Aneks dotyczący ochrony prywatności na mocy prawa stanowego USA

Niniejszy Aneks dotyczący ochrony prywatności na mocy prawa stanowego USA („Aneks”) uzupełnia Ramową Umowę Subskrypcyjną, Warunki Świadczenia Usług lub Warunki Świadczenia Usług dla Klientów Odsprzedawców (w zależności od przypadku, „Umowa”); w Aneksie określono wybrane prawa i obowiązki w zakresie ochrony danych na mocy określonych przepisów prawa stanowego USA. Terminy pisane dużą literą używane, ale nie zdefiniowane inaczej, w niniejszym Aneksie przyjmują znaczenie przypisane im w Umowie.

Sekcja A – Postanowienia ogólne. Niniejszą Sekcję A Aneksu stosuje się w przypadku świadczenia przez Zoom oraz korzystania przez Klienta z Usług w zakresie, w jakim Klient jest Firmą lub Administratorem, a Zoom przetwarza Dane osobowe Klienta na mocy ustawy CCPA lub innych obowiązujących, Stanowych przepisów o ochronie danych.

1. Definicje. Zgodnie z niniejszym Aneksem „Klient” oznacza Firmę subskrybującą lub Administratora subskrybującego Usługi Zoom. Terminy pisane dużą literą używane w niniejszej Sekcji A, ale nie zdefiniowane inaczej, przyjmują znaczenie przypisane im w Sekcji B(1) i C(1) poniżej.
2. Audyty i oceny.
   1. Zoom będzie przeprowadzać audyty zewnętrzne na potwierdzenie zgodności z normami ISO 27001 i SOC 2 Typ II w sposób następujący:
      1. Zoom będzie co roku weryfikować Kryteria Bezpieczeństwa, Dostępności i Prywatności w ramach audytu SOC-2.
      2. Audyty będą odbywać się według norm i zasad organu regulacyjnego lub akredytacyjnego w zakresie stosowanych norm lub ram kontroli.
      3. Audyty będą odbywać się pod nadzorem wykwalifikowanych, niezależnych, zewnętrznych audytorów ds. bezpieczeństwa, według uznania oraz na koszt Zoom.
      4. Na zakończenie każdego audytu zostanie wygenerowany raport dla Klienta („Raport z Audytu Zoom”), który Zoom będzie co roku udostępniać Klientowi na jego żądanie. Raport z Audytu Zoom będzie zawierał Informacje Poufne Zoom.
3. Ograniczone otrzymywanie Informacji. Żadne postanowienie zawarte w niniejszym Aneksie nie wymaga ujawnienia przez Zoom: (a) żadnych danych ani informacji innych klientów Zoom czy stron trzecich; (b) żadnych wewnętrznych informacji księgowych ani finansowych; (c) żadnych tajemnic handlowych Zoom; ani (d) żadnych informacji, które według uzasadnionej opinii Zoom mogłyby: (i) zagrażać bezpieczeństwu sieci, systemów lub lokali Zoom; (ii) powodować naruszenie przez Zoom zobowiązań do zapewnienia bezpieczeństwa lub prywatności dowolnym stronom trzecim; ani (iii) żadnych informacji poszukiwanych z innych powodów niż te przedstawione w niniejszym Aneksie. Zanim Zoom przekaże Klientowi Raport z Audytu, Zoom może wymagać przyjęcia przez Klienta zasadnych warunków Zoom (lub warunków zewnętrznego audytora, lub oceniającego Zoom).
4. Usunięcie danych. (a) Zgodnie z wymogami Obowiązujących stanowych przepisów o ochronie danych osobowych w przypadku Klienta i na polecenie Klienta Zoom będzie usuwać lub zwracać Klientowi wszystkie Dane osobowe na koniec świadczenia Usług lub (b) na mocy ustawy CCPA nie będzie zatrzymywać, wykorzystywać ani ujawniać Danych osobowych po rozwiązaniu lub wygaśnięciu stosunku umownego Klienta z Zoom. Żadne postanowienie zawarte w niniejszej Sekcji A(4) (Usuwanie Danych) nie będzie wymagało od Zoom (i) usunięcia ani zwrócenia danych, które Zoom ma obowiązek zachować na mocy obowiązujących Przepisów ani (ii) zwrócenia Danych osobowych zamiast ich zniszczenia, o ile zwrot technicznie jest niemożliwy lub wiązałby się z poniesieniem przez Zoom znacznych obciążeń i/lub kosztów.

