Угода про обробку даних

Цей документ є похідним від Загальні стандартні умови паперового DPA (версія 1.0) і внесено такі зміни:

1. Застосовне право та вибрані суди було включено як розділ нижче з Governing State визначені вище.
2. Відносини з постачальником послуг було включено як розділ нижче.

1. Постачальник як процесор

У ситуаціях, коли Клієнт є контролером персональних даних клієнта, Провайдер буде вважатися Обробником, який обробляє персональні дані від імені Клієнт.

2. Постачальник як субпроцесор

У ситуаціях, коли Клієнт є обробником персональних даних клієнта, Провайдер буде вважатися Субобробником персональних даних клієнта.

1. Обробка деталей

Додаток I(B) на титульній сторінці описує предмет, характер, мету та тривалість цієї обробки, а також Категорії персональних даних зібрано і Категорії суб'єктів даних.

2. Інструкція з обробки

Клієнт інструктує Провайдер обробляти персональні дані клієнта: (a) для надання та підтримки Сервісу; (b) як може бути додатково визначено через Замовника використання Сервісу; (c) як зазначено в Угоду; та (d) як зазначено в будь-яких інших письмових інструкціях, наданих Клієнт і визнано Провайдер про обробку персональних даних клієнта згідно з цим DPA. Провайдер дотримуватиметься цих інструкцій, якщо це не заборонено чинним законодавством. Провайдер негайно повідомимо Клієнт якщо він не може слідувати інструкціям з обробки. Клієнт давав і буде давати лише вказівки, які відповідають чинному законодавству.

3. Обробка Постачальником

Провайдер оброблятиме персональні дані клієнта лише відповідно до цього DPA, включаючи деталі на титульній сторінці. Якщо Провайдер оновлює Сервіс, щоб оновити існуючі або включити нові продукти, функції чи функції, Провайдер може змінити Категорії суб'єктів даних, Категорії персональних даних, Дані спеціальної категорії, Особливі обмеження щодо даних категорії або заходи безпеки, Частота передачі, Характер і призначення обробки, і Тривалість обробки за потреби відобразити оновлення шляхом сповіщення Клієнт оновлень і змін.

4. Обробка клієнтів

Де Клієнт є процесором і Провайдер є підпроцесором, Клієнт буде відповідати всім Застосовним законам, які стосуються Замовника Обробка персональних даних клієнтів. Замовника так само вимагатиметься угода з контролером Клієнт дотримуватися всіх застосовних законів, які стосуються Клієнт як процесор. В додаток, Клієнт відповідатиме вимогам Субпроцесора в Замовника угоду з контролером.

5. Згода на обробку

Клієнт дотримувався та продовжуватиме дотримуватись усіх застосовних законів про захист даних щодо надання Персональних даних клієнта Провайдер та/або Сервіс, включаючи розкриття всіх відомостей, отримання всіх згод, надання належного вибору та впровадження відповідних заходів безпеки, необхідних відповідно до чинного законодавства про захист даних.

6. Субпроцесори

a. Провайдер не буде надавати, передавати або передавати будь-які Персональні дані Клієнта Субобробнику, якщо тільки Клієнт затвердив субпроцесора. Поточний список Затверджені субпроцесори містить ідентифікаційні дані субпроцесорів, їх країну розташування та очікувані завдання обробки. Провайдер повідомить Клієнт принаймні за 10 робочих днів і в письмовій формі про будь-які заплановані зміни до Затверджені субпроцесори шляхом додавання чи заміни субпроцесора, що дозволяє Клієнт мати достатньо часу, щоб заперечити проти змін до Провайдер починає використовувати новий підпроцесор(и). Провайдер дам Клієнт інформацію, необхідну для дозволу Клієнт скористатися своїм правом на заперечення проти змін Затверджені субпроцесори. Клієнт має 30 днів після повідомлення про зміну до Затверджені субпроцесори заперечувати, інакше Клієнт буде вважатися таким, що приймає зміни. Якщо Клієнт заперечує проти змін протягом 30 днів після повідомлення, Клієнт і Провайдер буде добросовісно співпрацювати для вирішення Замовника заперечення чи занепокоєння.

b. Під час залучення підпроцесора, Провайдер матиме письмову угоду з Субобробником, яка гарантує, що Субобробник отримує доступ і використовує Персональні дані клієнта лише (i) в обсязі, необхідному для виконання субпідрядних зобов’язань, і (ii) відповідно до умов Угоду.

в. Якщо GDPR застосовується до обробки персональних даних клієнта, (i) зобов’язання щодо захисту даних, описані в цьому DPA (як зазначено в статті 28(3) GDPR, якщо застосовно), також покладаються на Субобробника, і (ii ) Провайдера угода з Субобробником включатиме ці зобов’язання, включаючи докладну інформацію про те, як Провайдер і його субпроцесор координуватимуть відповіді на запити або запити щодо обробки персональних даних клієнта. В додаток, Провайдер поділиться, при Замовника запит, копію його угод (включно з будь-якими поправками) з його Субпроцесорами. Наскільки це необхідно для захисту комерційної таємниці чи іншої конфіденційної інформації, включаючи особисті дані, Провайдер може редагувати текст своєї угоди з Субпроцесором перед наданням копії.

d. Провайдер продовжує нести повну відповідальність за всі зобов’язання субпідрядників перед Субобробниками, включаючи дії та бездіяльність Субобробників під час обробки Персональних даних клієнта. Провайдер сповіщатиме Клієнта про будь-яке невиконання Субобробниками суттєвого зобов’язання щодо Персональних даних Клієнта згідно з угодою між Провайдер і підпроцесор.

1. Авторизація

Клієнт погоджується, що Провайдер може передавати Персональні дані Клієнта за межі ЄЕЗ, Сполученого Королівства чи іншої відповідної географічної території, якщо це необхідно для надання Сервісу. Якщо Провайдер передає Персональні дані Клієнта на територію, щодо якої Європейська комісія або інший відповідний наглядовий орган не видав рішення щодо адекватності, Провайдер запровадить відповідні гарантії для передачі Персональних даних клієнта на цю територію відповідно до чинного законодавства про захист даних.

2. Перекази за межі ЄЕЗ

Клієнт і Провайдер погоджуєтесь, що якщо GDPR захищає передачу Персональних даних клієнта, передача здійснюється з Клієнт з ЄЕЗ до Провайдер за межами ЄЕЗ, і передача не регулюється рішенням про адекватність, прийнятим Європейською комісією, тоді шляхом укладання цього DPA, Клієнт і Провайдер вважаються такими, що підписали SCC ЄЕЗ та їх Додатки, які включені шляхом посилання. Будь-яка така передача здійснюється відповідно до SCC ЄЕЗ, які заповнюються таким чином:

a. Другий модуль (від контролера до процесора) SCC ЄЕЗ застосовується, коли Клієнт є контролером і Провайдер обробляє персональні дані клієнта для Клієнт як процесор.

b. Третій модуль (від процесора до субпроцесора) SCC ЄЕЗ застосовується, коли Клієнт є процесором і Провайдер обробляє персональні дані клієнта від імені Клієнт як підпроцесор.

в. Для кожного модуля застосовується наступне (якщо застосовно):

1. Додаткове положення про стикування в пункті 7 не застосовується;

2. У пункті 9 застосовується варіант 2 (загальний письмовий дозвіл), а мінімальний період часу для попереднього сповіщення про зміни Субобробника становить 10 робочих днів;

3. У пункті 11 необов’язкова мова не застосовується;

4. Усі квадратні дужки в пункті 13 видалено;

5. У пункті 17 (варіант 1) SCC ЄЕЗ регулюватимуться законами Керуюча держава-член;

6. У пункті 18(b) спори вирішуватимуться в судах Керуюча держава-член; і

7. Титульна сторінка цього DPA містить інформацію, яку вимагає Додаток I, Додаток II і Додаток III SCC ЄЕЗ.

3. Перекази з колишнього Великобританії

Клієнт і Провайдер погоджуються, що якщо GDPR Великобританії захищає передачу Персональних даних клієнта, передача здійснюється з Клієнт з території Сполученого Королівства до Провайдер за межі Сполученого Королівства, і передача не регулюється рішенням про достатність, прийнятим Державним секретарем Сполученого Королівства, тоді шляхом укладання цього DPA, Клієнт і Провайдер вважаються такими, що підписали Додаток Великобританії та Додатки до них, які включені шляхом посилання. Будь-яка така передача здійснюється відповідно до Додатку до Сполученого Королівства, який заповнюється таким чином:

a. Розділ 3.2 цього DPA містить інформацію, необхідну в Таблиці 2 Додатку до Сполученого Королівства.

b. Таблиця 4 Додатку до Сполученого Королівства змінюється таким чином: Жодна сторона не може припинити дію Додатку до Сполученого Королівства, як зазначено в Розділі 19 Додатку до Сполученого Королівства; якщо ICO випустить переглянуте Схвалене доповнення відповідно до Розділу ‎18 Додатку до Сполученого Королівства, сторони працюватимуть сумлінно, щоб відповідно переглянути цей DPA.

в. Титульна сторінка містить інформацію, яку вимагає Додаток 1A, Додаток 1B, Додаток II і Додаток III Додатка до Сполученого Королівства.

4. Інші міжнародні перекази

Для передачі Персональних даних, де законодавство Швейцарії (а не законодавство будь-якої країни-члена ЄЕЗ або Сполученого Королівства) застосовується до міжнародного характеру передачі, посилання на GDPR у пункті 4 SCC ЄЕЗ, якщо це вимагається законом, змінено, щоб замість цього посилатися на Швейцарський федеральний закон про захист даних або його наступника, а поняття наглядового органу включатиме Швейцарського федерального уповноваженого із захисту даних та інформації.

1. Дізнавшись про будь-який інцидент безпеки, Провайдер буде: (а) повідомляти Клієнт без невиправданої затримки, коли це можливо, але не пізніше ніж через 72 години після того, як стало відомо про Інцидент безпеки; (b) своєчасно надавати інформацію про Інцидент безпеки, коли про це стає відомо або на обґрунтований запит Клієнт; і (c) негайно вжити розумних заходів для стримування та розслідування Інциденту безпеки. Провайдера повідомлення або відповідь на Інцидент безпеки, як того вимагає цей DPA, не буде тлумачитися як підтвердження Провайдер будь-якої провини або відповідальності за Інцидент безпеки.

1. Права на проведення аудиту

Провайдер дам Клієнт усю інформацію, обґрунтовано необхідну для демонстрації відповідності цього DPA та Провайдер дозволять і сприятимуть аудитам, включаючи інспекції Клієнт, оцінювати Провайдера дотримання цього DPA. однак, Провайдер може обмежити доступ до даних або інформації, якщо Замовника доступ до інформації матиме негативний вплив Провайдера прав інтелектуальної власності, зобов’язань щодо конфіденційності або інших зобов’язань відповідно до чинного законодавства. Клієнт визнає та погоджується, що він здійснюватиме свої права на аудит відповідно до цього DPA та будь-які права на аудит, надані чинним законодавством про захист даних, лише шляхом надання вказівок Провайдер відповідати вимогам щодо звітності та належної перевірки, наведеним нижче. Провайдер зберігатиме записи про дотримання цього DPA протягом 3 років після закінчення DPA.

2. Звіти безпеки

Клієнт визнає це Провайдер регулярно перевіряється на відповідність стандартам, визначеним у Політика безпеки незалежними сторонніми аудиторами. На письмовий запит, Провайдер дам Клієнт, на конфіденційній основі, коротку копію свого поточного на той час Звіту, щоб Клієнт можна перевірити Провайдера відповідність стандартам, визначеним у Політика безпеки.

3. Належна перевірка безпеки

На додаток до звіту, Провайдер відповість на обґрунтовані запити щодо інформації, зроблені Клієнт підтвердити Провайдера дотримання цього DPA, включно з відповідями щодо інформаційної безпеки, належної перевірки та анкетами аудиту, або шляхом надання додаткової інформації про свою програму інформаційної безпеки. Усі такі запити мають бути в письмовій формі та надіслані до Контактна особа служби безпеки постачальника і може бути зроблено лише один раз на рік.

1. Відповіді на запити

Якщо Провайдер отримує будь-які запити чи запити від будь-кого щодо обробки персональних даних клієнта, Провайдер повідомить Клієнт про запит і Провайдер не відповість на запит без Замовника попередня згода. Приклади таких запитів і запитів включають судові, адміністративні чи регуляторні накази щодо Персональних даних клієнта, у яких повідомляється Клієнт не заборонено чинним законодавством або запитом суб’єкта даних. Якщо це дозволено чинним законодавством, Провайдер буде слідувати Замовника розумні інструкції щодо цих запитів, включаючи надання оновлень статусу та іншої інформації, яку обґрунтовано запитує Клієнт. Якщо суб’єкт даних робить дійсний запит на видалення або відмову відповідно до чинного законодавства про захист даних Замовника надання персональних даних клієнта Провайдер, Провайдер допоможе Клієнт під час виконання запиту відповідно до чинного законодавства про захист даних. Провайдер буде співпрацювати з та надавати розумну допомогу Клієнт, при Замовника витрати, у будь-якій судовій відповіді чи іншій процесуальній дії, здійсненій Клієнт у відповідь на запит третьої сторони про Провайдера Обробка Персональних даних клієнта відповідно до цього DPA.

2. DPIA та DTIA

Якщо цього вимагає чинне законодавство про захист даних, Провайдер розумно допоможе Клієнт у проведенні будь-яких обов’язкових оцінок впливу на захист даних або оцінок впливу на передачу даних і консультацій з відповідними органами захисту даних, беручи до уваги характер обробки та Персональних даних клієнта.

1. Видалення Клієнтом

Провайдер дозволить Клієнт видаляти Персональні дані Клієнта у спосіб, який відповідає функціональності Послуг. Провайдер виконає цю інструкцію, як тільки це буде практично можливо, за винятком випадків, коли подальше зберігання персональних даних клієнта вимагає чинне законодавство.

2. Видалення після закінчення терміну дії DPA

a. Після закінчення терміну дії DPA, Провайдер поверне або видалить Персональні дані клієнта за адресою Замовника інструкції, якщо подальше зберігання Персональних даних клієнта не вимагається або не дозволено чинним законодавством. Якщо повернення або знищення є неможливим або забороненим чинним законодавством, Провайдер докладатиме розумних зусиль, щоб запобігти додатковій обробці Персональних даних Клієнта, і продовжуватиме захищати Персональні дані Клієнта, які залишаються у його володінні, зберіганні або під контролем. Наприклад, чинне законодавство може вимагати Провайдер продовжувати розміщення або обробку персональних даних клієнта.

b. Якщо Клієнт і Провайдер увійшли до SCC ЄЕЗ або Доповнення Великобританії як частину цього DPA, Провайдер тільки дасть Клієнт підтвердження видалення Персональних даних, описане в пункті 8.1(d) і пункті 8.5 SCC ЄЕЗ, якщо Клієнт просить одного.

1. Обмеження відповідальності та відмова від відшкодування збитків

У максимальному обсязі, дозволеному чинним законодавством про захист даних, загальна сукупна відповідальність кожної сторони перед іншою стороною, що випливає з цієї DPA або пов’язана з нею, підпадає під дію відмов, винятків і обмежень відповідальності, зазначених у Угоду.

2. Претензії пов'язаних сторін

Будь-які претензії щодо Провайдер або його афілійованими особами, що випливають із цього DPA або пов’язані з ним, можуть бути подані лише Клієнт суб'єкт, який є учасником в Угоду.

3. Винятки

1. Цей DPA не обмежує жодної відповідальності перед особою щодо її прав на захист даних відповідно до чинного законодавства про захист даних. Крім того, цей DPA не обмежує будь-яку відповідальність між сторонами за порушення SCC ЄЕП або Доповнення до Сполученого Королівства.

1. Цей DPA є частиною та доповнює Угоду. Якщо існує будь-яка невідповідність між цим DPA, Угоду, або будь-яку з їхніх частин, частина, перерахована раніше, матиме перевагу над частиною, перерахованою пізніше, щодо цієї невідповідності: (1) SCC ЄЕЗ або Додаток Великобританії, (2) цей DPA, а потім (3) Угоду.

Цей DPA розпочнеться, коли Провайдер і Клієнт погодьтеся на титульну сторінку для DPA та підпишіть або прийміть її в електронному вигляді Угоду і триватиме до Угоду закінчується або припиняється. однак, Провайдер і Клієнт на кожного з них поширюватимуться зобов’язання, викладені в цьому DPA та Застосовних законах про захист даних, доки Клієнт припиняє передачу персональних даних клієнта Провайдер і Провайдер припиняє обробку персональних даних клієнта.

Незважаючи на чинне законодавство чи подібні положення Угоду, усі тлумачення та суперечки щодо цього DPA регулюватимуться законами Керуюча держава без урахування положень колізійного права. Крім того, незважаючи на вибір форуму, юрисдикцію чи подібні положення Угоду, сторони погоджуються порушувати будь-який судовий позов, позов або провадження щодо цього DPA, і кожна сторона безповоротно підпорядковується виключній юрисдикції судів Керуюча держава.

Відповідно до Закону Каліфорнії про конфіденційність споживачів, Cal. Civ. Застосовується § 1798.100 Кодексу та наступні ("CCPA"), сторони визнають і погоджуються, що Провайдер є постачальником послуг і отримує персональні дані від Клієнт надавати Послугу згідно з погодженням у Угоду, що є комерційною метою. Провайдер не буде продавати будь-які Персональні дані, надані Клієнт під Угоду. В додаток, Провайдер не буде зберігати, використовувати або розголошувати будь-які Персональні дані, надані Клієнт під Угоду крім випадків, необхідних для надання Послуги для Клієнт, як зазначено в Угоду, або як це дозволено чинним законодавством про захист даних. Провайдер засвідчує, що розуміє обмеження цього пункту.

1. «Чинні закони» означає закони, правила, нормативні акти, ухвали суду та інші обов’язкові вимоги відповідного державного органу, які стосуються сторони або регулюють її.

2. «Чинні закони про захист даних» означає Застосовне законодавство, яке регулює те, як Служба може обробляти або використовувати особисту інформацію особи, особисті дані, інформацію, що дозволяє ідентифікувати особу, або інший подібний термін.

3. "Контролер" матиме значення, надане(-і) у Застосовних законах про захист даних для компанії, яка визначає мету та обсяг обробки персональних даних.

4. "Обкладинка" означає документ, підписаний або прийнятий сторонами в електронному вигляді, який містить ці Стандартні умови DPA та ідентифікує Провайдер, Клієнт, а також предмет і деталі обробки даних.

5. «Персональні дані клієнта» означає персональні дані, які Клієнт завантажує або надає Провайдер як частину Сервісу та регулюється цим DPA.

6. "DPA" означає ці Стандартні умови DPA, титульну сторінку між Провайдер і Клієнт, а також політики та документи, на які є посилання на титульній сторінці або які додаються до неї.

7. "SCC ЄЕЗ" означає стандартні договірні положення, додані до Виконавчого рішення Європейської Комісії 2021/914 від 4 червня 2021 року про стандартні договірні положення щодо передачі персональних даних третім країнам відповідно до Регламенту (ЄС) 2016/679 Європейського Парламенту та Європейської Ради .

8. "Європейська економічна зона" або "EEA" означає країни-члени Європейського Союзу, Норвегію, Ісландію та Ліхтенштейн.

9. "GDPR" означає Регламент Європейського Союзу 2016/679 згідно з місцевим законодавством у відповідній країні-члені ЄЕЗ.

10. "Особисті дані" матиме значення, надане(-і) у Застосовних законах про захист даних для особистої інформації, особистих даних або інших подібних термінів.

11. "Обробка" або "процес" матиме значення, надане(-і) у Застосовних законах про захист даних для будь-якого використання чи виконання комп’ютерних операцій з Персональними даними, включно з автоматичними методами.

12. "Процесор" матиме значення, надане(-і) у Застосовних законах про захист даних для компанії, яка обробляє персональні дані від імені Контролера.

13. "Звіт" означає аудиторські звіти, підготовлені іншою компанією відповідно до стандартів, визначених у Політиці безпеки від імені Постачальника.

14. "Обмежена передача" означає (a) якщо застосовується GDPR, передачу персональних даних з ЄЕЗ до країни за межами ЄЕЗ, яка не підлягає визначенню достатності Європейською Комісією; і (b) якщо застосовується GDPR Великобританії, передача персональних даних зі Сполученого Королівства в будь-яку іншу країну, яка не підпадає під дію правил відповідності, прийнятих відповідно до розділу 17A Закону Сполученого Королівства про захист даних 2018 року.

15. "Інцидент безпеки" означає порушення безпеки персональних даних, як це визначено в статті 4 GDPR.

16. "Сервіс" означає продукт та/або послуги, описані в Угоду.

17. «Дані спеціальної категорії» матиме значення, наведене в статті 9 GDPR.

18. "Субпроцесор" матиме значення, наведене в Застосовних законах про захист даних для компанії, яка, за погодженням і згодою Контролера, допомагає Обробнику в обробці персональних даних від імені Контролера.

19. "UK GDPR" означає Регламент Європейського Союзу 2016/679 відповідно до розділу 3 Закону Сполученого Королівства про Європейський Союз (вихід) від 2018 року у Сполученому Королівстві.

20. "Додаток Великобританії" означає міжнародний додаток щодо передачі даних до SCC ЄЕЗ, виданий Уповноваженим з питань інформації для сторін, які здійснюють обмежену передачу даних відповідно до S119A(1) Закону про захист даних 2018 року.

Цей документ є похідним від Загальні стандартні умови паперового DPA (версія 1.0) і має ліцензію під CC BY 4.0.