ZAŁĄCZNIK NR 3 do Warunków korzystania: Umowa o przetwarzaniu danych

Obowiązuje od 26 listopada 2025 r.

Niniejsza Umowa o przetwarzaniu danych ma zastosowanie między Użytkownikiem a firmą ESET za każdym razem, gdy Użytkownik przetwarza dane osobowe jako administrator danych poprzez korzystanie z Usług firmy ESET świadczonych na podstawie Warunków, a firma ESET przetwarza takie dane osobowe w imieniu Użytkownika jako podmiot przetwarzający dane.

Zgodnie z wymogami rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych, a także uchylenia dyrektywy 95/46/WE („RODO”), firma ESET („Podmiot przetwarzający dane”) i właściciel („Administrator danych”) przystępują do stosunku umownego dotyczącego przetwarzania danych w celu określenia warunków przetwarzania danych osobowych, sposobu ich ochrony, a także innych praw i obowiązków obu stron w odniesieniu do przetwarzania danych osobowych osób, których dane dotyczą, w imieniu Administratora danych podczas wykonywania przedmiotu niniejszych Warunków jako umowy głównej.

1. Przetwarzanie danych osobowych. Usługi świadczone zgodnie z niniejszymi Warunkami mogą obejmować przetwarzanie danych dotyczących zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej w imieniu Administratora, o których mowa w Polityce prywatności („Dane osobowe”).

2. Upoważnienie. Administrator danych upoważnia Podmiot przetwarzający do przetwarzania danych osobowych, zakładając, że:

(i) „cel przetwarzania” oznacza świadczenie Usług zgodnie z niniejszymi Warunkami i Dokumentacją. Procesor może przetwarzać Dane Osobowe wyłącznie w imieniu Administratora w zakresie świadczenia usług żądanych przez Administratora. Wszelkie informacje zebrane w dodatkowych celach są przetwarzane poza stosunkiem umownym pomiędzy Administratorem a Podmiotem przetwarzającym.

(ii) okres przetwarzania oznacza okres rozpoczynający się w momencie nawiązania wzajemnej współpracy na podstawie niniejszych Warunków aż do jej zakończenia;

(iii) Zakres i kategorie danych osobowych oznaczają wszelkie dane osobowe przekazane lub udostępnione przez Administratora podczas świadczenia Usług. Usługi są przeznaczone wyłącznie do przetwarzania ogólnych danych osobowych. Jednakże Administrator ponosi wyłączną odpowiedzialność za określenie zakresu danych osobowych.

(iv) „osoba, której dane dotyczą” oznacza osobę fizyczną będącą autoryzowanym użytkownikiem urządzeń Administratora danych dla których świadczone są usługi;

(v) operacje przetwarzania oznaczają wszystkie operacje niezbędne do przetwarzania;

(vi) „udokumentowane instrukcje” oznaczają instrukcje opisane w niniejszych Warunkach i aneksach do nich, Polityce prywatności oraz dokumentacji. Administrator odpowiada za prawną dopuszczalność przetwarzania Danych Osobowych przez Podmiot przetwarzający w zakresie odpowiednich obowiązujących przepisów prawa o ochronie danych.

3. Obowiązki Podmiotu przetwarzającego dane. Podmiot przetwarzający jest zobowiązany do:

(i) przetwarzanie danych osobowych wyłącznie na podstawie udokumentowanych poleceń i zgodnie z celem przetwarzania;

(ii) poinstruowania osób upoważnionych do przetwarzania danych osobowych („Osoby upoważnione”) o ich prawach i obowiązkach wynikających z RODO, o ich odpowiedzialności w przypadku naruszenia, a także do upewnienia się, że Osoby upoważnione zobowiązały się do zachowania poufności i przestrzegania udokumentowanych poleceń,

(iii) podjąć wszystkie środki związane z bezpieczeństwem przetwarzania wymagane zgodnie z art. 32 RODO, uwzględniając stan techniczny, koszty wdrażania oraz charakter, zakres, kontekst i cele przetwarzania, a także ryzyko różnej prawdopodobieństwa i nasilenia praw i wolności osób fizycznych, aby zapewnić poziom bezpieczeństwa przetwarzania danych osobowych administratora odpowiedni do tego ryzyka;

(iv) biorąc pod uwagę charakter przetwarzania, Podmiot będzie pomagać Administratorowi w odpowiadaniu na wnioski Podmiotów danych dotyczące ich praw. Podmiot przetwarzający nie będzie poprawiał, usuwał ani ograniczał przetwarzania Danych Osobowych bez polecenia Administratora. Wszelkie wnioski Podmiotu Danych dotyczące Danych Osobowych przetwarzanych w imieniu Administratora będą niezwłocznie przekazywane Administratorowi.

(iv) Podmiot będzie pomagać Administratorowi w powiadamianiu organu nadzorczego i Podmiotu Danych o naruszeniu ochrony danych osobowych, Podmiot przetwarzający dane powiadomi Administratora o wszelkich naruszeniach w zakresie przetwarzania lub bezpieczeństwa danych osobowych natychmiast po ich odkryciu. Podmiot przetwarzający dane będzie współpracował w rozsądnym zakresie w dochodzeniu i działaniach naprawczych dotyczących takiego naruszenia, a także podejmie rozsądne środki, aby ograniczyć dalsze negatywne konsekwencje.

(v) zgodnie z postanowieniem Administratora, wszystkie dane osobowe zostaną usunięte lub zwrócone Administratorowi danych po zakończeniu okresu przetwarzania. Administrator zobowiązuje się poinformować Podmiot przetwarzający dane o swojej decyzji w ciągu dziesięciu (10) dni po zakończeniu okresu przetwarzania. Niniejsze postanowienie nie wpływa na prawo Podmiotu przetwarzającego dane do zachowania danych osobowych w stopniu wymaganym do celów archiwizacji w związku z interesem publicznym, badaniami naukowymi, celami statystycznymi lub do ustalenia, wykonania lub obrony roszczeń prawnych.

(vii) przechowywania aktualnego rejestru wszystkich kategorii czynności związanych z przetwarzaniem, które są wykonywane w imieniu Administratora danych;

(vii) Podmiot będzie udostępniać Administratorowi wszystkie informacje niezbędne do wykazania zgodności w ramach niniejszych Warunków i aneksów do nich, Polityki prywatności oraz dokumentacji. W przypadku audytu lub kontroli przetwarzania danych osobowych po stronie Administratora jest on zobowiązany do pisemnego powiadomienia Podmiotu przetwarzającego dane co najmniej trzydzieści (30) dni przed planowanym audytem lub kontrolą.

4. Angażowanie innego podmiotu przetwarzającego dane Podmiot przetwarzający jest z reguły upoważniony do zaangażowania innego podmiotu przetwarzającego do wykonywania określonych czynności, takich jak świadczenie usług przechowywania w chmurze i zapewnianie infrastruktury dla Usługi zgodnie z niniejszymi Warunkami, niniejszym aneksem, Polityką prywatności oraz Dokumentacją. Nawet w takich przypadkach Podmiot przetwarzający pozostaje jedynym punktem kontaktu oraz stroną odpowiedzialną za zgodność z wymaganiami. Administrator niniejszym zobowiązuje się poinformować Podmiot przetwarzający dane o dodaniu lub wymianie innego administratora w celu możliwości zgłoszenia sprzeciwu. Obecnie zaangażowani podwykonawcy przetwarzania są określani w Polityce prywatności Podmiotu przetwarzającego dane.

5. Okno Terytorium przetwarzania. Podmiot przetwarzający zapewnia, że przetwarzanie będzie odbywać się na terytoriom Europejskiego Obszaru Gospodarczego lub kraju uznanego decyzją Komisji Europejskiej za bezpieczny, zależnie od decyzji Administratora danych. W przypadku przekazywania i przetwarzania danych poza terytorium Europejskiego Obszaru Gospodarczego lub kraju uznanego decyzją Komisji Europejskiej za bezpieczny obowiązują standardowe klauzule umowne.

6. Zabezpieczenia. Podmiot przetwarzający posiada certyfikat ISO 27001 i wdraża warstwową ochronną strategię bezpieczeństwa zgodną z normą ISO 27001 podczas stosowania kontroli bezpieczeństwa na poziomie sieci, systemów operacyjnych, baz danych, aplikacji, personelu i procesów operacyjnych. Zgodność z wymogami regulacyjnymi i umownymi jest poddawana regularnym ocenom oraz przeglądom podobnie jak w przypadku innych elementów infrastruktury oraz procesów Podmiotu przetwarzającego, a także podejmowane są niezbędne kroki w celu zapewnienia zgodności w sposób ciągły. Podmiot przetwarzający zorganizował zabezpieczenia danych z wykorzystaniem systemu ISMS na podstawieISO 27001. Dokumentacja bezpieczeństwa obejmuje przede wszystkich dokumenty dotyczące zasad bezpieczeństwa informacji, bezpieczeństwa fizycznego i bezpieczeństwa sprzętu, zarządzania incydentami, postępowania w przypadku wycieku danych oraz incydentów bezpieczeństwa itp.

7. Środki techniczne i organizacyjne. Podmiot przetwarzający dane będzie chronić dane osobowe przed przypadkowym i bezprawnym uszkodzeniem i zniszczeniem, przypadkową utratą, zmianą, nieupoważnionym dostępem i ujawnieniem. W tym celu Podmiot przetwarzający dane zastosuje odpowiednie środki techniczne i organizacyjne odpowiadające trybowi przetwarzania i zagrożeniom związanym z przetwarzaniem dla praw osób, których dane dotyczą, zapewniając zgodność z wymaganiami GDPR. Szczegółowy opis środków technicznych i organizacyjnych można znaleźć w Polityce bezpieczeństwa.

8. Dane kontaktowe Podmiotu przetwarzającego dane. Wszelkie powiadomienia, wnioski, żądania i inną komunikację dotyczącą ochrony danych osobowych należy kierować na adres: ESET, spol. s.r.o., do rąk: Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk.