Угода про обробку даних

Ключові терміни
Термін | Значення |
---|---|
Угода | Цей DPA доповнює Terms of Service |
Затверджені субпідрядники | Cloudflare (США; постачальник DNS, мережевих послуг та послуг безпеки), DataPacket (США/Велика Британія; хостинг-провайдер), Digital Ocean (США; хостинг-провайдер), Vultr (США; хостинг-провайдер), Stripe (США; платіжний процесор), PayPal (США; платіжний процесор) |
Контактна особа з питань безпеки постачальника | security@forwardemail.net |
Політика безпеки | Переглянути our Security Policy on GitHub |
Керівна держава | Штат Делавер, США |
Зміни до Угоди
Цей документ є похідним від Стандартні умови Угоди про захист даних (версія 1.0), і до нього було внесено такі зміни:
- Чинне право та обрані суди було включено як розділ нижче, а
Governing State
було визначено вище. - Відносини з постачальником послуг було включено як розділ нижче.
1. Взаємовідносини між обробником та субобробником
1. Постачальник як Обробник
У ситуаціях, коли Клієнт є Контролером Персональних даних Клієнта, Постачальник вважатиметься Обробником, який обробляє Персональні дані від імені Клієнта.
2. Постачальник як субобробник
У випадках, коли Клієнт є Обробником Персональних даних Клієнта, Постачальник вважатиметься Субобробником Персональних даних Клієнта.
2. Обробка
1. Деталі обробки
У Додатку I(B) на Титульній сторінці описано предмет, характер, мету та тривалість цієї Обробки, а також Категорії Персональних даних, що збираються, та Категорії Суб’єктів Даних.
2. Інструкції з обробки
Клієнт доручає Постачальнику обробляти Персональні дані Клієнта: (a) для надання та підтримки Послуги; (b) як це може бути додатково визначено шляхом використання Клієнтом Послуги; (c) як це задокументовано в Угоді; та (d) як це задокументовано в будь-яких інших письмових інструкціях, наданих Клієнтом та підтверджених Постачальником щодо Обробки Персональних даних Клієнта відповідно до цієї Угоди про обробки даних. Постачальник дотримуватиметься цих інструкцій, якщо це не заборонено Чинним законодавством. Постачальник негайно повідомить Клієнта, якщо він не зможе виконати інструкції щодо Обробки. Клієнт надавав і надаватиме лише інструкції, що відповідають Чинному законодавству.
3. Обробка постачальником
Постачальник оброблятиме Персональні дані Клієнта лише відповідно до цієї Угоди про обробки даних (DPA), включаючи деталі на Титульній сторінці. Якщо Постачальник оновлює Сервіс, щоб оновити існуючі або включити нові продукти, функції чи можливості, Постачальник може змінити Категорії Суб'єктів Даних, Категорії Персональних Даних, Дані Спеціальної Категорії, Обмеження або Захисні Заходи щодо Даних Спеціальної Категорії, Частоту Передавання, Характер та Мету Обробки та Тривалість Обробки за потреби, щоб відобразити оновлення, повідомляючи Клієнта про оновлення та зміни.
4. Обробка клієнта
Якщо Клієнт є Обробником, а Постачальник – Субобробником, Клієнт дотримуватиметься всіх Застосовних законів, що застосовуються до Клієнта Обробки Персональних даних Клієнта. Угода Клієнта з його Контролером аналогічно вимагатиме від Клієнта дотримуватися всіх Застосовних законів, що застосовуються до Клієнта як Обробника. Крім того, Клієнт дотримуватиметься вимог до Субобробника, викладених у угоді Клієнта з його Контролером.
5. Згода на обробку
Клієнт дотримувався та продовжуватиме дотримуватися всіх Чинних законів про захист даних щодо надання Персональних даних Клієнта Постачальнику та/або Сервісу, включаючи розкриття всіх даних, отримання всіх згоди, надання належного вибору та впровадження відповідних гарантій, що вимагаються згідно з Чинними законами про захист даних.
6. Субпідрядники
a. Постачальник не надаватиме, не передаватиме та не передасть жодні Персональні дані Клієнта Субобробнику, якщо Клієнт не схвалив Субобробника. Поточний список Схвалених Субобробників включає ідентифікаційні дані Субобробників, їхню країну місцезнаходження та їхні очікувані завдання з обробки. Постачальник повідомить Клієнта щонайменше за 10 робочих днів та у письмовій формі про будь-які заплановані зміни до Схвалених Субобробників, незалежно від того, чи це відбувається шляхом додавання чи заміни Субобробника, що дозволить Клієнту мати достатньо часу для заперечення змін, перш ніж Постачальник почне використовувати нового(их) Субобробника(ів). Постачальник надасть Клієнту інформацію, необхідну для того, щоб Клієнт міг скористатися своїм правом заперечення проти зміни до Схвалених Субобробників. Клієнт має 30 днів після повідомлення про зміну Затверджених субпідрядників, щоб заперечити, інакше Клієнт вважатиметься таким, що прийняв зміни. Якщо Клієнт заперечує проти зміни протягом 30 днів з моменту повідомлення, Клієнт та Постачальник добросовісно співпрацюватимуть для вирішення заперечення або проблеми Клієнта.
b. Залучаючи Субпідрядника, Постачальник матиме письмову угоду з Субпідрядником, яка гарантує, що Субпідрядник отримуватиме доступ до Персональних даних Клієнта та використовуватиме їх лише (i) в обсязі, необхідному для виконання зобов’язань, покладених на нього за субпідрядом, та (ii) відповідно до умов Угоди.
c. Якщо GDPR застосовується до Обробки Персональних даних Клієнта, (i) зобов'язання щодо захисту даних, описані в цьому DPA (як зазначено у статті 28(3) GDPR, якщо це застосовується), також покладаються на Субобробника, та (ii) угода Постачальника із Субобробником включатиме ці зобов'язання, включаючи деталі про те, як Постачальник та його Субобробник координуватимуть свої дії для відповіді на запити або запити щодо Обробки Персональних даних Клієнта. Крім того, Постачальник надасть, на запит Клієнта, копію своїх угод (включаючи будь-які зміни) своїм Субобробникам. У тій мірі, яка необхідна для захисту комерційної таємниці або іншої конфіденційної інформації, включаючи персональні дані, Постачальник може відредагувати текст своєї угоди зі своїм Субобробником перед наданням копії.
d. Постачальник несе повну відповідальність за всі зобов’язання, передані його Субпідрядникам, включаючи дії та бездіяльність його Субпідрядників під час Обробки Персональних даних Клієнта. Постачальник повідомить Клієнта про будь-яке невиконання його Субпідрядниками суттєвого зобов’язання щодо Персональних даних Клієнта згідно з угодою між Постачальником та Субпідрядником.
3. Обмежені перекази
1. Авторизація
Клієнт погоджується з тим, що Постачальник може передавати Персональні дані Клієнта за межі ЄЕЗ, Сполученого Королівства або іншої відповідної географічної території, якщо це необхідно для надання Послуги. Якщо Постачальник передає Персональні дані Клієнта на територію, для якої Європейська Комісія або інший відповідний наглядовий орган не видали рішення про адекватність, Постачальник запровадить відповідні заходи безпеки для передачі Персональних даних Клієнта на цю територію відповідно до чинного законодавства про захист даних.
2. Перекази з країн ЄЕЗ
Клієнт та Постачальник погоджуються, що якщо GDPR захищає передачу Персональних даних Клієнта, передача здійснюється від Клієнта з ЄЕЗ до Постачальника за межами ЄЕЗ, і передача не регулюється рішенням про адекватність, прийнятим Європейською Комісією, то, укладаючи цю Угоду про обробку даних, Клієнт та Постачальник вважаються підписаними Стандартними договірними умовами ЄЕЗ та їхніми Додатками, які включені шляхом посилання. Будь-яка така передача здійснюється відповідно до Стандартних договірних умов ЄЕЗ, які заповнюються наступним чином:
a. Модуль другий (Від контролера до обробника) Стандартних договірних положень ЄЕЗ застосовується, коли Клієнт є контролером, а Постачальник обробляє персональні дані клієнта для Клієнта як обробник.
b. Модуль третій (Від обробника до субобробника) Стандартних договірних положень ЄЕЗ застосовується, коли Клієнт є обробником, а Постачальник обробляє персональні дані клієнта від імені Клієнта як субобробник.
c. Для кожного модуля застосовується наступне (якщо це можливо):
-
Необов'язкове положення про стикування у пункті 7 не застосовується;
-
У пункті 9 застосовується Варіант 2 (загальний письмовий дозвіл), а мінімальний термін для попереднього повідомлення про зміни Субобробника становить 10 робочих днів;
-
У пункті 11 необов'язкове формулювання не застосовується;
-
Усі квадратні дужки у пункті 13 видаляються;
-
У пункті 17 (Варіант 1) Стандартні договірні угоди ЄЕЗ регулюватимуться законодавством Держави-члена, що регулює дію;
-
У пункті 18(b) суперечки вирішуватимуться в судах Керівної держави-члена; та
-
Титульна сторінка цієї Угоди про обробку даних містить інформацію, що вимагається в Додатку I, Додатку II та Додатку III до Стандартних договірних умов ЄЕЗ.
3. Перекази з-за меж Великої Британії
Клієнт та Постачальник погоджуються, що якщо GDPR Великої Британії захищає передачу Персональних даних Клієнта, передача здійснюється від Клієнта з території Великої Британії до Постачальника за межами Великої Британії, і передача не регулюється рішенням про адекватність, прийнятим Державним секретарем Великої Британії, то, укладаючи цю Угоду про обробки даних, Клієнт та Постачальник вважаються підписаними Додатком Великої Британії та Додатками до нього, які включені шляхом посилання. Будь-яка така передача здійснюється відповідно до Додатку Великої Британії, який заповнюється наступним чином:
a. Розділ 3.2 цього DPA містить інформацію, що вимагається в Таблиці 2 Додатка для Великої Британії.
b. Таблицю 4 Додатка для Великої Британії змінено наступним чином: Жодна зі сторін не може припинити дію Додатка для Великої Британії, як це зазначено в Розділі 19 Додатка для Великої Британії; у разі, якщо ICO видасть переглянутий Затверджений додаток відповідно до Розділу 18 Додатка для Великої Британії, сторони будуть сумлінно працювати над відповідним переглядом цієї Угоди про обробку даних.
c. Титульна сторінка містить інформацію, що вимагається Додатком 1A, Додатком 1B, Додатком II та Додатком III до Додатка для Великої Британії.
4. Інші міжнародні перекази
Для передачі персональних даних, де до міжнародного характеру передачі застосовується швейцарське законодавство (а не законодавство будь-якої держави-члена ЄЕЗ або Сполученого Королівства), посилання на GDPR у пункті 4 Стандартних договірних положень ЄЕЗ, наскільки це вимагає закон, змінюються для посилання на Федеральний закон Швейцарії про захист даних або його наступника, а поняття наглядового органу включатиме Федерального комісара Швейцарії з питань захисту даних та інформації.
4. Реагування на інцидент безпеки
- Після того, як йому стане відомо про будь-який Інцидент безпеки, Постачальник зобов'язаний: (a) повідомити Клієнта без зайвої затримки, коли це можливо, але не пізніше ніж через 72 години після того, як йому стало відомо про Інцидент безпеки; (b) своєчасно надати інформацію про Інцидент безпеки, як тільки про нього стане відомо, або на обґрунтований запит Клієнта; та (c) негайно вжити розумних заходів для локалізації та розслідування Інциденту безпеки. Повідомлення Постачальника про Інцидент безпеки або його реакція на нього, як того вимагає ця Угода про обробки даних, не тлумачитиметься як визнання Постачальником будь-якої вини або відповідальності за Інцидент безпеки.
5. Аудит та звіти
1. Права аудиту
Постачальник надасть Клієнту всю інформацію, обґрунтовано необхідну для демонстрації дотримання ним цієї Угоди про обробку даних (DPA), а Постачальник дозволить та сприятиме проведенню аудитів, включаючи перевірки, що здійснюються Клієнтом, для оцінки дотримання Постачальником цієї Угоди про обробку даних. Однак Постачальник може обмежити доступ до даних або інформації, якщо доступ Клієнта до інформації негативно вплине на права інтелектуальної власності, зобов'язання щодо конфіденційності або інші зобов'язання Постачальника згідно з Чинним законодавством. Клієнт визнає та погоджується з тим, що він здійснюватиме свої права на аудит згідно з цією Угодою про обробку даних та будь-які права на аудит, надані Чинним законодавством про захист даних, лише шляхом доручення Постачальнику дотримуватися вимог щодо звітності та належної перевірки, наведених нижче. Постачальник зберігатиме записи про дотримання цієї Угоди про обробку даних протягом 3 років після закінчення терміну дії Угоди.
2. Звіти безпеки
Клієнт визнає, що Постачальник регулярно перевіряється на відповідність стандартам, визначеним у Політиці безпеки, незалежними сторонніми аудиторами. На письмовий запит Постачальник надасть Клієнту конфіденційно короткий виклад свого поточного Звіту, щоб Клієнт міг перевірити дотримання Постачальником стандартів, визначених у Політиці безпеки.
3. Перевірка безпеки
Окрім Звіту, Постачальник відповість на обґрунтовані запити на інформацію, зроблені Клієнтом, щоб підтвердити дотримання Постачальником цієї Угоди про захист даних, включаючи відповіді на анкети щодо інформаційної безпеки, перевірки належної перевірки та аудиту, або надаючи додаткову інформацію про свою програму інформаційної безпеки. Усі такі запити повинні бути оформлені у письмовій формі та подані Контактній особі постачальника з питань безпеки та можуть бути подані лише раз на рік.
6. Координація та співпраця
1. Відповідь на запити
Якщо Постачальник отримає будь-який запит або запит від будь-кого іншого щодо Обробки Персональних даних Клієнта, Постачальник повідомить Клієнта про запит, і Постачальник не відповість на запит без попередньої згоди Клієнта. Прикладами таких запитів та запитів є судове, адміністративне чи регуляторне розпорядження щодо Персональних даних Клієнта, якщо повідомлення Клієнта не заборонено Чинним законодавством, або запит від суб'єкта даних. Якщо це дозволено Чинним законодавством, Постачальник дотримуватиметься розумних інструкцій Клієнта щодо цих запитів, включаючи надання оновлень статусу та іншої інформації, обґрунтовано запитуваної Клієнтом. Якщо суб’єкт даних робить обґрунтований запит відповідно до чинного законодавства про захист даних щодо видалення або відмови від надання Клієнтом Персональних даних Клієнта Постачальнику, Постачальник допоможе Клієнту у виконанні запиту відповідно до чинного законодавства про захист даних. Постачальник співпрацюватиме з Клієнтом та надаватиме йому розумну допомогу за рахунок Клієнта у будь-яких юридичних або інших процесуальних діях, вжитих Клієнтом у відповідь на запит третьої сторони щодо обробки Постачальником Персональних даних Клієнта відповідно до цієї Угоди про обробки даних.
2. DPIA та DTIA
Якщо цього вимагає Чинне законодавство про захист даних, Постачальник надасть Клієнту розумну допомогу у проведенні будь-яких обов'язкових оцінок впливу на захист даних або оцінок впливу на передачу даних та консультацій з відповідними органами захисту даних, враховуючи характер Обробки та Персональні дані Клієнта.
7. Видалення персональних даних клієнта
1. Видалення клієнтом
Постачальник дозволить Клієнту видалити Персональні дані Клієнта у спосіб, що відповідає функціональності Послуг. Постачальник виконає цю інструкцію якомога швидше, за винятком випадків, коли чинним законодавством вимагається подальше зберігання Персональних даних Клієнта.
