Data Processing Addendum

Додаток щодо обробки даних

Definitions Визначення Purpose and scope Мета та обсяг Roles of the Parties Ролі сторін User’s obligations and responsibilities Обов'язки та відповідальність користувача User’s instructions Інструкції користувача Quantum’s obligations Обов'язки Quantum Sensitive Data Чутливі дані Documentation and compliance Документація та відповідність Subprocessors Субпідрядники Authorised Affiliate Уповноважений афілійований International transfers Міжнародні трансфери Data Subject requests Запити суб'єктів даних Notification of Personal Data Breach Повідомлення про порушення персональних даних Deletion or return of Personal Data Видалення або повернення персональних даних Non-compliance with DPA and termination Невідповідність DPA та припинення Data Protection Impact Assessment and Prior Consultation Оцінка впливу на захист даних та попередні консультації Amendments Зміни Annex I - Description of Personal Data Transfer Додаток I - Опис передачі персональних даних Annex II - Description of the Processing Додаток II - Опис обробки персональних даних Annex III - Technical and Organisational Measures including Technical and Organisational Measures to Ensure the Security of the Data Додаток III - Технічні та організаційні заходи, включаючи технічні та організаційні заходи для забезпечення безпеки даних Annex IV – List of Subprocessors Додаток IV – Список субпідрядників

This Data Processing Addendum (the “DPA”) is entered into by and between Quantum PM LLP (the “Quantum”) and You, the User as defined in the Agreement (the “User”). This DPA is incorporated by reference into the Quantum’s Terms and Conditions (the “Agreement”) available at https://www.qpm.ai/terms.html which govern the use of the service provided by Quantum.

This DPA consists of Standard Contractual Clauses (the “SCC”) and other provisions, including its applicable Annexes (the “Annex”), and replaces any previously applicable data processing and security terms. In the event of any conflict between the provisions of this DPA and the provisions of the Agreement, the provisions of this DPA shall prevail over the conflicting provisions of the Agreement.

Quantum and the User are also referred to individually as a “Party” and collectively as the “Parties”.

  1. Definitions

      Unless otherwise set out below, each capitalized term in this DPA shall have the meaning set out in the Agreement, and the following capitalized terms used in this DPA shall be defined as follows:
    1. “Authorised Affiliate” means any of the User’s Team member(s), as defined by the Agreement, who is invited by the User, has accepted the terms and conditions of the Agreement and is entitled to use the services under the Agreement.
    2. “Controller” has the meaning given in the GDPR.
    3. “Data Protection Laws” means all applicable laws, regulations, and other legal or regulatory requirements in any jurisdiction relating to privacy, data protection, security, or the Processing of personal data, including without limitation (i) the General Data Protection Regulation, Regulation (EU) 2016/679 (the “GDPR”), (ii) in respect of the United Kingdom, the Data Protection Act 2018 (the ”UK DPA 2018”) and the GDPR as saved into United Kingdom law by virtue of section 3 of the United Kingdom's European Union (Withdrawal) Act 2018 (the “UK GDPR”).
    4. “Data Subject” has the meaning given in the GDPR.
    5. “European Economic Area” or “EEA” means the Member States of the European Union together with Iceland, Norway, Liechtenstein.
    6. “Personal Data” means the personal data as defined in the GDPR and described in ANNEX II, and any other personal data that Quantum Processes on behalf of the User in connection with Quantum’s provision of the services under the Agreement.
    7. “Processing” has the meaning given in the GDPR, and “Process” will be interpreted accordingly.
    8. “Processor” has the meaning given in the GDPR.
    9. “Sensitive Data” means Personal Data that is protected under special legislation and requires unique treatment under relevant Data Protection Laws. Sensitive Data may include information about racial or ethnic origin, political opinions, religious or philosophical beliefs, trade-union membership, genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or sex life, or sexual orientation.
    10. “Standard Contractual Clauses” means (i) where the GDPR applies, the standard contractual clauses annexed to the European Commission's Implementing Decision 2021/914 of 4 June 2021 on standard contractual clauses for the transfer of personal data to third countries pursuant to Regulation (EU) 2016/679 of the European Parliament and of the European Council (available as of June 2021 https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj), (the “EU SCCs”); (ii) where the UK GDPR applies, the applicable standard data protection clauses adopted pursuant to Article 46(2)(c) or (d) of the UK GDPR including the standard data protection clauses issued by the commissioner under section 119A(1) of the UK DPA 2018 as revised from time to time (the “UK Addendum”)
    11. “Subprocessor” means any third party that carries out specific Processing activities of Personal Data under the instruction of Quantum.
    12. “Supervisory Authority” has the meaning given in the Regulation.
  2. Purpose and scope

