Załączniki do umów DPA
(Wersja z 18 maja 2023 r.)
Animana
IDEXX Załącznik do Umowy o przetwarzaniu danych Klienta
IDEXX poważnie traktuje ochronę danych osobowych. Niniejszy Załącznik do umowy DPA jest właściwy dla powyższej usługi IDEXX i powinien być interpretowany w połączeniu z naszą Umową o przetwarzaniu danych klienta IDEXX.
Umowa między IDEXX a Klientem, do której włączono umowę DPA i niniejszy Załącznik:
Ogólne warunki świadczenia usług IDEXX Practice Management Software Europe
A. OPIS PRZENIESIENIA
i. Kategorie osób, których dane dotyczą, których dane osobowe są przekazywane:
- Klient (klinika), w zakresie, w jakim Klient kwalifikuje się jako dane osobowe
- Pracownicy Klienta
- Właściciele zwierząt domowych
- Pracownicy klinik, do których kierowane są zwierzęta domowa
ii. Kategorie przekazywanych danych osobowych:
|
|
iii. Przekazane dane wrażliwe (jeśli dotyczy) i zastosowane ograniczenia lub zabezpieczenia, które w pełni uwzględniają charakter danych i związane z nimi ryzyko.
Brak
iv. Częstotliwość przekazywania danych (np. czy dane są przekazywane jednorazowo czy w sposób ciągły).
W sposób ciągły, w zależności od sposobu korzystania z Usług przez Klienta.
v. Charakter przetwarzania.
Działania IDEXX w zakresie Przetwarzania Danych osobowych Klienta są następujące:
Działania podejmowane przez grupy inżynierii oprogramowania i operacji rozwojowych IDEXX:
|
|
Działania podejmowane przez grupy IDEXX ds. konwersji i wdrożeń oraz wsparcia klienta:
|
|
Działania podejmowane przez Grupę szkoleniową:
- Użycie
vi. Cel(e) przekazywania i dalszego przetwarzania danych.
W celu świadczenia Usług.
vii. Okres przechowywania danych osobowych lub, jeśli nie jest to możliwe, kryteria stosowane do określenia tego okresu.
Zasadniczo do 2 lat po zakończeniu relacji z Klientem, chyba że zastosowanie ma dłuższy minimalny ustawowy okres przechowywania, na przykład w przypadku danych, które mogą być istotne dla ustalenia podatku, które to dane należy przechowywać przez co najmniej 7 lat.
viii. W przypadku przekazywania danych (pod)wykonawcom przetwarzania należy również określić przedmiot, charakter i czas trwania przetwarzania.
Przedmiot, charakter i czas trwania przetwarzania, jak opisano powyżej.
B. TRANSGRANICZNE PRZETWARZANIE DANYCH
Zgodnie z sekcją 9.3 umowy DPA, załączniki do SCC należy wypełnić w następujący sposób:
Załącznik I, część A:
Lista Podmiotów Stron przekazujących Dane:
Nazwa: Podmiot określony jako „Klient” w RODO
Adres: Adres Klienta powiązany z jego kontem IDEXX.
Imię i nazwisko osoby kontaktowej, stanowisko i dane kontaktowe: Dane kontaktowe powiązane z kontem IDEXX Klienta.
Działania istotne dla danych przekazywanych na mocy niniejszych klauzul: Patrz niniejszy Załącznik do umowy DPA, sekcja A powyżej.
Podpis i data: Zawierając umowę DPA, klient zawiera SCC zgodnie z sekcją 9.3 umowy DPA.
Rola (administrator/podmiot przetwarzający): Administrator
Podmioty odbierające dane:
Nazwa: IDEXX Laboratories, Inc.
Adres: One IDEXX Drive, Westbrook, Maine, USA 04092
Imię i nazwisko osoby kontaktowej, stanowisko i dane kontaktowe: chiefprivacyofficer@idexx.com
Działania istotne dla danych przekazywanych na mocy niniejszych Klauzul: Patrz niniejszy Załącznik do umowy DPA, sekcja A powyżej.
Podpis i data: Zawierając umowę DPA, IDEXX zawiera SCC zgodnie z sekcją 9.3 umowy DPA.
Rola (administrator danych/podmiot przetwarzający): Podmiot przetwarzający
Załącznik I, Część B: Opis Przekazania
Patrz Załącznik DPA, Sekcja A powyżej.
Załącznik I, część C: Właściwy organ nadzorczy
Holenderski organ ochrony danych
Załącznik II: Środki techniczne i organizacyjne, w tym środki techniczne i organizacyjne mające na celu zapewnienie bezpieczeństwa danych
Podstawowe środki techniczne i organizacyjne IDEXX w zakresie ochrony danych w ramach świadczonych usług opisano w poniższych środkach technicznych i organizacyjnych. Środki techniczne i organizacyjne, które IDEXX nałoży na podwykonawców przetwarzania, są opisane w umowie DPA.
Środki techniczne i organizacyjne
Fizyczna kontrola dostępu
Środki zapewniające, że osoby nieupoważnione nie będą miały fizycznego dostępu do systemów wykorzystywanych do przetwarzania Danych osobowych.
- ochroniarze, portierzy
- elektroniczny system kontroli dostępu wykorzystujący zbliżeniowe karty dostępu
- monitoring wideo (kamery IP)
- kontrole bezpieczeństwa dla odwiedzających
Kontrola dostępu do systemu
Środki zapobiegające używaniu systemów przetwarzania danych bez autoryzacji:
- wytyczne dotyczące haseł (w tym złożoność, minimalna długość, ponowne użycie hasła i minimalny wiek hasła)
- automatyczne wylogowanie lub wygaszacz ekranu chroniony hasłem po określonym czasie bez aktywności użytkownika
- uwierzytelnianie i autoryzacja dostępu
- zapora sieciowa, ochrona antywirusowa
- wykrywanie włamań/zapobieganie włamaniom
- rejestrowanie dostępu
Kontrola dostępu do danych
Środki mające na celu zapewnienie, że osoby upoważnione do korzystania z systemów przetwarzania danych mają dostęp tylko do tych danych, do których są upoważnione, oraz że dane osobowe nie mogą być odczytywane, kopiowane, zmieniane lub usuwane bez upoważnienia podczas przetwarzania, użytkowania i później:
- koncepcja kontroli dostępu (prawa dostępu ograniczone przez profile i role)
- dokumentacja praw dostępu
- zatwierdzanie i przydzielanie praw dostępu wyłącznie przez upoważniony personel
Kontrola transferu danych
Środki mające na celu zapewnienie, że dane osobowe nie mogą być odczytywane, kopiowane, zmieniane lub usuwane bez upoważnienia podczas elektronicznego przesyłania lub transportu lub podczas zapisywania na nośnikach danych oraz że możliwe jest ustalenie i sprawdzenie, które organy mają przekazywać dane osobowe za pomocą urządzeń do transmisji danych:
- szyfrowanie transportu (TLS lub VPN)
Kontrola wprowadzania danych
Środki mające na celu zapewnienie, że po fakcie możliwe jest sprawdzenie i upewnienie się, czy dane osobowe zostały wprowadzone, zmienione lub usunięte z systemów przetwarzania danych, a jeśli tak, to przez kogo:
- Dane przechowywane w centrum danych IDEXX są niezbędne tylko do odczytu w celach raportowania.
Kontrola Podmiotów przetwarzających
Środki mające na celu zapewnienie, że Dane osobowe przetwarzane w imieniu innych podmiotów są przetwarzane ściśle zgodnie z instrukcjami Administratora:
- pisemne umowy o przetwarzanie danych (wymagane)
Kontrola dostępności
Środki zapewniające ochronę danych osobowych przed przypadkowym zniszczeniem lub utratą:
- kopia zapasowa w oddzielnej lokalizacji
- Koncepcja ciągłości działania/usuwania skutków katastrof
- zasilacz bezprzerwowy (UPS)
- Dedykowany generator centrum danych z wieloma umowami na dostawy paliwa
- ochrona przeciwpożarowa i system tłumienia
- wykrywanie wody
- dodatkowe klimatyzaztoryi
Rozdzielenie danych
Środki zapewniające, że dane gromadzone w różnych celach mogą być przetwarzane oddzielnie:
- wyraźne logiczne oddzielenie danych od danych innych kontrolerów (dedykowane uniwersum danych)
ezyVet
Harmonogram umowy przetwarzania danych klienta IDEXX
IDEXX poważnie traktuje ochronę danych osobowych. Niniejszy Harmonogram DPA jest specyficzny dla powyższej usługi IDEXX i powinien być czytany w połączeniu z naszą Umową przetwarzania danych klienta IDEXX
Umowa pomiędzy IDEXX a Klientem, do której włączono DPA i niniejszy Załącznik:
Ogólne Warunki ezyVet.
A. OPIS PRZENIESIENIA
i. Kategorie osób, których dane dotyczą, których dane osobowe są przekazywane:
- Klient (klinika), w zakresie, w jakim Klient kwalifikuje się jako dane osobowe
- Pracownicy Klienta
- Właściciele zwierząt domowych
- Pracownicy klinik, do których są kierowane zwierzęta domowe
ii. Kategorie przekazywanych danych osobowych:
|
|
iii. Przekazane dane wrażliwe (jeśli dotyczy) i zastosowane ograniczenia lub zabezpieczenia, które w pełni uwzględniają charakter danych i związane z nimi ryzyko.
Brak
iv. Częstotliwość przekazywania danych (np. czy dane są przekazywane jednorazowo czy w sposób ciągły).
W sposób ciągły, w zależności od korzystania z Usług przez Klienta.
v. Charakter przetwarzania.
Działania IDEXX w zakresie Przetwarzania Danych Osobowych Klienta są następujące:
Działania podejmowane przez grupy inżynierii oprogramowania i operacji rozwojowych IDEXX:
|
|
Działania prowadzone przez grupy IDEXX ds. konwersji i wdrażania oraz wsparcia klienta:
|
|
Działania podejmowane przez Grupę szkoleniową:
- Użycie
vi. Cel(e) przekazywania i dalszego przetwarzania danych.
W celu świadczenia Usług.
vii. Okres przechowywania danych osobowych lub, jeśli nie jest to możliwe, kryteria stosowane do określenia tego okresu.
Zasadniczo do 2 lat po zakończeniu relacji z Klientem, chyba że zastosowanie ma dłuższy minimalny ustawowy okres przechowywania, na przykład w przypadku danych, które mogą być istotne dla ustalenia podatku, które to dane należy przechowywać przez co najmniej 7 lat.
viii. W przypadku przekazywania danych (pod)podmiotom przetwarzającym należy również określić przedmiot, charakter i czas trwania przetwarzania.
Przedmiot, charakter i czas trwania przetwarzania, jak opisano powyżej.
B. TRANSGRANICZNE PRZETWARZANIE DANYCH
Zgodnie z sekcją 9.3 DPA załączniki do SCC należy wypełnić w następujący sposób:
Załącznik I, część A: Lista stron
Eksporter(zy) danych:
Nazwa: Podmiot określony jako "Klient" w RODO
Adres: Adres Klienta powiązany z jego kontem IDEXX.
Imię i nazwisko osoby kontaktowej, stanowisko i dane kontaktowe: Dane kontaktowe powiązane z kontem IDEXX Klienta.
Działania istotne dla danych przekazywanych na mocy niniejszych klauzul: Patrz niniejszy Harmonogram DPA, sekcja A powyżej.
Podpis i data: Zawierając umowę o partnerstwie biznesowym, klient zawiera SCC zgodnie z sekcją 9.3 umowy o partnerstwie biznesowym.
Rola (administrator/podmiot przetwarzający): Administrator
Podmiot(-y) odbierający(-e) dane:
Nazwa: IDEXX Laboratories, Inc.
Adres: One IDEXX Drive, Westbrook, Maine, USA 04092
Imię i nazwisko osoby kontaktowej, stanowisko i dane kontaktowe: chiefprivacyofficer@idexx.com
Działania istotne dla danych przekazywanych na mocy niniejszych klauzul: Patrz niniejszy Harmonogram DPA, sekcja A powyżej.
Podpis i data: Zawierając DPA, IDEXX zawiera SCC zgodnie z sekcją 9.3 DPA.
Rola (administrator danych/podmiot przetwarzający): Podmiot przetwarzający
Załącznik I, Część B: Opis transferu
Patrz niniejszy Załącznik DPA, Sekcja A powyżej.
Załącznik I, część C: Właściwy organ nadzorczy
Holenderski organ ochrony danych
Załącznik II: Środki techniczne i organizacyjne, w tym środki techniczne i organizacyjne mające na celu zapewnienie bezpieczeństwa danych
Podstawowe środki techniczne i organizacyjne IDEXX w zakresie ochrony danych w ramach świadczonych usług opisano w poniższych środkach technicznych i organizacyjnych. Środki techniczne i organizacyjne, które IDEXX nałoży na podwykonawców przetwarzania, są opisane w Umowie o partnerstwie.
Środki techniczne i organizacyjne
Fizyczna kontrola dostępu
Środki zapewniające, że osoby nieupoważnione nie będą miały fizycznego dostępu do systemów wykorzystywanych do przetwarzania Danych Osobowych.
- ochroniarze, portierzy
- elektroniczny system kontroli dostępu wykorzystujący zbliżeniowe karty dostępu
- monitoring wideo (kamery IP)
- kontrole bezpieczeństwa dla odwiedzających
Kontrola dostępu do systemu
Środki zapobiegające używaniu systemów przetwarzania danych bez autoryzacji:
- wytyczne dotyczące haseł (w tym złożoność, minimalna długość, ponowne użycie hasła i minimalny wiek hasła)
- automatyczne wylogowanie lub wygaszacz ekranu chroniony hasłem po określonym czasie bez aktywności użytkownika
- uwierzytelnianie i autoryzacja dostępu
- zapora sieciowa, ochrona antywirusowa
- wykrywanie włamań/zapobieganie włamaniom
- rejestrowanie dostępu
Kontrola dostępu do danych
Środki mające na celu zapewnienie, że osoby upoważnione do korzystania z systemów przetwarzania danych mają dostęp tylko do tych danych, do których są upoważnione, oraz że dane osobowe nie mogą być odczytywane, kopiowane, zmieniane lub usuwane bez upoważnienia podczas przetwarzania, użytkowania i później:
- koncepcja kontroli dostępu (prawa dostępu ograniczone przez profile i role)
- dokumentacja praw dostępu
- zatwierdzanie i przydzielanie praw dostępu wyłącznie przez upoważniony personel
Kontrola transferu danych
Środki mające na celu zapewnienie, że Dane Osobowe nie mogą być odczytywane, kopiowane, zmieniane lub usuwane bez upoważnienia podczas elektronicznego przesyłania lub transportu lub podczas zapisywania na nośnikach danych oraz że możliwe jest ustalenie i sprawdzenie, które organy mają przekazywać Dane Osobowe za pomocą urządzeń do transmisji danych:
- szyfrowanie transportu (TLS lub VPN)
Kontrola wprowadzania danych
Środki mające na celu zapewnienie, że po fakcie możliwe jest sprawdzenie i upewnienie się, czy dane osobowe zostały wprowadzone, zmienione lub usunięte z systemów przetwarzania danych, a jeśli tak, to przez kogo:
- Dane przechowywane w centrum danych IDEXX są niezbędne tylko do odczytu w celach raportowania.
Kontrola podmiotów przetwarzających
Środki mające na celu zapewnienie, że Dane Osobowe przetwarzane w imieniu innych podmiotów są przetwarzane ściśle zgodnie z instrukcjami Administratora:
- pisemne umowy o przetwarzanie danych (wymagane)
Kontrola dostępności
Środki zapewniające ochronę danych osobowych przed przypadkowym zniszczeniem lub utratą:
- kopia zapasowa w oddzielnej lokalizacji
- Koncepcja ciągłości działania/usuwania skutków katastrof
- zasilacz bezprzerwowy (UPS)
- Dedykowany generator centrum danych z wieloma umowami na dostawę paliwa
- ochrona przeciwpożarowa i system tłumienia
- wykrywanie wody
- redundantny system klimatyzacji
Rozdzielenie danych
Środki zapewniające, że dane gromadzone w różnych celach mogą być przetwarzane oddzielnie:
- wyraźne logiczne oddzielenie danych od danych innych kontrolerów (dedykowane uniwersum danych)
Vet Radar
Harmonogram umowy przetwarzania danych klienta IDEXX
Vet Radar IDEXX poważnie traktuje ochronę danych osobowych użytkowników. Niniejszy Załącznik DPA jest specyficzny dla powyższej usługi IDEXX i powinien być czytany w połączeniu z naszą Umową przetwarzania danych klienta IDEXX.
Umowa między IDEXX a Klientem, do której włączono DPA i niniejszy Załącznik:
Ogólne Warunki ezyVet (obejmujące również Vet Radar).
A. OPIS TRANSFERU
i. Kategorie osób, których dane dotyczą, których dane osobowe są przekazywane:
- Klient (klinika), w zakresie, w jakim Klient kwalifikuje się jako dane osobowe
- Pracownicy Klienta
- Właściciele zwierząt domowych
ii. Kategorie przekazywanych danych osobowych:
- Nazwisko (wszystkie osoby, których dane dotyczą)
- Adres (tylko właściciel zwierzęcia)
iii. Przekazane dane wrażliwe (jeśli dotyczy) i zastosowane ograniczenia lub zabezpieczenia, które w pełni uwzględniają charakter danych i związane z nimi ryzyko.
Brak
iv. Częstotliwość przesyłania danych (np. czy dane są przesyłane jednorazowo czy w sposób ciągły).
W sposób ciągły, w zależności od korzystania z Usług przez Klienta
v. Charakter przetwarzania.
Działania IDEXX w zakresie Przetwarzania Danych Osobowych Klienta polegają na:
Działania podejmowane przez grupy inżynierii oprogramowania i operacji rozwojowych IDEXX:
|
|
Działania podejmowane przez grupy szkoleniowe i wsparcia klienta:
|
|
vi. Cel(e) przekazywania i dalszego przetwarzania danych.
W celu świadczenia Usług.
vii. Okres przechowywania danych osobowych lub, jeśli nie jest to możliwe, kryteria stosowane do określenia tego okresu.
Zasadniczo do 2 lat po zakończeniu relacji z Klientem, chyba że zastosowanie ma dłuższy minimalny ustawowy okres przechowywania, na przykład w przypadku danych, które mogą być istotne dla ustalenia podatku, które to dane należy przechowywać przez co najmniej 7 lat.
viii. W przypadku przekazywania danych (pod)podmiotom przetwarzającym należy również określić przedmiot, charakter i czas trwania przetwarzania.
Przedmiot, charakter i czas trwania przetwarzania, jak opisano powyżej.
B. TRANSGRANICZNE PRZETWARZANIE DANYCH
Zgodnie z sekcją 9.3 DPA załączniki do SCC należy wypełnić w następujący sposób:
Załącznik I, część A: Wykaz stron
Podmiot(-y) przekazujący(-e) dane:
Nazwa: Podmiot określony jako "Klient" w DPA
Adres: Adres Klienta powiązany z jego kontem IDEXX.
Imię i nazwisko osoby kontaktowej, stanowisko i dane kontaktowe: Dane kontaktowe powiązane z kontem IDEXX Klienta.
Działania istotne dla danych przekazywanych na mocy niniejszych klauzul: Patrz niniejszy Harmonogram DPA, sekcja A powyżej.
Podpis i data:Zawierając umowę o partnerstwie biznesowym, klient zawiera SCC zgodnie z sekcją 9.3 umowy o partnerstwie biznesowym.
Rola (administrator/podmiot przetwarzający): Administrator
Podmiot(-y) odbierający(-e) dane:
Nazwa: IDEXX Laboratories, Inc.
Adres: One IDEXX Drive, Westbrook, Maine, USA 04092
Imię i nazwisko osoby kontaktowej, stanowisko i dane kontaktowe: chiefprivacyofficer@idexx.com
Działania istotne dla danych przekazywanych na mocy niniejszych klauzul: Patrz niniejszy Harmonogram DPA, sekcja A powyżej.
Podpis i data: Zawierając DPA, IDEXX zawiera SCC zgodnie z sekcją 9.3 DPA.
Rola (administrator danych/podmiot przetwarzający): Podmiot przetwarzający
Załącznik I, Część B: Opis transferu
Patrz niniejszy Załącznik DPA, Sekcja A powyżej.
Załącznik I, część C: Właściwy organ nadzorczy
Holenderski organ ochrony danych
Załącznik II: Środki techniczne i organizacyjne, w tym środki techniczne i organizacyjne mające na celu zapewnienie bezpieczeństwa danych
Podstawowe środki techniczne i organizacyjne IDEXX w zakresie ochrony danych w ramach świadczonych usług opisano w poniższych środkach technicznych i organizacyjnych. Środki techniczne i organizacyjne , które IDEXX nałoży na podwykonawców przetwarzania, są opisane w Umowie o partnerstwie.
Środki techniczne i organizacyjne
Fizyczna kontrola dostępu
Środki zapewniające, że osoby nieupoważnione nie będą miały fizycznego dostępu do systemów wykorzystywanych do przetwarzania Danych Osobowych.
- ochroniarze, portierzy
- elektroniczny system kontroli dostępu wykorzystujący zbliżeniowe karty dostępu
- monitoring wideo (kamery IP)
- kontrole bezpieczeństwa dla odwiedzających
Kontrola dostępu do systemu
Środki zapobiegające używaniu systemów przetwarzania danych bez autoryzacji:
- wytyczne dotyczące haseł (w tym złożoność, minimalna długość, ponowne użycie hasła i minimalny wiek hasła)
- automatyczne wylogowanie lub wygaszacz ekranu chroniony hasłem po określonym czasie bez aktywności użytkownika
- uwierzytelnianie i autoryzacja dostępu
- zapora sieciowa, ochrona antywirusowa
- wykrywanie włamań/zapobieganie włamaniom
- Rejestrowanie dostępu Środki kontroli dostępu do danych w celu zapewnienia, że osoby upoważnione do korzystania z systemów przetwarzania danych mają dostęp tylko do tych danych, do których są upoważnione, oraz że dane osobowe nie mogą być odczytywane, kopiowane, zmieniane lub usuwane bez upoważnienia podczas przetwarzania, użytkowania i później:
- koncepcja kontroli dostępu (prawa dostępu ograniczone przez profile i role)
- dokumentacja praw dostępu
- zatwierdzanie i przydzielanie praw dostępu wyłącznie przez upoważniony personel
Kontrola transferu danych
Środki mające na celu zapewnienie, że dane osobowe nie mogą być odczytywane, kopiowane, zmieniane lub usuwane bez upoważnienia podczas elektronicznego przesyłania lub transportu lub podczas zapisywania na nośnikach danych oraz że możliwe jest ustalenie i sprawdzenie, które organy mają przekazywać dane osobowe za pomocą urządzeń do transmisji danych:
- szyfrowanie transportu (TLS lub VPN)
Kontrola wprowadzania danych
Środki mające na celu zapewnienie, że po fakcie możliwe jest sprawdzenie i upewnienie się, czy dane osobowe zostały wprowadzone, zmienione lub usunięte z systemów przetwarzania danych, a jeśli tak, to przez kogo:
- Dane przechowywane w centrum danych IDEXX są niezbędne tylko do odczytu w celach raportowania.
Kontrola podmiotów przetwarzających
Środki mające na celu zapewnienie, że Dane Osobowe przetwarzane w imieniu innych podmiotów są przetwarzane ściśle zgodnie z instrukcjami Administratora:
- pisemne umowy o przetwarzanie danych (wymagane)
Kontrola dostępności
Środki zapewniające ochronę danych osobowych przed przypadkowym zniszczeniem lub utratą:
- kopia zapasowa w oddzielnej lokalizacji
- Koncepcja ciągłości działania/usuwania skutków katastrof
- zasilacz bezprzerwowy (UPS)
- Dedykowany generator centrum danych z wieloma umowami na dostawę paliwa
- ochrona przeciwpożarowa i system tłumienia
- wykrywanie wody
- nadmiarowy
system klimatyzacji
Rozdzielenie danych
Środki zapewniające, że dane gromadzone w różnych celach mogą być przetwarzane oddzielnie:
- wyraźne logiczne oddzielenie danych od danych innych kontrolerów (dedykowane uniwersum danych)
SmartFlow
Harmonogram umowy przetwarzania danych klienta IDEXX
IDEXX poważnie traktuje ochronę danych osobowych. Niniejszy Harmonogram DPA jest specyficzny dla powyższej usługi IDEXX i powinien być czytany w połączeniu z naszą Umową przetwarzania danych klienta IDEXX.
Umowa między IDEXX a Klientem, do której włączono DPA i niniejszy Załącznik:
Ogólne warunki i postanowienia IDEXX Practice Management Software Europe (jeśli mają zastosowanie do danego regionu).
Regulamin SmartFlow.
A. OPIS PRZENIESIENIA
i. Kategorie osób, których dane dotyczą, których dane osobowe są przekazywane:
- Klient (klinika), w zakresie, w jakim Klient kwalifikuje się jako dane osobowe
- Pracownicy Klienta
- Właściciele zwierząt domowych
ii. Kategorie przekazywanych danych osobowych:
- Imię i nazwisko (wszystkie osoby, których dane dotyczą)
- Adres e-mail (wszystkie osoby, których dane dotyczą)
iii. Przekazane dane wrażliwe (jeśli dotyczy) i zastosowane ograniczenia lub zabezpieczenia, które w pełni uwzględniają charakter danych i związane z nimi ryzyko.
Brak
iv. Częstotliwość przekazywania danych (np. czy dane są przekazywane jednorazowo czy w sposób ciągły).
W sposób ciągły, w zależności od korzystania z Usług przez Klienta.
v. Charakter przetwarzania.
Działania IDEXX w zakresie Przetwarzania Danych Osobowych Klienta są następujące:
Działania podejmowane przez grupy inżynierii oprogramowania i operacji rozwojowych IDEXX:
|
|
Działania podejmowane przez grupy sprzedaży i doradztwa medycznego IDEXX:
|
|
Działania podejmowane przez grupy szkoleniowych i wsparcia klienta:
|
|
vi. Cel(e) przekazywania i dalszego przetwarzania danych.
W celu świadczenia Usług.
vii. Okres przechowywania danych osobowych lub, jeśli nie jest to możliwe, kryteria stosowane do określenia tego okresu.
Minimalny ustawowy okres przechowywania danych osobowych przez IDEXX.
viii. W przypadku przekazywania danych (pod)podmiotom przetwarzającym należy również określić przedmiot, charakter i czas trwania przetwarzania.
Przedmiot, charakter i czas trwania przetwarzania, jak opisano powyżej.
B. TRANSGRANICZNE PRZETWARZANIE DANYCH
Zgodnie z sekcją 9.3 DPA, załączniki do SCC należy wypełnić w następujący sposób:
Załącznik I, część A: Lista stron
Eksporter(zy) danych:
Nazwa: Podmiot określony jako "Klient" w RODO
Adres: Adres Klienta powiązany z jego kontem IDEXX.
Imię i nazwisko osoby kontaktowej, stanowisko i dane kontaktowe: Dane kontaktowe powiązane z kontem IDEXX Klienta.
Działania istotne dla danych przekazywanych na mocy niniejszych klauzul: Patrz niniejszy Harmonogram DPA, sekcja A powyżej.
Podpis i data: Zawierając umowę o partnerstwie biznesowym, klient zawiera SCC zgodnie z sekcją 9.3 umowy o partnerstwie biznesowym.
Rola (administrator/podmiot przetwarzający): Administrator
Podmiot(-y) odbierający(-e) dane:
Nazwa: IDEXX Laboratories, Inc.
Adres: One IDEXX Drive, Westbrook, Maine, USA 04092
Imię i nazwisko osoby kontaktowej, stanowisko i dane kontaktowe: chiefprivacyofficer@idexx.com
Działania istotne dla danych przekazywanych na mocy niniejszych klauzul: Patrz niniejszy Harmonogram DPA, sekcja A powyżej.
Podpis i data: Zawierając DPA, IDEXX zawiera SCC zgodnie z sekcją 9.3 DPA.
Rola (administrator danych/podmiot przetwarzający): Podmiot przetwarzający
Załącznik I, Część B: Opis Przekazania
Patrz Załącznik DPA, Sekcja A powyżej.
Załącznik I, część C: Właściwy
organ nadzorczy
Holenderski organ ochrony danych
Załącznik II: Środki techniczne i organizacyjne, w tym środki techniczne i organizacyjne mające na celu zapewnienie bezpieczeństwa danych
Podstawowe środki techniczne i organizacyjne IDEXX w zakresie ochrony danych w ramach świadczonych usług opisano w poniższych środkach technicznych i organizacyjnych. Środki techniczne i organizacyjne, które IDEXX nałoży na podwykonawców przetwarzania, są opisane w Umowie o partnerstwie.
Środki techniczne i organizacyjne
Fizyczna kontrola dostępu
Środki zapewniające, że osoby nieupoważnione nie będą miały fizycznego dostępu do systemów wykorzystywanych do przetwarzania Danych Osobowych.
- ochroniarze, portierzy
- elektroniczny system kontroli dostępu wykorzystujący zbliżeniowe karty dostępu
- monitoring wideo (kamery IP)
- kontrole bezpieczeństwa dla odwiedzających
Kontrola dostępu do systemu
Środki zapobiegające używaniu systemów przetwarzania danych bez autoryzacji:
- wytyczne dotyczące haseł (w tym złożoność, minimalna długość, ponowne użycie hasła i minimalny wiek hasła)
- automatyczne wylogowanie lub wygaszacz ekranu chroniony hasłem po określonym czasie bez aktywności użytkownika
- uwierzytelnianie i autoryzacja dostępu
- zapora sieciowa, ochrona antywirusowa
- wykrywanie włamań/zapobieganie włamaniom
- rejestrowanie dostępu
Kontrola dostępu do danych
Środki mające na celu zapewnienie, że osoby upoważnione do korzystania z systemów przetwarzania danych mają dostęp tylko do tych danych, do których są upoważnione, oraz że dane osobowe nie mogą być odczytywane, kopiowane, zmieniane lub usuwane bez upoważnienia podczas przetwarzania, użytkowania i później:
- koncepcja kontroli dostępu (prawa dostępu ograniczone przez profile i role)
- dokumentacja praw dostępu
- zatwierdzanie i przydzielanie praw dostępu wyłącznie przez upoważniony personel
Kontrola transferu danych
Środki mające na celu zapewnienie, że dane osobowe nie mogą być odczytywane, kopiowane, zmieniane lub usuwane bez upoważnienia podczas elektronicznego przesyłania lub transportu lub podczas zapisywania na nośnikach danych oraz że możliwe jest ustalenie i sprawdzenie, które organy mają przekazywać dane osobowe za pomocą urządzeń do transmisji danych:
- szyfrowanie transportu (TLS lub VPN)
Kontrola wprowadzania danych
Środki mające na celu zapewnienie, że po fakcie możliwe jest sprawdzenie i upewnienie się, czy dane osobowe zostały wprowadzone, zmienione lub usunięte z systemów przetwarzania danych, a jeśli tak, to przez kogo:
- Dane przechowywane w centrum danych IDEXX są niezbędne tylko do odczytu w celach raportowania.
Kontrola podmiotów przetwarzających
Środki mające na celu zapewnienie, że Dane Osobowe przetwarzane w imieniu innych podmiotów są przetwarzane ściśle zgodnie z instrukcjami Administratora:
- pisemne umowy o przetwarzanie danych (wymagane)
Kontrola dostępności
Środki zapewniające ochronę danych osobowych przed przypadkowym zniszczeniem lub utratą:
- kopia zapasowa w oddzielnej lokalizacji
- Koncepcja ciągłości działania/usuwania skutków katastrof
- zasilacz bezprzerwowy (UPS)
- Dedykowany generator centrum danych z wieloma umowami na dostawy paliwa
- ochrona przeciwpożarowa i system tłumienia
- wykrywanie wody
- nadmiarowy system klimatyzacji
Rozdzielenie danych
Środki zapewniające, że dane gromadzone w różnych celach mogą być przetwarzane oddzielnie:
- wyraźne logiczne oddzielenie danych od danych innych kontrolerów (dedykowane uniwersum danych)
VetConnect PLUS
Harmonogram uzupełnienia dotyczący przetwarzania danych klienta IDEXX
IDEXX poważnie traktuje ochronę danych osobowych. Niniejszy Harmonogram DPA jest specyficzny dla powyższej usługi IDEXX i powinien być czytany w połączeniu z naszą Umową przetwarzania danych klienta IDEXX.
Umowa pomiędzy IDEXX a Klientem, do której włączono DPA i niniejszy Załącznik:
Warunki świadczenia usługi VetConnect PLUS.
A. OPIS PRZENIESIENIA
i. Kategorie osób, których dane dotyczą, których dane osobowe są przekazywane:
- Klient (klinika), w zakresie, w jakim Klient kwalifikuje się jako dane osobowe
- Pracownicy Klienta
- Właściciele zwierząt domowych
ii. Kategorie przekazywanych danych osobowych:
- Imię i nazwisko (właściciela zwierzęcia i pracownika klienta)
- Adres e-mail (właściciela zwierzęcia i pracownika klienta)
iii. Przekazane dane wrażliwe (jeśli dotyczy) i zastosowane ograniczenia lub zabezpieczenia, które w pełni uwzględniają charakter danych i związane z nimi ryzyko.
Brak
iv. Częstotliwość przesyłania danych (np. czy dane są przesyłane jednorazowo czy w sposób ciągły).
W sposób ciągły, w zależności od korzystania z Usług przez Klienta
v. Charakter przetwarzania.
Działania IDEXX w zakresie Przetwarzania Danych Osobowych Klienta polegają na:
Działania podejmowane przez grupy inżynierii oprogramowania i operacji rozwojowych IDEXX:
|
|
Działania podejmowane przez grupy sprzedaży i doradztwa medycznego IDEXX:
|
|
Działania podejmowane przez grupy szkoleniowe i wsparcia klienta:
|
|
vi. Cel(e) przekazywania i dalszego przetwarzania danych.
Zapewnienie funkcjonalności komunikacyjnych oferowanych w VetConnect PLUS.
vii. Okres, przez który dane osobowe będą przechowywane lub, jeśli nie jest to możliwe, kryteria stosowane do określenia tego okresu.
Minimalny ustawowy okres przechowywania danych osobowych przez IDEXX.
viii. W przypadku przekazywania danych (pod)podmiotom przetwarzającym należy również określić przedmiot, charakter i czas trwania przetwarzania.
Przedmiot, charakter i czas trwania przetwarzania, jak opisano powyżej.
B. TRANSGRANICZNE PRZETWARZANIE DANYCH
Zgodnie z sekcją 9.3 DPA, załączniki do SCC należy wypełnić w następujący sposób:
Załącznik I, część A:
Lista stron Eksporter(zy) danych:
Nazwa: Podmiot określony jako "Klient" w RODO
Adres: Adres Klienta powiązany z jego kontem IDEXX.
Imię i nazwisko osoby kontaktowej, stanowisko i dane kontaktowe: Dane kontaktowe powiązane z kontem IDEXX Klienta.
Działania istotne dla danych przekazywanych na mocy niniejszych klauzul: Patrz niniejszy Harmonogram DPA, sekcja A powyżej.
Podpis i data: Zawierając umowę o partnerstwie biznesowym, klient zawiera SCC zgodnie z sekcją 9.3 umowy o partnerstwie biznesowym.
Rola (administrator/podmiot przetwarzający): Administrator
Podmiot(-y) odbierający(-e) dane:
Nazwa: IDEXX Laboratories, Inc.
Adres: One IDEXX Drive, Westbrook, Maine, USA 04092
Imię i nazwisko osoby kontaktowej, stanowisko i dane kontaktowe: chiefprivacyofficer@idexx.com
Działania istotne dla danych przekazywanych na mocy niniejszych klauzul: Patrz niniejszy Harmonogram DPA, sekcja A powyżej.
Podpis i data: Zawierając DPA, IDEXX zawiera SCC zgodnie z sekcją 9.3 DPA.
Rola (administrator danych/podmiot przetwarzający): Podmiot przetwarzający
Załącznik I, Część B: Opis Przekazania
Patrz Załącznik DPA, Sekcja A powyżej.
Załącznik I, część C: Właściwy organ nadzorczy
Holenderski organ ochrony danych
Załącznik II: Środki techniczne i organizacyjne, w tym środki techniczne i organizacyjne mające na celu zapewnienie bezpieczeństwa danych
Podstawowe środki techniczne i organizacyjne IDEXX w zakresie ochrony danych w ramach świadczonych usług opisano w poniższych środkach technicznych i organizacyjnych. Środki techniczne i organizacyjne , które IDEXX nałoży na podwykonawców przetwarzania, są opisane w Umowie o partnerstwie.
Środki techniczne i organizacyjne
Fizyczna kontrola dostępu
Środki zapewniające, że osoby nieupoważnione nie będą miały fizycznego dostępu do systemów wykorzystywanych do przetwarzania Danych Osobowych.
- ochroniarze, portierzy
- elektroniczny system kontroli dostępu wykorzystujący zbliżeniowe karty dostępu
- monitoring wideo (kamery IP)
- kontrole bezpieczeństwa dla
odwiedzających
Kontrola dostępu do systemu
Środki zapobiegające używaniu systemów przetwarzania danych bez autoryzacji:
- wytyczne dotyczące haseł (w tym złożoność, minimalna długość, ponowne użycie hasła i minimalny wiek hasła)
- automatyczne wylogowanie lub wygaszacz ekranu chroniony hasłem po określonym czasie bez aktywności użytkownika
- uwierzytelnianie i autoryzacja dostępu
- zapora sieciowa, ochrona antywirusowa
- wykrywanie włamań/zapobieganie włamaniom
- rejestrowanie
dostępu
Kontrola dostępu do danych
Środki mające na celu zapewnienie, że osoby upoważnione do korzystania z systemów przetwarzania danych mają dostęp tylko do tych danych, do których są upoważnione, oraz że dane osobowe nie mogą być odczytywane, kopiowane, zmieniane lub usuwane bez upoważnienia podczas przetwarzania, użytkowania i później:
- koncepcja kontroli dostępu (prawa dostępu ograniczone przez profile i role)
- dokumentacja praw dostępu
- zatwierdzanie i przydzielanie praw dostępu
wyłącznie przez upoważniony personel
Kontrola transferu danych
Środki mające na celu zapewnienie, że dane osobowe nie mogą być odczytywane, kopiowane, zmieniane lub usuwane bez upoważnienia podczas elektronicznego przesyłania lub transportu lub podczas zapisywania na nośnikach danych oraz że możliwe jest ustalenie i sprawdzenie, które organy mają przekazywać dane osobowe za pomocą urządzeń do transmisji danych:
- szyfrowanie transportu (TLS lub VPN)
Kontrola wprowadzania danych
Środki mające na celu zapewnienie, że po fakcie możliwe jest sprawdzenie i upewnienie się, czy dane osobowe zostały wprowadzone, zmienione lub usunięte z systemów przetwarzania danych, a jeśli tak, to przez kogo:
- Dane przechowywane w centrum danych IDEXX są niezbędne tylko do odczytu w celach raportowania.
Kontrola podmiotów przetwarzających
Środki mające na celu zapewnienie, że Dane Osobowe przetwarzane w imieniu innych podmiotów są przetwarzane ściśle zgodnie z instrukcjami Administratora:
- pisemne umowy o przetwarzanie danych (wymagane)
Kontrola dostępności
Środki zapewniające ochronę danych osobowych przed przypadkowym zniszczeniem lub utratą:
- kopia zapasowa w oddzielnej lokalizacji
- Koncepcja ciągłości działania/usuwania skutków katastrof
- zasilacz bezprzerwowy (UPS)
- Dedykowany generator centrum danych z wieloma umowami na dostawę paliwa
- ochrona przeciwpożarowa i system tłumienia
- wykrywanie wody
- nadmiarowy system klimatyzacji
Rozdzielenie danych
Środki zapewniające, że dane gromadzone w różnych celach mogą być przetwarzane oddzielnie:
- wyraźne logiczne oddzielenie danych od danych innych kontrolerów (dedykowane uniwersum danych)
SmartService
Załącznik uzupełnienia dotyczący przetwarzania danych klienta IDEXX
IDEXX poważnie traktuje ochronę danych osobowych. Niniejszy Harmonogram DPA jest specyficzny dla powyższej usługi IDEXX i powinien być czytany w połączeniu z naszą Umową przetwarzania danych klienta IDEXX.
Umowa między IDEXX a Klientem, do której włączono DPA i niniejszy Załącznik:
IDEXX SmartService Agreement.
A. OPIS PRZENIESIENIA
i. Kategorie osób, których dane dotyczą, których dane osobowe są przekazywane:
- Klient (klinika), w zakresie, w jakim Klient kwalifikuje się jako dane osobowe
- Pracownicy klienta
- Właściciele zwierząt domowych
ii. Kategorie przekazywanych danych osobowych:
Imię i nazwisko (właściciela zwierzęcia i pracownika klienta)
iii. Przekazywane dane wrażliwe (jeśli dotyczy) i zastosowane ograniczenia lub zabezpieczenia, które w pełni uwzględniają charakter danych i związane z nimi ryzyko.
Brak
iv. Częstotliwość przekazywania danych (np. czy dane są przekazywane jednorazowo czy w sposób ciągły).
W sposób ciągły, w zależności od korzystania z Usług przez Klienta.
v. Charakter przetwarzania.
Działania IDEXX w zakresie Przetwarzania Danych Osobowych Klienta są następujące:
Działania podejmowane przez grupy inżynierii oprogramowania i operacji rozwojowych IDEXX:
|
|
Działania podejmowane przez grupy IDEXX ds. sprzedaży, doradztwa medycznego i obsługi klienta:
|
|
vi. Cel(e) przekazywania i dalszego przetwarzania danych.
W celu świadczenia Usług.
vii. Okres, przez który dane osobowe będą przechowywane lub, jeśli nie jest to możliwe, kryteria stosowane do określenia tego okresu.
Minimalny ustawowy okres przechowywania danych osobowych przez IDEXX.
viii. W przypadku przekazywania danych (pod)podmiotom przetwarzającym należy również określić przedmiot, charakter i czas trwania przetwarzania.
Przedmiot, charakter i czas trwania przetwarzania, jak opisano powyżej.
B. TRANSGRANICZNE PRZETWARZANIE DANYCH
Zgodnie z sekcją 9.3 DPA, załączniki do SCC należy wypełnić w następujący sposób:
Załącznik I, część A: Lista stron
Podmiot przekazujący dane:
Nazwa: Podmiot określony jako "Klient" w RODO
Adres: Adres Klienta powiązany z jego kontem IDEXX.
Imię i nazwisko osoby kontaktowej, stanowisko i dane kontaktowe: Dane kontaktowe powiązane z kontem IDEXX Klienta.
Działania istotne dla danych przekazywanych na mocy niniejszych klauzul: Patrz niniejszy Harmonogram DPA, sekcja A powyżej.
Podpis i data: Zawierając umowę o partnerstwie biznesowym, klient zawiera SCC zgodnie z sekcją 9.3 umowy o partnerstwie biznesowym.
Rola (administrator/podmiot przetwarzający): Administrator
Podmiot(-y) odbierający(-e) dane:
Nazwa: IDEXX Laboratories, Inc.
Adres: One IDEXX Drive, Westbrook, Maine, USA 04092
Imię i nazwisko osoby kontaktowej, stanowisko i dane kontaktowe: chiefprivacyofficer@idexx.com
Działania istotne dla danych przekazywanych na mocy niniejszych klauzul: Patrz niniejszy Harmonogram DPA, sekcja A powyżej.
Podpis i data: Zawierając DPA, IDEXX zawiera SCC zgodnie z sekcją 9.3 DPA.
Rola (administrator danych/podmiot przetwarzający): Podmiot przetwarzający
Załącznik I, Część B: Opis Przekazania
Patrz Załącznik DPA, Sekcja A powyżej.
Załącznik I, część C: Właściwy organ nadzorczy
Holenderski organ ochrony danych
Załącznik II: Środki techniczne i organizacyjne, w tym środki techniczne i organizacyjne zapewniające bezpieczeństwo danych
Podstawowe środki techniczne i organizacyjne IDEXX w zakresie ochrony danych w ramach Usług opisano w poniższych środkach technicznych i organizacyjnych. Środki techniczne i organizacyjne, które IDEXX nałoży na podwykonawców przetwarzania, są opisane w Umowie o partnerstwie.
Środki techniczne i organizacyjne
Fizyczna kontrola dostępu
Środki zapewniające, że osoby nieupoważnione nie będą miały fizycznego dostępu do systemów wykorzystywanych do przetwarzania Danych Osobowych.
- ochroniarze, portierzy
- elektroniczny system kontroli dostępu wykorzystujący zbliżeniowe karty dostępu
- monitoring wideo (kamery IP)
- kontrole bezpieczeństwa dla odwiedzających
Kontrola dostępu do systemu
Środki zapobiegające używaniu systemów przetwarzania danych bez autoryzacji:
- wytyczne dotyczące haseł (w tym złożoność, minimalna długość, ponowne użycie hasła i minimalny wiek hasła)
- automatyczne wylogowanie lub wygaszacz ekranu chroniony hasłem po określonym czasie bez aktywności użytkownika
- uwierzytelnianie i autoryzacja dostępu
- zapora sieciowa, ochrona antywirusowa
- wykrywanie włamań/zapobieganie włamaniom
- rejestrowanie dostępu
Kontrola dostępu do danych
Środki mające na celu zapewnienie, że osoby upoważnione do korzystania z systemów przetwarzania danych mają dostęp tylko do tych danych, do których są upoważnione, oraz że dane osobowe nie mogą być odczytywane, kopiowane, zmieniane lub usuwane bez upoważnienia podczas przetwarzania, użytkowania i później:
- koncepcja kontroli dostępu (prawa dostępu ograniczone przez profile i role)
- dokumentacja praw dostępu
- zatwierdzanie i przydzielanie praw dostępu wyłącznie przez upoważniony personel
Kontrola transferu danych
Środki mające na celu zapewnienie, że Dane Osobowe nie mogą być odczytywane, kopiowane, zmieniane lub usuwane bez upoważnienia podczas elektronicznego przesyłania lub transportu lub podczas zapisywania na nośnikach danych oraz że możliwe jest ustalenie i sprawdzenie, które organy mają przekazywać Dane Osobowe za pomocą urządzeń do transmisji danych:
- szyfrowanie transportu (TLS lub VPN)
Kontrola wprowadzania danych
Środki mające na celu zapewnienie, że po fakcie możliwe jest sprawdzenie i upewnienie się, czy dane osobowe zostały wprowadzone, zmienione lub usunięte z systemów przetwarzania danych, a jeśli tak, to przez kogo:
- Dane przechowywane w centrum danych IDEXX są niezbędne tylko do odczytu w celach raportowania.
Kontrola podmiotów przetwarzających
Środki mające na celu zapewnienie, że Dane Osobowe przetwarzane w imieniu innych podmiotów są przetwarzane ściśle zgodnie z instrukcjami Administratora:
- pisemne umowy o przetwarzanie danych (wymagane)
Kontrola dostępności
Środki zapewniające ochronę danych osobowych przed przypadkowym zniszczeniem lub utratą:
- kopia zapasowa w oddzielnej lokalizacji
- Koncepcja ciągłości działania/usuwania skutków katastrof
- zasilacz bezprzerwowy (UPS)
- Dedykowany generator centrum danych z wieloma umowami na dostawy paliwa
- ochrona przeciwpożarowa i system tłumienia
- wykrywanie wody
- nadmiarowy system klimatyzacji
Rozdzielenie danych
Środki zapewniające, że dane gromadzone do różnych celów mogą być przetwarzane oddzielnie:
- wyraźne logiczne oddzielenie danych od danych innych kontrolerów (dedykowane uniwersum danych)