Data Processing Agreement
Вступает в силу 29 сентябрь 2023 года | Ознакомьтесь с предыдущей версией соглашения об обработке данных | Сравнить изменения
В соответствии с требованиями Регламента (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 года о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных, аннулирующих Директиву 95/46/EC (в дальнейшем именуемый «ОРЗД»), Поставщик (в дальнейшем именуемый «Оператор обработки») и Вы (в дальнейшем именуемый «Контролер») вступают в договорные отношения по обработке данных, чтобы определить условия обработки персональных данных, способ их защиты, а также определить другие права и обязанности обеих сторон при обработке персональных данных субъектов данных от имени Контролера в ходе выполнения Предмета настоящих Условий в качестве основного договора.
1. Обработка персональных данных. Услуги, предоставляемые в соответствии с настоящими Условиями, включают в себя обработку информации, относящейся к идентифицированному или идентифицируемому физическому лицу и указанной в политике конфиденциальности (далее — Персональные данные).
2. Авторизация. Контролер уполномочивает Оператора обработки обрабатывать Персональные данные, включая следующие инструкции:
(i) «Цель обработки» означает предоставление услуг в соответствии с настоящими Условиями. Оператор обработки имеет только право обрабатывать Персональные данные от имени Контролера в отношении предоставления услуг, запрошенных Контролером. Вся информация, собранная для дополнительных целей, обрабатывается вне договорных отношений между Контролером и Оператором обработки.
(ii) период обработки означает период от вступления в сотрудничество, в соответствии с настоящими Условиями, до прекращения предоставления услуг;
(iii) Объем и категории Персональных данных. Услуги подразумевают обработку только персональных данных общего типа. Однако Контролер самостоятельно отвечает за определение объема персональных данных.
(iv) «Субъект данных» означает физическое лицо в качестве авторизованного пользователя устройств Контроллера,
(v) «Операции обработки» означают все без исключения операции, необходимые для обработки.
(vi) «Документированные инструкции» означают инструкции, описанные в настоящих Условиях, Приложениях к ним, Политике конфиденциальности и документации по обслуживанию. Контролер несет ответственность за юридическую допустимость обработки Персональных данных Оператором обработки в отношении соответствующих применимых положений законодательства о защите данных.
3. Обязанности Оператора обработки. Оператор обработки обязан:
(i) обрабатывать Персональные данные только на основании документированных инструкций и в целях, определенных в Условиях, Приложениях к ним, Политике конфиденциальности и документации по обслуживанию;
(ii) проинструктировать лиц, уполномоченных обрабатывать Персональные данные (далее — Уполномоченные лица), об их правах и обязанностях в соответствии с ОРЗД и об их ответственности в случае нарушения, а также обеспечить обязательство со стороны Уполномоченных лиц соблюдать конфиденциальность и следовать документированным инструкциям;
(iii) выполнять меры, описанные в Условиях, Приложениях к ним, Политике конфиденциальности и документации по обслуживанию;
(iv) помогать Контролеру отвечать на запросы Субъектов данных, связанные с их правами. Оператор обработки не должен исправлять, удалять или ограничивать обработку Персональных данных без соответствующего указания от Контролера. Все запросы Субъектов данных, связанные с Персональными данными, обрабатываемыми от имени Контролера, должны без промедления перенаправляться Контролеру.
(v) содействовать Контролеру в уведомлении наблюдательного органа и Субъекта данных касательно утечки Персональных данных; Оператор обработки должен уведомлять Контролера о любом нарушении в обработке Персональных данных или безопасности персональных данных незамедлительно после обнаружения. Оператор обработки должен в разумной мере принимать участие в расследовании и исправлении такого нарушения, а также принять разумные меры для ограничения дальнейших негативных последствий.
(vi) по усмотрению Контролера удалить или вернуть все Персональные данные Контролеру после окончания Периода обработки. Контролер обязуется проинформировать Оператора обработки о своем решении в течение десяти (10) дней после окончания Периода обработки. Это положение не влияет на право Оператора обработки хранить Персональные данные в необходимой степени в целях создания архивов в интересах общества, в статистических целях, а также в целях создания, осуществления или защиты юридических исков.
(vii) вести актуальный реестр всех категорий операций обработки, которые он выполнял от имени Контролера;
(viii) сделать доступной Контролеру всю информацию, необходимую для демонстрации соответствия в рамках настоящих Условий, Приложений к ним, Политики конфиденциальности и документации по обслуживанию. В случае необходимости аудита или контроля обработки Персональных данных со стороны Контролера Контролер обязан в письменном виде проинформировать Оператора обработки по крайней мере за тридцать (30) дней до запланированного аудита или контроля.
4. Привлечение другого оператора обработки. Оператор обработки имеет право привлекать другого оператора обработки для выполнения определенных операций обработки, таких как предоставление облачного хранилища и инфраструктуры для службы, в соответствии с настоящими Условиями, Приложениями к нему, Политикой конфиденциальности и документацией по обслуживанию. В настоящее время корпорация Microsoft предоставляет облачное хранилище и инфраструктуру в рамках облачной службы Azure. Даже в этом случае Оператор обработки остается единственным контактным лицом и стороной, ответственной за соблюдение соответствия требованиям. Настоящим Оператор обработки обязуется информировать Контролера о любых случаях добавления или замены другого оператора обработки, чтобы обеспечить возможность возразить против такого изменения.
5. Территория обработки. Оператор обработки гарантирует, что обработка происходит в Европейском экономическом пространстве или в стране, обозначенной как безопасная по решению Европейской комиссии на основании решения Контролера. По запросу Контролера применяются стандартные договорные условия в случае передачи и обработки, осуществляемых за пределами Европейского экономического пространства или страны, обозначенной как безопасная по решению Европейской комиссии.
6. Безопасность. Оператор обработки сертифицирован по стандарту ISO 27001:2013 и использует платформу ISO 27001 для реализации многоуровневой стратегии защиты при применении мер безопасности на уровне сети, операционных систем, баз данных, приложений, персонала и операционных процессов. Соответствие нормативным и договорным требованиям регулярно оценивается и анализируется аналогично другой инфраструктуре и операцииам Оператора обработки, а также постоянно принимаются необходимые меры для соблюдения соответствия. Оператор обработки организовал защиту данных с помощью ISMS на основе ISO 27001. Документация по безопасности включает в себя в основном программные документы для обеспечения информационной безопасности, физической безопасности и защиты оборудования, управления инцидентами, обработки утечек данных, инцидентов безопасности и т. д.
7. Технические и организационные меры. Оператор обработки должен защищать Персональные данные от случайного и незаконного повреждения и уничтожения, непреднамеренной утраты, несанкционированного доступа и раскрытия. Для этого Оператор обработки должен принять адекватные технические и организационные меры, соответствующие режиму обработки и риску, который несет обработка для прав Субъектов данных, в соответствии с требованиями ОРЗД. Подробное описание технических и организационных мер приведено в Политике безопасности.
8. Контактная информация Оператора обработки. Все уведомления, запросы, требования и другие сообщения, касающиеся защиты персональных данных, должны направляться в ESET, spol. s.r.o., на имя: Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk.