Соглашение об обработке данных

Этот документ является производным от Общие стандартные условия Paper DPA (версия 1.0) и внесены следующие изменения:

1. Применимое право и избранные суды был включен в раздел ниже с Governing State указано выше.
2. Отношения с поставщиками услуг был включен в виде раздела ниже.

1. Поставщик как процессор

В ситуациях, когда Покупатель является Контролером Персональных данных Клиента, Поставщик будет считаться Обработчиком, который обрабатывает Персональные данные от имени Покупатель.

2. Поставщик как субобработчик

В ситуациях, когда Покупатель является Обработчиком Персональных данных Клиента, Поставщик будет считаться субобработчиком Персональных данных Клиента.

1. Детали обработки

Приложение I(B) на титульном листе описывает предмет, характер, цель и продолжительность этой обработки, а также Категории персональных данных собраны и Категории субъектов данных.

2. Инструкции по обработке

Покупатель поручает Поставщик для обработки Персональных данных Клиента: (а) для предоставления и обслуживания Сервиса; (b) как может быть дополнительно указано через Клиенты использование Сервиса; (c) как указано в соглашение; и (d) как указано в любых других письменных инструкциях, предоставленных Покупатель и признан Поставщик об обработке Персональных данных клиентов в соответствии с настоящим DPA. Поставщик будет соблюдать данные инструкции, если это не запрещено действующим законодательством. Поставщик немедленно сообщу Покупатель если он не может следовать инструкциям по обработке. Покупатель дал и будет давать только инструкции, соответствующие Применимому законодательству.

3. Обработка поставщиком

Поставщик будет обрабатывать Персональные данные клиента только в соответствии с настоящим DPA, включая информацию на титульной странице. Если Поставщик обновляет Сервис для обновления существующих или включения новых продуктов, функций или функций, Поставщик может изменить Категории субъектов данных, Категории персональных данных, Данные специальной категории, Ограничения или гарантии использования данных особой категории, Частота перевода, Характер и цель обработки, а также Продолжительность обработки по мере необходимости, чтобы отразить обновления, уведомив Покупатель обновлений и изменений.

4. Обработка клиентов

Где Покупатель является процессором и Поставщик является субпроцессором, Покупатель будет соблюдать все применимые законы, применимые к Клиенты Обработка Персональных данных Клиента. Клиенты соглашение с Контролером также потребует Покупатель соблюдать все применимые законы, применимые к Покупатель в качестве процессора. Кроме того, Покупатель будет соответствовать требованиям Субобработчика в Клиенты соглашение со своим Контролером.

5. Согласие на обработку

Покупатель соблюдает и будет продолжать соблюдать все применимые законы о защите данных, касающиеся предоставления Персональных данных Клиента Поставщик и/или Сервиса, включая раскрытие всей информации, получение всех согласий, предоставление адекватного выбора и реализацию соответствующих мер безопасности, требуемых в соответствии с Применимым законодательством о защите данных.

6. Субпроцессоры

а. Поставщик не будет предоставлять, передавать или передавать какие-либо Персональные данные Клиента Субобработчику, за исключением случаев, когда Покупатель утвердил субобработчика. Текущий список Утвержденные субобработчики включает в себя данные субобработчиков, страну их местонахождения и предполагаемые задачи по обработке. Поставщик сообщу Покупатель не менее чем за 10 рабочих дней и в письменном виде о любых предполагаемых изменениях в Утвержденные субобработчики будь то путем добавления или замены подпроцессора, что позволяет Покупатель иметь достаточно времени, чтобы возразить против изменений до Поставщик начинает использовать новый подпроцессор(ы). Поставщик дам Покупатель информация, необходимая для того, чтобы позволить Покупатель реализовать свое право возражать против изменения Утвержденные субобработчики. Покупатель имеет 30 дней с момента уведомления об изменении Утвержденные субобработчики возражать, иначе Покупатель будет считаться принявшим изменения. Если Покупатель возражает против изменения в течение 30 дней с момента уведомления, Покупатель а также Поставщик будем добросовестно сотрудничать для решения Клиенты возражение или беспокойство.

б. При задействовании субпроцессора Поставщик будет иметь письменное соглашение с Субподрядчиком, которое гарантирует, что Субобработчик получает доступ и использует Персональные данные Клиента только (i) в объеме, необходимом для выполнения обязательств, переданных ему по субподряду, и (ii) в соответствии с условиями соглашение.

в. Если GDPR применяется к Обработке Персональных данных Клиента, (i) обязательства по защите данных, описанные в настоящем DPA (как указано в статье 28(3) GDPR, если применимо), также возлагаются на Субобработчика, и (ii ) Провайдера соглашение с субобработчиком будет включать эти обязательства, включая подробную информацию о том, как Поставщик и его Субобработчик будет координировать действия по реагированию на запросы или запросы относительно Обработки Персональных данных Клиента. Кроме того, Поставщик поделюсь, в Клиенты запросить копию соглашений (включая любые поправки) со своими субобработчиками. В той степени, в которой это необходимо для защиты коммерческой тайны или другой конфиденциальной информации, включая персональные данные, Поставщик может редактировать текст своего соглашения со своим Субобработчиком перед передачей копии.

д. Поставщик остается полной ответственностью за все обязательства, переданные по субподряду ее Субобработчикам, включая действия и бездействие своих Субобработчиков при обработке Персональных данных Клиента. Поставщик уведомит Клиента о любой неспособности его Субобработчиков выполнить существенное обязательство в отношении Персональных данных Клиента в соответствии с соглашением между Поставщик и субпроцессор.

1. Авторизация

Покупатель согласен, что Поставщик может передавать Персональные данные Клиента за пределы ЕЭЗ, Великобритании или другой соответствующей географической территории, если это необходимо для предоставления Услуги. Если Поставщик передает Персональные данные Клиента на территорию, в отношении которой Европейская комиссия или другой соответствующий надзорный орган не вынес решение об адекватности, Поставщик примет соответствующие меры безопасности для передачи Персональных данных Клиента на эту территорию в соответствии с Применимыми законами о защите данных.

2. Трансферы из стран-членов ЕЭЗ

Покупатель а также Поставщик согласны с тем, что если GDPR защищает передачу Персональных данных Клиента, передача осуществляется от Покупатель из ЕЭЗ в Поставщик за пределами ЕЭЗ, и передача не регулируется решением об адекватности, принятым Европейской комиссией, а затем путем заключения настоящего DPA, Покупатель а также Поставщик считаются подписавшими SCC ЕЭЗ и приложения к ним, которые включены посредством ссылки. Любая такая передача осуществляется в соответствии с SCC ЕЭЗ, которые заполняются следующим образом:

а. Второй модуль (от контроллера к процессору) правил EEA SCC применяется, когда Покупатель является контролёром и Поставщик обрабатывает персональные данные клиентов для Покупатель в качестве процессора.

б. Третий модуль (от процессора к субпроцессору) правил EEA SCC применяется, когда Покупатель является процессором и Поставщик обрабатывает Персональные данные клиентов от имени Покупатель в качестве субпроцессора.

в. Для каждого модуля применимо следующее (если применимо):

1. Дополнительный пункт о стыковке в Разделе 7 не применяется;

2. В пункте 9 применяется Вариант 2 (общее письменное разрешение), а минимальный срок для предварительного уведомления об изменениях Субобработчика составляет 10 рабочих дней;

3. В пункте 11 необязательные формулировки не применяются;

4. Все квадратные скобки в пункте 13 сняты;

5. В пункте 17 (Вариант 1) SCC ЕЭЗ будут регулироваться законодательством Управляющее государство-член;

6. В пункте 18(b) споры будут разрешаться в судах Управляющее государство-член; и

7. Титульный лист настоящего DPA содержит информацию, требуемую в Приложении I, Приложении II и Приложении III к SCC ЕЭЗ.

3. Трансферы из Великобритании

Покупатель а также Поставщик согласны с тем, что если GDPR Великобритании защищает передачу Персональных данных Клиента, передача осуществляется от Покупатель изнутри Соединенного Королевства в Поставщик за пределами Соединенного Королевства, и передача не регулируется решением о достаточности, принятым Государственным секретарем Соединенного Королевства, а затем путем заключения настоящего DPA, Покупатель а также Поставщик считаются подписавшими Дополнение Великобритании и Приложения к нему, которые включены посредством ссылки. Любая такая передача осуществляется в соответствии с Приложением Великобритании, которое заполняется следующим образом:

а. Раздел 3.2 настоящего DPA содержит информацию, необходимую в Таблице 2 Дополнения для Великобритании.

б. Таблица 4 Дополнения для Великобритании изменена следующим образом: Ни одна из сторон не может прекратить действие Дополнения для Великобритании, как указано в Разделе 19 Дополнения для Великобритании; Если ICO выпустит пересмотренное Утвержденное дополнение в соответствии с разделом ‎18 Дополнения для Великобритании, стороны будут добросовестно работать над соответствующим пересмотром настоящего DPA.

в. Титульный лист содержит информацию, требуемую Приложением 1A, Приложением 1B, Приложением II и Приложением III Дополнения для Великобритании.

4. Другие международные переводы

В случае передачи Персональных данных, когда к международному характеру передачи применяется швейцарское законодательство (а не законодательство какого-либо государства-члена ЕЭЗ или Соединенного Королевства), ссылки на GDPR в пункте 4 SCC ЕЭЗ, если это требуется по закону, в него внесены поправки, в которых вместо этого упоминается Федеральный закон Швейцарии о защите данных или его преемник, а концепция надзорного органа будет включать Швейцарского федерального комиссара по защите данных и информации.

1. Узнав о любом инциденте безопасности, Поставщик будет: (а) уведомлять Покупатель без неоправданной задержки, если это возможно, но не позднее, чем через 72 часа после того, как стало известно об инциденте безопасности; (б) предоставлять своевременную информацию о Инциденте безопасности по мере того, как она становится известна или по разумному запросу Покупатель; и (c) незамедлительно принять разумные меры для локализации и расследования Инцидента безопасности. Провайдера уведомление об инциденте безопасности или ответ на него, как того требует настоящий DPA, не будет истолковано как подтверждение со стороны Поставщик о любой вине или ответственности за Инцидент безопасности.

1. Права на аудит

Поставщик дам Покупатель всю информацию, разумно необходимую для демонстрации соответствия настоящему DPA и Поставщик позволит проводить и способствовать проведению проверок, включая проверки со стороны Покупатель, оценивать Провайдера соблюдение настоящего DPA. Однако, Поставщик может ограничить доступ к данным или информации, если Клиенты доступ к информации отрицательно повлияет Провайдера права интеллектуальной собственности, обязательства конфиденциальности или другие обязательства в соответствии с Применимым законодательством. Покупатель признает и соглашается с тем, что он будет осуществлять свои права на аудит в соответствии с настоящим DPA и любые права на аудит, предоставленные применимыми законами о защите данных, только путем инструктирования Поставщик соблюдать приведенные ниже требования к отчетности и комплексной проверке. Поставщик будет вести учет соблюдения требований настоящего DPA в течение 3 лет после истечения срока действия DPA.

2. Отчеты о безопасности

Покупатель признает, что Поставщик регулярно проверяется на соответствие стандартам, определенным в Политика безопасности независимыми сторонними аудиторами. По письменному запросу, Поставщик дам Покупатель, на конфиденциальной основе, краткую копию своего текущего на тот момент Отчета, чтобы Покупатель могу проверить Провайдера соответствие стандартам, определенным в Политика безопасности.

3. Комплексная проверка безопасности

Помимо отчета, Поставщик будет отвечать на разумные запросы информации, сделанные Покупатель подтвердить Провайдера соблюдение настоящего DPA, включая ответы на вопросы информационной безопасности, комплексной проверки и аудита, или путем предоставления дополнительной информации о своей программе информационной безопасности. Все подобные запросы должны быть оформлены в письменной форме и направлены Контактное лицо службы безопасности поставщика и может производиться только один раз в год.

1. Ответ на запросы

Если Поставщик получает любые запросы или запросы от кого-либо относительно обработки Персональных данных Клиента, Поставщик уведомит Покупатель о запросе и Поставщик не ответит на запрос без Клиенты предварительное согласие. Примеры таких запросов и запросов включают постановление судебного, административного или регулирующего органа о Персональных данных клиента, в котором уведомляется Покупатель не запрещено Применимым законодательством или запросом субъекта данных. Если это разрешено действующим законодательством, Поставщик будет следовать Клиенты разумные инструкции по этим запросам, включая предоставление обновлений статуса и другой информации, разумно запрошенной Покупатель. Если субъект данных делает действительный запрос в соответствии с применимыми законами о защите данных на удаление или отказ от Клиенты предоставление Персональных данных Клиента Поставщик, Поставщик поможет Покупатель при выполнении запроса в соответствии с Применимым законом о защите данных. Поставщик будет сотрудничать и оказывать разумную помощь Покупатель, в Клиенты расходы, при любом правовом ответе или ином процессуальном действии, предпринятом Покупатель в ответ на запрос третьей стороны о Провайдера Обработка Персональных данных Клиента в соответствии с настоящим DPA.

2. DPIA и DTIA

Если этого требуют применимые законы о защите данных, Поставщик разумно поможет Покупатель при проведении любых обязательных оценок воздействия на защиту данных или оценок воздействия на передачу данных и консультаций с соответствующими органами по защите данных, принимая во внимание характер Обработки и Персональных данных Клиента.

1. Удаление клиентом

Поставщик позволит Покупатель удалить Персональные данные Клиента способом, совместимым с функциональностью Сервисов. Поставщик обязуется выполнить эту инструкцию, как только это станет практически возможным, за исключением случаев, когда дальнейшее хранение Персональных данных Клиента требуется в соответствии с Применимым законодательством.

2. Удаление по истечении срока действия DPA

а. По истечении срока действия DPA Поставщик вернет или удалит Персональные данные Клиента по адресу Клиенты инструкции, если дальнейшее хранение Персональных данных Клиента не требуется или не разрешено Применимым законодательством. Если возврат или уничтожение нецелесообразны или запрещены Применимым законодательством, Поставщик приложит разумные усилия для предотвращения дополнительной обработки Персональных данных Клиента и продолжит защищать Персональные данные Клиента, оставшиеся в его владении, хранении или под контролем. Например, применимое законодательство может требовать Поставщик продолжать размещать или обрабатывать Персональные данные клиентов.

б. Если Покупатель а также Поставщик присоединились к SCC ЕЭЗ или Дополнению Великобритании в рамках настоящего DPA, Поставщик только дам Покупатель сертификация удаления Персональных данных, описанная в пункте 8.1(d) и пункте 8.5 СУС ЕЭЗ, если Покупатель просит один.

1. Ограничения ответственности и отказ от возмещения убытков

В максимальной степени, разрешенной применимыми законами о защите данных, общая совокупная ответственность каждой стороны перед другой стороной, возникающая из настоящего DPA или связанная с ним, будет подлежать отказам, исключениям и ограничениям ответственности, указанным в соглашение.

2. Претензии связанных сторон

Любые претензии, предъявляемые к Поставщик или его Аффилированных лиц, вытекающие из настоящего DPA или связанные с ним, могут быть привлечены только Покупатель лицо, являющееся стороной договора соглашение.

3. Исключения

1. Настоящее DPA не ограничивает никакой ответственности перед физическим лицом в отношении его прав на защиту данных в соответствии с применимыми законами о защите данных. Кроме того, настоящий DPA не ограничивает никакой ответственности между сторонами за нарушения SCC ЕЭЗ или Дополнительного соглашения Великобритании.

1. Настоящее Соглашение является частью Соглашения и дополняет его. Если есть какое-либо несоответствие между этим DPA, соглашениеили любой из их частей, часть, указанная ранее, будет контролировать часть, указанную позже, в связи с этим несоответствием: (1) SCC ЕЭЗ или Приложение для Великобритании, (2) настоящий DPA, а затем (3) соглашение.

Этот DPA начнется, когда Поставщик а также Покупатель согласитесь с титульной страницей DPA и подпишите или примите в электронном виде соглашение и будет продолжаться до тех пор, пока соглашение истекает или прекращается. Однако, Поставщик а также Покупатель каждый из них будет подчиняться обязательствам настоящего DPA и применимым законам о защите данных до тех пор, пока Покупатель прекращает передачу Персональных данных Клиента Поставщик а также Поставщик прекращает Обработку Персональных данных Клиента.

Несмотря на регулирующий закон или аналогичные положения соглашение, все толкования и споры по поводу настоящего DPA будут регулироваться законами Управляющее государство без учета положений коллизионного права. Кроме того, независимо от выбора суда, юрисдикции или аналогичных положений соглашение, стороны соглашаются возбуждать любые судебные иски, иски или разбирательства по настоящему DPA, и каждая сторона безотзывно подчиняется исключительной юрисдикции судов Управляющее государство.

В рамках Закона Калифорнии о конфиденциальности потребителей, Cal. Гражданский. Применяется Кодекс § 1798.100 и последующие («CCPA»), стороны признают и соглашаются, что Поставщик является поставщиком услуг и получает Персональные данные от Покупатель предоставлять Услугу в соответствии с соглашением соглашение, что составляет деловую цель. Поставщик не будет продавать какие-либо Персональные данные, предоставленные Покупатель под соглашение. Кроме того, Поставщик не будет сохранять, использовать или раскрывать какие-либо Персональные данные, предоставленные Покупатель под соглашение за исключением случаев, когда это необходимо для предоставления Услуги для Покупатель, как указано в соглашениеили в соответствии с применимыми законами о защите данных. Поставщик подтверждает, что понимает ограничения настоящего пункта.

1. «Применимые законы» означает законы, правила, положения, постановления суда и другие обязательные требования соответствующего государственного органа, которые применяются к стороне или регулируют ее.

2. «Применимые законы о защите данных» означает Применимое законодательство, которое регулирует, как Сервис может обрабатывать или использовать личную информацию, персональные данные, информацию, позволяющую установить личность, или другой аналогичный термин.

3. «Контроллер» будет иметь значение(я), данное(я) в Применимом законодательстве о защите данных для компании, которая определяет цель и объем Обработки Персональных данных.

4. "Обложка" означает документ, подписанный или принятый сторонами в электронном виде, который включает настоящие Стандартные условия DPA и идентифицирует Поставщик, Покупатель, а также предмет и детали обработки данных.

5. «Персональные данные клиента» означает Персональные данные, которые Покупатель загружает или предоставляет Поставщик как часть Сервиса и регулируется настоящим DPA.

6. "DPA" означает настоящие Стандартные условия DPA, титульную страницу между Поставщик а также Покупатель, а также политики и документы, упомянутые на титульной странице или прикрепленные к ней.

7. «СКК ЕЭЗ» означает стандартные договорные положения, прилагаемые к Исполнительному решению Европейской комиссии 2021/914 от 4 июня 2021 года о стандартных договорных положениях о передаче персональных данных в третьи страны в соответствии с Регламентом (ЕС) 2016/679 Европейского парламента и Европейского совета. .

8. "Европейская экономическая зона" или "EEA" означает государства-члены Европейского Союза, Норвегию, Исландию и Лихтенштейн.

9. "GDPR" означает Регламент Европейского Союза 2016/679, применяемый местным законодательством соответствующей страны-члена ЕЭЗ.

10. "Личные данные" будет иметь значение(я), данное(я) в Применимом законодательстве о защите данных для личной информации, персональных данных или другого аналогичного термина.

11. "Обработка" или "Процесс" будет иметь значение(я), данное(я) в Применимом законодательстве о защите данных для любого использования или выполнения компьютерных операций с Персональными данными, в том числе автоматическими методами.

12. «Процессор» будет иметь значение(я), данное(я) в Применимом законодательстве о защите данных для компании, которая Обрабатывает Персональные данные от имени Контролера.

13. "Отчет" означает аудиторские отчеты, подготовленные другой компанией в соответствии со стандартами, определенными в Политике безопасности от имени Провайдера.

14. «Ограниченная передача» означает (a) в случае применения GDPR передачу персональных данных из ЕЭЗ в страну за пределами ЕЭЗ, которая не подлежит определению адекватности Европейской комиссией; и (b) если применяется GDPR Великобритании, передача персональных данных из Соединенного Королевства в любую другую страну, на которую не распространяются правила адекватности, принятые в соответствии с разделом 17A Закона Великобритании о защите данных 2018 года.

15. «Инцидент с безопасностью» означает утечку персональных данных, как это определено в статье 4 GDPR.

16. "Услуга" означает продукт и/или услуги, описанные в соглашение.

17. «Данные специальной категории» будет иметь значение, указанное в статье 9 GDPR.

18. «Субпроцессор» будет иметь значение(я), данное(я) в Применимом законодательстве о защите данных для компании, которая с одобрения и согласия Контролера помогает Обработчику в обработке Персональных данных от имени Контролера.

19. "UK GDPR" означает Регламент Европейского Союза 2016/679, реализованный в соответствии с разделом 3 Закона Великобритании о выходе из Европейского Союза от 2018 года в Соединенном Королевстве.

20. «Дополнение к Великобритании» означает дополнение о международной передаче данных к SCC ЕЭЗ, выпущенное Комиссаром по информации для сторон, осуществляющих ограниченную передачу в соответствии с S119A(1) Закона о защите данных 2018 года.

Этот документ является производным от Общие стандартные условия Paper DPA (версия 1.0) и имеет лицензию CC BY 4.0.