Data Processing Agreement
Відповідно до вимог Регламенту ЄС 2016/679, затвердженого Європейським парламентом і Радою ЄС 27 квітня 2016 року, про захист фізичних осіб під час обробки персональних даних і про вільний обмін такими даними, який скасував дію Директиви 95/46/ЄС (далі — "GDPR"), Постачальник (далі — "Оператор") і Ви (далі сканувати — "Контролер") вступаєте в договірні відносини з метою визначити умови обробки персональних даних, спосіб їх захисту, а також обумовити інші права й обов’язки обох сторін під час обробки персональних даних третіх сторін від імені Контролера під час виконання умов цієї Угоди, яка є основним договором.
1. Обробка персональних даних. До послуг, що надаються відповідно до цих Умов, входить обробка даних, які ідентифікують фізичну особу прямо чи опосередковано. Ці дані вказано в документі Політика конфіденційності (далі — "Персональні дані").
2. Уповноваження. Контролер уповноважує Оператора обробляти Персональні дані, зокрема згідно з такими інструкціями:
(i) "Мета обробки" — надання послуг відповідно до Умов цієї Угоди. Оператору дозволяється обробляти лише ті Персональні дані, які пов’язані з наданням послуг, запитаних Контролером, і лише від імені Контролера. На обробку всіх даних, які збираються в інших цілях, не розповсюджуються договірні відносини між Контролером і Оператором.
(ii) "Період обробки" — час між початком співпраці за цією Угодою та припиненням надання послуг;
(iii) Обсяг і категорії Персональних даних. Служби призначені лише для обробки загальних персональних даних. Однак Контролер несе повну відповідальність за визначення обсягу персональних даних.
(iv) "Суб’єкт даних" — фізична особа, яка є вповноваженим користувачем пристроїв Контролера;
(v) "Операції з обробки" — усі процеси, необхідні для обробки даних;
(vi) "Письмові вказівки" — інструкції в цій Угоді, Додатках, Політиці конфіденційності та документації з обслуговування. Контролер відповідає за правову допустимість обробки Персональних даних Оператором з огляду на відповідні норми законодавства про захист даних.
3. Обов’язки Оператора. Оператор зобов’язаний:
(i) Обробляти Персональні дані виключно на підставі задокументованих інструкцій і виключно в цілях, визначених в Умовах, Додатках до них, Політиці конфіденційності й документації з обслуговування.
(ii) Надати вказівки особам, уповноваженим обробляти Персональні дані (далі — "Уповноважені особи"), щодо їхніх прав і обов’язків відповідно до закону GDPR й відповідальності в разі його порушення, а також забезпечити, щоб Уповноважені особи взяли на себе зобов’язання зберігати конфіденційність і дотримуватися задокументованих інструкцій.
(iii) Вживати заходів, які описані в Умовах, Додатках до них, Політиці конфіденційності й документації з обслуговування.
(iv) Допомагати Контролеру надавати відповіді на запити від Суб’єктів даних щодо їхніх прав. Обробник не може виправляти, видаляти або обмежувати обробку Персональних даних без відповідних інструкцій від Контролера. Усі запити від Суб’єкта даних щодо Персональних даних, які обробляються від імені Контролера, мають негайно надсилатися Контролеру.
(v) Допомагати Контролеру повідомляти про порушення захисту Персональних даних наглядовим органам і Суб’єкту даних. Оператор повинен повідомити Контролера про будь-яке порушення, що стосується обробки або безпеки персональних даних, негайно після виявлення. Оператор зобов’язаний належним чином сприяти дослідженню й усуненню такого порушення та вживати розумних заходів для обмеження подальших негативних наслідків.
(vi) На розсуд Контролера видаляти всі Персональні дані або повертати їх Контролеру після завершення періоду обробки. Контролер зобов’язується повідомити Оператора про своє рішення протягом десяти (10) днів після закінчення Періоду обробки. Це положення не впливає на право Оператора зберігати Персональні дані в необхідному обсязі для архівних цілей з міркувань суспільного інтересу, для наукових досліджень, з метою збору статистики або для подання, виконання й захисту позовних заяв.
(vii) Вести актуальний реєстр усіх категорій обробки, які він здійснював від імені Контролера,
(viii) Надавати всю необхідну інформацію, що засвідчує дотримання положень Умов, Додатків до них, Політики конфіденційності й документації з обслуговування, доступних для Контролера. Якщо Контролер проводитиме перевірку або аудит процесу обробки Персональних даних, Контролер зобов’язаний повідомити про це Оператора в письмовій формі принаймні за десять (30) днів до запланованої перевірки або аудиту.
4. Залучення стороннього оператора. Оператор має право залучати сторонніх операторів для певних процедур обробки, зокрема для надання хмарного сховища даних і хмарної інфраструктури з метою виконання положень цих Умов, Додатків до них, Політики конфіденційності й документації з обслуговування. Наразі Microsoft надає хмарне сховище даних і хмарну інфраструктуру в складі Azure Cloud Service. Але навіть у цьому разі Оператор лишається єдиною контактною особою та стороною, відповідальною за виконання вимог Угоди. Цим Оператор зобов’язується інформувати Контролера про нових або заміну старих операторів, щоб такі зміни можна було оскаржити.
5. Територія, на якій здійснюється обробка. Оператор докладатиме всіх зусиль, щоб обробка відбувалася в Європейській економічній зоні або країні, визначеній як безпечна за рішенням Європейської комісії, на підставі рішення Контролера. Стандартні договірні положення застосовуються в разі передачі й обробки даних за межами Європейської економічної зони або країни, визначеної як безпечна згідно з рішенням Європейської комісії за запитом Оператора.
6. Безпека. Оператор отримав сертифікат ISO 27001:2013 і використовує інфраструктуру ISO 27001, щоб упровадити багатошарову стратегію захисту для засобів безпеки на рівні мережі, операційних систем, баз даних, додатків, персоналу й операційних процесів. Відповідність нормативним вимогам і умовам Угоди регулярно оцінюється та перевіряється, як й інші елементи інфраструктури й операції Оператора. Оператор уживає необхідних кроків для їх дотримання на постійній основі. Оператор організував засоби безпеки даних за допомогою ISMS на основі ISO 27001. Документація з безпеки охоплює в основному політики щодо захисту інформації, фізичної безпеки та безпеки обладнання, запобігання порушенням, усунення витоків даних й порушень безпеки тощо.
7. Технічні й організаційні заходи. Оператор захищає Персональні дані від випадкового та незаконного пошкодження та знищення, випадкової втрати, зміни, несанкціонованого доступу й розголошення. З цією метою Оператор вживає відповідних технічних і організаційних заходів, які відповідають режиму обробки й ризику, який становить обробка для прав Суб’єктів даних відповідно до вимог GDPR. Детальний опис технічних і організаційних заходів викладено в Політиці безпеки.
8. Контактна інформація Оператора. Усі сповіщення, запити, претензії й інші повідомлення щодо захисту персональних даних надсилаються на адресу ESET, spol. s.r.o., до уваги: Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk.