Տվյալների մշակման պայմանագիր
Ուժի մեջ է 2023 թ.-ի սեպտեմբերի 29-ից | Տե՛ս Տվյալների մշակման պայմանագրի նախորդ տարբերակը | Համեմատել փոփոխությունները
Համաձայն 2016 թվականի ապրիլի 27-ի Եվրախորհրդարանի և Խորհրդի (EU) 2016/679 կանոնակարգի «Անձնական տվյալների մշակման և այդ տվյալների ազատ տեղաշարժի առնչությամբ ֆիզիկական անձանց պաշտպանության մասին» պահանջների՝ չեղյալ համարելով 95/46/EC հրահանգը (այսուհետ՝ «GDPR»), Մատակարարը (այսուհետ՝ «Մշակող») և Դուք (այսուհետ՝ «Վերահսկիչ») կնքում եք տվյալների մշակման պայմանագրային հարաբերություններ՝ սահմանելու համար անձնական տվյալների մշակման պայմաններն ու դրույթները, դրանց պաշտպանության եղանակը, ինչպես նաև սահմանելու երկու կողմերի այլ իրավունքներ ու պարտականություններ՝ սույն Պայմանների առարկան իրականացնելու ընթացքում Վերահսկիչի անունից տվյալների սուբյեկտների անձնական տվյալների մշակման մասով՝ որպես հիմնական պայմանագիր:
1. Անձնական տվյալների մշակում։ Սույն Պայմաններին համապատասխան մատուցվող ծառայությունները ներառում են Գաղտնիության քաղաքականության մեջ թվարկված նույնականացված կամ նույնականացղող ֆիզիկական անձի վերաբերյալ տեղեկատվության մշակումը (այսուհետ՝ «Անձնական տվյալներ»):
2. Թույլտվություն։ Վերահսկիչը լիազորում է Մշակողին մշակել անձնական տվյալները՝ ներառյալ հետևյալ հրահանգները.
(i) մշակման նպատակ նշանակում է ծառայությունների մատուցում սույն Պայմաններին համապատասխան: Մշակողին թույլատրվում է միայն Վերահսկիչի անունից մշակել անձնական տվյալներ Վերահսկիչի կողմից պահանջվող ծառայությունների մատուցման մասով: Լրացուցիչ նպատակներով հավաքագրված ամբողջ տեղեկատվությունը մշակվում է Վերահսկիչ-Մշակող պայմանագրային հարաբերություններից դուրս:
(ii) Մշակման ժամանակաշրջան նշանակում է սույն Պայմաններով համագործակցություն սկսելուց մինչև ծառայությունների դադարեցման ժամանակաշրջանը.
(iii) անձնական տվյալների շրջանակը և կատեգորիաները: Ծառայությունները նախատեսված են միայն ընդհանուր անձնական տվյալների մշակման համար: Այնուամենայնիվ, Վերահսկիչը բացառապես պատասխանատու է անձնական տվյալների շրջանակի որոշման համար:
(iv) Տվյալների սուբյեկտ նշանակում է ֆիզիկական անձ՝ որպես Վերահսկիչի սարքերի լիազորված օգտագործող.
(v) Մշակման գործունեություն նշանակում է մշակման համար անհրաժեշտ բոլոր գործողությունները.
(vi) Փաստաթղթավորված հրահանգներ նշանակում է հրահանգներ, որոնք նկարագրված են սույն Պայմաններում, դրա հավելվածներում, գաղտնիության քաղաքականությունում և ծառայության փաստաթղթերում: Վերահսկիչը պատասխանատվություն է կրում Մշակողի կողմից անձնական տվյալների մշակման օրինական թույլատրելիության համար՝ կապված տվյալների պաշտպանության մասին օրենքի համապատասխան կիրառելի դրույթների հետ:
3. Մշակողի պարտավորություններ։ Մշակողը պարտավոր է.
(i) մշակել անձնական տվյալները միայն փաստաթղթավորված հրահանգների հիման վրա և Պայմաններում, դրանց հավելվածներում, Գաղտնիության քաղաքականությում և սպասարկման փաստաթղթերում սահմանված նպատակների համար.
(ii) հրահանգել անձնական տվյալների մշակման համար լիազորված անձանց (այսուհետ՝ «Լիազորված անձինք») GDPR-ի համաձայն իրենց իրավունքների և պարտականությունների մասին, խախտման դեպքում նրանց պատասխանատվության մասին և ապահովել, որ Լիազորված անձինք պարտավորվեն գաղտնիություն պահպանել և հետևել փաստաթղթավորված հրահանգներին.
(iii) իրականացնել և հետևել Պայմաններում, դրանց հավելվածներում, Գաղտնիության քաղաքականությունում և ծառայության փաստաթղթերում նկարագրված միջոցառումներին.
(iv) աջակցել Վերահսկիչին՝ պատասխանելով տվյալների սուբյեկտների՝ իրենց իրավունքներին առնչվող հարցումներին: Մշակողը չի ուղղում, ջնջում կամ սահմանափակում անձնական տվյալների մշակումը՝ առանց Վերահսկիչի հրահանգի: Վերահսկիչի անունից մշակված անձնական տվյալների հետ կապված Տվյալների սուբյեկտի բոլոր հարցումները պետք է առանց ուշացման փոխանցվեն Վերահսկիչին:
(v) աջակցել Վերահսկիչին՝ վերահսկիչ մարմնին և Տվյալների սուբյեկտին անձնական տվյալների խախտման մասին ծանուցմամբ: Մշակողը պետք է ծանուցի Վերահսկիչին անձնական տվյալների մշակման կամ անձնական տվյալների անվտանգության ցանկացած խախտման մասին՝ հայտնաբերումից անմիջապես հետո: Մշակողը ողջամիտ չափով պետք է համագործակցի նման խախտումը հետաքննելու և վերականգնելու համար և ողջամիտ միջոցներ ձեռնարկի հետագա բացասական հետևանքները սահմանափակելու համար:
(vi) Վերահսկիչի ընտրությամբ՝ մշակման ժամանակաշրջանի ավարտից հետո ջնջել կամ վերադարձնել Վերահսկիչին բոլոր անձնական տվյալները: Վերահսկիչը պարտավորվում է իր որոշման մասին տեղեկացնել Մշակողին մշակման ժամանակաշրջանի ավարտից տասն (10) օրվա ընթացքում: Սույն դրույթը չի անդադառնում Մշակողի իրավունքին՝ կապված արխիվացնելու նպատակներով անհրաժեշտ չափով անձնական տվյալները պահպանելու հետ՝ ի շահ հանրության, գիտականհետազոտությունների, վիճակագրական նպատակների կամ իրավաբանական պահանջներ սահմանելու, իրականացնելու կամ պաշտպանելու նպատակով:
(vii) վարել Վերահսկիչի անունից իրականացվող մշակման գործունեության բոլոր կատեգորիաների արդիական գրանցամատյան.
(viii) Վերահսկիչին ներկայացնել համապատասխանությունը հաստատելու համար անհրաժեշտ ամբողջ տեղեկատվությունը, որը պարունակվում է Պայմաններում, դրանց հավելվածներում, Գաղտնիության քաղաքականությունում և ծառայության փաստաթղթերում: Վերահսկիչի կողմից անձնական տվյալների մշակման աուդիտի կամ կառավարման դեպքում Վերահսկիչը պարտավոր է նախատեսվող աուդիտից կամ կառավարումից առնվազն երեսուն (30) օր առաջ գրավոր տեղեկացնել Մշակողին:
4. Մեկ այլ մշակողի ներգրավում: Մշակողն իրավունք ունի ներգրավել մեկ այլ մշակողի՝ հատուկ մշակման գործողություններ իրականացնելու համար, օրինակ՝ ծառայության համար ամպային պահեստի և ենթակառուցվածքի տրամադրում՝ համաձայն Պայմանների, դրանց հավելվածների, Գաղտնիության քաղաքականության և ծառայության փաստաթղթերի: Ներկայումս Microsoft-ն ապահովում է ամպային պահեստ և ենթակառուցվածք՝ որպես Azure Ամպային ծառայության մաս: Նման դեպքում Մշակողը մնում է միակ կոնտակտային անձը և պահանջների կատարման համար պատասխանատու կողմը: Մշակողը սույնով պարտավորվում է տեղեկացնել Վերահսկիչին այլ մշակողի ցանկացած ավելացման կամ փոխարինման մասին՝ նման փոփոխության դեմ առարկելու հնարավորության նպատակով:
5. Մշակման տարածք: Մշակողը երաշխավորում է, որ մշակումն իրականացվի Եվրոպական տնտեսական տարածքում կամ այն երկրում, որը Եվրոպական հանձնաժողովի որոշմամբ ճանաչված է անվտանգ Վերահսկիչի որոշմամբ: Ստանդարտ պայմանագրային դրույթները կիրառվում են Եվրոպական տնտեսական տարածքից դուրս կամ Վերահսկիչի պահանջով Եվրոպական հանձնաժողովի որոշմամբ անվտանգ ճանաչված երկրից դուրս գտնվող փոխանցումների և մշակման դեպքում:
6. Անվտանգություն Մշակողը ISO 27001:2013-ով հավաստագրված է և օգտագործում է ISO 27001 կառուցվածքը՝ ցանցի, գործավար համակարգերի, տվյալների բազաների, հավելվածների, անձնակազմի և գործառնական գործընթացների մակարդակով անվտանգության վերահսկման միջոցներ կիրառելիս պաշտպանական բազմամակարդակ պաշտպանության ռազմավարություն իրականացնելու համար: Կանոնակարգային և պայմանագրային պահանջներին համապատասխանությունը պարբերաբար գնահատվում և վերանայվում է, ինչպես Մշակողի մյուս ենթակառուցվածքներն ու գործառնությունները, և անհրաժեշտ քայլեր են ձեռնարկվում շարունակական հիմունքներով համապատասխանությունն ապահովելու համար: Մշակողը կազմակերպել է տվյալների անվտանգությունը՝ օգտագործելով ISMS՝ հիմնված ISO 27001-ի վրա: Անվտանգության փաստաթղթերը ներառում են հիմնականում տեղեկատվական անվտանգության, ֆիզիկական անվտանգության, սարքավորումների անվտանգության, միջադեպերի կառավարման, տվյալների արտահոսքի և անվտանգության միջադեպերի մշակման քաղաքականության փաստաթղթեր և այլն:
7. Տեխնիկական և կազմակերպչական միջոցներ։ Մշակողը պետք է պաշտպանի անձնական տվյալները պատահական և անօրինական վնասներից և ոչնչացումից, պատահական կորստից, փոփոխությունից, չարտոնված մատչումից և բացահայտումից: Այդ նպատակով Մշակողը պետք է համապատասխան տեխնիկական և կազմակերպչական միջոցներ ձեռնարկի, որոնք համապատասխանում են մշակման եղանակին և մշակման արդյունքում ներկայացված ռիսկին տվյալների սուբյեկտների իրավունքների համար՝ GDPR-ի պահանջներին համապատասխան: Տեխնիկական և կազմակերպչական միջոցների մանրամասն նկարագրությունը նշված է Անվտանգության քաղաքականության մեջ:
8. Մշակողի կոնտակտային տվյալներ։ Անձնական տվյալների պաշտպանությանն առնչվող բոլոր ծանուցումները, հարցումները, պահանջները և այլ հաղորդագրություններ ուղարկված են ESET, spol. s.r.o., ուղղված՝ Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk: