Najczęściej zadawane pytania
Czym jest umowa o przetwarzaniu danych?
Umowa o przetwarzaniu danych (ang. Data Processing Agreement lub „DPA”) to umowa zawierana pomiędzy administratorem danych a podmiotem przetwarzającym dane, która określa role i obowiązki stron podczas przetwarzania danych osobowych. Umowa o przetwarzaniu danych musi spełniać szereg wymogów, aby była zgodna z obowiązującymi przepisami o ochronie danych, w tym z ogólnym rozporządzeniem UE o ochronie danych („RODO”).
Kim jest administrator danych? Kim jest Podmiot przetwarzający dane?
Administrator danych określa cele i sposoby przetwarzania danych osobowych. Podmiot przetwarzający przetwarza dane osobowe w imieniu Administratora i wyłącznie na udokumentowane polecenie Administratora.
- Przykładowo klienci IDEXX zazwyczaj pełnią rolę Administratora danych w odniesieniu do wszelkich danych osobowych, które przekazują IDEXX w związku z korzystaniem z produktów i usług diagnostycznych IDEXX oraz rozwiązań w zakresie oprogramowania.
- Z kolei IDEXX pełni również niezależnie rolę Administratora danych w odniesieniu do danych osobowych przekazanych nam w związku ze sprzedażą i dostarczaniem naszych produktów i usług diagnostycznych, ale działamy jako Podmiot przetwarzający dane w przypadku niektórych rozwiązań programowych.
Zobacz „Jakie produkty i usługi IDEXX są objęte umową DPA IDEXX?” oraz „Zamawiam produkty diagnostyczne i usługi laboratoryjne od IDEXX. Dlaczego moja relacja z IDEXX nie wymaga umowy przetwarzaniu danych?”. W niektórych krajach przepisy o ochronie danych używają innej terminologii niż „Administrator” i „Podmiot przetwarzający” w celu opisania tych samych stanowisk przetwarzania. W krajach, w których stosowana jest inna terminologia, należy zapoznać się z lokalnymi przepisami o ochronie danych objętych DPA .
Które produkty i usługi IDEXX są objęte DPA IDEXX?
IDEXX pełni rolę Podmiotu przetwarzającego, a nasza umowa DPA obejmuje podejmowane przez nas działania związane z przetwarzaniem następujących rozwiązań programowych: Animana, ezyVet, Vet Radar, SmartFlow, VetConnect PLUS, SmartService. Więcej informacji zawarto w Załącznikach do umów DPA .
Jakie przepisy dotyczące ochrony danych obowiązują w poszczególnych krajach?
Oprócz ogólnego rozporządzenia UE o ochronie danych w kilku innych krajach obowiązują podobne przepisy dotyczące prywatności, które wymagają zawarcia umowy o ochronie danych. Informacje o krajach objętych naszym DPA zawarte są w sekcji Lokalne przepisy o ochronie danych objęte DPA .
Jeśli przebywam w kraju, w którym wymagana jest umowa DPA i korzystam z produktu lub usługi IDEXX objętej umową DPA, w jaki sposób mogę zawrzeć umowę DPA z IDEXX?
Nasza umowa o przetwarzaniu danych jest włączona do warunków świadczenia usług IDEXX dla danego produktu lub usługi i stanowi ich część. Zapoznaj się z naszymi warunkami świadczenia usług dla danych produktów i usług, a także z informacjami związanymi z DPA dostępnymi na stronie Regulaminu IDEXX .
Jakie są standardowe klauzule umowne?
Standardowe klauzule umowne („SCC”) to mechanizm przekazywania danych wydany przez Komisję Europejską, który jest wykorzystywany do przekazywania danych osobowych z Europejskiego Obszaru Gospodarczego (EOG) i Szwajcarii do krajów, które według UE nie mają odpowiednich przepisów o ochronie danych, w tym do Stanów Zjednoczonych Ameryki ("Kraje niebędące odpowiednimi krajami"). Zaktualizowane SCC opublikowane w 2021 r. są włączone do naszej umowy o przetwarzaniu danych i stanowią część umowy z IDEXX dotyczącej produktów i usług objętych naszą umową DPA. Przekazywanie danych osobowych z Wielkiej Brytanii do krajów niebędących odpowiednimi krajami może odbywać się z wykorzystaniem unijnych SCC, z zastrzeżeniem Aneksu brytyjskiego. Ponadto, w przypadku gdy inne kraje wymagają umownego mechanizmu przekazywania danych do krajów niebędących odpowiednimi krajami, ale nie przyjęły własnych klauzul, polegamy na standardowych klauzulach umownych UE. Szczegółowe informacje na temat Aneksu brytyjskiego i innych krajów, w których zastosowanie mają Standardowe klauzule umowne UE, znajduje się w sekcji Lokalne przepisy o ochronie danych objęte unijnymi SCC .
Kim jest podwykonawca przetwarzania? Czy IDEXX korzysta z usług podwykonawców przetwarzania?
Gdy IDEXX angażuje zewnętrznych dostawców usług jako podmiot przetwarzający dane osobowe naszych klientów, obowiązujące przepisy dotyczące prywatności nazywają te osoby trzecie podwykonawcami przetwarzania. Podwykonawcy przetwarzania to dostawcy usług, którzy mają lub potencjalnie będą mieli dostęp do danych osobowych przetwarzanych przez IDEXX w imieniu i na rzecz klientów IDEXX. Przed zaangażowaniem podwykonawców przetwarzania przeprowadzamy analizę due diligence, w tym ocenę bezpieczeństwa takich podwykonawców przetwarzania. Nasi podwykonawcy przetwarzania podlegają warunkom umowy, które zapewniają, że dane osobowe są przetwarzane wyłącznie w celu świadczenia usług na rzecz IDEXX i zgodnie ze zobowiązaniem IDEXX wobec naszych klientów i obowiązującymi przepisami o ochronie danych. Lista naszych podwykonawców znajduje się tutaj .
Zamawiam produkty diagnostyczne i usługi laboratoryjne od IDEXX. Dlaczego moja relacja z IDEXX nie wymaga umowy DPA?
Nie każdy rodzaj relacji z klientem wymaga umowy DPA zgodnie z obowiązującymi przepisami o ochronie prywatności. Administrator danych określa cel i sposoby przetwarzania danych osobowych. Gdy IDEXX pełni rolę Administratora, umowa o przetwarzaniu danych nie jest wymagana. Poniżej przedstawiono przykłady sytuacji, w których IDEXX kwalifikuje się jako Administrator:
- Gdy IDEXX przetwarza dane osobowe w związku z dostarczaniem produktów diagnostycznych, określamy, jakie dane są potrzebne do realizacji zamówienia, a zatem jesteśmy Administratorem.
- W kontekście świadczenia usług referencyjnych badań laboratoryjnych IDEXX ma w praktyce (istotny) wpływ na cele i podstawowe sposoby przetwarzania danych osobowych podczas przygotowywania, przeprowadzania i generowania wyników badań. Gdy klienci naszego laboratorium referencyjnego składają zamówienie – które może zawierać dane osobowe – IDEXX po prostu przetwarza te dane osobowe w celu wykonania żądanego testu laboratoryjnego i dostarczenia wyniku.
Jako Administrator, na mocy RODO jesteśmy zobowiązani spełnienić określone wymogi informacyjne (art. 13) w celu ujawnienia, między innymi, celów naszego przetwarzania, naszego uzasadnionego interesu w przetwarzaniu, praw osób, których dane dotyczą, oraz naszej podstawy stosowności do transgranicznego przekazywania danych. Spełniamy te wymogi informacyjne dzięki naszej Polityce prywatności .
Opracowaliśmy własny szablon DPA, o którego podpisanie prosimy naszych dostawców. Czy IDEXX zgodzi się na mój wzór DPA?
Zdajemy sobie sprawę, że niektórzy klienci opracowali własne Umowy o przetwarzaniu danych/Umowy o ochronie danych. W pełni rozumiemy, że klienci jako administratorzy danych mają obawy dotyczące wypełniania swoich obowiązków wynikających z obowiązujących przepisów o ochronie danych w zakresie przetwarzania ich danych. Aby pomóc w spełnieniu tego celu, IDEXX opracował własną standardową umowę DPA. Ponieważ musimy zapewnić zgodność z RODO w spójny i niezawodny sposób w całej bazie naszych klientów, nie jesteśmy w stanie uzgodnić różnych umów DPA z każdym z naszych klientów.