Sekcja B – KaliforniaNiniejszą Sekcję B Aneksu stosuje się w przypadku świadczenia przez Zoom oraz korzystania przez Klienta z Usług w zakresie, w jakim Klient jest Firmą lub Administratorem, a Zoom przetwarza Dane Osobowe na rzecz Klienta zgodnie z ustawą CCPA.

1. Definicje. Zgodnie z niniejszą Sekcją B Aneksu: (a) „CCPA” to skrót od kalifornijskiej ustawy o ochronie prywatności konsumentów (ang. California Consumer Privacy Act) z 2018, zmienionej kalifornijską ustawą o ochronie prywatności (ang. California Privacy Rights Act) z 2020; ponadto skrót odnosi się do wszelkich regulacji ogłoszonych na podstawie ustawy; (b) „Firma”, „Cel Biznesowy”, „Cel Komercyjny”, „Konsument”, „Przetwarzanie” „Sprzedaż”, „Usługodawca” i „Udostępnianie” przyjumują stosowne znaczenia nadane im w treści ustawy CCPA; oraz (c) „Dane osobowe” to „dane osobowe” według definicji podanej w ustawie CCPA, ale tylko w zakresie obejmującym zbieranie, udostępnianie, pozyskiwanie, otrzymywanie, wykorzystywanie, ujawnianie lub inne przetwarzanie przez Zoom danych osobowych w ramach Usług Zoom świadczonych na rzecz Klienta występującego jako Firma zgodnie z Umową.
2. Potwierdzenia i obowiązki. Zoom (a) potwierdza, że Klient ujawnia Dane osobowe wyłącznie w ograniczonym i określonym celu, jakim jest świadczenie Usług, zgodnie z opisem zawartym w Formularzu Zamówienia i zgodnie z celami określonymi w Umowie; (b) przestrzega obowiązków nakładanych na Usługodawców zgodnie z ustawą CCPA i zapewnia poziom ochrony prywatności Danych osobowych zgodny z poziomem wymaganym na mocy ustawy CCPA, w tym taki sam poziom ochrony prywatności, jaki należy zapewnić Firmom; (c) przyjmuje do wiadomości, że Klient może podejmować zasadne i stosowne kroki zgodne z Sekcją A(2) niniejszego Załącznika w celu zapewnienia wykorzystania Danych osobowych przez Zoom zgodnego z obowiązkami Klienta na mocy ustawy CCPA; (d) będzie niezwłocznie informował Klienta o wszelkich ustaleniach przez Zoom braku możliwości dalszego spełniania swoich zobowiązań na mocy ustawy CCPA; oraz (e) przyjmuje do wiadomości, że po otrzymaniu powiadomienia Klient może podjąć zasadne i stosowne kroki, aby powstrzymać i naprawić nieautoryzowane wykorzystanie Danych osobowych na mocy obowiązujących przepisów, poprzez żądanie przekazania przez Zoom uzasadnionej dokumentacji na potwierdzenie, że Zoom nie przechowuje ani nie wykorzystuje już Danych osobowych będących przedmiotem ważnego żądania usunięcia.
3. Ograniczenia. Zoom zobowiązuje się (a) nie sprzedawać ani nie udostępniać Danych osobowych; (b) nie zatrzymywać, nie wykorzystywać ani nie ujawniać żadnych Danych osobowych do celów innych niż te określone w Sekcji B(2)(a), powyżej, ani w inny sposób dozwolony na mocy CCPA, w tym nie zatrzymywać, nie wykorzystywać ani nie ujawniać Danych osobowych w Celu Komercyjnym innym niż podany(-e) cel(e) lub do obsługi innej Firmy; (c) nie zatrzymywać, nie wykorzystywać ani nie ujawniać Danych osobowych w przypadkach wykraczających poza bezpośredni stosunek biznesowy Zoom i Klienta, wyłączając zakres dozwolony na mocy ustawy CCPA; ani (d) nie łączyć Danych osobowych otrzymanych zgodnie z Umową zawierającą Dane osobowe innej strony ani nie wykorzystywać ich na potrzeby własnych interakcji Zoom z Konsumentem, którego Dane osobowe dotyczą, wyłączając zakres, w jakim Usługodawca ma takie prawo zgodnie z ustawą CCPA. Zoom niniejszym oświadcza, że rozumie swoje zobowiązania na mocy niniejszego Aneksu i że będzie je wypełniać.
4. Audyty, przeglądy i oceny. Klientowi przysługuje prawo, z zastrzeżeniem zasadnych wymogów i pisemnych umów wymaganych przez Zoom i zgodnych z ustawą CCPA, w tym na wyłączny koszt Klienta, do przeprowadzania audytów, przeglądów lub ocen Zoom nie częściej niż co 12 (dwanaście) miesięcy, na podstawie Sekcji A(2) (Audyty i oceny) powyżej.
5. Wnioski Konsumentów. Klient jest zobowiązany niezwłocznie powiadomić Zoom oraz przekazać wszelkie niezbędne informacje Zoom po otrzymaniu i weryfikacji wniosku Konsumenta, a Zoom ma obowiązek niezwłocznie podjąć działania i przekazać informacje, jakich Klient może zasadnie wymagać w zakresie Danych osobowych Konsumenta, celem pomocy Klientowi w spełnieniu wniosków osób fizycznych, tak aby mogły one korzystać ze swoich praw na mocy ustawy CCPA, w tym m.in. żądania do udzielenia dostępu, korekty, usunięcia, rezygnacji ze Sprzedaży lub Udostępnienia Danych osobowych, lub otrzymania informacji na temat Danych osobowych, które dotyczą tych osób. W przypadku otrzymania przez Zoom dowolnego wniosku bezpośrednio od Konsumenta(-ów) Klienta Zoom może (i) doradzić Konsumentowi bezpośredni kontakt z Klientem w sprawie rzeczonego żądania lub (ii) skontaktować się z Klientem w celu udzielenia bezpośredniej odpowiedzi Konsumentowi.

Sekcja C – Wirginia, Kolorado, Utah i inne stany. Niniejszą Sekcję C Aneksu stosuje się w przypadku świadczenia przez Zoom oraz korzystania przez Klienta z Usług w zakresie, w jakim Klient jest Administratorem Danych osobowych, a Zoom przetwarza Dane osobowe Klienta na mocy Obowiązujących stanowych przepisów o ochronie danych.

1. Definicje. Zgodnie z niniejszą Sekcją C Aneksu: (a) „Obowiązujące stanowe przepisy o ochronie danych” to (i) ustawa o prywatności stanu Kolorado (ang. Colorado Privacy Act) z 2021, ustawa o ochronie danych konsumentów stanu Wirginia (ang. Virginia Consumer Data Protection Act ) z 2021 lub ustawa o prywatności konsumentów stanu Utah (ang. Utah Consumer Privacy Act) z 2022, z późniejszymi zmianami, lub (ii) wszelkie inne Obowiązujące przepisy stanowe USA, które zostały uchwalone na potrzeby ochrony Danych osobowych, zgodnie z którymi Klient jest Administratorem, a Zoom Podmiotem przetwarzającym, przy czym warunki niniejszego Aneksu spełniają wymogi rzeczonych Przepisów stanowych; (b) „Administrator”, „Dane Osobowe”, „Przetwarzanie” i „Podmiot Przetwarzający” przyjmują znaczenia przypisane im w Obowiązujących stanowych przepisach o ochronie danych osobowych; oraz (c) „Instrukcje” przyjmują znaczenie określone poniżej.
2. Przetwarzanie danych osobowych: role, zakres i odpowiedzialność.
   1. Strony przyjmują do wiadomości następujące fakty: Klient jest Administratorem Danych osobowych Klienta. Zoom jest Podmiotem przetwarzającym Dane osobowe Klienta.
   2. Jako Administrator Klient zleca Zoom wykonywanie podanych czynności w charakterze Podmiotu przetwarzającego na rzecz Klienta jedynie w niezbędnym i współmiernym zakresie (łącznie „Instrukcje”):
      1. Świadczenie oraz aktualizacja Usług na podstawie udzielonej licencji, konfiguracji i sposobu użytkowania przez Klienta oraz jego użytkowników, wliczając w to korzystanie przez Klienta z ustawień Zoom, kontrolę administratora lub inne funkcje Usług.
      2. Zabezpieczenie i monitorowanie Usług w czasie rzeczywistym.
      3. Rozwiązywanie problemów, naprawa błędów.
      4. Zapewnienie wsparcia na wniosek Klienta, w tym wykorzystanie wiedzy uzyskanej na podstawie poszczególnych wniosków o udzielenie pomocy klientowi z korzyścią dla wszystkich klientów Zoom, ale tylko w zakresie, w jakim rzeczona wiedza została zanonimizowana.
      5. Przetwarzanie Danych osobowych Klienta w sposób zgodny z Umową (wliczając w to niniejszy Aneks oraz Załącznik A do Umowy) oraz innymi udokumentowanymi instrukcjami, które Klient przekazuje, a Zoom przyjmuje jako instrukcje.
   3. Zoom będzie przetwarzać Dane osobowe Klienta tylko według Instrukcji Klienta w zakresie, w jakim Zoom występuje w charakterze Podmiotu przetwarzającego Dane osobowe Klienta. Klient zapewni zgodność swoich Instrukcji wydawanych Zoom ze wszystkimi Przepisami, zasadami i regulacjami obowiązującymi w zakresie Danych osobowych Klienta oraz brak naruszenia przez Zoom Obowiązujących stanowych praw ochrony danych w ramach Przetwarzania Danych osobowych Klienta według Instrukcji Klienta. Klient ponosi wyłączną odpowiedzialność za dokładność, jakość i legalność (i) Danych osobowych Klienta przekazywanych Zoom przez Klienta lub na jego rzecz; (ii) sposobu uzyskania takich Danych osobowych Klienta przez Klienta; oraz (iii) Instrukcji przekazywanych Zoom w zakresie przetwarzania Danych osobowych Klienta. Klient nie może dostarczać ani udostępniać Zoom żadnych Danych osobowych Klienta w sposób naruszający Umowę lub postanowienia niniejszego Aneksu.
   4. Klient upoważnia Zoom do skanowania i zgłaszania Danych osobowych w ograniczonych okolicznościach (np. na potrzeby wykrywania i zgłaszania materiałów związanych z seksualnym wykorzystywaniem dzieci; przestrzegania innych obowiązujących przepisów; zapewnienia zgodności z Wytycznymi dopuszczalnego użytkowania Zoom).
3. Osoby upoważnione. Zoom dopilnuje, aby wszystkie osoby uprawnione do Przetwarzania Danych osobowych Klienta wiedziały o poufnym charakterze Danych osobowych Klienta oraz aby zostały zobowiązane do zachowania poufności rzeczonych danych.
4. Podwykonawcy przetwarzający dane. W zakresie roli Zoom jako Podmiotu przetwarzającego Klient udziela ogólnego upoważnienia Zoom do zatrudniania podwykonawców przetwarzających dane zgodnie z niniejszą Sekcją C(4).
   1. Klient zgadza na korzystanie przez Zoom z usług dostawców podanych na stronie https://explore.zoom.us/pl/subprocessors/ w zakresie Przetwarzania Danych osobowych Klienta.
   2. Zoom może zwalniać, zastępować lub wyznaczać dodatkowych dostawców. O ile Klient subskrybuje powiadomienia ze strony https://explore.zoom.us/pl/subprocessors/, Zoom będzie informować Klienta o wszelkich zmianach dostawców. O ile jest to wymagane na mocy Obowiązujących stanowych przepisów o ochronie danych, Zoom umożliwi także Klientowi zgłaszanie sprzeciwu wobec zatrudnienia określonych dostawców zgodnie z treścią Sekcji C(4)(d) i C(4)(e) niniejszego Aneksu.
   3. W nagłych przypadkach związanych z dostępnością lub bezpieczeństwem Usług Zoom nie ma obowiązku uprzedniego powiadamiania Klienta o zwolnieniu, zastąpieniu lub wyznaczeniu podwykonawców; jednakże Zoom powiadomi Klienta w ciągu 7 (siedmiu) dni roboczych od zmiany podwykonawcy.
   4. W każdym razie Klient jest uprawniony do wyrażenia pisemnego sprzeciwu w kwestii takiego zatrudnienia podwykonawcy w ciągu 15 (piętnastu) dni roboczych od otrzymania od Zoom rzeczonego powiadomienia.
   5. W przypadku zgłoszenia przez Klienta sprzeciwu wobec zatrudnienia nowego podwykonawcy Zoom przysługuje prawo do rozwiązania tej kwestii w jeden z podanych sposobów (według uznania Zoom):
      1. Zoom może anulować plany skorzystania z usług podwykonawcy w zakresie dotyczącym Danych osobowych Klienta.
      2. Zoom może podjąć kroki naprawcze, o zastosowanie których wnioskuje Klient (rozwiązując w ten sposób kwestię sprzeciwu Klienta), i zacząć korzystać z usług podwykonawcy w zakresie dotyczącym Danych osobowych Klienta.
      3. Zoom może przerwać świadczenie lub Klient może zgodzić się na niekorzystanie (czasowe lub stałe) z określonego aspektu Usługi, przy czym korzystanie z niego wiązałoby się z korzystaniem z usług podwykonawcy, którego dotyczy sprzeciw, w zakresie dotyczącym Danych osobowych Klienta. Zoom przedstawi Klientowi pisemny opis komercyjnie uzasadnionych opcji alternatywnych, o ile są dostępne, w zakresie takiego zatrudnienia, w tym m.in. opcję modyfikacji Usług. Jeśli Zoom uzna, że nie jest w stanie zapewnić takich opcji (rozwiązań) alternatywnych lub gdy Klient nie wyrazi zgody na ich zastosowanie, Zoom i Klient mogą rozwiązać Umowę, z uwzględnieniem niniejszego Aneksu, za uprzednim 60(sześćdziesięcio)-dniowym powiadomieniem na piśmie. Wypowiedzenie nie zwalnia Klienta z uiszczenia opłat lub należności zgodnych z Umową na rzecz Zoom z tytułu Usług świadczonych do dnia wejścia w życie wypowiedzenia.
      4. W przypadku braku sprzeciwu Klienta wobec zatrudnienia nowego podwykonawcy w ciągu 15 (piętnastu) dni roboczych od powiadomienia przez Zoom uznaje się, że Klient uznaje nowego podwykonawcę.
   6. Zoom będzie korzystać z usług wszelkich podwykonawców przetwarzających Dane osobowe Klienta wyłącznie na podstawie pisemnej umowy i zobowiąże ich do przestrzegania wszelkich zobowiązań ciążących na Zoom w zakresie rzeczonych Danych osobowych. W przypadku braku wypełniania przez podwykonawców swoich obowiązków dotyczących ochrony danych osobowych Zoom odpowiada wobec Klienta za wypełnianie obowiązków przez podwykonawców w takim samym zakresie, w jakim odpowiedzialność spoczywałaby na Zoom w zakresie takich działań lub ich braku, zgodnie z niniejszym Aneksem.
5. Bezpieczeństwo informacji. Biorąc pod uwagę kontekst Przetwarzania, Zoom ma obowiązek utrzymywania odpowiednich środków technicznych i organizacyjnych w zakresie dotyczącym Danych osobowych Klienta, na potrzeby zapewnienia poziomu bezpieczeństwa stosownego do ryzyka, według postanowień niniejszego Aneksu i innych, wyraźnych postanowień zawartych w Umowie.
6. Informacje na temat zgodności. Na uzasadniony wniosek Klienta Zoom udostępni Klientowi uzasadnione informacje, spójne i zgodne z obowiązującymi Przepisami, które to informacje znajdują się w posiadaniu Zoom i które są niezbędne do wykazania, że Zoom przestrzega zobowiązań wynikających z niniejszego Aneksu.