Соглашение об обработке данных

Ключевые термины

Срок Ценить
Соглашение Этот DPA дополняет Terms of Service
Утвержденные субобработчики Cloudflare (США; поставщик услуг DNS, сетевых услуг и безопасности), DataPacket (США/Великобритания; поставщик хостинга), Digital Ocean (США; поставщик хостинга), Vultr (США; поставщик хостинга), Stripe (США; платежная система), PayPal (США; платежная система)
Контактная информация по вопросам безопасности поставщика security@forwardemail.net
Политика безопасности Посмотреть our Security Policy on GitHub
Управляющее государство Штат Делавэр, США

Изменения в Соглашении

Этот документ является производным от Стандартные условия DPA для общих документов (версия 1.0), и в него были внесены следующие изменения:

  1. Применимое право и избранные суды был включён как раздел ниже с Governing State, указанным выше.
  2. Взаимоотношения с поставщиком услуг был включён как раздел ниже.

1. Отношения между обработчиком и субобработчиком

1. Поставщик как обработчик

В ситуациях, когда Клиент является Контролером персональных данных Клиента, Поставщик будет считаться Обработчиком, который обрабатывает персональные данные от имени Клиента.

2. Поставщик как субпроцессор

В ситуациях, когда Клиент является обработчиком персональных данных Клиента, Поставщик будет считаться субобработчиком персональных данных Клиента.

2. Обработка

1. Обработка сведений

В Приложении I(B) на титульном листе описываются предмет, характер, цель и продолжительность данной обработки, а также Категории собираемых персональных данных и Категории субъектов данных.

2. Инструкции по обработке

Клиент поручает Поставщику обрабатывать персональные данные клиента: (a) для предоставления и поддержки Услуги; (b) как может быть дополнительно указано посредством Клиента использования Услуги; (c) как указано в Соглашении; и (d) как указано в любых других письменных инструкциях, данных Клиентом и признанных Поставщиком относительно обработки персональных данных клиента в соответствии с настоящим Соглашением об обработке данных. Поставщик будет соблюдать эти инструкции, если это не запрещено Применимым законодательством. Поставщик немедленно сообщит Клиенту, если он не сможет следовать инструкциям по обработке. Клиент дал и будет давать только инструкции, которые соответствуют Применимому законодательству.

3. Обработка провайдером

Поставщик будет обрабатывать персональные данные клиентов только в соответствии с настоящим Соглашением об обработке данных, включая сведения на титульном листе. Если Поставщик обновляет Сервис для обновления существующих или включения новых продуктов, функций или возможностей, Поставщик может изменить Категории субъектов данных, Категории персональных данных, Данные специальной категории, Ограничения или меры защиты данных специальной категории, Частоту передачи, Характер и цель обработки и Продолжительность обработки по мере необходимости для отражения обновлений, уведомляя Клиента об обновлениях и изменениях.

4. Обработка клиентов

Если Клиент является обработчиком, а Поставщик — субобработчиком, Клиент обязуется соблюдать все применимые законы, которые применяются к обработке персональных данных Клиентом. Соглашение Клиента с его контролером также требует от Клиента соблюдения всех применимых законов, которые применяются к Клиенту как обработчику. Кроме того, Клиент обязуется соблюдать требования субобработчика, изложенные в соглашении Клиента с его контролером.

Клиент соблюдает и будет продолжать соблюдать все применимые законы о защите данных, касающиеся предоставления им персональных данных клиента Поставщику и/или Сервису, включая раскрытие всей информации, получение всех согласий, предоставление адекватного выбора и реализацию соответствующих мер безопасности, требуемых применимыми законами о защите данных.

6. Подпроцессоры

а. Поставщик не будет предоставлять, передавать или передавать какие-либо Персональные данные Клиента Субпроцессору, если Клиент не одобрил Субпроцессора. Текущий список Утвержденных Субпроцессоров включает в себя идентификационные данные Субпроцессоров, страну их местонахождения и предполагаемые задачи по обработке. Поставщик будет информировать Клиента не менее чем за 10 рабочих дней в письменной форме о любых предполагаемых изменениях в Утвержденных Субпроцессорах, будь то путем добавления или замены Субпроцессора, что дает Клиенту достаточно времени, чтобы возразить против изменений, прежде чем Поставщик начнет использовать нового(их) Субпроцессора(ов). Поставщик предоставит Клиенту информацию, необходимую для того, чтобы Клиент мог воспользоваться своим правом возразить против изменения в списке Утвержденных субподрядчиков. Клиент имеет 30 дней после уведомления об изменении списка Утвержденных субподрядчиков для подачи возражения, в противном случае будет считаться, что Клиент принял изменения. Если Клиент возражает против изменения в течение 30 дней с момента уведомления, Клиент и Поставщик будут добросовестно сотрудничать для разрешения возражений или проблем Клиента.

б. При привлечении субподрядчика Поставщик должен заключить с субподрядчиком письменное соглашение, гарантирующее, что субподрядчик будет получать доступ к персональным данным клиента и использовать их только (i) в объеме, необходимом для выполнения обязательств, возложенных на него субподрядчиком, и (ii) в соответствии с условиями Соглашения.

c. Если GDPR применяется к обработке персональных данных клиента, (i) обязательства по защите данных, описанные в настоящем DPA (как указано в статье 28(3) GDPR, если применимо), также налагаются на Субпроцессора, и (ii) соглашение Провайдера с Субпроцессором будет включать эти обязательства, включая подробную информацию о том, как Провайдер и его Субпроцессор будут координировать свои действия для ответа на запросы или запросы об обработке персональных данных клиента. Кроме того, Провайдер по запросу Клиента предоставит копию своих соглашений (включая любые поправки) своим Субпроцессорам. В той мере, в какой это необходимо для защиты коммерческой тайны или другой конфиденциальной информации, включая персональные данные, Провайдер может редактировать текст своего соглашения со своим Субпроцессором перед предоставлением копии.

г. Поставщик несет полную ответственность по всем обязательствам, переданным его Субподрядчикам, включая действия и бездействие его Субподрядчиков при обработке персональных данных Клиента. Поставщик уведомит Клиента о любом невыполнении его Субподрядчиками существенных обязательств в отношении персональных данных Клиента в соответствии с соглашением между Поставщиком и Субподрядчиком.

3. Ограниченные переводы

1. Авторизация

Клиент соглашается с тем, что Поставщик может передавать персональные данные Клиента за пределы ЕЭЗ, Великобритании или другой соответствующей географической территории, если это необходимо для предоставления Услуги. Если Поставщик передает персональные данные Клиента на территорию, в отношении которой Европейская комиссия или другой соответствующий надзорный орган не вынесли решения о достаточности мер, Поставщик применит соответствующие меры защиты для передачи персональных данных Клиента на эту территорию в соответствии с действующим законодательством о защите данных.

2. Переводы из стран ЕЭЗ

Клиент и Поставщик соглашаются, что если GDPR защищает передачу персональных данных Клиента, передача осуществляется от Клиента из ЕЭЗ Поставщику за пределами ЕЭЗ, и передача не регулируется решением о достаточности мер, принятым Европейской комиссией, то, заключая настоящее Соглашение об обработке персональных данных, Клиент и Поставщик считаются подписавшими Стандартные условия договора ЕЭЗ и Приложения к ним, которые включены посредством ссылки. Любая такая передача осуществляется в соответствии со Стандартными условиями договора ЕЭЗ, которые заполняются следующим образом:

а. Модуль 2 (от контролера к обработчику) Стандартных условий договора ЕЭЗ применяется, когда Клиент является контролером, а Поставщик обрабатывает персональные данные клиента для Клиента в качестве обработчика.

б. Модуль три (От обработчика к субобработчику) Стандартных условий договора ЕЭЗ применяется, когда Клиент является обработчиком, а Поставщик обрабатывает персональные данные клиента от имени Клиента в качестве субобработчика.

c. Для каждого модуля применяется следующее (если применимо):

  1. Необязательное положение о стыковке в пункте 7 не применяется;

  2. В пункте 9 применяется Вариант 2 (общее письменное разрешение), а минимальный срок для предварительного уведомления об изменении Подпроцессора составляет 10 рабочих дней;

  3. В пункте 11 факультативная формулировка не применяется;

  4. Все квадратные скобки в пункте 13 снимаются;

  5. В пункте 17 (Вариант 1) особые условия ЕЭЗ будут регулироваться законами государства-члена, осуществляющего регулирование;

  6. В пункте 18(b) споры будут разрешаться в судах Управляющего государства-члена; и

  7. Титульный лист настоящего Соглашения об обмене информацией содержит информацию, требуемую Приложением I, Приложением II и Приложением III Стандартных условий договора ЕЭЗ.

3. Переводы из Великобритании

Клиент и Поставщик соглашаются, что если GDPR Великобритании защищает передачу персональных данных клиентов, передача осуществляется от Клиента из Соединенного Королевства Поставщику за пределами Соединенного Королевства, и передача не регулируется решением о достаточности мер, принятым Государственным секретарем Соединенного Королевства, то, заключая настоящее Соглашение о защите персональных данных, Клиент и Поставщик считаются подписавшими Дополнительное соглашение для Великобритании и Приложения к нему, которые включены посредством ссылки. Любая такая передача осуществляется в соответствии с Дополнительным соглашением для Великобритании, которое заполняется следующим образом:

а. Раздел 3.2 настоящего Соглашения об обмене данными содержит информацию, требуемую в Таблице 2 Дополнения Великобритании.

б. Таблица 4 Дополнительного соглашения Великобритании изменяется следующим образом: Ни одна из сторон не может прекратить действие Дополнительного соглашения Великобритании, как указано в Разделе 19 Дополнительного соглашения Великобритании; в случае, если ICO выпустит пересмотренное Утвержденное дополнение в соответствии с Разделом 18 Дополнительного соглашения Великобритании, стороны будут добросовестно работать над внесением соответствующих изменений в настоящее Соглашение об обработке данных.

c. Титульный лист содержит информацию, требуемую Приложением 1A, Приложением 1B, Приложением II и Приложением III Дополнения Великобритании.

4. Другие международные переводы

В отношении передач персональных данных, в случае которых к международному характеру передачи применяется швейцарское законодательство (а не законодательство любого государства-члена ЕЭЗ или Соединенного Королевства), ссылки на GDPR в пункте 4 Стандартных условий договора ЕЭЗ, в той мере, в какой это требуется по закону, изменяются таким образом, чтобы вместо этого ссылаться на Федеральный закон Швейцарии о защите данных или его преемник, а концепция надзорного органа будет включать в себя Федерального комиссара Швейцарии по защите данных и информации.

4. Реагирование на инциденты безопасности

  1. Узнав о любом Инциденте безопасности, Поставщик обязуется: (a) уведомить Клиента без неоправданной задержки, когда это возможно, но не позднее, чем через 72 часа после того, как ему стало известно об Инциденте безопасности; (b) предоставить своевременную информацию об Инциденте безопасности, как только о нем станет известно или по обоснованному запросу Клиента; и (c) незамедлительно предпринять разумные меры для локализации и расследования Инцидента безопасности. Уведомление Поставщика об Инциденте безопасности или ответ на него, как того требует настоящее Соглашение об обработке данных, не будет толковаться как признание Поставщиком какой-либо вины или ответственности за Инцидент безопасности.

5. Аудит и отчеты

1. Права аудита

Поставщик предоставит Клиенту всю информацию, обоснованно необходимую для подтверждения его соответствия настоящему Соглашению об обработке данных, и Поставщик будет разрешать и способствовать проведению аудитов, включая проверки, проводимые Клиентом, для оценки соблюдения Поставщиком настоящего Соглашения об обработке данных. Однако Поставщик может ограничить доступ к данным или информации, если доступ Клиента к информации может негативно повлиять на права интеллектуальной собственности Поставщика, обязательства по конфиденциальности или другие обязательства в соответствии с Применимым законодательством. Клиент признает и соглашается с тем, что он будет осуществлять свои права на аудит в соответствии с настоящим Соглашением об обработке данных и любые права на аудит, предоставленные Применимым законодательством о защите данных, только поручив Поставщику соблюдать требования к отчетности и комплексной проверке, указанные ниже. Поставщик будет хранить записи о своем соблюдении настоящего Соглашения об обработке персональных данных в течение 3 лет после окончания срока действия Соглашения об обработке персональных данных.

2. Отчеты безопасности

Клиент подтверждает, что Поставщик регулярно проходит аудит на соответствие стандартам, указанным в Политике безопасности, проводимый независимыми сторонними аудиторами. По письменному запросу Поставщик конфиденциально предоставит Клиенту краткую копию своего актуального на тот момент отчета, чтобы Клиент мог проверить соответствие Поставщика стандартам, указанным в Политике безопасности.

3. Проверка безопасности

Помимо отчёта, Поставщик обязуется отвечать на обоснованные запросы информации, поступающие от Клиента, для подтверждения соблюдения Поставщиком настоящего Соглашения об обработке персональных данных, включая ответы на анкеты по информационной безопасности, комплексной проверке и аудиту, а также предоставлять дополнительную информацию о своей программе информационной безопасности. Все такие запросы должны быть оформлены в письменной форме и направлены Контактному лицу Поставщика по вопросам безопасности и могут быть поданы не чаще одного раза в год.

6. Координация и сотрудничество

1. Ответ на запросы

Если Поставщик получит какой-либо запрос или запрос от кого-либо еще относительно обработки персональных данных клиента, Поставщик уведомит Клиента о запросе и Поставщик не будет отвечать на запрос без предварительного согласия Клиента. Примерами такого рода запросов и запросов являются судебные, административные или регулирующие распоряжения о персональных данных клиента, когда уведомление Клиента не запрещено Применимым законодательством, или запрос от субъекта данных. Если это разрешено Применимым законодательством, Поставщик будет следовать разумным инструкциям Клиента относительно этих запросов, включая предоставление обновлений статуса и другой информации, разумно запрашиваемой Клиентом. Если субъект данных подает обоснованный запрос в соответствии с Применимыми законами о защите данных на удаление или отказ от предоставления Клиентом персональных данных Клиента Поставщику, Поставщик поможет Клиенту выполнить запрос в соответствии с Применимым законом о защите данных. Поставщик будет сотрудничать с Клиентом и оказывать ему разумную помощь за счет Клиента в любом юридическом ответе или других процессуальных действиях, предпринимаемых Клиентом в ответ на запрос третьей стороны об Обработке Поставщиком персональных данных Клиента в соответствии с настоящим DPA.

2. DPIA и DTIA

Если того требуют применимые законы о защите данных, Поставщик обязуется оказывать Клиенту разумную помощь в проведении любых обязательных оценок воздействия на защиту данных или оценок воздействия на передачу данных, а также консультаций с соответствующими органами по защите данных, принимая во внимание характер обработки и персональные данные Клиента.

7. Удаление персональных данных клиента

1. Удаление клиентом

Поставщик предоставит Клиенту возможность удалять персональные данные Клиента способом, соответствующим функциональности Услуг. Поставщик выполнит эту инструкцию в кратчайшие разумные сроки, за исключением случаев, когда применимое законодательство требует дальнейшего хранения персональных данных Клиента.

2. Удаление по истечении срока действия DPA

а. По истечении срока действия Соглашения об обработке персональных данных (DPA) Поставщик вернет или удалит персональные данные Клиента по указанию Клиента, за исключением случаев, когда дальнейшее хранение персональных данных Клиента требуется или разрешено Применимым законодательством. Если возврат или уничтожение нецелесообразны или запрещены Применимым законодательством, Поставщик приложит разумные усилия для предотвращения дальнейшей обработки персональных данных Клиента и продолжит защищать персональные данные Клиента, остающиеся в его распоряжении, на хранении или под его контролем. Например, Применимое законодательство может потребовать от Поставщика продолжения размещения или обработки персональных данных Клиента.

б. Если Клиент и Поставщик заключили Стандартные условия договора ЕЭЗ или Дополнение для Великобритании в рамках настоящего Соглашения об обработке данных, Поставщик предоставит Клиенту подтверждение удаления персональных данных, описанное в пункте 8.1(d) и пункте 8.5 Стандартных условий договора ЕЭЗ, только в том случае, если Клиент запросит его.

8. Ограничение ответственности

1. Ограничения ответственности и отказ от возмещения убытков

В максимально допустимой степени, предусмотренной действующим законодательством о защите данных, общая совокупная ответственность каждой стороны перед другой стороной, вытекающая из настоящего Соглашения об обработке данных или связанная с ним, будет регулироваться отказами, исключениями и ограничениями ответственности, указанными в Соглашении.

Любые претензии к Поставщику или его Аффилированным лицам, вытекающие из настоящего Соглашения об обработке данных или связанные с ним, могут быть предъявлены только Клиентом, являющимся стороной Соглашения.

3. Исключения

  1. Настоящее Соглашение об обработке данных (DPA) не ограничивает ответственность перед лицом, связанным с его правами на защиту данных в соответствии с действующим законодательством о защите данных. Кроме того, настоящее Соглашение об обработке данных (DPA) не ограничивает ответственность сторон за нарушение Стандартных условий договора ЕЭЗ или Дополнительного соглашения Великобритании.

9. Конфликты между документами

  1. Настоящее Соглашение об обмене информацией (DPA) является частью Соглашения и дополняет его. В случае возникновения противоречий между настоящим Соглашением об обмене информацией (DPA), Соглашением или любой из их частей, преимущественную силу над указанной ниже частью будет иметь указанная ранее часть: (1) Стандартные условия договора ЕЭЗ или Дополнение к Соглашению Великобритании, (2) настоящее Соглашение об обмене информацией (DPA), а затем (3) Соглашение.

10. Срок действия соглашения

Настоящее Соглашение об обработке персональных данных (DPA) вступает в силу с момента, когда Поставщик и Клиент согласуют титульный лист к Соглашению об обработке персональных данных (DPA) и подпишут или электронно примут Соглашение, и действует до истечения срока действия или расторжения Соглашения. Однако Поставщик и Клиент продолжают соблюдать обязательства, предусмотренные настоящим Соглашением об обработке персональных данных (DPA) и действующим законодательством о защите данных, до тех пор, пока Клиент не прекратит передачу персональных данных Клиента Поставщику, а Поставщик не прекратит обработку персональных данных Клиента.

11. Применимое право и избранные суды

Несмотря на применимое право или аналогичные положения Соглашения, все толкования и споры по настоящему Соглашению об обмене информацией регулируются законодательством Управляющего государства без учета его коллизионных норм. Кроме того, несмотря на выбор суда, юрисдикцию или аналогичные положения Соглашения, стороны соглашаются возбуждать любые иски, разбирательства или судебные разбирательства по настоящему Соглашению об обмене информацией, и каждая сторона безотзывно подчиняется исключительной юрисдикции судов Управляющего государства.

12. Взаимоотношения с поставщиком услуг

В той степени, в которой применяется Закон Калифорнии о защите прав потребителей, Гражданский кодекс Калифорнии § 1798.100 и далее («CCPA»), стороны признают и соглашаются, что Поставщик является поставщиком услуг и получает Персональные данные от Клиента для предоставления Услуги, как согласовано в Соглашении, что представляет собой деловую цель. Поставщик не будет продавать какие-либо Персональные данные, предоставленные Клиентом в соответствии с Соглашением. Кроме того, Поставщик не будет сохранять, использовать или раскрывать какие-либо Персональные данные, предоставленные Клиентом в соответствии с Соглашением, за исключением случаев, когда это необходимо для предоставления Услуги Клиенту, как указано в Соглашении, или как разрешено Применимыми законами о защите данных. Поставщик подтверждает, что он понимает ограничения настоящего пункта.

13. Определения

  1. «Применимое законодательство» означает законы, правила, постановления, судебные постановления и другие обязательные требования соответствующего государственного органа, которые применяются к стороне или регулируют ее.

  2. «Применимые законы о защите данных» означают применимые законы, которые регулируют то, как Сервис может обрабатывать или использовать персональную информацию отдельного лица, персональные данные, персонально идентифицируемую информацию или другой аналогичный термин.

  3. «Контролер» будет иметь значение, указанное в Применимом законодательстве о защите данных для компании, которая определяет цель и объем обработки персональных данных.

  4. «Титульный лист» означает документ, подписанный или принятый в электронном виде сторонами, который включает в себя настоящие Стандартные условия DPA и идентифицирует Поставщика, Клиента, а также предмет и подробности обработки данных.

  5. «Персональные данные Клиента» означают Персональные данные, которые Клиент загружает или предоставляет Поставщику в рамках Услуги и которые регулируются настоящим Соглашением об обработке данных.

  6. «DPA» означает настоящие Стандартные условия DPA, Титульный лист между Поставщиком и Клиентом, а также политики и документы, на которые имеются ссылки на Титульном листе или которые прилагаются к нему.

  7. «Стандартные договорные условия ЕЭЗ» означают стандартные договорные положения, прилагаемые к Решению Европейской комиссии 2021/914 от 4 июня 2021 года о стандартных договорных положениях для передачи персональных данных в третьи страны в соответствии с Регламентом (ЕС) 2016/679 Европейского парламента и Европейского совета.

  8. «Европейская экономическая зона» или «ЕЭЗ» означает государства-члены Европейского Союза, Норвегию, Исландию и Лихтенштейн.

  9. «GDPR» означает Регламент Европейского Союза 2016/679, реализованный в соответствии с местным законодательством соответствующей страны-члена ЕЭЗ.

  10. «Персональные данные» будут иметь значение, указанное в Применимом законодательстве о защите данных для персональной информации, персональных данных или другого аналогичного термина.

  11. «Обработка» или «Обработка» будут иметь значение(я), указанное(ые) в Применимых законах о защите данных для любого использования или выполнения компьютерной операции с персональными данными, в том числе автоматическими методами.

  12. «Обработчик» будет иметь значение, указанное в Применимом законодательстве о защите данных для компании, которая обрабатывает персональные данные от имени Контролера.

  13. «Отчет» означает аудиторские отчеты, подготовленные другой компанией в соответствии со стандартами, определенными в Политике безопасности от имени Поставщика.

  14. «Ограниченная передача» означает (a) в случае применения GDPR передачу персональных данных из ЕЭЗ в страну за пределами ЕЭЗ, на которую не распространяются требования Европейской комиссии об адекватности мер защиты; и (b) в случае применения GDPR Великобритании передачу персональных данных из Соединенного Королевства в любую другую страну, на которую не распространяются требования об адекватности мер защиты, принятые в соответствии с разделом 17A Закона Соединенного Королевства о защите данных 2018 года.

  15. «Инцидент безопасности» означает нарушение безопасности персональных данных, как определено в статье 4 GDPR.

  16. «Услуга» означает продукт и/или услуги, описанные в Соглашении.

  17. «Данные специальной категории» будут иметь значение, указанное в статье 9 GDPR.

  18. «Субпроцессор» будет иметь значение(я), указанное(ые) в Применимых законах о защите данных для компании, которая с одобрения и согласия Контролера помогает Процессору в Обработке Персональных данных от имени Контролера.

  19. «UK GDPR» означает Регламент Европейского Союза 2016/679, введенный в действие разделом 3 Закона Соединенного Королевства о Европейском Союзе (выход) 2018 года в Соединенном Королевстве.

  20. «Дополнение Великобритании» означает международное дополнение к Стандартным условиям договора ЕЭЗ о передаче данных, выпущенное Комиссаром по информации для сторон, осуществляющих ограниченную передачу данных в соответствии с разделом S119A(1) Закона о защите данных 2018 года.

Кредиты

Этот документ является производным от Стандартные условия DPA для общих документов (версия 1.0) и лицензирован под CC BY 4.0.