2. Видалення після закінчення терміну дії DPA
a. Після закінчення терміну дії Угоди про обробки даних (DPA), Постачальник поверне або видалить Персональні дані Клієнта за вказівкою Клієнта, якщо подальше зберігання Персональних даних Клієнта не вимагається або не дозволено Чинним законодавством. Якщо повернення або знищення неможливе або заборонено Чинним законодавством, Постачальник докладе розумних зусиль для запобігання подальшій обробці Персональних даних Клієнта та продовжуватиме захищати Персональні дані Клієнта, що залишаються у його володінні, під його наглядом або контролем. Наприклад, Чинне законодавство може вимагати від Постачальника продовжувати розміщення або обробку Персональних даних Клієнта.
b. Якщо Клієнт та Постачальник уклали Загальні договірні угоди ЄЕЗ або Додаток до Угоди про захист даних Великої Британії як частину цієї Угоди про обробки даних, Постачальник надасть Клієнту підтвердження видалення Персональних даних, описане в пункті 8.1(d) та пункті 8.5 Загальних договірних угод ЄЕЗ, лише якщо Клієнт запитує про це.
8. Обмеження відповідальності
1. Обмеження відповідальності та відмова від відповідальності за збитки
У максимально дозволеному чинним законодавством про захист даних обсязі загальна сукупна відповідальність кожної сторони перед іншою стороною, що виникає внаслідок або пов’язана з цією Угодою про захист даних, підлягатиме відмовам від прав, виключенням та обмеженням відповідальності, зазначеним у Угоді.
2. Претензії пов'язаних сторін
Будь-які претензії, пред'явлені до Постачальника або його Афілійованих осіб, що виникають у зв'язку з цією Угодою про обробки даних (DPA), можуть бути пред'явлені лише Клієнтом, який є стороною Угоди.
3. Винятки
- Ця Угода про обробку даних (DPA) не обмежує жодної відповідальності перед особою щодо прав особи на захист даних відповідно до Застосовного законодавства про захист даних. Крім того, ця Угода про обробку даних (DPA) не обмежує жодної відповідальності між сторонами за порушення Стандартних договірних положень ЄЕЗ або Додатка до Угоди про захист даних Великої Британії.
9. Конфлікти між документами
- Ця Угода про обробку даних є частиною Угоди та доповнює її. У разі будь-якої невідповідності між цією Угодою про обробку даних, Угодою або будь-якою з їхніх частин, частина, зазначена раніше, матиме переважну силу над частиною, зазначеною пізніше, для такої невідповідності: (1) Стандартні договірні угоди ЄЕЗ або Додаток для Великої Британії, (2) ця Угода про обробку даних, а потім (3) Угода.
10. Термін дії угоди
Ця Угода про захист даних (DPA) набуде чинності, коли Постачальник та Клієнт погодять Титульну сторінку до Угоди про захист даних та підпишуть або електронно приймуть Угоду, і продовжуватиметься до закінчення терміну дії Угоди або її розірвання. Однак, Постачальник та Клієнт залишатимуться зобов'язаними за цією Угодою про захист даних та Застосовним законодавством про захист даних, доки Клієнт не припинить передавати Персональні дані Клієнта Постачальнику, а Постачальник не припинить Обробку Персональних даних Клієнта.
11. Чинне право та обрані суди
Незважаючи на чинне законодавство або аналогічні положення Угоди, усі тлумачення та суперечки щодо цієї Угоди про обробку даних регулюватимуться законодавством Керівної держави без урахування положень про колізійне право. Крім того, незважаючи на вибір місця розгляду спору, юрисдикцію або аналогічні положення Угоди, сторони погоджуються подавати будь-які судові позови, дії або провадження щодо цієї Угоди про обробку даних до судів Керівної держави, і кожна сторона безповоротно підкоряється виключній юрисдикції цих судів.
12. Відносини з постачальником послуг
У тій мірі, в якій застосовується Закон Каліфорнії про захист даних споживачів, Цивільний кодекс Каліфорнії § 1798.100 та наступні («CCPA»), сторони визнають та погоджуються, що Постачальник є постачальником послуг та отримує Персональні дані від Клієнта для надання Послуги, як це погоджено в Угоді, що становить ділову мету. Постачальник не продаватиме жодних Персональних даних, наданих Клієнтом за Угодою. Крім того, Постачальник не зберігатиме, не використовуватиме та не розголошуватиме будь-які Персональні дані, надані Клієнтом за Угодою, окрім випадків, необхідних для надання Послуги для Клієнта, як зазначено в Угоді, або як це дозволено чинним законодавством про захист даних. Постачальник засвідчує, що він розуміє обмеження цього пункту.
13. Визначення
-
«Чинне законодавство» означає закони, правила, нормативні акти, судові накази та інші обов’язкові вимоги відповідного державного органу, що застосовуються до сторони або регулюють її діяльність.
-
«Чинні закони про захист даних» означають Чинні закони, які регулюють, як Сервіс може обробляти або використовувати персональну інформацію, персональні дані, інформацію, що ідентифікує особу, або інші подібні терміни особи.
-
«Контролер» матиме значення, надані у Застосовному законодавстві про захист даних для компанії, яка визначає мету та обсяг обробки персональних даних.
-
Титульна сторінка означає документ, підписаний або прийнятий в електронному вигляді сторонами, який містить ці Стандартні умови Угоди про захист даних та визначає Постачальника, Клієнта, а також предмет і деталі обробки даних.
-
«Персональні дані Клієнта» означає Персональні дані, які Клієнт завантажує або надає Постачальнику в рамках Сервісу та які регулюються цією Угодою про обробки даних.
-
«Угода про обробку даних» означає ці Стандартні умови Угоди про обробку даних, Титульну сторінку між Постачальником та Клієнтом, а також політики та документи, на які посилаються або які додаються до Титульної сторінки.
-
«Стандартні договірні угоди ЄЕЗ» означають стандартні договірні положення, що додаються до Імплементаційного рішення Європейської Комісії 2021/914 від 4 червня 2021 року про стандартні договірні положення щодо передачі персональних даних третім країнам відповідно до Регламенту (ЄС) 2016/679 Європейського Парламенту та Європейської Ради.
-
«Європейська економічна зона» або «ЄЕЗ» означає держави-члени Європейського Союзу, Норвегію, Ісландію та Ліхтенштейн.
-
«GDPR» означає Регламент Європейського Союзу 2016/679, впроваджений місцевим законодавством відповідної країни-члена ЄЕЗ.
-
«Персональні дані» матиме значення, надані у Застосовних законах про захист даних для персональної інформації, персональних даних або інших подібних термінів.
-
«Обробка» або «Процес» матиме значення, надані у Застосовних законах про захист даних, для будь-якого використання або виконання комп’ютерної операції з Персональними даними, зокрема автоматичними методами.
-
«Обробник» матиме значення, надані у Застосовному законодавстві про захист даних для компанії, яка обробляє Персональні дані від імені Контролера.
-
«Звіт» означає аудиторські звіти, підготовлені іншою компанією відповідно до стандартів, визначених у Політиці безпеки, від імені Постачальника.
-
«Обмежена передача» означає (a) якщо застосовується GDPR, передачу персональних даних з ЄЕЗ до країни за межами ЄЕЗ, яка не підлягає визначенню адекватності Європейською Комісією; та (b) якщо застосовується GDPR Великої Британії, передачу персональних даних зі Сполученого Королівства до будь-якої іншої країни, яка не підлягає визначенню адекватності, прийнятим відповідно до розділу 17A Закону Великої Британії про захист даних 2018 року.
-
«Інцидент безпеки» означає порушення захисту персональних даних, як це визначено у статті 4 GDPR.
-
«Послуга» означає продукт та/або послуги, описані в Угоді.
-
«Дані спеціальної категорії» матимуть значення, надане у статті 9 GDPR.
-
«Субобробник» матиме значення, надані у Застосовному законодавстві про захист даних, для компанії, яка, за схваленням та згодою Контролера, допомагає Обробнику в обробці Персональних даних від імені Контролера.
-
«GDPR Великої Британії» означає Регламент Європейського Союзу 2016/679, імплементований розділом 3 Закону Сполученого Королівства про вихід з Європейського Союзу 2018 року у Сполученому Королівстві.
-
«Додаток для Великої Британії» означає додаток до Загальних договірних умов ЄЕЗ щодо міжнародної передачі даних, виданий Комісаром з питань інформації для сторін, які здійснюють обмежену передачу даних відповідно до S119A(1) Закону про захист даних 2018 року.
Кредити
Цей документ є похідним від Стандартні умови Угоди про захист даних (версія 1.0) та ліцензований за ліцензією CC BY 4.0.