art. 32 ust. 1 lit. c) RODO lub ich odpowiedniki w obowiązujących przepisach dotyczących ochrony danych)
a. Kontrola dostępności: Środki mające na celu ochronę danych przed przypadkowym zniszczeniem lub utratą:
Jako organizacja stawiająca na chmurę, wszystkie dane są przechowywane w infrastrukturze chmurowej o wysokiej dostępności, wyposażonej w wbudowaną redundancję obejmującą wiele stref dostępności.
b. Szybka możliwość odzyskania: Środki umożliwiające szybkie przywrócenie danych w przypadku awarii fizycznej lub technicznej.
Firma Doodle codziennie wykonuje pełne kopie zapasowe swojej infrastruktury chmurowej.
Wewnętrzne kopie zapasowe są szyfrowane zarówno podczas przesyłania, jak i w stanie spoczynku. W przypadku danych przesyłanych Doodle stosuje co najmniej protokół TLS 1.2, a do szyfrowania danych w stanie spoczynku wykorzystuje standardowy w branży algorytm szyfrowania AES-256.
c. Bezpieczeństwo systemu: Działania mające na celu dostosowanie systemów operacyjnych i oprogramowania użytkowego do nowych standardów bezpieczeństwa oraz usunięcie krytycznych luk w zabezpieczeniach:
Polityka zarządzania poprawkami firmy Doodle reguluje funkcjonowanie scentralizowanego ekosystemu, w którym aktualizacje są instalowane na urządzeniach końcowych za pośrednictwem aplikacji do automatycznego zarządzania urządzeniami mobilnymi oraz aplikacji do zarządzania w chmurze, infrastruktura jest zarządzana za pomocą aplikacji Cloud Environment Application Patch Manager, a aktualizacje wersji są wdrażane za pomocą narzędzia App – Dev, najlepiej w połączeniu z testami przedprodukcyjnymi mającymi na celu ocenę poprawek przed ich pełnym wdrożeniem.
Firma Doodle regularnie przeprowadza skanowanie swojej infrastruktury wewnętrznej i publicznej pod kątem typowych luk w zabezpieczeniach i zagrożeń.
D. Procedury dotyczące regularnego przeglądu, oceny i analizy
(art. 32 ust. 1 lit. d) RODO lub ich odpowiedniki w obowiązujących przepisach dotyczących ochrony danych)
a. Zarządzanie ochroną danych:
Firma Doodle posiada zasady, procedury i standardy mające na celu zapewnienie, by dane osobowe klientów były przetwarzane w sposób odpowiedzialny oraz zgodnie z zasadami ochrony danych, przepisami i regulacjami mającymi zastosowanie do firmy Doodle.
Firma Doodle opublikowała i wdrożyła Politykę klasyfikacji informacji, która reguluje kwestie klasyfikacji i szyfrowania informacji. Dane osobowe pracowników i klientów są szyfrowane zgodnie z tą polityką.
Wszystkie laptopy pracowników są szyfrowane za pomocą aplikacji File Storage.
Firma Doodle na bieżąco organizuje szkolenia z zakresu świadomości w zakresie ochrony prywatności dla wszystkich swoich pracowników oraz, o ile jest to dozwolone, rejestruje fakt ich ukończenia.
Firma Doodle analizuje i dokumentuje, w jaki sposób jej produkty i usługi gromadzą, wykorzystują, przechowują i usuwają dane osobowe. Ryzyka są identyfikowane, rejestrowane i ograniczane.
Doodle w sposób przejrzysty informuje o tym, w jaki sposób gromadzi, przetwarza, przechowuje i usuwa dane osobowe. Rodzaj danych osobowych, które Doodle gromadzi, wykorzystuje, przetwarza i udostępnia, zależy od konkretnych usług, o które zwrócono się, i/lub prowadzonych działań. Więcej informacji można znaleźć w naszej Polityce prywatności.
Doodle wykorzystuje gromadzone dane osobowe zgodnie z odpowiednimi przepisami i regulacjami dotyczącymi ochrony danych, które mają zastosowanie do firmy Doodle. Doodle jasno określa powody, dla których gromadzi i wykorzystuje dane osobowe, i postępuje w sposób zgodny z tymi celami.
Dane klientów są dodatkowo zabezpieczone dzięki procesowi SDLC, który wdraża najlepsze praktyki i mechanizmy kontroli bezpieczeństwa w aplikacjach, takie jak 256-bitowe szyfrowanie AES danych przechowywanych, monitorowanie i rejestrowanie zdarzeń, zarządzanie lukami w zabezpieczeniach oraz wzmacnianie zabezpieczeń systemu.
Firma Doodle korzysta ze zintegrowanej platformy służącej do szkoleń z zakresu świadomości bezpieczeństwa, połączonej z regularnymi symulacjami ataków phishingowych dla wszystkich swoich pracowników.
Co roku firma Doodle poddaje się niezależnemu audytowi zewnętrznemu przeprowadzanemu zgodnie z wymogami zasad usług zaufania SOC 2 typu II określonymi przez AICPA. Firma Doodle uzyskała również certyfikat MSP Alliance Cyber Verify Level 3, co oznacza, że kluczowe obszary naszej działalności w zakresie usług w chmurze, w tym ochrona danych, bezpieczeństwo sieci, dostępność i czas sprawności, plany przywracania sprawności po awarii, skalowalność oraz zgodność z przepisami, zostały poddane audytowi i uznane za zgodne z regulacjami branżowymi.
Aby spełnić wymogi RODO, firma Doodle oficjalnie powołała zewnętrznego inspektora ochrony danych (DPO), którego zadaniem jest zapewnienie niezależnego nadzoru oraz stałej zgodności z przepisami w zakresie przetwarzania danych osobowych.
Firma Doodle stosuje sformalizowaną procedurę rozpatrywania wniosków osób, których dane dotyczą, aby zapewnić przestrzeganie przysługujących im na mocy obowiązujących przepisów praw do wglądu, sprostowania i usunięcia danych w wyznaczonych terminach regulacyjnych.
b. Zarządzanie reagowaniem na incydenty:
Firma Doodle posiada plan ciągłości działania, plan reagowania na incydenty związane z bezpieczeństwem, procedury reagowania na incydenty związane z bezpieczeństwem oraz politykę i procedury zarządzania naruszeniami danych, które są corocznie testowane.
Ostatnia aktualizacja: 12 marca 2026 r.