    The purpose of this DPA is to ensure compliance with Data Protection Laws on the protection of natural persons with regard to the Processing of Personal Data and on the free movement of such data. This DPA applies to the Processing of Personal Data as specified hereof and in relevant Annexes. All Annexes to this DPA shall form an integral part of it. This DPA is without prejudice to obligations to which the User is subject by virtue of Data Protection Laws.
  3. Roles of the Parties

    The Parties agree that while Processing Personal Data on behalf of the User, Quantum is the Processor of such Personal Data and the User is the Controller of Personal Data. Hereinafter the terms “Processor” and “Controller” refer to Quantum and the User respectively.
  4. User’s obligations and responsibilities

    While using the services and providing instructions to Quantum, the User shall comply with relevant Data Protection Laws, provisions of the Agreement and this DPA. Without prejudice to the generality of the foregoing, the User shall be solely responsible for:
    1. the accuracy, quality, and legality of the Personal Data and the means by which Personal Data was obtained by the User;
    2. ensuring its compliance with all necessary transparency and lawfulness requirements under applicable Data Protection Laws for the collection and use of Personal Data, including obtaining any necessary consents and authorizations;
    3. having the right to transfer to Quantum the Personal Data and/or to provide Quantum with access to the Personal Data;
    4. instructions provided to Quantum regarding the Processing of Personal Data and their compliance with Data Protection Laws and other applicable legislation;
    5. obtaining necessary consents from the relevant Data Subject where Quantum, while Processing Personal Data on behalf of the Controller, is required to send email to that Data Subject.
  5. User’s instructions

    Quantum shall Process Personal Data only on documented instructions from the Controller, unless otherwise required by the relevant legislation to which Quantum is subject. In this case, Quantum shall inform the Controller of that legal requirement before Processing, unless the law prohibits this on important grounds of public interest. Subsequent instructions may also be given by the Controller throughout the duration of the Processing of Personal Data. These instructions shall always be documented. The Parties agree that this DPA, the Agreement, and the User’s usage of the service in accordance with the Agreement shall constitute complete instructions from the User to Quantum regarding the Processing of Personal Data. Notwithstanding the foregoing, while using the services under the Agreement, the User may provide additional instructions regarding the Processing of Personal Data that shall be consistent with the Agreement, Data Protection Laws, the nature and lawful use of the services.

    Quantum shall immediately inform the Controller if, in the Quantum’s opinion, instructions given by the Controller infringe Data Protection Laws or other applicable legislation. It is hereby clarified that Quantum has no obligation to assess whether instructions of the Controller infringe any Data Protection Laws.
  6. Quantum’s obligations
    1. Compliance with instructions and conflicts of law. Quantum shall Process Personal Data only for the purposes described in this DPA and User’s instructions as described in section 5 hereof. Quantum shall not be responsible for compliance with any Data Protection Laws applicable to User and/or its industry that are not generally applicable to Quantum. In case Quantum become aware of inability and/or prohibition of Processing Personal Data in accordance with User’s instructions due to a legal requirement under any applicable law, Quantum shall (i) within reasonable period of time and to the extent permitted by the applicable law, notify the User of that legal requirement; and (ii) where necessary, cease all Processing (other than merely storing and maintaining the security of the affected Personal Data) until the User issue new instructions that comply with applicable law. If Quantum can not Process Personal Data for above mentioned reasons and that causes failure to provide services under the Agreement, Quantum shall not be liable to User under the Agreement and this DPA.
    2. Duration of Processing. Quantum shall Process Personal Data only for the duration specified in Annex II.
    3. Description of Processing. Quantum Process Personal Data to provide services to the User pursuant to the Agreement and this DPA. The details of the Processing operations, in particular, the categories of Personal Data and the purposes of Processing are specified in Annex II.
    4. Security of Processing. Quantum shall at least implement the technical and organizational measures specified in Annex III to ensure the security of Personal Data. This includes protecting the data against a breach of security leading to accidental or unlawful destruction, loss, alteration, unauthorized disclosure, or access to the data (the “Personal Data Breach”). Notwithstanding any provision to the contrary, Quantum shall be entitled to modify or update the security measures at its sole discretion provided that such modification or update does not result in a material degradation in the protection of Personal Data.
    5. Confidentiality. Quantum shall ensure that persons authorized to Process the Personal Data have committed themselves to confidentiality or are under an appropriate statutory obligation of confidentiality.
  7. Sensitive Data

    The Parties agree that the services provided under the Agreement are not intended for the Processing of Sensitive Data. In case the Controller wants the Processor to Process Sensitive Data on behalf of the Controller, it must first obtain the Processor’s explicit prior written consent and enter into any additional agreements as may be required.
  8. Documentation and compliance

    The Parties shall be able to demonstrate compliance with this DPA. Upon the Controller’s 10 (ten) business days prior written request, which shall be no more than once per 12 (twelve) months (except when there are indications of non-compliance), the Processor shall make available to the Controller all information necessary to demonstrate compliance with the obligations that are set out in this DPA, and shall also permit and contribute to audits of the Processing activities covered by this DPA. In deciding on a review or an audit, the Controller may take into account relevant certifications held by the Processor. The Controller may conduct the audit by itself or attract an independent auditor which shall be mutually agreed by the Parties. Audits may also include inspections at the premises or physical facilities of the Processor and shall, where appropriate, be carried out with reasonable notice. Any information relating to audits, inspections and the results therefrom, including the documents reflecting the outcome thereof, shall only be used by the Controller to assess Processor’s compliance with this DPA, and shall not be used for any other purpose or disclosed to any third party without Processor’s prior written approval. In connection with any audit or inspection conducted in accordance with this section 8, the Controller and/or relevant independent auditor must be bound by obligations of confidentiality no less protective than those contained in the Agreement. The Controller and/or relevant independent auditor will not be entitled to receive any data or information pertaining to other users of Processor or any other confidential information of the Processor that is not directly related to the authorized purposes of the audit or inspection.

    In the event of an audit or inspections as set forth above, the Controller shall ensure that it and/or relevant independent auditor will not cause (or will minimize, in case it cannot avoid) any damage, injury, or disruption to Processor’s operations, premises, equipment, personnel and business, as applicable, while conducting such audit or inspection.

    If and to the extent that the SCC apply, nothing in this section 8 varies or modifies the SCC nor affects any Supervisory Authority’s or Data Subject’s rights under the SCC.

    The Parties shall make the information referred to in this section, including the results of any audits or inspections, available to the competent Supervisory Authority/ies on request.
  9. Subprocessors
    1. General terms. The Processor has the Controller’s general authorization for the engagement of Subprocessors from an agreed list, which is added as Annex IV to this DPA. The Processor shall specifically inform in writing the Controller of any addition or replacement of Subprocessors at least 14 (fourteen) calendar days in advance, thereby giving the Controller sufficient time to be able to object to such changes prior to the engagement of the concerned Subprocessor(s).
    2. Right to object. The Controller may reasonably object to the Processor’s use of a new or replacement of a Subprocessor. Within 14 (fourteen) calendar days after receipt of the notice regarding addition or replacement of the Subprocessor, the Controller shall submit the objection by notifying the Processor to legal@qpm.ai. In the notification, the Controller shall outline the reasons for its objection. In case the Controller has not objected within the abovementioned period of time and in the described way, the use of the new Subprocessor shall be deemed accepted by the Controller. In the event the Controller notifies the Processor about its objections according to the abovementioned procedure, the Processor shall use reasonable efforts to make available to the Controller a change in the services provided under the Agreement or recommend a commercially reasonable change to the Controller’s configuration or use of the services to avoid Processing of Personal Data by the objected-to new Subprocessor. If the Processor is unable to provide such change within 30 (thirty) calendar days following receipt of the objection, either Party may terminate the Agreement and this DPA without penalty by providing written notice to the other Party. All amounts outstanding under the Agreement before the termination date with respect to the Processing at issue shall be duly paid to the Processor. The Processor may temporarily avoid or cease the Processing of the affected Personal Data and/or suspend access to the services under the Agreement, until a decision regarding the Controller’s objections is made. In case of termination of the Agreement and this DPA according to this section, the Controller shall have no further claims against the Processor due to the termination, including, without limitation, requesting refunds.
    3. Contractual relations with Subprocessors. Where the Processor engages a Subprocessor for carrying out specific Processing activities (on behalf of the Controller), it shall do so by way of a contract which imposes on the Subprocessor, in substance, the same data protection obligations as the ones imposed on the Processor in accordance with this DPA. The Processor shall ensure that the Subprocessor complies with the obligations to which the Processor is subject pursuant to this DPA and Data Protection Regulation. The Processor shall remain responsible to the Controller for the performance by the Subprocessor of its obligations in accordance with its contract with the Processor. The Processor shall notify the Controller of any failure by the Subprocessor to fulfil its contractual obligations.
  10. Authorised Affiliate
    1. Relationships between the User and Authorised Affiliate. The Parties acknowledge and agree that, by executing this DPA, the User enters into the DPA on behalf of itself and, as applicable, in the name and on behalf of its Authorised Affiliates, in which case each Authorised Affiliate agrees to be bound by the User’s obligations under this DPA, if and to the extent that Processor Processes Personal Data on the behalf of such Authorised Affiliates, thus qualifying them as the “Controller” with respect to the Personal Data Processed on their behalf. All access to and use of the services by Authorised Affiliates must comply with the terms and conditions of the Agreement and this DPA. Any violation of this DPA by the Authorised Affiliate shall be deemed a violation by the User.
    2. Communication between the User and Authorised Affiliate. The User shall remain responsible for coordinating all communication with the Processor under the Agreement and this DPA and shall be entitled to make and receive any communication in relation to this DPA on behalf of its Authorised Affiliates.
  11. International transfers
    1. Transfers from the EEA and the UK to the countries covered by Adequacy Decision. In case the Personal Data is transferred from the EEA, and the United Kingdom (the “UK”) to countries that offer an adequate level of data protection under or pursuant to the adequacy decisions published by the relevant authorities of the EEA and/or the UK as relevant (the “Adequacy Decisions”), as applicable, any further safeguard is not necessary.
    2. Transfers from the EEA and the UK to other countries.
      1. For transfers of Personal Data from the EEA to the other countries that are not covered by the relevant Adequacy Decisions, and such transfers can not be performed through an alternative compliance mechanism recognized by Data Protection Laws, EU SCC terms and conditions shall apply.
      2. For transfers of Personal Data from the UK to the other countries that are not covered by the relevant Adequacy Decisions, and such transfers can not be performed through an alternative compliance mechanism recognized by Data Protection Laws, UK Addendum terms and conditions shall apply.
    3. Transfers from other countries. In the event Personal Data is transferred by and/or on behalf of the Controller to the Processor from any other jurisdiction that requires a specific compliance mechanism for the lawful transfer of such data, the Controller shall notify the Processor of such applicable requirements, and the Parties may seek any necessary modifications to this DPA.
  12. Data Subject requests

    While receiving any request from the Data Subject, the Processor shall promptly notify the Controller of any request it has received or refer Data Subject to the Controller. To the extent permitted and required by the Data Protection Laws, the Processor shall assist the Controller in fulfilling its obligations to respond to Data Subjects’ requests to exercise their rights, taking into account the nature of the Processing. To the extent legally permitted, the Controller shall be responsible for any costs arising from the Processor’s provision of additional functionality to assist with a Data Subject request.
  13. Notification of Personal Data Breach

    In the event of a Personal Data Breach concerning data processed by the Processor, the Processor shall notify the Controller without undue delay after the Processor having become aware of the breach. Such notification shall contain, at least:
    1. a description of the nature of the breach (including, where possible, the categories and approximate number of Data Subjects and data records concerned);
    2. the details of a contact point where more information concerning the Personal Data Breach can be obtained;
    3. its likely consequences and the measures taken or proposed to be taken to address the breach, including to mitigate its possible adverse effects.

    Where, and insofar as, it is not possible to provide all this information at the same time, the initial notification shall contain the information then available and further information shall, as it becomes available, subsequently be provided without undue delay.
  14. Deletion or return of Personal Data

    Following termination of the Agreement and cessation of the services, the Processor shall, at the choice of the Controller that shall be communicated to the Processor in writing, delete all Personal Data processed on behalf of the Controller and certify to the Controller that it has done so, or, return all the Personal Data to the Controller and delete existing copies, unless applicable laws require otherwise. Until the data is deleted or returned, the Processor shall continue to ensure compliance with this DPA.
  15. Non-compliance with DPA and termination

    Without prejudice to any provisions of Data Protection Laws, in the event that the Processor is in breach of its obligations under this DPA, the Controller may instruct the Processor to suspend the Processing of Personal Data until the latter complies with this DPA or the Agreement is terminated. The Processor shall promptly inform the Controller in case it is unable to comply with this DPA, for whatever reason.
    1. Termination by the Controller. The Controller shall be entitled to terminate the Agreement and this DPA insofar as it concerns the Processing of Personal Data in accordance with this DPA if:
      1. the Processing of Personal Data by the Processor has been suspended by the Controller pursuant to the abovementioned reasons and if compliance with this DPA is not restored within a reasonable time and in any event within 1 (one) month following suspension;
      2. the Processor is in substantial or persistent breach of this DPA or its obligations under Data Protection Laws;
      3. the Processor fails to comply with a binding decision of a competent court or the competent supervisory authority/ies regarding its obligations pursuant to this DPA or to Data Protection Laws.
    2. Termination by the Processor. The Processor shall be entitled to terminate the Agreement and this DPA insofar as it concerns the Processing of Personal Data under this DPA, where after having informed the Controller that its instructions infringe applicable Data Protection Laws, the Controller insists on compliance with the instructions.
  16. Data Protection Impact Assessment and Prior Consultation

    Taking into account the nature of the Processing and the information available to the Processor, the Processor will provide reasonable assistance to and cooperation with the Controller for the Controller’s performance of any legally required data protection impact assessment of the Processing or proposed Processing of Controller Personal Data involving the Processor, and in consultation with Supervisory Authorities or other regulatory authorities as required, by providing the Controller with any publicly available documentation for the service provided under the Agreement or by complying with section 8 hereof. Additional support for data protection impact assessments or relations with Supervisory Authorities may be available and would require mutual agreement on fees, the scope of the Processor’s involvement, and any other terms that the Parties deem appropriate.
  17. Amendments

    Upon at least 30 (thirty) calendar days prior written notice to the other Party, either Party may request in writing any amendments to this DPA if they are required as a result of any change in applicable Data Protection Laws to allow the Processing of Personal Data to be made in compliance with such Data Protection Laws. Pursuant to such notice the Parties shall use commercially reasonable efforts to accommodate such required amendments and negotiate in good faith with a view to agreeing and implementing those or alternative amendments designed to address the requirements under applicable Data Protection Law as outlined in the relevant notice as soon as is reasonably practicable. Additionally, the Processor may amend this DPA from time to time without notice, provided that such amendments are not adverse in any material aspect with respect to the Controller’s rights or the Processor’s obligations. In case the Processor makes any material adverse amendments to the Controller’s rights or the Processor’s obligations, the Processor shall notify the Controller by sending an email.
ANNEX I - DESCRIPTION OF PERSONAL DATA TRANSFER

A. LIST OF PARTIES

__________
Role: Controller
Email: ____
Signature and date: ____

and

QUANTUM PM LLP
Role: Processor
Email: legal@qpm.ai
Signature and date: ____

B. DESCRIPTION OF TRANSFER

Categories of Data Subjects whose Personal Data is transferred: The categories of Data Subjects whose Personal Data is transferred are determined solely by the Controller. The Processor Processes Personal Data about the following categories of Data Subjects on behalf of the Controller: Controller’s employees, contractors, suppliers, and any other data subjects whose data the Controller extracts, transfers, and loads onto the servers while using services under the Agreement.

Categories of Personal Data transferred: The categories of Personal Data transferred are determined solely by the Controller. Usually, while using services under the Agreement, the Controller may transfer Personal Data which include, but is not limited to:
- name and surname;
- contact information;
- _______

Sensitive Data: Non-applicable

The frequency of the transfer: Continuous basis

Nature of the Processing: The provision of services according to the Agreement.

Purpose(s) of the data transfer and further Processing: To provide services under the Agreement, to perform obligations under DPA, to act according to Controller’s instructions, providing they are consistent with the terms of the Agreement, to comply with applicable laws.

The period for which the personal data will be retained, or, if that is not possible, the criteria used to determine that period: Duration of the Agreement and as legally required.

For transfers to Subprocessors, also specify the subject matter, nature and duration of the Processing: The same subject matter, nature and duration of the Processing as specified above and in the Agreement and DPA.

Competent Supervisory Authority
The competent Supervisory Authority shall be __________________________.

ANNEX II - DESCRIPTION OF THE PROCESSING

Categories of Data Subjects whose Personal Data is processed:

The categories of Data Subjects whose Personal Data shall be processed are determined solely by the Controller. The Processor Processes Personal Data about the following categories of Data Subjects on behalf of the Controller: Controller’s employees, contractors, suppliers, and any other Data Subjects whose data the Controller extracts, transfers, and loads onto the servers while using services under the Agreement.

Categories of Personal Data processed:

The categories of Personal Data to be processed by the Processor are determined solely by the Controller. It is agreed by the Parties that the Processor shall Process the following categories of Personal Data on behalf of the Controller:

1) name and surname;
2) contact information;
3) _______

Nature of the Processing:

The Processor Processes Personal Data to provide the services under the Agreement and to communicate with the Controller about those services. It may include both automated and manual Processing of data.

Purpose(s) for which the Personal Data is processed on behalf of the Controller:

To provide services under the Agreement, to perform obligations under DPA, to act according to Controller’s instructions, providing they are consistent with the terms of the Agreement, to comply with applicable laws.

Duration of the Processing:

The Processor will Process Personal Data for the duration of the Agreement and as legally required.

ANNEX III - TECHNICAL AND ORGANISATIONAL MEASURES INCLUDING TECHNICAL AND ORGANISATIONAL MEASURES TO ENSURE THE SECURITY OF THE DATA

Processor must implement such measures:


Measure Description
Measures for ensuring the ability to restore the availability and access to personal data in a timely manner in the event of a physical or technical incident Company will implement and maintain a documented set of disaster recovery policies and procedures to enable the recovery or continuation of vital technology infrastructure and systems following a disaster.
Processes for regularly testing, assessing and evaluating the effectiveness of technical and organizational measures in order to ensure the security of the processing Company performs periodic assessments to monitor its information security program to identify risks and ensure controls are operating effectively by performing internal audits and risk assessments. Company will engage qualified external auditors to perform assessments of its information security program against the ISO 27000 family of standards. Assessments will be conducted annually and evidence will be made available to the Customer pursuant to their respective Agreement.
Measures for user identification and authorisation Access to Personal Data is restricted to authorized Company personnel who are required to access Personal Data to perform functions as part of the delivery of services. Access to Personal Data must be through unique usernames and passwords and multi-factor authentication must be enabled. Access is disabled within one business day after an employee’s termination.
Measures for the protection of data during transmission Company will encrypt Personal Data in transit and at rest using industry-standard encryption algorithms that are appropriate for the mechanism of transfer (e.g. TLS 1.2, AES-256).
Measures for the protection of data during storage Personal Data is stored with Microsoft Azure. Data backups are encrypted. Personal Data is encrypted in transit and at rest using industry-standard encryption algorithms that are appropriate for the mechanism of transfer (e.g. TLS 1.2, AES-256).
Measures for ensuring physical security of locations at which personal data are processed Company will ensure that all physical locations that process, store, or transmit Personal Data are located in a secure physical facility. Company will review third-party security certifications of its third-party cloud hosting providers on at least an annual basis to ensure that appropriate physical security controls are in place.
Measures for ensuring events logging All access to information security management systems at Company are restricted, monitored, and logged. At a minimum, log entries include date, timestamp, action performed, and the user ID or device ID of the action performed. The level of additional detail to be recorded by each audit log will be proportional to the amount and sensitivity of the information stored and/or processed on that system. All logs are protected from change.
Measures for ensuring system configuration, including default configuration To prevent and minimize the potential for threats to Company’s systems all cloud resources configurations are defined in a human-readable manifest and any changes are going through the peer-review process and automated security validation. Special measures are taken to periodically verify that the actual state of resources matches the manifest.
Measures for internal IT and IT security governance and management IT Security Governance and Management structures and processes are designed to ensure compliance with data protection principles at their effective implementation. Company ensures that personnel that are authorized to access sensitive data are educated and trained accordingly.
Measures for certification/assurance of processes and products Company’s information security framework will be based on the ISO 27001 Information Security Management System and will cover the following areas: security risk management, policies and procedures, security incident management, access controls, vulnerability management, physical security, operational security, corporate security, infrastructure security, product security, business continuity disaster recovery, personnel security, security compliance, and vendor security.
Measures for ensuring data minimisation Company only collects information that is necessary in order to provide the services outlined in our Terms of Service and Privacy Policy. Our employees are directed to access only the minimum amount of information necessary to perform the task at hand.
Measures for ensuring data quality Users who would like to exercise their rights under applicable law to update information which is out of date or incorrect may do so at any time using relevant self-service form.
Measures for ensuring limited data retention Company will retain information for the period necessary to fulfil the purposes outlined in our Privacy Policy, unless a longer retention period is required or permitted by law, or where the Agreement requires or permits specific retention or deletion periods. Customer may request deletion of data at any time and Personal Data is deleted or anonymized upon termination of the Agreement.
Measures for ensuring accountability Company has established a comprehensive GDPR compliance program and is committed to partnering with its customers and vendors on GDPR compliance efforts. Appointed a Data Protection Officer (“DPO”), who can be reached at dpo@qpm.ai.
Measures for allowing data portability and ensuring erasure Company provides a mechanism for individuals to exercise their privacy rights in accordance with applicable law. Individuals may contact the Company at any time through the customer’s support.
ANNEX IV – LIST OF SUBPROCESSORS

The Controller has authorized the use of the Subprocessors according to Annex I and IV:

Site usage tracking and analytics

Google Analytics (contact form, US): email, IP address.

Microsoft (contact form, other contact information here; US): email, IP address.

Сloud services provider

Microsoft (contact form, other contact information here; US): email, IP address.

User identity management provider

Microsoft (contact form, other contact information here; US): email, name.

Payment processing

Stripe (contact form, other contact information here; for most cases US, depends on jurisdiction, more information here): payment card information (Card number, Expiration date, CVC, Country).

Transactional and marketing email processing

SendGrid (privacy@twilio.com, other contact information here; depends on jurisdiction, more information here): email, name, IP address.

Service hosting and data backups

Microsoft Azure (contact form, other contact information here; US): storing databases, encrypted archives of backup data, and import files. This data is not readable by Microsoft.

Ця Додаткова угода про обробку даних (“DPA”) укладається між Quantum PM LLP (“Quantum”) та Вами, Користувачем, як визначено в Угоді (“Користувач”). Ця DPA включається до Умов та положень Quantum (“Угода”), доступних за адресою https://www.qpm.ai/terms.html, які регулюють використання послуг, що надаються Quantum.

Ця DPA складається зі Стандартних договірних положень (“SCC”) та інших положень, включаючи відповідні Додатки (“Annex”), і замінює будь-які раніше діючі умови обробки та безпеки даних. У разі конфлікту між положеннями цієї DPA та положеннями Угоди, положення цієї DPA мають перевагу над суперечливими положеннями Угоди.

Quantum та Користувач також згадуються окремо як “Сторона” і разом як “Сторони”.

  1. Визначення

      Якщо не зазначено інше, кожен термін з великої літери в цій DPA матиме значення, встановлене в Угоді, а наступні терміни, що використовуються в цій DPA, будуть визначені наступним чином:
    1. “Уповноважений афілійований партнер” означає будь-якого члена команди Користувача, як визначено в Угоді, який запрошений Користувачем, прийняв умови Угоди та має право використовувати послуги згідно з Угодою.
    2. “Контролер” має значення, надане в GDPR.
    3. “Закони про захист даних” означає всі застосовні закони, нормативні акти та інші правові або регуляторні вимоги в будь-якій юрисдикції, що стосуються конфіденційності, захисту даних, безпеки або обробки персональних даних, включаючи, але не обмежуючись, (i) Загальний регламент про захист даних, Регламент (ЄС) 2016/679 (“GDPR”), (ii) щодо Сполученого Королівства, Закон про захист даних 2018 року (”UK DPA 2018”) та GDPR, як збережено в законодавстві Сполученого Королівства відповідно до розділу 3 Закону про вихід з Європейського Союзу 2018 року (“UK GDPR”).
    4. “Суб'єкт даних” має значення, надане в GDPR.
    5. “Європейська економічна зона” або “EEA” означає держави-члени Європейського Союзу разом з Ісландією, Норвегією та Ліхтенштейном.
    6. “Персональні дані” означає персональні дані, як визначено в GDPR і описано в ДОДАТКУ II, а також будь-які інші персональні дані, які Quantum обробляє від імені Користувача у зв'язку з наданням послуг Quantum згідно з Угодою.
    7. “Обробка” має значення, надане в GDPR, і “Обробляти” буде інтерпретовано відповідно.
    8. “Процесор” має значення, надане в GDPR.
    9. “Чутливі дані” означає персональні дані, які захищені спеціальним законодавством і вимагають особливого поводження відповідно до чинних Законів про захист даних. Чутливі дані можуть включати інформацію про расове або етнічне походження, політичні погляди, релігійні або філософські переконання, членство в профспілках, генетичні дані, біометричні дані з метою унікальної ідентифікації фізичної особи, дані про здоров'я або статеве життя, або сексуальну орієнтацію.
    10. “Стандартні договірні положення” означає (i) де застосовується GDPR, стандартні договірні положення, додані до Виконавчого рішення Європейської Комісії 2021/914 від 4 червня 2021 року щодо стандартних договірних положень для передачі персональних даних третім країнам відповідно до Регламенту (ЄС) 2016/679 Європейського парламенту та Європейської ради (доступно з червня 2021 року за посиланням https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj), (“EU SCCs”); (ii) де застосовується UK GDPR, застосовні стандартні положення про захист даних, прийняті відповідно до статті 46(2)(c) або (d) UK GDPR, включаючи стандартні положення про захист даних, видані комісаром відповідно до статті 119A(1) Закону UK DPA 2018, що час від часу переглядаються (“UK Addendum”).
    11. “Субпроцесор” означає будь-яку третю сторону, яка здійснює конкретні обробки персональних даних за вказівкою Quantum.
    12. “Контролюючий орган” має значення, надане в Регламенті.
  2. Мета та сфера застосування

    Метою цієї DPA є забезпечення дотримання Законів про захист даних щодо захисту фізичних осіб у зв'язку з обробкою персональних даних та вільним рухом таких даних. Ця DPA застосовується до обробки персональних даних, як зазначено в ній та у відповідних Додатках. Усі Додатки до цієї DPA є її невід'ємною частиною. Ця DPA не впливає на зобов'язання, які підпадають під Закони про захист даних.
  3. Ролі Сторін

    Сторони погоджуються, що під час обробки персональних даних від імені Користувача, Quantum є Процесором таких персональних даних, а Користувач є Контролером персональних даних. Надалі терміни “Процесор” та “Контролер” стосуються Quantum та Користувача відповідно.
  4. Зобов'язання та відповідальність Користувача

