Угода про обробку даних

Набуває чинності 26 листопада 2025 року

Відповідно до вимог Регламенту ЄС 2016/679, затвердженого Європейським парламентом і Радою ЄС 27 квітня 2016 року, про захист фізичних осіб під час опрацювання персональних даних і про вільний обмін такими даними, який скасував дію Директиви 95/46/ЄС (далі — GDPR), а також законів про захист даних, що діють у Сполученому Королівстві Великої Британії і Північної Ірландії, компанія ESET (далі — Оператор) і Користувач (далі — Контролер) вступають у договірні відносини з метою визначити умови опрацювання персональних даних і спосіб їх захисту, а також обумовити інші права й обов’язки обох сторін щодо опрацювання персональних даних суб’єктів даних від імені Контролера під час виконання положень Умов як основного договору.

1. Персональні дані Щоб надавати Послуги відповідно до Умов, Оператору може знадобитись опрацьовувати інформацію, що стосується ідентифікованої або ідентифіковної фізичної особи (далі — Персональні дані), від імені Контролера.
2. Уповноваження. Контролер уповноважує Оператора обробляти Персональні дані, зокрема згідно з такими інструкціями:
   1. «Мета обробки» означає надання замовлених Послуг, як визначено в Додатках відповідно до Умов.
   2. «Період обробки» означає період, протягом якого надаються Послуги.
   3. Термін "обсяг і категорії Персональних даних" включає будь-які Персональні дані, які надав або зробив доступними Контролер під час надання Послуг, зокрема будь-які Персональні дані, надані в запитах на Послуги чи в процесі розгляду будь-яких запитів на Послуги, або будь-які Персональні дані, які можуть бути доступними або доступні Оператору, якщо Контролер надав тимчасовий чи постійний доступ до своїх Продуктів або пристроїв під час надання Послуг.
   4. "Суб’єкт даних" означає будь-яких фізичних осіб, які є авторизованими користувачами пристроїв Контролера та/або співробітниками чи підрядниками Контролера, і, якщо доречно, його афілійованих осіб, а також будь-яких осіб, чиї дані Контролер може надати або зробити доступними Обробнику під час надання Послуг.
   5. "Операції з опрацювання" означають будь-яку операцію, необхідну для опрацювання даних.
   6. «Письмові інструкції» – інструкції щодо обробки Персональних даних, описані в цих Умовах, Додатках до них, документації до Послуг або в запитах на надання Послуг.
3. Обов’язки Оператора. Оператор зобов’язаний дотримуватися наведених нижче вимог.
   1. Опрацьовувати Персональні дані з метою надання Послуг відповідно до Умов і лише на підставі документально закріплених Інструкцій, зокрема щодо передачі Персональних даних до третьої країни, якщо тільки це не вимагається законодавством ЄС, держави — члена ЄС або Великої Британії; у таких випадках Оператор має повідомити Контролера про цю юридичну вимогу перед опрацюванням, якщо закон не забороняє подібну інформацію з важливих підстав, що становлять суспільний інтерес.
   2. Надати вказівки особам, уповноваженим обробляти Персональні дані (далі – «Уповноважені особи»), щодо їхніх прав і обов’язків відповідно до закону GDPR й відповідальності в разі порушення обов’язків, а також забезпечити, щоб Уповноважені особи, які вповноважені обробляти Персональні дані, взяли на себе зобов’язання зберігати конфіденційність і дотримуватися задокументованих інструкцій.
   3. Уживати всіх заходів, пов’язаних із безпекою опрацювання, згідно зі Статтею 32 GDPR, беручи до уваги наявний стан речей, витрати на впровадження, а також характер, обсяг, контекст і цілі опрацювання, ризик різної ймовірності й серйозності для прав і свобод фізичних осіб, щоб гарантувати під час опрацювання Персональних даних Контролера рівень безпеки, який відповідає ризику.
   4. Зважаючи на характер опрацювання, допомагати Контролеру відповідними технічними й організаційними заходами, наскільки це можливо, виконувати обов’язок Контролера відповідати на запити щодо реалізації прав Суб’єкта даних, викладених у Главі III GDPR.
   5. За запитом надавати Контролеру обґрунтовану допомогу, щоб він міг виконувати зобов’язання за статтями 32–36 GDPR, беручи до уваги характер опрацювання й інформацію, доступну Оператору. Оператор повинен повідомити Контролера про будь-яке порушення, що стосується обробки або безпеки персональних даних, негайно після виявлення. Оператор зобов’язаний належним чином сприяти дослідженню й усуненню такого порушення та вживати розумних заходів для обмеження подальших негативних наслідків.
   6. За вибором Контролера видаляти або повертати всі Персональні дані, опрацьовані від імені Контролера, протягом 30 (тридцяти) робочих днів після закінчення надання Послуг, пов’язаних з опрацюванням, а також видаляти наявні копії, якщо законодавство ЄС або країни — члена ЄС не вимагає зберігання цих Персональних даних. Контролер зобов’язується повідомити Оператора про своє рішення протягом десяти (10) днів після закінчення Періоду обробки. Це положення не впливає на право Оператора зберігати Персональні дані в необхідному обсязі для архівних цілей відповідно до спеціального законодавства або з метою встановлення та реалізації правових претензій чи захисту від них.
   7. Вести актуальний реєстр усіх категорій опрацювання, які він здійснював від імені Контролера.
   8. Надавати Контролеру всю інформацію, необхідну для демонстрації відповідності положенням Умов, їх Додатків і документації до Послуг, а також, якщо це вкрай необхідно, дозволяти проводити аудити Контролеру або іншому аудитору, уповноваженому Контролером, у зв’язку з опрацюванням, проведеним у межах цієї Угоди. Якщо Контролер проводитиме перевірку або аудит процесу обробки Персональних даних, Контролер зобов’язаний повідомити про це Оператора в письмовій формі принаймні за десять (10) днів до запланованої перевірки або аудиту.
4. Залучення стороннього оператора. Зазвичай Оператор має право залучати іншого оператора (далі — Субоператор) для виконання конкретних дій з опрацювання відповідно до Умов, переважно цієї Угоди й документації до Послуг. Оператор гарантує, що будь-який такий Субоператор буде зобов’язаний дотримуватися тих самих вимог, викладених у цій Угоді. Навіть у такому разі Оператор залишається повністю відповідальним перед Контролером за опрацювання будь-яких Персональних даних Субоператором. З метою надання Послуг Оператор залучає Дистриб’ютора як свого Субоператора. Оператор зобов’язаний інформувати Контролера про будь-які заплановані зміни, що стосуються додавання або заміни інших Субоператорів, у такий спосіб надаючи Контролеру можливість заперечити проти таких змін. Будь-які заперечення щодо нового Субоператора мають бути отримані протягом семи (7) робочих днів після сповіщення, інакше вважатиметься, що Контролер схвалив нового Субоператора. Якщо Контролер обґрунтовано заперечує проти нового Субоператора, і заперечення не можна задовольнити протягом обґрунтованого періоду часу, Контролер може розірвати цю Угоду без штрафних санкцій після письмового повідомлення, надісланого Оператору за 30 (тридцять) днів. Якщо заперечення Контролера залишається невирішеним протягом 30 (тридцяти) днів після його виникнення, а повідомлення про розірвання Угоди не було отримано, вважається, що Контролер схвалив нового Субоператора.
5. Територія, на якій здійснюється обробка. Оператор має докладати всіх зусиль, щоб опрацювання відбувалося в Європейській економічній зоні або країні, визначеній як безпечна за рішенням Європейської комісії, на підставі рішення Контролера. Стандартні договірні положення (доступні на сторінці Стандартні договірні положення | Послуги ESET | Онлайн-довідка ESET) мають застосовуватися в разі передачі й опрацювання Персональних даних за межами Європейської економічної зони чи країни, визнаної безпечною згідно з рішенням Європейської комісії.
6. Безпека. Оператор отримав сертифікат ISO 27001 і використовує інфраструктуру ISO 27001, щоб упровадити багатошарову стратегію захисту для засобів безпеки на рівні мережі, операційних систем, баз даних, додатків, персоналу й операційних процесів. Відповідність нормативним вимогам і умовам Угоди регулярно оцінюється й перевіряється, як і інші елементи інфраструктури й процеси Оператора. Оператор уживає необхідних заходів для їх дотримання на постійній основі. Оператор організував засоби безпеки даних за допомогою ISMS на основі ISO 27001. Документація з безпеки охоплює в основному політики щодо захисту інформації, фізичної безпеки та безпеки обладнання, запобігання порушенням, усунення витоків даних й порушень безпеки тощо.
7. Технічні й організаційні заходи. Оператор захищає Персональні дані від випадкового та незаконного пошкодження та знищення, випадкової втрати, зміни, несанкціонованого доступу й розголошення. З цією метою Оператор вживає відповідних технічних і організаційних заходів, які відповідають режиму обробки й ризику, який становить обробка для прав Суб’єктів даних відповідно до вимог GDPR. Докладний опис технічних і організаційних заходів наведено в документації з безпеки для відповідного продукту.
8. Контактна інформація Оператора. Усі сповіщення, запити, претензії й інші повідомлення щодо захисту персональних даних надсилаються на адресу ESET, spol. s.r.o., до уваги: Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk.