Get in Touch
Zastosowanie
WELL Certification Uzyskaj certyfikację WELL Spełnij wymagania WELL i zdobądź do 9 punktów z Kaiterra workplace Popraw komfort pracy Zapewnij lepsze warunki pracy dzięki czystemu powietrzu High performance buildings Popraw wydajność HVAC i budynku Podejmuj decyzje oparte na danych w projektowaniu i eksploatacji budynków Twórz zdrowe szkoły Twórz bezpieczniejsze i zdrowsze środowisko szkolne Achieve Building Certifications Projekty LEED Wspieraj certyfikację LEED na rzecz zdrowszych, zrównoważonych budynków Achieve Building Certifications Projekty Fitwel Zbieraj punkty Fitwel i wspieraj zdrowie i dobre samopoczucie mieszkańców Achieve Building Certifications Projekty RESET Osiągnij standardy RESET dzięki ciągłemu monitorowaniu i raportowaniu
Rola
Dla właścicieli budynków i wynajmujących Dla najemców korporacyjnych i mieszkańców budynków
Sprzęt
Monitory jakości powietrza w pomieszczeniach
Rozwiązania przewodowe
Monitory jakości powietrza w kanałach
Porównaj sprzęt
Oprogramowanie
Platforma danych Kaiterra
Cennik
blog Blog o Zdrowych Budynkach Spostrzeżenia i perspektywy dotyczące zdrowych budynków i jakości powietrza wewnętrznego Downloads Pliki do pobrania (techniczne) Pobierz dokumentację techniczną produktów Kaiterra support Wsparcie Baza wiedzy, poradniki i rozwiązywanie problemów Security Icon Bezpieczeństwo Środki bezpieczeństwa wdrożone w celu ochrony Twoich danych resources Centrum Wiedzy Materiały edukacyjne stworzone przez ekspertów ds. jakości powietrza compare Wydarzenia Nadchodzące i dostępne na żądanie wydarzenia Kaiterra
WELL Compliance Report - Menu
FUNKCJA PANELU Raport zgodności z WELL Dowiedz się więcej
ebook - Business Case for IAQ
EBOOK Biznesowe uzasadnienie dla jakości powietrza wewnętrznego Pobierz
about O nas Dowiedz się, jak zmieniamy ludzkie doświadczenia dzięki zdrowym, inteligentnym i zrównoważonym budynkom. career Kariera Chcesz mieć wpływ? Zobacz nasze aktualne oferty pracy. contact@2x Kontakt Skontaktuj się z nami, aby omówić projekt, współpracę lub uzyskać szybką i dedykowaną pomoc.

Umowa o przetwarzanie danych

Ostatnia aktualizacja 25 maja 2026 r.

Oto polskie tłumaczenie dostarczonego dokumentu, sformatowane tak, aby odzwierciedlało oryginalną strukturę HTML:

Niniejsza Umowa Powierzenia Przetwarzania Danych („DPA”) stanowi część Głównej Umowy Subskrypcyjnej Kaiterra, Warunków Świadczenia Usług Kaiterra, Warunków Zakupu Kaiterra lub innej pisemnej umowy odwołującej się do niniejszej DPA („Umowa”) zawartej pomiędzy Origins Technology Limited („Kaiterra”) a klientem będącym stroną Umowy („Klient”). Okres obowiązywania niniejszej DPA jest tożsamy z okresem obowiązywania Umowy. Pojęcia niezdefiniowane w niniejszej DPA mają znaczenie nadane im w Umowie.

Klienci, którzy wymagają obustronnie podpisanej kopii niniejszej DPA, mogą o nią poprosić, pisząc na adres privacy@kaiterra.com.

1. Definicje

Na potrzeby niniejszej DPA:

    • Obowiązujące Przepisy o Ochronie Danych” oznaczają wszystkie przepisy dotyczące ochrony danych i prywatności mające zastosowanie do przetwarzania Danych Osobowych przez Stronę na mocy Umowy, w tym, w stosownych przypadkach, Ogólne Rozporządzenie o Ochronie Danych UE (Rozporządzenie (UE) 2016/679, „RODO”), brytyjskie Ogólne Rozporządzenie o Ochronie Danych stanowiące część prawa Anglii i Walii, Szkocji oraz Irlandii Północnej na mocy sekcji 3 Ustawy o Unii Europejskiej (Wystąpienie) z 2018 r. („Brytyjskie RODO”), Szwajcarską Ustawę Federalną o Ochronie Danych („FADP”), Kalifornijską Ustawę o Prywatności Konsumentów z 2018 r. ze zmianami wprowadzonymi przez Kalifornijską Ustawę o Prawach do Prywatności z 2020 r. („CCPA”) oraz inne kompleksowe stanowe przepisy o prywatności w USA uchwalane i obowiązujące od czasu do czasu, a także wszelkie inne mające zastosowanie krajowe, federalne, stanowe lub lokalne przepisy dotyczące przetwarzania Danych Osobowych.
    • Administrator”, „Podmiot Przetwarzający”, „Osoba, której dane dotyczą”, „Dane Osobowe”, „Naruszenie Ochrony Danych Osobowych”, „Przetwarzanie” (oraz formy pokrewne) i „Szczególne Kategorie Danych Osobowych” mają znaczenie nadane im w RODO. Równoważne pojęcia w innych Obowiązujących Przepisach o Ochronie Danych (w tym „Firma”, „Dostawca Usług”, „Sprzedaż”, „Udostępnianie”, „Konsument” i „Wrażliwe Dane Osobowe” w ramach CCPA) należy interpretować odpowiednio.
    • Dane Osobowe Klienta” oznaczają Dane Osobowe, które Kaiterra Przetwarza w imieniu Klienta w związku z korzystaniem przez Klienta z Produktów Kaiterra.
    • Dane Pochodne” oznaczają dane zagregowane, zdezidentyfikowane lub zanonimizowane w sposób uniemożliwiający ponowną identyfikację jakiejkolwiek Osoby, której dane dotyczą, Klienta lub użytkownika końcowego, w tym dane statystyczne, techniczne, dotyczące wydajności i dane porównawcze uzyskane na podstawie korzystania przez Klienta z Produktów Kaiterra.
    • SKU UE” (Standardowe Klauzule Umowne UE) oznaczają standardowe klauzule umowne zatwierdzone przez Komisję Europejską w Decyzji Wykonawczej (UE) 2021/914 z dnia 4 czerwca 2021 r., dostępne pod adresem http://data.europa.eu/eli/dec_impl/2021/914/oj
      • , aktualizowane od czasu do czasu.
    • Produkty Kaiterra” oznaczają sprzęt, oprogramowanie, usługi w chmurze oraz inne produkty i powiązane z nimi usługi udostępniane Klientowi przez Kaiterra na mocy Umowy.
    • Dalszy Podmiot Przetwarzający” oznacza każdy Podmiot Przetwarzający zaangażowany przez Kaiterra do Przetwarzania Danych Osobowych Klienta.
    • Strona Dalszych Podmiotów Przetwarzających” oznacza listę Dalszych Podmiotów Przetwarzających prowadzoną przez Kaiterra pod adresem https://www.kaiterra.com/legal/subprocessors
      • , aktualizowaną od czasu do czasu.
    • Aneks Brytyjski” (UK Addendum) oznacza Międzynarodowy Aneks do Standardowych Klauzul Umownych Komisji Europejskiej dotyczący Transferu Danych, wydany przez Komisarza ds. Informacji Wielkiej Brytanii na mocy sekcji 119A Ustawy o Ochronie Danych z 2018 r. i przedłożony Parlamentowi w dniu 2 lutego 2022 r., wersja B1.0, dostępny pod adresem https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/international-transfers/international-data-transfer-agreement-and-guidance/
      • , rewidowany od czasu do czasu zgodnie z Sekcją 18 klauzul obowiązkowych („
Obowiązkowe Klauzule Aneksu Brytyjskiego
    ”).

2. Role Stron

2.1 Dane Osobowe Klienta. Klient jest Administratorem, a Kaiterra jest Podmiotem Przetwarzającym Dane Osobowe Klienta. W przypadku, gdy Klient Przetwarza Dane Osobowe Klienta jako Podmiot Przetwarzający w imieniu zewnętrznego Administratora, Kaiterra Przetwarza te Dane Osobowe Klienta jako Dalszy Podmiot Przetwarzający.

2.2 Dane konta i dane administracyjne. Kaiterra Przetwarza ograniczony zbiór Danych Osobowych dotyczących autoryzowanych użytkowników Klienta (w tym imiona i nazwiska, adresy e-mail, stanowiska oraz logi uwierzytelniania i dostępu) jako niezależny Administrator w celach administracji kontem, bezpieczeństwa, zapobiegania oszustwom, fakturowania, wsparcia oraz komunikacji związanej z usługami. Do tego rodzaju Przetwarzania mają zastosowanie postanowienia Informacji o Ochronie Prywatności Kaiterra.

2.3 Dane Pochodne. Strony przyjmują do wiadomości, że Dane Pochodne nie identyfikują i nie mogą zostać w racjonalny sposób użyte do zidentyfikowania Klienta, żadnego z użytkowników końcowych Klienta ani żadnej Osoby, której dane dotyczą, w związku z czym nie stanowią Danych Osobowych w świetle Obowiązujących Przepisów o Ochronie Danych. Kaiterra posiada wszelkie prawa, tytuły i udziały w Danych Pochodnych i może Przetwarzać Dane Pochodne w dowolnym celu, w tym do badań i rozwoju, trenowania modeli uczenia maszynowego, analiz porównawczych i statystycznych, również po rozwiązaniu Umowy.

2.4 Zakres Danych Osobowych Klienta. Produkty Kaiterra są przeznaczone do Przetwarzania pomiarów jakości powietrza w pomieszczeniach i pomiarów środowiskowych. Pomiary te same w sobie nie identyfikują żadnej osoby fizycznej i nie stanowią Danych Osobowych. Dane Osobowe są przetwarzane na mocy niniejszej DPA wyłącznie wtedy, gdy jest to incydentalne w stosunku do działania Produktów Kaiterra (np. informacje o koncie autoryzowanego użytkownika) lub gdy Klient zdecyduje się powiązać Dane Osobowe z pomiarami środowiskowymi (np. metadane dotyczące pomieszczenia, osoby przebywającej w pomieszczeniu lub odwiedzającego).

3. Obowiązki Kaiterra w zakresie Przetwarzania

3.1 Instrukcje

Kaiterra będzie Przetwarzać Dane Osobowe Klienta wyłącznie na udokumentowane polecenie Klienta, określone w Umowie, odpowiednim Formularzu Zamówienia lub Zakresie Prac (Statement of Work) oraz w niniejszej DPA. Kaiterra poinformuje Klienta, jeśli jej zdaniem instrukcja narusza Obowiązujące Przepisy o Ochronie Danych, i może wstrzymać Przetwarzanie (poza przechowywaniem i stosowaniem środków bezpieczeństwa) do czasu wydania przez Klienta instrukcji zgodnej z przepisami. Jeżeli obowiązek prawny wymaga od Kaiterra Przetwarzania Danych Osobowych Klienta w sposób niezgodny z instrukcjami Klienta, Kaiterra, o ile jest to dozwolone, powiadomi o tym Klienta przed rozpoczęciem takiego Przetwarzania.

3.2 Poufność

Kaiterra zapewni, że personel upoważniony do Przetwarzania Danych Osobowych Klienta będzie podlegał pisemnym zobowiązaniom do zachowania poufności lub będzie objęty odpowiednim ustawowym obowiązkiem zachowania poufności, a dostęp do Danych Osobowych Klienta będzie przyznawany wyłącznie osobom, dla których jest to niezbędne (zasada "need-to-know").

3.3 Bezpieczeństwo

Kaiterra wdroży i będzie utrzymywać odpowiednie środki techniczne i organizacyjne w celu ochrony Danych Osobowych Klienta przed przypadkowym lub niezgodnym z prawem zniszczeniem, utratą, zmianą, nieuprawnionym ujawnieniem lub dostępem do Danych Osobowych Klienta. Środki wdrożone przez Kaiterra są określone w Załączniku 2 oraz na stronie Kaiterra dotyczącej bezpieczeństwa: https://www.kaiterra.com/security. Kaiterra może od czasu do czasu aktualizować swoje środki bezpieczeństwa, pod warunkiem, że żadna taka aktualizacja nie obniży istotnie ogólnego poziomu ochrony zapewnianego Danym Osobowym Klienta.

3.4 Naruszenia Ochrony Danych Osobowych

Kaiterra powiadomi Klienta o Naruszeniu Ochrony Danych Osobowych dotyczącym Danych Osobowych Klienta bez zbędnej zwłoki, aw każdym razie w ciągu 72 godzin od potwierdzenia przez Kaiterra faktu wystąpienia Naruszenia Ochrony Danych Osobowych. Powiadomienie będzie opisywać charakter Naruszenia Ochrony Danych Osobowych (w zakresie, w jakim będzie on wówczas znany), kategorie i przybliżoną liczbę Osób, których dane dotyczą, oraz wpisów Danych Osobowych, których dotyczy naruszenie, prawdopodobne konsekwencje, środki podjęte lub proponowane w celu zaradzenia Naruszeniu Ochrony Danych Osobowych oraz wskaże punkt kontaktowy w Kaiterra. Jeśli nie jest możliwe podanie wszystkich tych informacji w tym samym czasie, mogą być one przekazywane etapami bez dalszej zbędnej zwłoki. Kaiterra udzieli Klientowi pomocy, uwzględniając charakter Przetwarzania i informacje dostępne dla Kaiterra, w wywiązaniu się z obowiązków Klienta w zakresie powiadamiania o naruszeniach wynikających z Obowiązujących Przepisów o Ochronie Danych.

3.5 Żądania Osób, których dane dotyczą

Kaiterra zapewni uzasadnioną pomoc, biorąc pod uwagę charakter Przetwarzania, aby umożliwić Klientowi reagowanie na żądania Osób, których dane dotyczą, wynikające z Obowiązujących Przepisów o Ochronie Danych. Jeśli Kaiterra otrzyma żądanie bezpośrednio od Osoby, której dane dotyczą, Kaiterra poinformuje tę osobę, aby skierowała żądanie do Klienta i powiadomi Klienta o żądaniu bez zbędnej zwłoki. Klient ponosi wyłączną odpowiedzialność za rozpatrywanie żądań Osób, których dane dotyczą, związanych z Danymi Osobowymi Klienta.

3.6 Oceny Skutków dla Ochrony Danych i Konsultacje

Biorąc pod uwagę charakter Przetwarzania i informacje dostępne dla Kaiterra, Kaiterra zapewni Klientowi uzasadnioną pomoc w dokonywaniu ocen skutków dla ochrony danych oraz uprzednich konsultacjach z organami nadzorczymi, wymaganych przez Obowiązujące Przepisy o Ochronie Danych w odniesieniu do Danych Osobowych Klienta. Kaiterra może naliczyć rozsądną opłatę za pomoc, która w istotny sposób wykracza poza standardową dokumentację Kaiterra.

3.7 Zwrot lub Usunięcie

Po rozwiązaniu lub wygaśnięciu Umowy, na pisemne żądanie Klienta, Kaiterra zwróci lub usunie Dane Osobowe Klienta Przetwarzane na mocy niniejszej DPA w terminie 30 dni, z zastrzeżeniem (i) rotacji w systemach kopii zapasowych, po której kopie resztkowe zostaną bezpiecznie nadpisane w ramach zwykłej działalności; oraz (ii) wymogów przechowywania wynikających z przepisów prawa lub niezbędnych do ustalenia, dochodzenia lub obrony roszczeń prawnych. Kaiterra będzie nadal stosować wymogi bezpieczeństwa i poufności określone w niniejszej DPA w odniesieniu do wszelkich przechowywanych w ten sposób danych tak długo, jak długo będą one przechowywane.

4. Audyty

4.1 Kaiterra udostępni Klientowi, na uzasadnione pisemne żądanie, informacje niezbędne do wykazania zgodności Kaiterra z jej obowiązkami wynikającymi z Obowiązujących Przepisów o Ochronie Danych i niniejszej DPA. W pierwszej kolejności zobowiązanie to zostanie spełnione poprzez udostępnienie aktualnej dokumentacji bezpieczeństwa Kaiterra, raportów z audytów przeprowadzonych przez strony trzecie (jeśli takie istnieją) oraz wypełnionych kwestionariuszy bezpieczeństwa.

4.2 W przypadku, gdy informacje udostępnione na podstawie Sekcji 4.1 będą niewystarczające, Klient może, nie częściej niż raz na 12 miesięcy i z zachowaniem co najmniej 30-dniowego okresu uprzedniego wypowiedzenia w formie pisemnej, przeprowadzić audyt Przetwarzania Danych Osobowych Klienta przez Kaiterra. Audyty takie będą przeprowadzane w standardowych godzinach pracy, nie zakłócą w sposób nieuzasadniony działalności Kaiterra, będą przeprowadzane zdalnie, tam gdzie jest to racjonalnie wykonalne, i będą podlegać zobowiązaniom do zachowania poufności nie mniej rygorystycznym niż te zawarte w Umowie. Audyty wymagające fizycznego dostępu będą przeprowadzane przez wspólnie zaakceptowanego, niezależnego audytora na koszt Klienta. Organ regulacyjny posiadający jurysdykcję nad Przetwarzaniem może skorzystać z prawa do przeprowadzenia audytu w każdym uzasadnionym czasie.

5. Dalsze Podmioty Przetwarzające

5.1 Ogólne upoważnienie. Klient upoważnia Kaiterra do angażowania Dalszych Podmiotów Przetwarzających w celu Przetwarzania Danych Osobowych Klienta, z zastrzeżeniem wymogów niniejszej Sekcji 5.

5.2 Aktualna lista. Aktualna lista Dalszych Podmiotów Przetwarzających jest utrzymywana na Stronie Dalszych Podmiotów Przetwarzających pod adresem https://www.kaiterra.com/legal/subprocessors. Klient może zapisać się do powiadomień o aktualizacjach na tej stronie.

