Data Processing Agreement
Відповідно до вимог Регламенту ЄС 2016/679, затвердженого Європейським парламентом і Радою ЄС 27 квітня 2016 року, про захист фізичних осіб під час обробки персональних даних і про вільний обмін такими даними, який скасував дію Директиви 95/46/ЄС (далі — "GDPR"), Постачальник (далі — "Оператор") і Ви (далі сканувати — "Контролер") вступаєте в договірні відносини з метою визначити умови обробки персональних даних, спосіб їх захисту, а також обумовити інші права й обов’язки обох сторін під час обробки персональних даних третіх сторін від імені Контролера під час виконання умов цієї Угоди, яка є основним договором.
1. Обробка персональних даних. До послуг, що надаються відповідно до цих Умов, входить обробка даних, які ідентифікують фізичну особу прямо чи опосередковано. Ці дані вказано в документі Політика конфіденційності (далі — "Персональні дані").
2. Уповноваження. Контролер уповноважує Оператора обробляти Персональні дані, зокрема згідно з такими інструкціями:
(i) "Мета обробки" — надання послуг відповідно до Умов цієї Угоди. Оператору дозволяється обробляти лише ті Персональні дані, які пов’язані з наданням послуг, запитаних Контролером, і лише від імені Контролера. На обробку всіх даних, які збираються в інших цілях, не розповсюджуються договірні відносини між Контролером і Оператором.
(ii) "Період обробки" — час між початком співпраці за цією Угодою та припиненням надання послуг;
(iii) "Обсяг і категорії Персональних даних" стосуються загальних особистих даних без урахування будь-яких спеціальних категорій персональних даних;
(iv) "Суб’єкт даних" — фізична особа, яка є вповноваженим користувачем пристроїв Контролера;
(v) "Операції з обробки" — усі процеси, необхідні для обробки даних;
(vi) "Письмові вказівки" — інструкції в цій Угоді, Додатках, Політиці конфіденційності та документації з обслуговування. Контролер відповідає за правову допустимість обробки Персональних даних Оператором з огляду на відповідні норми законодавства про захист даних.
3. Обов’язки Оператора. Оператор зобов’язаний:
(i) Обробляти Персональні дані виключно на підставі задокументованих інструкцій і виключно в цілях, визначених в Умовах, Додатках до них, Політиці конфіденційності й документації з обслуговування.
(ii) Переконуватися, що особи, відповідальні за обробку Персональних даних, неухильно дотримуються принципів збереження конфіденційності й задокументованих інструкцій.
(iii) Вживати заходів, які описані в Умовах, Додатках до них, Політиці конфіденційності й документації з обслуговування.
(iv) Допомагати Контролеру надавати відповіді на запити від Суб’єктів даних щодо їхніх прав. Обробник не може виправляти, видаляти або обмежувати обробку Персональних даних без відповідних інструкцій від Контролера. Усі запити від Суб’єкта даних щодо Персональних даних, які обробляються від імені Контролера, мають негайно надсилатися Контролеру.
(v) Допомагати Контролеру повідомляти про порушення захисту Персональних даних наглядовим органам і Суб’єкту даних.
(vi) Видаляти всі Персональні дані або повертати їх Контролеру після завершення періоду обробки.
(vii) Вести актуальний реєстр усіх категорій обробки, які він здійснював від імені Контролера,
(viii) Надавати всю необхідну інформацію, що засвідчує дотримання положень Умов, Додатків до них, Політики конфіденційності й документації з обслуговування, доступних для Контролера.
4. Залучення стороннього оператора. Оператор має право залучати сторонніх операторів для певних процедур обробки, зокрема для надання хмарного сховища даних і хмарної інфраструктури з метою виконання положень цих Умов, Додатків до них, Політики конфіденційності й документації з обслуговування. Наразі Microsoft надає хмарне сховище даних і хмарну інфраструктуру в складі Azure Cloud Service. Але навіть у цьому разі Оператор лишається єдиною контактною особою та стороною, відповідальною за виконання вимог Угоди.
5. Територія, на якій здійснюється обробка. Оператор докладатиме всіх зусиль, щоб обробка відбувалася в Європейській економічній зоні або країні, визначеній як безпечна за рішенням Європейської комісії, на підставі рішення Контролера. Стандартні договірні положення застосовуються в разі передачі й обробки даних за межами Європейської економічної зони або країни, визначеної як безпечна згідно з рішенням Європейської комісії за запитом Оператора.
6. Безпека. Оператор отримав сертифікат ISO 27001:2013 і використовує інфраструктуру ISO 27001, щоб упровадити багатошарову стратегію захисту для засобів безпеки на рівні мережі, операційних систем, баз даних, додатків, персоналу й операційних процесів. Відповідність нормативним вимогам і умовам Угоди регулярно оцінюється та перевіряється, як й інші елементи інфраструктури й операції Оператора. Оператор уживає необхідних кроків для їх дотримання на постійній основі. Оператор організував засоби безпеки даних за допомогою ISMS на основі ISO 27001. Документація з безпеки охоплює в основному політики щодо захисту інформації, фізичної безпеки та безпеки обладнання, запобігання порушенням, усунення витоків даних й порушень безпеки тощо.
7. Контактна інформація Оператора. Усі сповіщення, запити, претензії й інші повідомлення щодо захисту персональних даних надсилаються на адресу ESET, spol. s.r.o., до уваги: Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk.