UMOWA O PRZETWARZANIU DANYCH KLIENTA IDEXX

(Wersja z 18 maja 2023 r.)

Niniejsza Umowa o przetwarzaniu danych („Umowa o przetwarzaniu danych„) i odpowiednie Załączniki do Umowy o przetwarzaniu danych znajdujące się tutaj (każdy „Załącznik do Umowy o przetwarzaniu danych”) mają zastosowanie do Przetwarzania danych osobowych („Dane osobowe Klienta”) przez IDEXX w imieniu klienta („Klient”) podlegającego Ogólnemu rozporządzeniu o ochronie danych 2016/679 („RODO”) lub innym przepisom o ochronie danych określonym tutaj (łącznie „Przepisy o ochronie danych”) w celu świadczenia usług („Usługi”) zgodnie z umową między IDEXX a Klientem („Umowa”). Tam, gdzie IDEXX jest wymieniony w niniejszym DPA, oznacza to IDEXX B.V. lub podmiot stowarzyszony IDEXX B.V., który zawarł Umowę z Klientem. Klient i IDEXX będą łącznie określani jako „Strony” lub oddzielnie jako „Strona”. Niniejsza umowa DPA i odpowiedni Załącznik do umowy DPA są włączone do odpowiedniej Umowy dotyczącej odpowiedniej Usługi. W przypadku konfliktu, Załącznik do umowy DPA ma pierwszeństwo przed umową DPA, która ma pierwszeństwo przed pozostałą częścią Umowy, o ile wyraźnie nie określono inaczej w niniejszej umowy DPA.

1 Definicje

1.1 Wszystkie definicje zawarte w Umowie mają również zastosowanie do niniejszej umowy DPA, o ile niniejsza umowa DPA stanowi inaczej. Terminy pisane wielką literą i niezdefiniowane w niniejszym dokumencie mają znaczenie nadane im w obowiązujących przepisach o ochronie danych. Ponadto do niniejszej umowy DPA mają zastosowanie następujące definicje:

1.2 Podmiot powiązany: każda osoba lub podmiot kontrolujący, kontrolowany lub pozostający pod wspólną kontrolą z inną osobą lub podmiotem. Dla tych celów „kontrola” odnosi się do (i) posiadania, bezpośrednio lub pośrednio, uprawnień do kierowania zarządzaniem lub polityką danego podmiotu, poprzez posiadanie papierów wartościowych z prawem głosu, na podstawie umowy lub w inny sposób, lub (ii) posiadania, bezpośrednio lub pośrednio, co najmniej pięćdziesięciu procent (50%) papierów wartościowych z prawem głosu lub innych udziałów własnościowych danego podmiotu, lub w przypadku, gdy taki podmiot ma siedzibę w kraju, w którym taki poziom własności nie jest dozwolony, maksymalny dozwolony procent własności w danym kraju;

1.3 Państwo Trzecie: dowolne państwo, który nie zapewnia odpowiedniego poziomu ochrony danych zgodnie z obowiązującymi Przepisami o ochronie danych;

1.4 Naruszenie ochrony danych osobowych: naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmiany, nieuprawnionego ujawnienia lub dostępu do Danych osobowych Klienta przesyłanych, przechowywanych lub przetwarzanych w inny sposób.

2 Przedmiot niniejszej Umowy o ochronie danych

2.1 W związku z przetwarzaniem Danych osobowych Klienta w odniesieniu do odpowiednich Usług i odpowiedniej Umowy, IDEXX stanowi Podmiot Przetwarzający, a Klient stanowi Administratora. Przetwarzanie danych osobowych, do których ma zastosowanie niniejsza umowa DPA, opisano w odpowiednich Załącznikach do umowy DPA.

2.2 Niniejsza umowa DPA uzupełnia Umowę i unieważnia wszelkie (ustne i/lub pisemne) ustalenia z wcześniejszej daty dotyczące przetwarzania Danych osobowych między Klientem działającym jako Administrator, a IDEXX działającym jako Podmiot przetwarzający w odniesieniu do Danych osobowych, jeśli ma to zastosowanie.

3 Przetwarzanie danych osobowych

3.1 IDEXX będzie przestrzegać wszystkich Przepisów o ochronie danych w odniesieniu do Usług mających zastosowanie do IDEXX jako Podmiotu przetwarzającego. Klient gwarantuje, że przetwarza lub przetworzy Dane osobowe Klienta zgodnie z obowiązującym prawem. Na pierwsze żądanie IDEXX Klient niezwłocznie przekaże IDEXX wszystkie istotne informacje wymagane na piśmie, w tym w formie elektronicznej. IDEXX nie ponosi odpowiedzialności za przestrzeganie obowiązków Klienta wynikających z obowiązującego prawa, w tym między innymi obowiązków Klienta wobec własnych klientów, takich jak obowiązek Klienta do informowania swoich klientów o odbiorcach przetwarzania ich danych osobowych. IDEXX nie ponosi odpowiedzialności za określenie wymogów lub przepisów ustawowych lub wykonawczych mających zastosowanie do działalności Klienta, ani za to, czy Usługa spełnia wymogi takich obowiązujących przepisów ustawowych lub wykonawczych. W stosunkach między stronami Klient jest odpowiedzialny za zgodność z prawem przetwarzania Danych osobowych Klienta. Klient nie będzie korzystał z Usług w sposób, który naruszałby obowiązujące przepisy o ochronie danych.

3.2 Obowiązujący Załącznik do umowy DPA dla Usługi zawiera listę kategorii Osób, których dane dotyczą, rodzajów Danych osobowych Klienta oraz wszelkich Szczególnych kategorii danych osobowych. Czas trwania przetwarzania odpowiada czasowi trwania Usługi, chyba że w Załączniku do umowy DPA określono inaczej. Celem i przedmiotem przetwarzania jest świadczenie Usługi opisanej w Umowie.

3.3 IDEXX będzie przetwarzać Dane osobowe Klienta wyłącznie w imieniu Klienta i zgodnie z udokumentowanymi instrukcjami Klienta, o ile obowiązujące Przepisy o ochronie danych nie stanowią inaczej. Zakres instrukcji Klienta dotyczących przetwarzania Danych osobowych Klienta jest określony w Umowie oraz, w stosownych przypadkach, w sposobie korzystania i konfigurowania funkcji Usługi przez Klienta i jego upoważnionych użytkowników. IDEXX niezwłocznie poinformuje Klienta, jeśli w jego opinii którakolwiek z instrukcji Klienta narusza obowiązujące Przepisy o ochronie danych, a IDEXX może zawiesić wykonanie takiej instrukcji do czasu, gdy Klient zmodyfikuje lub potwierdzi jej zgodność z prawem w udokumentowanej formie.

3.4 IDEXX zapewni, że jego pracownicy i inne osoby zaangażowane w Przetwarzanie Danych osobowych Klienta zobowiązały się do zachowania poufności w zakresie, w jakim osoby te nie są związane odpowiednim ustawowym obowiązkiem zachowania poufności. IDEXX zapewnia, że ci pracownicy lub inne zaangażowane przez niego osoby przestrzegają wszystkich obowiązków określonych w niniejszej umowie DPA i Umowie. IDEXX zapewnia, że dostęp IDEXX do Danych osobowych Klienta jest ograniczony do tych pracowników i innych osób wykonujących Usługi zgodnie z Umową.

4 Środki bezpieczeństwa

4.1 IDEXX wdroży odpowiednie techniczne i organizacyjne środki bezpieczeństwa w celu zapewnienia odpowiedniego poziomu bezpieczeństwa w odniesieniu do Danych osobowych. Techniczne i organizacyjne środki bezpieczeństwa, które mają zostać wdrożone przez IDEXX, z uwzględnieniem stanu wiedzy technicznej, kosztów wdrożenia oraz charakteru, zakresu, kontekstu i celów przetwarzania, a także ryzyka o różnym prawdopodobieństwie i wadze dla praw i wolności osób fizycznych, są opisane w środkach technicznych i organizacyjnych dołączonych do Załączników do umowy DPA. IDEXX może od czasu do czasu aktualizować lub modyfikować swoje środki bezpieczeństwa, pod warunkiem, że takie aktualizacje i modyfikacje nie spowodują zmniejszenia ogólnego bezpieczeństwa Usług.

5 Zgłaszanie naruszeń ochrony danych osobowych

5.1 Zobowiązanie IDEXX do powiadomienia Klienta o Naruszeniu ochrony danych osobowych i podjęcia działań w związku z Naruszeniem ochrony danych osobowych nie prowadzi do uznania jakiejkolwiek wady lub odpowiedzialności po stronie IDEXX w związku z tym Naruszeniem ochrony danych osobowych.

5.2 Gdy tylko IDEXX poweźmie informację się o Naruszeniu ochrony danych osobowych, o którym Klient nie został jeszcze poinformowany, IDEXX bez zbędnej zwłoki poinformuje o tym Klienta w sposób określony przez IDEXX. IDEXX poinformuje osobę kontaktową Klienta wskazaną przez Klienta w związku z Usługami. Klient jest odpowiedzialny za zapewnienie, że dane kontaktowe osób kontaktowych Klienta przekazane IDEXX są aktualne. Jeśli IDEXX nie skontaktuje się na czas z daną osobą kontaktową (osobami kontaktowymi) Klienta, będzie to na ryzyko Klienta.

5.3 W przypadku, gdy sam Klient jest świadomy Naruszenia ochrony danych osobowych istotnego dla świadczenia Usług przez IDEXX, Klient bez zbędnej zwłoki poinformuje o tym IDEXX, w tym o środkach, które zostały lub zostaną podjęte przez Klienta.

5.4 Po wykryciu Naruszenia ochrony danych osobowych przez IDEXX, IDEXX przekaże Klientowi wszelkie uzasadnione informacje zwrotne na temat możliwego wpływu Naruszenia ochrony danych osobowych na Klienta i dotkniętych Osób, których dane dotyczą. Informacje zwrotne obejmują opis charakteru i zakresu Naruszenia ochrony danych osobowych, środków planowanych i już podjętych w celu zaradzenia Naruszeniu ochrony danych osobowych.

5.5 Na żądanie Klienta IDEXX zapewni również niezbędną pomoc w tworzeniu odpowiedniej dokumentacji w związku z Naruszeniem ochrony danych osobowych. Klient pozostanie jednak odpowiedzialny za obowiązek prowadzenia wewnętrznego przeglądu Naruszeń ochrony danych osobowych, które miały miejsce.

5.6 Klient jest odpowiedzialny za poinformowanie właściwego organu rządowego i/lub Osób, których dane dotyczą, o Naruszeniu ochrony danych osobowych, o ile jest to wymagane na mocy obowiązujących Przepisów o ochronie danych. Jeśli Klient zwróci się do IDEXX z prośbą o poinformowanie Osób, których dane dotyczą, i/lub właściwego organu rządowego o Naruszeniu ochrony danych osobowych, IDEXX zrobi to wyłącznie po otrzymaniu pisemnej i wyczerpującej instrukcji od Klienta oraz po zatwierdzeniu takiej pisemnej instrukcji przez IDEXX. Nie prowadzi to do żadnej odpowiedzialności po stronie IDEXX w związku z (powiadomieniem) Naruszeniem ochrony danych osobowych.

6 Pomoc

6.1 Biorąc pod uwagę charakter przetwarzania danych i informacje dostępne Stronom, Strony zapewnią sobie wzajemnie wszelką niezbędną pomoc w wypełnianiu obowiązków spoczywających na Stronach na mocy obowiązujących Przepisów o ochronie danych, w szczególności obowiązków związanych z bezpieczeństwem danych osobowych, obowiązków powiadamiania o Naruszeniu ochrony danych osobowych, obowiązku informacyjnego i przeprowadzania ocen wpływu na ochronę danych, w tym uprzednich konsultacji z odpowiednim organem rządowym.

6.2 Klient złoży pisemny wniosek o pomoc, o której mowa w niniejszej umowie DPA. IDEXX może obciążyć Klienta opłatą za udzielenie takiej pomocy lub dodatkowej instrukcji; wysokość takich opłat nie będzie przekraczać uzasadnionej opłaty i zostanie określona w wycenie i uzgodniona na piśmie przez strony.

7 Prawa Klienta do audytu

7.1 Klient może na własny koszt i po uprzedniej konsultacji z IDEXX przeprowadzić audyt systemu przetwarzania danych wykorzystywanego przez IDEXX do przetwarzania Danych osobowych Klienta w celu zbadania, czy uzasadnione techniczne i organizacyjne środki bezpieczeństwa, które zostały podjęte w odniesieniu do Danych osobowych przetwarzanych w kontekście niniejszej umowy DPA, są zgodne ze środkami opisanymi w sekcji 4 niniejszej umowy DPA.

7.2 IDEXX udostępni Klientowi wszelkie informacje niezbędne do wykazania zgodności ze zobowiązaniami Klienta do zawarcia umowy o przetwarzaniu danych zgodnie z odpowiednimi wymogami w tym zakresie na mocy obowiązujących Przepisów o ochronie danych oraz umożliwi i przyczyni się do audytów, w tym inspekcji, prowadzonych przez Klienta. W porozumieniu z IDEXX Klient może zaangażować osobę trzecią (eksperta) do wykonania swoich praw do audytu, pod warunkiem, że taka osoba trzecia będzie związana odpowiednim zobowiązaniem do zachowania poufności.

7.3 Przeprowadzenie audytu przez Klienta lub w imieniu Klienta nie spowoduje żadnych opóźnień w działalności biznesowej IDEXX lub któregokolwiek z jego Podwykonawców przetwarzania.

8 Podwykonawcy przetwarzania

8.1 Klient zezwala na zaangażowanie innych Podwykonawców przetwarzania do przetwarzania Danych osobowych Klienta przez IDEXX, w tym między innymi Podmiotów stowarzyszonych IDEXX (”Podwykonawcy przetwarzania”). Lista aktualnych Podwykonawców przetwarzania stanowiących osoby trzecie znajduje się tutaj i może być okresowo aktualizowana przez IDEXX. IDEXX poinformuje Klienta w sposób określony przez IDEXX o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia takich Podwykonawców przetwarzania. Klient może sprzeciwić się każdemu nowemu Podmiotowi przetwarzania, wypowiadając Umowę za pisemnym powiadomieniem IDEXX, pod warunkiem, że Klient dostarczy takie powiadomienie IDEXX w ciągu 60 dni od poinformowania Klienta przez IDEXX o zaangażowaniu Podmiotu przetwarzającego. To prawo do wypowiedzenia jest jedynym i wyłącznym środkiem prawnym Klienta, jeśli Klient sprzeciwia się zaangażowaniu nowego Podmiotu przetwarzającego.

8.2 IDEXX zawrze i wyegzekwuje pisemną umowę o przetwarzaniu danych ze swoimi Podwykonawcami przetwarzania o zasadniczo podobnych, ale nie mniej ochronnych obowiązkach w zakresie prywatności i bezpieczeństwa danych, jak te określone w niniejszej umowie DPA. IDEXX pozostaje odpowiedzialny za wypełnienie swoich zobowiązań wynikających z Umowy, niniejszej umowy DPA i obowiązujących Przepisów o ochronie danych.

9 Transgraniczne przekazywanie Danych osobowych

9.1 Dane osobowe Klienta mogą być przekazywane do Państwa trzeciego przez IDEXX lub Podwykonawców przetwarzania zaangażowanych przez IDEXX.

9.2 W przypadku przekazania Danych osobowych Klienta do Państwa trzeciego, strony będą współpracować w celu zapewnienia zgodności z obowiązującymi przepisami o ochronie danych, jak określono w poniższych sekcjach.

9.3 Zawierając Umowę, Klient przystępuje do Standardowych klauzul umownych dotyczących przekazywania danych za granicę (Decyzja wykonawcza Komisji (UE) 2021/914 lub jej zaktualizowana wersja lub zamiennik) („SCC:), wypełnionych zgodnie ze szczegółowym opisem w punkcie 9.3.1 poniżej, chyba że w obowiązującym Prawie o ochronie danych wskazanym w niniejszym dokumencie zadeklarowano inny instrument przekazywania danych mający zastosowanie do odpowiedniego przekazywania Danych osobowych Klienta, który to instrument przekazywania danych będzie wówczas miał zastosowanie i regulował przekazywanie Danych osobowych Klienta do Państwa trzeciego. W zakresie przewidzianym w Przepisach o ochronie danych innych niż RODO, SCC mają również zastosowanie do przekazywania Danych osobowych Klienta od Klientów niezlokalizowanych na terenie EOG lub Szwajcarii do podmiotu IDEXX zlokalizowanego na terenie Kraju niebędącym odpowiednim krajem.

9.3.1 SCC będą miały zastosowanie uzupełnione w następujący sposób:
a ) Moduł 2 - będzie miało zastosowanie przekazywanie przez administratora podmiotowi przetwarzającemu.
b ) W Klauzuli 7, opcjonalna klauzula przystąpienia będzie miała zastosowanie.
c ) W Klauzuli 9, opcja 2 będzie miała zastosowanie, a okres uprzedniego powiadomienia będzie wynosił 14 dni.
d ) W Klauzuli 11, opcjonalny język nie będzie miał zastosowania.
e ) W klauzuli 17 zastosowanie ma opcja 1 i prawo holenderskie.
f ) W Klauzuli 18(b), spory będą rozstrzygane przed sądy holenderskie.
g ) Załącznik I (A. Lista Stron, B. Opis Przekazywania, C. Właściwy Organ Nadzorczy) SCC uznaje się za wypełniony informacjami określonymi w Sekcji B Załącznika do umowy DPA mającego zastosowanie do Usług.
h ) Załącznik II (Techniczne i organizacyjne środki bezpieczeństwa) SCC uznaje się za wypełniony informacjami określonymi w Sekcji B Harmonogramu DPA mającego zastosowanie do Usług.
i ) Załącznik III (Wykaz Podwykonawców przetwarzania) uznaje się za uzupełniony o wykaz Podwykonawców przetwarzania określonych w Sekcji 8.1 powyżej.

9.4 IDEXX zawrze SCC Moduł Trzeci (Przetwarzanie pomiędzy podmiotami przetwarzającymi) z każdym Podwykonawcą przetwarzania znajdującym się w Państwie trzecim wymienionym w odpowiednim Załączniku do umowy DPA, jeśli jest to wymagane na mocy obowiązujących Przepisów o ochronie danych. IDEXX może przekazywać i przechowywać Dane osobowe do i w swoich lokalizacjach w Stanach Zjednoczonych lub innych krajach, w których znajdują się jej Podmioty stowarzyszone. Takie przekazywanie podlega umowie międzyfirmowej między Podmiotami stowarzyszonymi IDEXX, która obejmuje odpowiedni moduł trzeci (Przetwarzanie pomiędzy podmiotami przetwarzającymi) SCC.

9.5 Żadne z postanowień Umowy lub niniejszej umowy DPA nie może być interpretowane jako nadrzędne w stosunku do jakiejkolwiek sprzecznej klauzuli SCC. Klient potwierdza, że miał możliwość zapoznania się ze SCC i uzyskania egzemplarza od IDEXX.

10 Wnioski Osób, których dane dotyczą

Na uzasadnioną pisemną prośbę Klienta, IDEXX zapewni uzasadnioną pomoc, aby Klient był w stanie wywiązać się ze swoich obowiązków administratora danych, jeśli Osoba, której dane dotyczą, skorzysta z któregokolwiek ze swoich praw wynikających z obowiązujących Przepisów o ochronie danych.

11 Ogólne

11.1 Koszty: Koszty, które IDEXX może ponieść w związku z wykonywaniem swoich obowiązków wynikających z niniejszej umowy DPA (na przykład zapewnienie pomocy Klientowi w odpowiadaniu na wnioski osób, których dane dotyczą), mogą skutkować obciążeniem Klienta przez IDEXX dodatkowymi kosztami. W takim przypadku IDEXX poinformuje o tym Klienta.

11.2 Odszkodowanie: Klient w pełni zabezpieczy IDEXX przed wszelkimi roszczeniami osób trzecich, w tym Osób, których dane dotyczą, nałożonymi na IDEXX w wyniku naruszenia obowiązującego prawa, które można przypisać Klientowi lub któremukolwiek z jego pracowników lub wykonawców.

11.3 Okres obowiązywania i wypowiedzenie: Niniejsza umowa DPA wchodzi w życie w dniu, w którym IDEXX po raz pierwszy przetwarza Dane osobowe w imieniu Klienta w ramach realizacji Umowy. Niniejsza umowa DPA pozostaje w mocy przez okres obowiązywania Umowy. W przypadku wygaśnięcia Umowy, niniejsza umowa DPA wygasa również z mocy prawa, bez konieczności podejmowania dalszych działań prawnych. O ile IDEXX nie jest zobowiązany przez obowiązujące prawo do zatrzymania Danych osobowych, IDEXX po rozwiązaniu niniejszej umowy DPA zapewnia, że (i) Dane osobowe zostaną zwrócone lub przekazane Klientowi lub (ii) Dane osobowe zostaną zniszczone na pisemne żądanie Klienta, które może mieć formę elektroniczną. Wszelkie zobowiązania wynikające z niniejszej umowy DPA, które z natury mają skutek po zawarciu umowy, w tym między innymi niniejsza sekcja umowy DPA, będą nadal obowiązywać po rozwiązaniu niniejszej umowy DPA.

11.4 Odstępstwa i renegocjacje: Odstępstwa od niniejszej umowy DPA i jej uzupełnienia będą ważne tylko wtedy, gdy zostały wyraźnie uzgodnione na piśmie, w tym w formie elektronicznej.

Klient niezwłocznie poinformuje IDEXX o wszelkich zmianach, które są lub mogą być istotne dla Umowy i przetwarzania Danych osobowych.

Jeśli niniejsza umowa DPA zostanie przetłumaczona na kilka języków, tekst w języku angielskim zostanie uznany za autentyczny do celów interpretacji lub w przypadku konfliktu lub niespójności między różnymi tłumaczeniami.