Соглашение об обработке данных (DPA)
Последнее обновление: [Current Date]
Настоящее Соглашение об обработке данных ("DPA") заключается между at-sed ("Обработчик") и Клиентом ("Контролер"), привлекающим at-sed для оказания услуг, и является неотъемлемой частью основного Сервисного соглашения или Условий предоставления услуг между сторонами.
Настоящее DPA отражает соглашение сторон в отношении обработки Персональных данных в соответствии с требованиями Законов о защите данных.
1. Определения
"Контролер" означает юридическое лицо, которое определяет цели и средства Обработки Персональных данных. Для целей настоящего DPA Клиент является Контролером.
"Обработчик" означает at-sed, юридическое лицо, которое обрабатывает Персональные данные от имени Контролера.
"Персональные данные" означают любую информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу ("Субъект данных"), которая обрабатывается Обработчиком от имени Контролера в связи с Услугами.
"Законы о защите данных" означают все применимые законы, касающиеся защиты данных и конфиденциальности, включая (без ограничений) UK GDPR (как определено в Законе о защите данных 2018 года), EU GDPR (Общий регламент по защите данных (ЕС) 2016/679) и любые другие национальные имплементирующие законы, нормативные акты и вторичное законодательство, с поправками или обновлениями время от времени.
"Обработка" означает любую операцию или совокупность операций, которые выполняются с Персональными данными, независимо от того, осуществляются ли они автоматическими средствами, такие как сбор, запись, организация, структурирование, хранение, адаптация или изменение, извлечение, консультация, использование, раскрытие путем передачи, распространения или иного предоставления доступа, выравнивание или комбинирование, ограничение, стирание или уничтожение.
"Субобработчик" означает любого стороннего обработчика данных, привлеченного Обработчиком для обработки Персональных данных в соответствии с настоящим DPA.
2. Предмет, продолжительность, характер и цель обработки
2.1 Предмет: Предметом обработки данных в соответствии с настоящим DPA являются Персональные данные, предоставленные Контролером Обработчику или собранные Обработчиком от имени Контролера в ходе предоставления согласованных Услуг, как указано в Сервисном соглашении.
2.2 Продолжительность: Обработка будет осуществляться в течение срока действия Сервисного соглашения или до тех пор, пока Обработчик обязан обрабатывать Персональные данные для выполнения своих обязательств по Сервисному соглашению и применимым Законам о защите данных.
2.3 Характер и цель: Целью обработки является предоставление Обработчиком услуг по оптимизации бизнес-процессов и бизнес-аналитике, как согласовано в Сервисном соглашении. Это может включать сбор данных, хранение, анализ, преобразование, создание отчетов, моделирование процессов и коммуникацию, связанную с услугами. Обработчик должен обрабатывать Персональные данные только для целей, указанных в Сервисном соглашении и настоящем DPA.
3. Типы Персональных данных и категории Субъектов данных
3.1 Типы Персональных данных: Типы обрабатываемых Персональных данных могут включать, но не ограничиваться: контактные данные (имена, адреса электронной почты, номера телефонов), профессиональную информацию (должности, названия компаний), операционные данные (информация о бизнес-процессах, показатели производительности), финансовые данные (если это относится к аналитическим услугам), данные сотрудников, данные клиентов и любые другие Персональные данные, предоставленные Контролером или созданные в ходе предоставления услуг, необходимые для достижения вышеуказанных целей.
3.2 Категории Субъектов данных: Категории Субъектов данных, чьи Персональные данные могут обрабатываться, включают, но не ограничиваются: сотрудники, подрядчики, клиенты, заказчики, поставщики и другие деловые контакты Контролера, или другие лица, чьи Персональные данные включены в данные, предоставленные Контролером для обработки.
4. Обязательства Обработчика
Обработчик соглашается и гарантирует:
- Обрабатывать Персональные данные только по документированным инструкциям Контролера, в том числе в отношении передачи Персональных данных в третью страну или международную организацию, если это не требуется законодательством Союза или государства-члена, которому подчиняется Обработчик; в таком случае Обработчик должен информировать Контролера об этом правовом требовании перед обработкой, если только это законодательство не запрещает такую информацию по важным причинам общественного интереса.
- Обеспечить, чтобы лица, уполномоченные обрабатывать Персональные данные, взяли на себя обязательство о конфиденциальности или находятся под соответствующим установленным законом обязательством о конфиденциальности.
- Внедрять и поддерживать соответствующие технические и организационные меры для обеспечения уровня безопасности, соответствующего риску, включая, при необходимости: (a) псевдонимизацию и шифрование Персональных данных; (b) способность обеспечивать постоянную конфиденциальность, целостность, доступность и устойчивость систем и служб обработки; (c) способность своевременно восстанавливать доступность и доступ к Персональным данным в случае физического или технического инцидента; (d) процесс регулярного тестирования, оценки и анализа эффективности технических и организационных мер для обеспечения безопасности обработки.
- Оказывать содействие Контролеру соответствующими техническими и организационными мерами, насколько это возможно, для выполнения обязательства Контролера по реагированию на запросы об осуществлении прав Субъекта данных, изложенных в Главе III GDPR.
- Оказывать содействие Контролеру в обеспечении соблюдения обязательств в соответствии со статьями 32-36 GDPR (Безопасность обработки, Уведомление о нарушении данных, Оценка воздействия на защиту данных, Предварительная консультация) с учетом характера обработки и информации, доступной Обработчику.
- По выбору Контролера удалить или вернуть все Персональные данные Контролеру после окончания предоставления услуг, связанных с обработкой, и удалить существующие копии, если законодательство Союза или государства-члена не требует хранения Персональных данных. Обработчик должен предоставить письменное подтверждение удаления по запросу.
- Предоставлять Контролеру всю информацию, необходимую для демонстрации соблюдения обязательств, изложенных в настоящем DPA и статье 28 GDPR, и разрешать и способствовать проведению аудитов, включая инспекции, проводимые Контролером или другим аудитором, уполномоченным Контролером (при условии разумного уведомления и обязательств о конфиденциальности).
- Немедленно информировать Контролера, если, по его мнению, инструкция нарушает Законы о защите данных.
5. Субобработка
5.1 Обработчик не должен привлекать другого Субобработчика без предварительного конкретного или общего письменного разрешения Контролера. В случае общего письменного разрешения Обработчик должен информировать Контролера о любых предполагаемых изменениях, касающихся добавления или замены других Субобработчиков, тем самым предоставляя Контролеру возможность возразить против таких изменений.
5.2 В тех случаях, когда Обработчик привлекает Субобработчика для выполнения конкретных операций по обработке от имени Контролера, он делает это путем заключения письменного договора, который налагает на Субобработчика те же обязательства по защите данных, что и на Обработчика в соответствии с настоящим DPA. Обработчик остается полностью ответственным перед Контролером за выполнение обязательств этого Субобработчика.
5.3 Список текущих Субобработчиков может быть предоставлен по запросу, если это применимо.
6. Передача данных
Любая передача Персональных данных в третью страну или международную организацию Обработчиком (или его Субобработчиками) должна осуществляться только в том случае, если такая передача соответствует Законам о защите данных (например, на основании решения об адекватности, Стандартных договорных условий или других соответствующих гарантий). Обработчик должен уведомить Контролера до любой такой предполагаемой передачи.
7. Уведомление о нарушении данных
Обработчик должен уведомить Контролера без неоправданной задержки, и, по возможности, в течение 48 часов после того, как ему станет известно о нарушении Персональных данных, затрагивающем Персональные данные, обрабатываемые в соответствии с настоящим DPA. Это уведомление, как минимум: (a) опишет характер нарушения Персональных данных, включая, по возможности, категории и приблизительное количество затронутых Субъектов данных и категории и приблизительное количество затронутых записей Персональных данных; (b) сообщит имя и контактные данные сотрудника по защите данных или другого контактного лица, у которого можно получить дополнительную информацию; (c) опишет вероятные последствия нарушения Персональных данных; и (d) опишет меры, принятые или предложенные к принятию Обработчиком для устранения нарушения Персональных данных, включая, при необходимости, меры по смягчению его возможных неблагоприятных последствий.
8. Ответственность и возмещение убытков
Ответственность каждой стороны по настоящему DPA подлежит ограничениям и исключениям ответственности, изложенным в основном Сервисном соглашении между Контролером и Обработчиком. Ничто в настоящем DPA не должно ограничивать ответственность, которая не может быть ограничена или исключена применимым законодательством.
9. Регулирующее законодательство и юрисдикция
Настоящее DPA и любые споры или претензии, возникающие из или в связи с ним или его предметом или образованием (включая недоговорные споры или претензии), регулируются и толкуются в соответствии с законодательством Соединенного Королевства. Стороны безоговорочно соглашаются, что суды Соединенного Королевства обладают исключительной юрисдикцией для урегулирования любых споров или претензий, возникающих из или в связи с настоящим DPA.
10. Срок действия и прекращение действия
Настоящее DPA остается в силе до тех пор, пока Обработчик обрабатывает Персональные данные от имени Контролера в соответствии с Сервисным соглашением. Положения настоящего DPA, которые по своему характеру должны оставаться в силе после прекращения действия (например, конфиденциальность, возврат/удаление данных, ответственность), остаются в силе.
Свяжитесь с нами
Если у вас есть какие-либо вопросы по поводу настоящего Соглашения об обработке данных, пожалуйста, свяжитесь с нами:
По электронной почте: [email protected]
По почте: 63 Sea Road, Lamancha, EH46 2JR, United Kingdom