1. Zakres, strony i rola
Ten Aneks dotyczący przetwarzania danych (DPA) jest włączony do Warunków świadczenia usług Synphoria i każdego właściwego formularza zamówienia, chyba że podpisana umowa o przetwarzaniu danych go zastępuje. Klient jest administratorem danych osobowych, które decyduje się wprowadzić, skonfigurować, importować lub zarządzać w Synphoria. SYNPHORIAAI sp. z o.o. działa jako podmiot przetwarzający te dane osobowe klienta i przetwarza je tylko w celu dostarczenia, zabezpieczenia, wsparcia i administrowania usługą. Synphoria może pozostać niezależnym administratorem własnego przetwarzania konta, rozliczeń, bezpieczeństwa, obowiązków prawnych, analityki i bezpieczeństwa produktu opisanego w Polityce prywatności.
2. Przedmiot, czas, charakter i cel przetwarzania
Dla celów GDPR Article 28 przedmiotem jest dostarczanie przez Synphoria usług firmowych, klinicznych, rekrutacyjnych, partnerskich, wsparcia i powiązanych usług programowych. Czas trwania to okres właściwego konta, zamówienia lub umowy plus okres retencji wymagany dla eksportu, usunięcia, wygaśnięcia kopii zapasowej, zgodności prawnej, audytu, bezpieczeństwa albo obsługi sporów. Charakter przetwarzania może obejmować zbieranie, hosting, przechowywanie, organizację, pobieranie, transmisję, analizę, generowanie, kontrolę dostępu, wsparcie, przegląd bezpieczeństwa, usunięcie i zwrot. Celem jest obsługa Synphoria dla autoryzowanych użytkowników klienta i skonfigurowanych przepływów pracy.
3. Osoby, których dane dotyczą, i kategorie danych osobowych
- Osoby, których dane dotyczą, mogą obejmować administratorów klienta, pracowników, zaproszonych użytkowników, kandydatów, użytkowników kliniki lub pacjentów, jeśli włączono tę powierzchnię, specjalistów, kontakty partnerów lub resellerów, kontakty wsparcia i inne osoby, których dane klient zgodnie z prawem przekazuje.
- Dane osobowe mogą obejmować dane identyfikacyjne, kontaktowe, konta, członkostwa w przestrzeni roboczej, działu, roli, kalendarza, HR, kliniki, rekrutacji, wsparcia, rozliczeń, użycia, integracji, bezpieczeństwa, audytu i metadane komunikacji.
- Dane szczególnych kategorii są przetwarzane tylko wtedy, gdy klient włącza lub przekazuje je przez odpowiednią powierzchnię Synphoria i posiada wymagane powiadomienie, zgodę, podstawę prawną oraz upoważnienie umowne.
4. Udokumentowane instrukcje
Synphoria przetwarza dane osobowe klienta tylko na udokumentowane instrukcje klienta, w tym Warunki, ten DPA, formularze zamówienia, wybory konfiguracji, działania autoryzowanych użytkowników, zgłoszenia wsparcia i zgodne z prawem instrukcje pisemne. Jeśli Synphoria uzna, że instrukcja narusza właściwe prawo ochrony danych, poinformuje klienta, chyba że prawo tego zabrania. Klient odpowiada za powiadomienia administratora, podstawy prawne, uprawnienia, dokładność danych, przypisania ról i zgodność przekazanych danych z prawem.
5. Poufność i autoryzowany personel
Synphoria ogranicza dostęp do danych osobowych klienta do personelu, wykonawców i dostawców usług, którzy potrzebują go do autoryzowanego działania usługi, wsparcia, bezpieczeństwa, obowiązków prawnych lub zgodności i są związani poufnością albo równoważnymi obowiązkami zawodowymi. Dostęp jest oparty na rolach i ograniczony granicami prywatności opisanymi w Polityce prywatności, Oświadczeniu o bezpieczeństwie danych i kontrolach specyficznych dla produktu.
6. Środki bezpieczeństwa
Synphoria stosuje odpowiednie środki techniczne i organizacyjne zgodnie z art. 32 GDPR, biorąc pod uwagę kontekst przetwarzania, ryzyko, koszt wdrożenia i stan wiedzy technicznej. Środki mogą obejmować szyfrowanie podczas przesyłania, wspierane zabezpieczenia przechowywania, kontrole kluczy prywatnej treści tam, gdzie są wdrożone, kontrolę dostępu, audytowalne logowanie, separację tenantów, kontrole kopii zapasowych i przywracania, zarządzanie podatnościami, reagowanie na incydenty i praktyki bezpiecznego rozwoju. Żadna usługa online nie może zagwarantować absolutnego bezpieczeństwa.
7. Podwykonawcy przetwarzania
Klient udziela Synphoria ogólnej zgody na użycie podwykonawców przetwarzania potrzebnych do świadczenia usługi. Aktualne kategorie dostawców i linki są utrzymywane w Oświadczeniu o bezpieczeństwie danych, w tym hosting, baza danych, przechowywanie, AI/model, głos, e-mail, płatności, SMS/telefon, bezpieczeństwo, logowanie, Slack, Microsoft Teams i dostawcy operacyjni. Synphoria pozostaje odpowiedzialna za przetwarzanie przez podwykonawcę wykonywane zgodnie z jej instrukcjami i nakłada obowiązki ochrony danych właściwe dla przetwarzania. Istotne zmiany podwykonawcy są obsługiwane przez właściwe powiadomienie, sprzeciw, obejście, rozwiązanie lub proces formularza zamówienia.
8. Transfery międzynarodowe
Gdy dane osobowe klienta są przekazywane poza EEA, UK lub inną jurysdykcję ograniczonego transferu, Synphoria stosuje mechanizm transferu właściwy dla danego dostawcy i przepływu, gdy jest wymagany. Może to obejmować decyzję stwierdzającą odpowiedni stopień ochrony, European Commission Standard Contractual Clauses under Decision (EU) 2021/914, UK International Data Transfer Agreement (UK IDTA), UK Addendum to EU SCCs, oceny ryzyka transferu oraz dodatkowe kontrole techniczne, umowne lub organizacyjne. Polityka prywatności i Oświadczenie o bezpieczeństwie danych wskazują aktualne kategorie dostawców i odniesienia transferowe.
9. Pomoc przy obowiązkach administrator danych
Z uwzględnieniem charakteru przetwarzania i informacji dostępnych Synphoria, Synphoria zapewni rozsądną pomoc przy żądaniach osób, których dane dotyczą, bezpieczeństwie przetwarzania, obsłudze naruszeń danych osobowych, ocenach skutków dla ochrony danych, wcześniejszych konsultacjach i innych obowiązkach administratora wymaganych przez art. 28, 32, 33, 34, 35 i 36 GDPR. Klient pozostaje odpowiedzialny za decyzje, jak odpowiadać na żądania osób, których dane dotyczą, regulatorów i osób dotkniętych naruszeniem.
10. Powiadomienie o naruszeniu
Synphoria powiadomi klienta bez nieuzasadnionej zwłoki po tym, jak dowie się o naruszeniu danych osobowych dotyczącym danych osobowych klienta przetwarzanych przez Synphoria jako podmiot przetwarzający. Powiadomienie obejmie dostępną informację o naruszeniu w zakresie rozsądnie dostępnym Synphoria i może być przekazywane etapami w miarę dochodzenia.
11. Audyt, informacje i dowody zgodności
Synphoria dostarczy informacje rozsądnie niezbędne do wykazania zgodności z tym DPA, w tym publiczne materiały bezpieczeństwa, strony polityk, dowody dostawców, kwestionariusze lub pisemne odpowiedzi tam, gdzie to właściwe. Audyty na miejscu, testy penetracyjne lub inwazyjny przegląd wymagają odrębnej pisemnej umowy, zakresu, poufności, kontroli bezpieczeństwa i rozsądnego powiadomienia, aby nie naruszyć bezpieczeństwa lub prywatności innych tenantów.
12. Zwrot, usunięcie i zakończenie
Po zakończeniu usług Synphoria zwraca, eksportuje, usuwa lub ogranicza dane osobowe klienta zgodnie z właściwymi kontrolami produktu, umową, obowiązkami prawnymi, wygaśnięciem kopii zapasowych, retencją audytu/bezpieczeństwa i zgodnymi z prawem instrukcjami. Kopie zapasowe, logi i rekordy audytu mogą być zachowane przez ograniczony okres, gdy wymaga tego bezpieczeństwo, zgodność prawna, obsługa sporów lub integralność usługi, a następnie usunięte albo zanonimizowane zgodnie z kontrolami retencji.
Kontakt w sprawach prywatności: contact@synphoria.app | security@synphoria.app