5.3 Powiadomienie o zmianach. Kaiterra powiadomi Klienta z co najmniej 30-dniowym wyprzedzeniem o zamiarze dodania lub wymiany Dalszego Podmiotu Przetwarzającego, aktualizując Stronę Dalszych Podmiotów Przetwarzających i wysyłając powiadomienie do wyznaczonego przez Klienta kontaktu ds. prywatności (lub, w przypadku braku wyznaczenia, do głównego kontaktu powiązanego z kontem Klienta). Tam, gdzie ma zastosowanie 14-dniowy minimalny okres wypowiedzenia z Klauzuli 9(a) SKU UE, Kaiterra korzysta ze swojego prawa z tytułu tej Klauzuli do zapewnienia dłuższego okresu powiadomienia, określonego w niniejszej Sekcji.

5.4 Sprzeciw. Klient może zgłosić sprzeciw wobec nowego Dalszego Podmiotu Przetwarzającego z uzasadnionych przyczyn dotyczących ochrony danych, przekazując Kaiterra pisemne zawiadomienie w okresie wypowiedzenia. Strony będą współpracować w dobrej wierze w celu rozpatrzenia sprzeciwu. Jeśli Strony nie będą mogły rozwiązać kwestii spornej, Klient może, jako swoje jedyne i wyłączne zadośćuczynienie, wypowiedzieć część Umowy dotyczącą Produktów Kaiterra dotkniętą zmianą, po uprzednim pisemnym zawiadomieniu, z prawem do proporcjonalnego zwrotu z góry uiszczonych opłat za niewykorzystany okres.

5.5 Obowiązki Dalszego Podmiotu Przetwarzającego. Kaiterra zawrze pisemną umowę z każdym Dalszym Podmiotem Przetwarzającym, nakładającą obowiązki w zakresie ochrony danych nie mniej rygorystyczne niż te określone w niniejszej DPA. Kaiterra pozostaje w pełni odpowiedzialna wobec Klienta za wykonanie obowiązków przez każdego Dalszego Podmiotu Przetwarzającego.

6. Międzynarodowe Transfery Danych

6.1 Lokalizacja hostingu

Dane Osobowe Klienta Przetwarzane na mocy niniejszej DPA są hostowane na infrastrukturze Amazon Web Services zlokalizowanej we Frankfurcie w Niemczech (eu-central-1) lub w innej lokalizacji, o której Kaiterra może powiadomić Klienta z wyprzedzeniem, pod warunkiem, że jakakolwiek taka zmiana nie zmniejszy w istotny sposób ogólnego poziomu ochrony zapewnianego Danym Osobowym Klienta.

6.2 Dostęp przez globalnie rozproszony personel

Klient przyjmuje do wiadomości, że personel Kaiterra oraz Dalsze Podmioty Przetwarzające znajdują się w wielu jurysdykcjach, a dostęp takiego personelu i Dalszych Podmiotów Przetwarzających do Danych Osobowych Klienta w celach świadczenia, obsługi i operacjonalizacji Produktów Kaiterra może stanowić transfer Danych Osobowych w świetle Obowiązujących Przepisów o Ochronie Danych. Transfery takie podlegają zabezpieczeniom określonym w niniejszej Sekcji 6.

6.3 SKU UE

W zakresie, w jakim transfer Danych Osobowych Klienta do Kaiterra przez Klienta wymaga mechanizmu transferu na mocy RODO, SKU UE zostają niniejszym włączone do tej DPA przez odniesienie i mają zastosowanie w następujący sposób:

  • W przypadku, gdy Klient jest Administratorem, a Kaiterra Podmiotem Przetwarzającym Dane Osobowe Klienta, zastosowanie ma Moduł Drugi (Przekazanie od Administratora do Podmiotu Przetwarzającego).
  • W przypadku, gdy Klient jest Podmiotem Przetwarzającym, a Kaiterra Dalszym Podmiotem Przetwarzającym Dane Osobowe Klienta, zastosowanie ma Moduł Trzeci (Przekazanie od Podmiotu Przetwarzającego do Podmiotu Przetwarzającego).
  • Dla celów Klauzuli 7 (Klauzula przystąpienia): opcjonalna klauzula przystąpienia ma zastosowanie.
  • Dla celów Klauzuli 9 lit. a) (Ogólna pisemna zgoda): zastosowanie ma Opcja 2, z okresem powiadomienia określonym w Sekcji 5.3 niniejszej DPA.
  • Dla celów Klauzuli 11 (Środki ochrony prawnej): opcjonalny niezależny organ ds. rozwiązywania sporów nie ma zastosowania.
  • Dla celów Klauzuli 17 (Prawo właściwe): SKU UE podlegają prawu Irlandii.
  • Dla celów Klauzuli 18 (Wybór sądu i jurysdykcji): spory wynikające ze SKU UE są rozstrzygane przez sądy Irlandii.
  • Załączniki I, II i III do SKU UE są wypełnione w sposób określony w Załączniku 1 (szczegóły transferu), Załączniku 2 (środki techniczne i organizacyjne) oraz Sekcji 5 (dalsze podmioty przetwarzające) niniejszej DPA.
  • W przypadku jakiegokolwiek konfliktu między SKU UE a treścią niniejszej DPA, SKU UE mają pierwszeństwo.

6.4 Aneks Brytyjski

W zakresie, w jakim transfer Danych Osobowych Klienta przez Klienta do Kaiterra wymaga mechanizmu transferu na mocy Brytyjskiego RODO, Aneks Brytyjski zostaje niniejszym włączony do niniejszej DPA przez odniesienie. Strony uzgadniają, co następuje, dla celów Aneksu Brytyjskiego:

  • Aneks Brytyjski jest włączony przez odniesienie z wykorzystaniem Alternatywnych Obowiązkowych Klauzul Części 2: „Część 2: Obowiązkowe Klauzule Zatwierdzonego Aneksu, będącego szablonem Aneksu B.1.0 wydanym przez ICO i przedłożonym Parlamentowi zgodnie z sekcją 119A Ustawy o Ochronie Danych z 2018 r. w dniu 2 lutego 2022 r., w wersji zrewidowanej zgodnie z Sekcją 18 tych Obowiązkowych Klauzul”.
  • Tabele 1, 2, 3 i 4 Aneksu Brytyjskiego wypełnia się następująco:
    • Tabela 1 (Strony): jak określono w Załączniku 1.A niniejszej DPA.
    • Tabela 2 (Wybrane SKU, Moduły i wybrane klauzule): SKU UE włączone na mocy Sekcji 6.3 niniejszej DPA, z dokonanymi w nich wyborami modułów, klauzul opcjonalnych oraz innymi wyborami.
    • Tabela 3 (Informacje z Załączników): Załącznik 1A — jak określono w Załączniku 1.A; Załącznik 1B — jak określono w Załączniku 1.B; Załącznik 2 — jak określono w Załączniku 2; Załącznik 3 — jak określono w Sekcji 5 niniejszej DPA.
    • Tabela 4 (Zakończenie obowiązywania Aneksu w przypadku zmiany Zatwierdzonego Aneksu): Importer (Kaiterra) może zakończyć obowiązywanie Aneksu w przypadku zmiany zatwierdzonej wersji, zgodnie z Sekcją 19 Obowiązkowych Klauzul.

6.5 Szwajcaria

W zakresie, w jakim transfery Danych Osobowych Klienta podlegają FADP, mają zastosowanie SKU UE z następującymi dostosowaniami: (i) termin „Państwo Członkowskie” interpretuje się tak, aby obejmował Szwajcarię; (ii) odniesienia do RODO odczytuje się jako odniesienia do FADP, odpowiednio; (iii) właściwym organem nadzorczym jest Szwajcarski Federalny Komisarz ds. Ochrony Danych i Informacji; oraz (iv) w przypadkach, gdy FADP chroni Dane Osobowe osób prawnych, dopóki ochrona ta nie zostanie zniesiona, SKU UE mają zastosowanie również do takich Danych Osobowych.

6.6 Dalsze transfery

Jeżeli Kaiterra przekazuje Dane Osobowe Klienta Dalszemu Podmiotowi Przetwarzającemu w państwie trzecim, Kaiterra zapewni, że transfer ten będzie podlegał odpowiedniemu mechanizmowi na mocy Obowiązujących Przepisów o Ochronie Danych, w tym (w stosownych przypadkach) SKU UE, Aneksowi Brytyjskiemu, Ramom Ochrony Danych UE-USA (EU-US Data Privacy Framework) lub innym uznanym zabezpieczeniom.

6.7 Dodatki regionalne

Tam, gdzie wdrożenie Produktów Kaiterra dla Klienta wiąże się z Przetwarzaniem w jurysdykcji z określonymi dla danego regionu wymaganiami dotyczącymi lokalizacji danych, ich transferu lub rejestracji, Strony zawrą dodatkowe warunki, jakie będą rozsądnie wymagane w celu zachowania zgodności z Obowiązującymi Przepisami o Ochronie Danych w tej jurysdykcji. Klienci objęci takimi wymogami powinni skontaktować się pod adresem privacy@kaiterra.com.

7. Amerykańskie Stanowe Przepisy o Prywatności

7.1 Postanowienia niniejszej Sekcji 7 mają zastosowanie w zakresie, w jakim Dane Osobowe Klienta obejmują Dane Osobowe konsumentów, mieszkańców lub gospodarstw domowych podlegających CCPA lub jakimkolwiek innym kompleksowym amerykańskim stanowym przepisom o prywatności.

7.2 Kaiterra jest „dostawcą usług” (service provider), „podmiotem przetwarzającym” (processor) lub pełni analogiczną rolę na mocy CCPA i innych kompleksowych amerykańskich stanowych przepisów o prywatności w odniesieniu do Danych Osobowych Klienta. Kaiterra:

(a) będzie Przetwarzać Dane Osobowe Klienta wyłącznie w ograniczonych i ściśle określonych celach biznesowych określonych w Umowie oraz na udokumentowane polecenie Klienta;

(b) nie będzie Sprzedawać ani Udostępniać Danych Osobowych Klienta oraz nie będzie ich przechowywać, wykorzystywać ani ujawniać w żadnym celu innym niż cele biznesowe określone w Umowie, w tym nie będzie przechowywać, wykorzystywać ani ujawniać Danych Osobowych Klienta poza bezpośrednimi relacjami biznesowymi między Stronami ani w żadnym celu komercyjnym innym niż dostarczanie Produktów Kaiterra;

(c) nie będzie łączyć Danych Osobowych Klienta z Danymi Osobowymi, które Kaiterra otrzymuje od innej osoby (lub w jej imieniu) lub które Kaiterra gromadzi bezpośrednio od konsumenta, z wyjątkiem przypadków dozwolonych przez Obowiązujące Przepisy o Ochronie Danych;

(d) udzieli uzasadnionej pomocy Klientowi w celu odpowiedzenia na żądania konsumentów dotyczące dostępu, usunięcia, sprostowania, rezygnacji (opt-out) lub innych praw przysługujących im na mocy Obowiązujących Przepisów o Ochronie Danych;

(e) powiadomi Klienta, jeśli Kaiterra ustali, że nie jest w stanie dłużej wypełniać swoich obowiązków wynikających z Obowiązujących Przepisów o Ochronie Danych;

(f) na uzasadnione pisemne żądanie Klienta poświadczy zgodność działań Kaiterra z postanowieniami niniejszej Sekcji 7; oraz

(g) umożliwi Klientowi, po pisemnym zawiadomieniu Kaiterra, podjęcie rozsądnych i odpowiednich kroków w celu zatrzymania i zaradzenia nieuprawnionemu wykorzystaniu Danych Osobowych Klienta, w tym poprzez skorzystanie z praw do audytu określonych w Sekcji 4.

7.3 Klient udziela Kaiterra ograniczonego prawa do (i) kompilowania zagregowanych i zdezidentyfikowanych informacji statystycznych jako Danych Pochodnych na mocy Sekcji 2.3 oraz (ii) wykrywania incydentów związanych z bezpieczeństwem i zapobiegania oszustwom, w każdym z tych przypadków w zakresie dozwolonym przez Obowiązujące Przepisy o Ochronie Danych.

8. Zgodność z przepisami dotyczącymi krajów podwyższonego ryzyka (Country of Concern)

8.1 Kaiterra przestrzega obowiązujących przepisów ograniczających masowe transfery wrażliwych danych osobowych obywateli USA do „krajów podwyższonego ryzyka” (countries of concern) lub „objętych osób” (covered persons), w tym zasady ogłoszonej przez Departament Sprawiedliwości USA w 28 CFR Part 202 wdrażającej Rozporządzenie Wykonawcze 14117 („Reguła Końcowa” / Final Rule).

8.2 Dane Osobowe Klienta Przetwarzane na mocy niniejszej DPA składają się głównie z pomiarów środowiskowych wewnątrz budynków oraz ograniczonych danych identyfikacyjnych i kontaktowych upoważnionych użytkowników. Dane te nie stanowią „masowych wrażliwych danych osobowych USA” (bulk US sensitive personal data) w rozumieniu Reguły Końcowej, a Przetwarzanie Danych Osobowych Klienta na mocy niniejszej DPA nie jest „transakcją objętą regulacją” (covered data transaction) w rozumieniu Reguły Końcowej.

8.3 Jeśli Kaiterra ustali, że jakiekolwiek Przetwarzanie Danych Osobowych Klienta na mocy Umowy może być lub stać się transakcją objętą regulacją, Kaiterra powiadomi o tym Klienta bez zbędnej zwłoki, a Strony będą w dobrej wierze negocjować takie dodatkowe zabezpieczenia, jakie mogą być wymagane.

8.4 Dostęp do Danych Osobowych Klienta przez personel Kaiterra jest ograniczony do personelu, którego role wymagają takiego dostępu, podlega kontroli dostępu opartej na rolach i jest rejestrowany.

9. Odpowiedzialność

Niniejsza DPA podlega ograniczeniom i wyłączeniom odpowiedzialności określonym w Umowie, i to te ograniczenia oraz wyłączenia regulują odpowiedzialność każdej ze Stron z tytułu niniejszej DPA. Żadne z postanowień tej Sekcji nie ogranicza odpowiedzialności Strony w stopniu, w jakim taka odpowiedzialność nie może zostać ograniczona przez Obowiązujące Przepisy o Ochronie Danych, w tym w zakresie prawa Osoby, której dane dotyczą, do odszkodowania na mocy Artykułu 82 RODO.

10. Zmiany w niniejszej DPA

10.1 Kaiterra może od czasu do czasu aktualizować niniejszą DPA, aby odzwierciedlić zmiany w Obowiązujących Przepisach o Ochronie Danych, wytycznych regulacyjnych, Produktach Kaiterra lub Dalszych Podmiotach Przetwarzających oraz środkach bezpieczeństwa Kaiterra. Aktualizacje, które nie mają charakteru istotnego, wchodzą w życie z chwilą opublikowania zrewidowanej DPA pod adresem URL wskazanym w Umowie.

10.2 W przypadku gdy aktualizacja istotnie obniża poziom ochrony zapewniany Danym Osobowym Klienta lub nakłada na Klienta nowy, istotny obowiązek, Kaiterra powiadomi Klienta z co najmniej 30-dniowym wyprzedzeniem. Jeżeli Klient zgłosi uzasadniony sprzeciw wobec aktualizacji, Strony będą negocjować w dobrej wierze. Jeśli Strony nie dojdą do porozumienia w ciągu 30 dni od zgłoszenia sprzeciwu przez Klienta, Klient może wypowiedzieć odpowiednią część Umowy po uprzednim pisemnym zawiadomieniu, z prawem do proporcjonalnego zwrotu z góry uiszczonych opłat za niewykorzystany okres.

11. Postanowienia Ogólne

11.1 Kolejność obowiązywania (Hierarchia dokumentów). W przypadku konfliktu między niniejszą DPA a Umową w odniesieniu do Przetwarzania Danych Osobowych Klienta, niniejsza DPA ma pierwszeństwo. W przypadku konfliktu między niniejszą DPA a SKU UE lub Aneksem Brytyjskim (tam, gdzie zostały włączone), SKU UE lub Aneks Brytyjski mają pierwszeństwo.

11.2 Rozdzielność postanowień. Jeśli którekolwiek z postanowień niniejszej DPA zostanie uznane za nieważne lub niewykonalne, pozostałe postanowienia pozostają w pełnej mocy.

11.3 Prawo właściwe. Z wyjątkiem przypadków, gdy Obowiązujące Przepisy o Ochronie Danych, SKU UE lub Aneks Brytyjski wymagają inaczej, niniejsza DPA podlega prawu określonemu w Umowie.

11.4 Powiadomienia. Zawiadomienia kierowane do Kaiterra z tytułu niniejszej DPA należy przesyłać na adres privacy@kaiterra.com. Zawiadomienia kierowane do Klienta są wysyłane do kontaktu ds. prywatności lub głównego kontaktu przypisanego do konta, figurującego w rejestrach Kaiterra.

Załącznik 1 — Szczegóły Transferu

1.A Lista Stron

Podmiot przekazujący dane. Klient będący stroną Umowy. Dane kontaktowe, rola (Administrator lub Podmiot Przetwarzający) oraz czynności istotne dla transferu są określone w Umowie i odpowiednim Formularzu Zamówienia lub Zakresie Prac (Statement of Work). W przypadku gdy niniejsza DPA jest zawierana w ramach akceptacji przez Klienta standardowych warunków Kaiterra, Podmiot przekazujący dane jest identyfikowany za pomocą rekordu konta powiązanego z Umową.

Podmiot odbierający dane.

Pole Informacja
Nazwa Origins Technology Limited (działająca pod nazwą Kaiterra)
Adres Flat/Room 603, 6/F, Laws Commercial Plaza, 788 Cheung Sha Wan Road, Cheung Sha Wan, Kowloon, Hong Kong SAR
Kontakt privacy@kaiterra.com
Rola Podmiot Przetwarzający (Moduł Drugi) lub Dalszy Podmiot Przetwarzający (Moduł Trzeci) Danych Osobowych Klienta; niezależny Administrator danych konta/danych administracyjnych oraz Danych Pochodnych, jak określono w Sekcjach 2.2 i 2.3
Czynności istotne dla transferu Świadczenie, obsługa i wsparcie Produktów Kaiterra

1.B Opis Transferu

Pole Informacja
Kategorie Osób, których dane dotyczą Autoryzowani użytkownicy Klienta (w tym pracownicy, wykonawcy i administratorzy); w przypadku gdy Klient zdecyduje się powiązać Dane Osobowe z pomiarami środowiskowymi, osoby przebywające w obiekcie Klienta i osoby go odwiedzające.
Kategorie Danych Osobowych Dane identyfikacyjne i kontaktowe (imię i nazwisko, e-mail, tytuł, informacje kontaktowe); dane o zatrudnieniu (pracodawca, identyfikator pracownika lub użytkownika, stanowisko, dział); dane o użytkowaniu (dane techniczne, statystyczne i dotyczące wydajności powiązane z użytkowaniem Produktów Kaiterra); dzienniki uwierzytelniania i dostępu; oraz inne dane elektroniczne, które Klient decyduje się przesyłać, przechowywać, wysyłać lub odbierać za pośrednictwem Produktów Kaiterra, co może obejmować metadane dotyczące pomieszczeń, przebywających w nich osób lub gości, powiązane z pomiarami środowiskowymi.
Szczególne Kategorie Danych Osobowych Brak. Klient nie będzie przesyłał Szczególnych Kategorii Danych Osobowych do Produktów Kaiterra bez uprzedniej pisemnej zgody Kaiterra.
Częstotliwość transferu Ciągła przez cały okres obowiązywania Umowy.
Charakter Przetwarzania Hosting, przechowywanie, transmisja, dostęp, analiza, wsparcie i obsługa Produktów Kaiterra.
Cel Przetwarzania Świadczenie Produktów Kaiterra na rzecz Klienta zgodnie z Umową i udokumentowanymi instrukcjami Klienta.
Okres przechowywania Okres obowiązywania Umowy plus do 30 dni na zwrot lub usunięcie, plus przechowywanie resztkowe w systemach kopii zapasowych do momentu rotacji (nie dłużej niż 12 miesięcy od rozwiązania Umowy), plus jakikolwiek okres przechowywania wymagany przez prawo lub do ustalenia, dochodzenia, lub obrony roszczeń prawnych.
Dalsze Podmioty Przetwarzające Jak określono na Stronie Dalszych Podmiotów Przetwarzających oraz w Sekcji 5 niniejszej DPA. Przedmiot, charakter i czas trwania Przetwarzania przez Dalsze Podmioty Przetwarzające są opisane na Stronie Dalszych Podmiotów Przetwarzających.

1.C Właściwy Organ Nadzorczy

Dla Przetwarzania podlegającego RODO właściwym organem nadzorczym jest Irlandzka Komisja Ochrony Danych (Irish Data Protection Commission), chyba że właściwym jest inny organ nadzorczy na mocy art. 56 RODO.

Dla Przetwarzania podlegającego Brytyjskiemu RODO właściwym organem nadzorczym jest Biuro Komisarza ds. Informacji Wielkiej Brytanii (United Kingdom Information Commissioner's Office).

Dla Przetwarzania podlegającego FADP właściwym organem nadzorczym jest Szwajcarski Federalny Komisarz ds. Ochrony Danych i Informacji.

Załącznik 2 — Środki Techniczne i Organizacyjne

Niniejszy Załącznik określa środki techniczne i organizacyjne wdrożone przez Kaiterra w celu ochrony Danych Osobowych Klienta, zgodnie z art. 32 RODO, Klauzulą 8.6 SKU UE oraz równoważnymi wymogami wynikającymi z Obowiązujących Przepisów o Ochronie Danych. Kaiterra może od czasu do czasu aktualizować te środki, pod warunkiem, że jakakolwiek aktualizacja nie zmniejszy w istotny sposób ogólnego poziomu ochrony zapewnianego Danym Osobowym Klienta.

1. Program bezpieczeństwa informacji

Kaiterra utrzymuje pisemny program bezpieczeństwa informacji, który obejmuje zasady, procedury i standardy regulujące bezpieczeństwo Danych Osobowych Klienta. Program jest przeglądany co najmniej raz w roku. Kaiterra wdraża praktyki z zakresu bezpieczeństwa zgodne z wiodącymi w branży modelami (frameworks) projektowania i obsługi swojego programu bezpieczeństwa.

2. Hosting i bezpieczeństwo fizyczne

Dane Osobowe Klienta są hostowane na infrastrukturze Amazon Web Services zlokalizowanej we Frankfurcie w Niemczech (eu-central-1). Bezpieczeństwo fizyczne i środowiskowe infrastruktury hostingowej zapewnia AWS zgodnie z modelem współdzielonej odpowiedzialności AWS oraz certyfikatami i poświadczeniami publikowanymi od czasu do czasu przez AWS, w tym ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018 oraz SOC 1 i SOC 2 Typ II.

Pomieszczenia biurowe utrzymywane przez Kaiterra są chronione za pomocą odpowiednich mechanizmów fizycznej kontroli dostępu (w tym za pomocą identyfikatorów z kodem kreskowym/chipem, zamykanych drzwi oraz systemów zarządzania wizytami gości) współmiernych do wrażliwości działań w nich prowadzonych.

3. Kontrola dostępu

(a) Dostęp do systemów Przetwarzających Dane Osobowe Klienta wymaga unikalnych identyfikatorów użytkownika i uwierzytelniania.

(b) Uwierzytelnianie wieloskładnikowe (MFA) jest wymagane dla całego dostępu administracyjnego i produkcyjnego.

(c) Dostęp jest przyznawany w oparciu o zasadę najmniejszych uprawnień (least-privilege), w oparciu o przypisaną rolę oraz w sposób ograniczony czasowo. Prawa dostępu są sprawdzane co najmniej raz w roku i niezwłocznie wycofywane w przypadku zmiany roli lub zakończenia współpracy.

(d) Poświadczenia produkcyjne nie są udostępniane innym. Działania uprzywilejowane są logowane.

(e) Zarządzanie sesjami obejmuje odpowiednie limity czasu bezczynności (timeouts) oraz ochronę przed atakami typu "credential-stuffing" i atakami typu brute-force.

4. Szyfrowanie

(a) Dane Osobowe Klienta w stanie spoczynku są szyfrowane przy użyciu algorytmu AES-256 lub równoważnego algorytmu branżowego.

(b) Dane Osobowe Klienta w trakcie transmisji pomiędzy urządzeniami Klienta, urządzeniami Kaiterra i systemami Kaiterra są szyfrowane za pomocą protokołu TLS 1.2 lub nowszego, albo równoważnego standardu branżowego.

(c) Zarządzanie kluczami kryptograficznymi przebiega zgodnie z ustalonymi procedurami, włączając w to ograniczony dostęp do kluczy oraz ich rotację.

5. Bezpieczeństwo sieci i systemów

(a) Segmentacja sieci, firewalle i grupy bezpieczeństwa izolują środowiska produkcyjne od środowisk nieprodukcyjnych.

(b) Skanowanie w poszukiwaniu podatności jest przeprowadzane regularnie, a zidentyfikowane podatności są naprawiane zgodnie z udokumentowanym harmonogramem zależnym od stopnia dotkliwości podatności.

(c) Niezależne testy penetracyjne są przeprowadzane co najmniej raz w roku. Istotne odkrycia po testach są łatane i poddawane re-testom.

(d) Zaimplementowano scentralizowane rejestrowanie (logowanie) i monitorowanie zdarzeń związanych z bezpieczeństwem, włączając procedury alertów oraz weryfikacji.

(e) Tam, gdzie to możliwe, na punktach końcowych (endpoints) oraz w systemach wdrażane są zabezpieczenia przed złośliwym oprogramowaniem.

6. Bezpieczny rozwój oprogramowania

(a) Oprogramowanie jest rozwijane przy użyciu udokumentowanego cyklu bezpiecznego rozwoju (SDLC), który obejmuje przeglądy kodu (code review), zarządzanie zależnościami oraz testowanie.

(b) Wdrożenia produkcyjne podlegają procedurom zarządzania zmianami, w tym autoryzacji i możliwości śledzenia zmian (traceability).

(c) Kod źródłowy jest przechowywany w repozytoriach o kontrolowanym dostępie, z włączoną ochroną gałęzi (branch protection).

7. Personel

(a) Personel mający dostęp do Danych Osobowych Klienta podlega pisemnym zobowiązaniom do zachowania poufności.

(b) Weryfikacje przeszłości pracowników (background checks) nowo zatrudnionego personelu są przeprowadzane tam, gdzie pozwalają na to Obowiązujące Przepisy o Ochronie Danych.

(c) Personel przechodzi szkolenia z zakresu bezpieczeństwa i ochrony danych przy zatrudnieniu, a następnie co najmniej raz w roku.

(d) Dostęp do Danych Osobowych Klienta jest niezwłocznie cofany po rozwiązaniu stosunku pracy lub umowy o współpracę.

8. Reagowanie na incydenty i powiadamianie o naruszeniach

(a) Kaiterra posiada udokumentowany plan reagowania na incydenty, który jest przeglądany i testowany co najmniej raz w roku.

(b) Powiadamianie Klienta o Naruszeniach Ochrony Danych Osobowych odbywa się na zasadach określonych w Sekcji 3.4 DPA.

9. Ciągłość działania i odzyskiwanie po awarii

(a) Regularnie tworzone są kopie zapasowe Danych Osobowych Klienta. Kopie te są szyfrowane i przechowywane w sposób chroniący je przed utratą.

(b) Kaiterra posiada udokumentowane plany ciągłości działania (Business Continuity) i odzyskiwania po awarii (Disaster Recovery), uwzględniające cele czasu odzyskiwania (RTO) i punkty odzyskiwania (RPO).

(c) Hosting jest skonfigurowany pod kątem redundancji obejmującej wiele stref dostępności (multi-AZ) w głównym regionie hostingowym.

10. Zarządzanie dostawcami i Dalszymi Podmiotami Przetwarzającymi

(a) Przed zaangażowaniem, Kaiterra ocenia Dalsze Podmioty Przetwarzające i innych dostawców, którzy będą mieli dostęp do Danych Osobowych Klienta pod kątem udokumentowanych kryteriów bezpieczeństwa i ochrony prywatności.

(b) Dalsze Podmioty Przetwarzające są związani pisemnymi umowami, które nakładają na nie obowiązki związane z ochroną danych na poziomie nie niższym niż opisane w niniejszej DPA.

(c) Dalsze Podmioty Przetwarzające są wymienieni na Stronie Dalszych Podmiotów Przetwarzających.

11. Separacja danych

Dane Osobowe Klienta są logicznie oddzielone od danych innych klientów wewnątrz współdzielonej infrastruktury poprzez użycie identyfikatorów dzierżawców (tenant ID), kontrolę dostępu i separację na poziomie baz danych.

12. Audyt i zapewnienie zgodności

Kaiterra przechowuje dokumentację wystarczającą do wykazania zgodności z wymaganiami tego Załącznika i samej DPA oraz udostępnia taką dokumentację Klientowi, postępując zgodnie z wytycznymi Sekcji 4 niniejszej DPA.

Załącznik 3 — Dalsze Podmioty Przetwarzające

Aktualna lista Dalszych Podmiotów Przetwarzających autoryzowanych na mocy niniejszej DPA znajduje się na stronie: https://www.kaiterra.com/legal/subprocessors. Strona Dalszych Podmiotów Przetwarzających identyfikuje w przypadku każdego podmiotu: jego nazwę, lokalizację, kategorie realizowanego Przetwarzania oraz kategorie Danych Osobowych Klienta, do których ma on dostęp. Strona Dalszych Podmiotów Przetwarzających jest włączona do niniejszej DPA przez odniesienie i stanowi Załącznik III do SKU UE oraz odpowiadający mu załącznik Aneksu Brytyjskiego.