Data Processing Agreement
В соответствии с требованиями Регламента (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 года о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных, аннулирующих Директиву 95/46/EC (в дальнейшем именуемый «ОРЗД»), Поставщик (в дальнейшем именуемый «Оператор обработки») и Вы (в дальнейшем именуемый «Контролер») вступают в договорные отношения по обработке данных, чтобы определить условия обработки персональных данных, способ их защиты, а также определить другие права и обязанности обеих сторон при обработке персональных данных субъектов данных от имени Контролера в ходе выполнения Предмета настоящих Условий в качестве основного договора.
1. Обработка персональных данных. Услуги, предоставляемые в соответствии с настоящими Условиями, включают в себя обработку информации, относящейся к идентифицированному или идентифицируемому физическому лицу и указанной в политике конфиденциальности (далее — Персональные данные).
2. Авторизация. Контролер уполномочивает Оператора обработки обрабатывать Персональные данные, включая следующие инструкции:
(i) «Цель обработки» означает предоставление услуг в соответствии с настоящими Условиями. Оператор обработки имеет только право обрабатывать Персональные данные от имени Контролера в отношении предоставления услуг, запрошенных Контролером. Вся информация, собранная для дополнительных целей, обрабатывается вне договорных отношений между Контролером и Оператором обработки.
(ii) период обработки означает период от вступления в сотрудничество, в соответствии с настоящими Условиями, до прекращения предоставления услуг;
(iii) область и категории персональных данных должны включать общие персональные данные, исключая любые и все особые категории персональных данных;
(iv) «Субъект данных» означает физическое лицо в качестве авторизованного пользователя устройств Контроллера,
(v) операции обработки означают все без исключения операции, необходимые для цели обработки;
(vi) «Документированные инструкции» означают инструкции, описанные в настоящих Условиях, Приложениях к ним, Политике конфиденциальности и документации по обслуживанию. Контролер несет ответственность за юридическую допустимость обработки Персональных данных Оператором обработки в отношении соответствующих применимых положений законодательства о защите данных.
3. Обязанности Оператора обработки. Оператор обработки обязан:
(i) обрабатывать Персональные данные только на основании документированных инструкций и в целях, определенных в Условиях, Приложениях к ним, Политике конфиденциальности и документации по обслуживанию;
(ii) гарантировать, чтобы лица, уполномоченные обрабатывать Персональные данные, обязались соблюдать конфиденциальность и следовать документированным инструкциям;
(iii) выполнять меры, описанные в Условиях, Приложениях к ним, Политике конфиденциальности и документации по обслуживанию;
(iv) помогать Контролеру отвечать на запросы Субъектов данных, связанные с их правами. Оператор обработки не должен исправлять, удалять или ограничивать обработку Персональных данных без соответствующего указания от Контролера. Все запросы Субъектов данных, связанные с Персональными данными, обрабатываемыми от имени Контролера, должны без промедления перенаправляться Контролеру.
(v) содействовать Контролеру в уведомлении наблюдательного органа и Субъекта данных касательно утечки Персональных данных;
(vi) удалять или возвращать все Персональные данные Контролеру по окончании Периода обработки;
(vii) вести актуальный реестр всех категорий операций обработки, которые он выполнял от имени Контролера;
(viii) сделать доступной Контролеру всю информацию, необходимую для демонстрации соответствия в рамках настоящих Условий, Приложений к ним, Политики конфиденциальности и документации по обслуживанию.
4. Привлечение другого оператора обработки. Оператор обработки имеет право привлекать другого оператора обработки для выполнения определенных операций обработки, таких как предоставление облачного хранилища и инфраструктуры для службы, в соответствии с настоящими Условиями, Приложениями к нему, Политикой конфиденциальности и документацией по обслуживанию. В настоящее время корпорация Microsoft предоставляет облачное хранилище и инфраструктуру в рамках облачной службы Azure. Даже в этом случае Оператор обработки остается единственным контактным лицом и стороной, ответственной за соблюдение соответствия требованиям.
5. Территория обработки. Оператор обработки гарантирует, что обработка происходит в Европейском экономическом пространстве или в стране, обозначенной как безопасная по решению Европейской комиссии на основании решения Контролера. По запросу Контролера применяются стандартные договорные условия в случае передачи и обработки, осуществляемых за пределами Европейского экономического пространства или страны, обозначенной как безопасная по решению Европейской комиссии.
6. Безопасность. Оператор обработки сертифицирован по стандарту ISO 27001:2013 и использует платформу ISO 27001 для реализации многоуровневой стратегии защиты при применении мер безопасности на уровне сети, операционных систем, баз данных, приложений, персонала и операционных процессов. Соответствие нормативным и договорным требованиям регулярно оценивается и анализируется аналогично другой инфраструктуре и операцииам Оператора обработки, а также постоянно принимаются необходимые меры для соблюдения соответствия. Оператор обработки организовал защиту данных с помощью ISMS на основе ISO 27001. Документация по безопасности включает в себя в основном программные документы для обеспечения информационной безопасности, физической безопасности и защиты оборудования, управления инцидентами, обработки утечек данных, инцидентов безопасности и т. д.
7. Контактная информация Оператора обработки. Все уведомления, запросы, требования и другие сообщения, касающиеся защиты персональных данных, должны направляться в ESET, spol. s.r.o., на имя: Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk.