Соглашение об Обработке Данных (DPA)
Последнее обновление:
Настоящее Соглашение об Обработке Данных ("DPA") является частью Условий и Положений ("Основное Соглашение") между Odio-Quia ("Обработчик" или "Мы") и клиентом, пользующимся нашими услугами ("Контролер" или "Вы"). Настоящее DPA применяется там и в той мере, в какой Odio-Quia обрабатывает Персональные Данные от имени Контролера в ходе предоставления услуг по Основному Соглашению.
1. Определения
Термины с заглавной буквы, не определенные иным образом в настоящем документе, имеют значение, присвоенное им в Основном Соглашении. В настоящем DPA следующие термины имеют значения, изложенные ниже:
- "Законы о Защите Данных" означают все применимые законы, касающиеся защиты данных и конфиденциальности, включая (без ограничений) Общий Регламент по Защите Данных Великобритании (UK GDPR), Закон о Защите Данных 2018 года и любые другие применимые национальные или международные законы и нормативные акты о защите данных.
- "Персональные Данные" означают любую информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу, обрабатываемую Odio-Quia от имени Контролера в соответствии с Основным Соглашением или в связи с ним.
- "Обработка", "Субъект Данных", "Нарушение Безопасности Персональных Данных" имеют значения, присвоенные им в Законах о Защите Данных.
2. Обработка Персональных Данных
2.1. Роли Сторон: Стороны признают, что для целей Законов о Защите Данных Контролер является контролером, а Odio-Quia — обработчиком любых Персональных Данных, обрабатываемых от имени Контролера.
2.2. Инструкции Контролера: Odio-Quia обязуется обрабатывать Персональные Данные только от имени и в соответствии с документированными инструкциями Контролера, в том числе в отношении передачи Персональных Данных в третью страну или международную организацию, если только это не требуется законодательством Союза или государства-члена, которому подчиняется Odio-Quia. В таком случае Odio-Quia информирует Контролера об этом юридическом требовании перед обработкой, если только это законодательство не запрещает такую информацию по важным причинам общественного интереса. Основное Соглашение (включая настоящее DPA) представляет собой документированные инструкции Контролера для Odio-Quia относительно обработки Персональных Данных.
2.3. Детали Обработки:
- Предмет: Предметом обработки является предоставление услуг, как указано в Основном Соглашении.
- Продолжительность: Продолжительность обработки соответствует сроку действия Основного Соглашения и до тех пор, пока Odio-Quia обязана обрабатывать Персональные Данные в соответствии с применимым законодательством.
- Характер и Цель: Характер и цель обработки заключаются в том, чтобы позволить Odio-Quia предоставлять услуги, которые могут включать анализ Оптимизации Бизнес-Процессов, услуги Бизнес-Аналитики, общение с клиентами и поддержку.
- Типы Персональных Данных: Это может включать имена, контактные данные (электронная почта, телефон), деловую информацию, данные сотрудников, предоставленные Контролером для анализа, и любые другие Персональные Данные, которые Контролер решит предоставить или сделать доступными для Odio-Quia с целью предоставления услуг. Это будет определяться и контролироваться Контролером по его собственному усмотрению.
- Категории Субъектов Данных: Субъекты Данных могут включать сотрудников, клиентов, поставщиков Контролера и других лиц, чьи Персональные Данные предоставляются Odio-Quia Контролером. Это будет определяться и контролироваться Контролером по его собственному усмотрению.
3. Конфиденциальность
Odio-Quia гарантирует, что лица, уполномоченные обрабатывать Персональные Данные, взяли на себя обязательства по соблюдению конфиденциальности или находятся под соответствующим установленным законом обязательством по соблюдению конфиденциальности.
4. Безопасность
Odio-Quia обязуется внедрить соответствующие технические и организационные меры для обеспечения уровня безопасности, соответствующего риску, с учетом уровня техники, затрат на внедрение и характера, объема, контекста и целей обработки, а также риска различной вероятности и серьезности для прав и свобод физических лиц. Такие меры могут включать, по мере необходимости: (a) псевдонимизацию и шифрование Персональных Данных; (b) способность обеспечивать постоянную конфиденциальность, целостность, доступность и устойчивость систем и услуг обработки; (c) способность своевременно восстанавливать доступность и доступ к Персональным Данным в случае физического или технического инцидента; (d) процесс регулярного тестирования, оценки и анализа эффективности технических и организационных мер для обеспечения безопасности обработки.
5. Субобработка
5.1. Авторизованные Субобработчики: Контролер предоставляет общее письменное разрешение Odio-Quia на привлечение субобработчиков. Odio-Quia информирует Контролера о любых предполагаемых изменениях, касающихся добавления или замены других субобработчиков, тем самым предоставляя Контролеру возможность возражать против таких изменений. Список текущих субобработчиков (например, хостинг-провайдеров) может быть предоставлен по запросу.
5.2. Обязательства Субобработчика: В случае привлечения Odio-Quia субобработчика, это делается посредством письменного договора, который налагает на субобработчика те же обязательства по защите данных, что и на Odio-Quia в соответствии с настоящим DPA. Odio-Quia несет полную ответственность перед Контролером за выполнение обязательств этого субобработчика.
6. Права Субъектов Данных
Odio-Quia, в пределах, разрешенных законом, незамедлительно уведомляет Контролера, если получает запрос от Субъекта Данных на осуществление его прав в соответствии с Законами о Защите Данных (например, доступ, исправление, удаление). Учитывая характер обработки, Odio-Quia оказывает Контролеру содействие с помощью соответствующих технических и организационных мер, насколько это возможно, для выполнения обязательства Контролера по реагированию на запросы об осуществлении прав Субъекта Данных.
7. Нарушение Безопасности Персональных Данных
В случае Нарушения Безопасности Персональных Данных, Odio-Quia уведомляет Контролера без неоправданной задержки после того, как ей стало об этом известно. Уведомление должно, как минимум: (a) описывать характер Нарушения Безопасности Персональных Данных, включая, по возможности, категории и приблизительное количество затронутых Субъектов Данных и категории и приблизительное количество затронутых записей Персональных Данных; (b) сообщать имя и контактные данные сотрудника по защите данных или другого контактного лица, у которого можно получить дополнительную информацию; (c) описывать вероятные последствия Нарушения Безопасности Персональных Данных; (d) описывать меры, принятые или предложенные Odio-Quia для устранения Нарушения Безопасности Персональных Данных, включая, при необходимости, меры по смягчению его возможных неблагоприятных последствий.
8. Оценка Воздействия на Защиту Данных и Предварительная Консультация
Odio-Quia оказывает разумное содействие Контролеру в проведении любых оценок воздействия на защиту данных и предварительных консультаций с надзорными органами, которые Контролер обоснованно считает необходимыми в соответствии с Законами о Защите Данных, принимая во внимание характер обработки и информацию, доступную Odio-Quia.
9. Удаление или Возврат Персональных Данных
По прекращении действия Основного Соглашения или по письменному запросу Контролера, Odio-Quia, по выбору Контролера, удаляет или возвращает все Персональные Данные Контролеру и удаляет существующие копии, если только законодательство Союза или государства-члена не требует хранения Персональных Данных. Это обязательство подлежит соблюдению Odio-Quia собственных требований по ведению учета и соблюдению законодательства.
10. Аудиты и Инспекции
Odio-Quia предоставляет Контролеру всю информацию, необходимую для демонстрации соблюдения обязательств, изложенных в настоящем DPA, и разрешает и способствует проведению аудитов, включая инспекции, проводимые Контролером или другим аудитором, уполномоченным Контролером. Такие аудиты подлежат разумному предварительному уведомлению, проводятся в обычное рабочее время и не должны необоснованно мешать деловой деятельности Odio-Quia. Контролер несет свои собственные расходы и разумные расходы Odio-Quia на такие аудиты.
11. Международные Передачи
Odio-Quia не передает Персональные Данные, обрабатываемые в рамках настоящего DPA, за пределы Великобритании или Европейской Экономической Зоны (ЕЭЗ), если не приняты меры, необходимые для обеспечения соответствия передачи Законам о Защите Данных. Такие меры могут включать (без ограничений) передачу Персональных Данных получателю в стране, которая, по решению Госсекретаря Великобритании или Европейской Комиссии, обеспечивает адекватную защиту Персональных Данных, или получателю, который заключил Стандартные Договорные Клаузулы, принятые или утвержденные Госсекретарем Великобритании или Европейской Комиссией.
12. Общие Условия
Настоящее DPA регулируется и толкуется в соответствии с применимым правом Основного Соглашения, если иное не требуется Законами о Защите Данных. Если какое-либо положение настоящего DPA будет признано неисполнимым, остальные положения останутся в полной силе и действии. Настоящее DPA автоматически прекращает свое действие по прекращении действия Основного Соглашения. Любые обязательства, которые по своему характеру должны сохранять силу после прекращения действия (включая, без ограничений, обязательства по конфиденциальности и удалению данных), сохраняют свою силу.
Контактная Информация
По любым вопросам, связанным с настоящим DPA, пожалуйста, свяжитесь с нами по адресу [email protected] или по почте: 99 South Crescent, Machrins, PA61 5NG, United Kingdom.