    Під час використання послуг та надання інструкцій Quantum, Користувач повинен дотримуватися чинних Законів про захист даних, положень Угоди та цієї DPA. Без шкоди для загальності вищевикладеного, Користувач несе одноосібну відповідальність за:
    1. точність, якість і законність персональних даних та засобів, за допомогою яких персональні дані були отримані Користувачем;
    2. забезпечення дотримання всіх необхідних вимог щодо прозорості та законності відповідно до чинних Законів про захист даних для збору та використання персональних даних, включаючи отримання будь-яких необхідних згод та авторизацій;
    3. мати право передавати Quantum персональні дані та/або надавати Quantum доступ до персональних даних;
    4. інструкції, надані Quantum щодо обробки персональних даних та їх відповідність Законам про захист даних та іншим застосовним законодавствам;
    5. отримання необхідних згод від відповідного суб'єкта даних, коли Quantum, під час обробки персональних даних від імені Контролера, необхідно надсилати електронні листи цьому суб'єкту даних.
  5. Інструкції Користувача

    Quantum повинен обробляти персональні дані лише на підставі документованих інструкцій від Контролера, якщо інше не вимагається чинним законодавством, до якого підпадає Quantum. У такому випадку Quantum повинен повідомити Контролера про цю правову вимогу до обробки, якщо закон не забороняє це з важливих громадських інтересів. Подальші інструкції можуть також надаватися Контролером протягом усього періоду обробки персональних даних. Ці інструкції повинні завжди бути документовані. Сторони погоджуються, що ця DPA, Угода та використання Користувачем послуг відповідно до Угоди повинні складати повні інструкції від Користувача до Quantum щодо обробки персональних даних. Незважаючи на вищевикладене, під час використання послуг відповідно до Угоди, Користувач може надавати додаткові інструкції щодо обробки персональних даних, які повинні бути узгоджені з Угодою, Законами про захист даних, природою та законним використанням послуг.

    Quantum повинен негайно повідомити Контролера, якщо, на думку Quantum, інструкції, надані Контролером, порушують Закони про захист даних або інше застосовне законодавство. Тут зазначається, що Quantum не зобов'язаний оцінювати, чи порушують інструкції Контролера будь-які Закони про захист даних.
  6. Обов'язки Quantum
    1. Дотримання інструкцій та конфлікти законодавства. Quantum повинен обробляти персональні дані лише для цілей, описаних у цій DPA, та інструкцій Користувача, як описано в розділі 5 цієї DPA. Quantum не несе відповідальності за дотримання будь-яких Законів про захист даних, застосовних до Користувача та/або його галузі, які не є загальноприйнятими для Quantum. У випадку, якщо Quantum дізнається про неможливість та/або заборону обробки персональних даних відповідно до інструкцій Користувача через правову вимогу згідно з будь-яким чинним законодавством, Quantum повинен (i) протягом розумного періоду часу та наскільки це дозволено чинним законодавством, повідомити Користувача про цю правову вимогу; та (ii) у разі необхідності, припинити всю обробку (крім простого зберігання та підтримки безпеки відповідних персональних даних) до того, як Користувач видасть нові інструкції, що відповідають чинному законодавству. Якщо Quantum не може обробляти персональні дані з вищезазначених причин, і це спричиняє невиконання надання послуг згідно з Угодою, Quantum не несе відповідальності перед Користувачем згідно з Угодою та цією DPA.
    2. Тривалість обробки. Quantum повинен обробляти персональні дані лише протягом періоду, зазначеного в Додатку II.
    3. Опис обробки. Quantum обробляє персональні дані для надання послуг Користувачу відповідно до Угоди та цієї DPA. Деталі операцій обробки, зокрема категорії персональних даних та цілі обробки, зазначені в Додатку II.
    4. Безпека обробки. Quantum повинен як мінімум впроваджувати технічні та організаційні заходи, зазначені в Додатку III, для забезпечення безпеки персональних даних. Це включає захист даних від порушення безпеки, що призводить до випадкового або незаконного знищення, втрати, зміни, несанкціонованого розкриття або доступу до даних (“Порушення персональних даних”). Незважаючи на будь-які положення, що суперечать цьому, Quantum має право змінювати або оновлювати заходи безпеки на власний розсуд за умови, що такі зміни або оновлення не призведуть до суттєвого зниження рівня захисту персональних даних.
    5. Конфіденційність. Quantum повинен забезпечити, щоб особи, уповноважені обробляти персональні дані, зобов'язалися зберігати конфіденційність або знаходяться під відповідним статутним зобов'язанням щодо конфіденційності.
  7. Чутливі дані

    Сторони погоджуються, що послуги, надані згідно з Угодою, не призначені для обробки чутливих даних. У випадку, якщо Контролер хоче, щоб Процесор обробляв чутливі дані від імені Контролера, він повинен спочатку отримати явну письмову згоду Процесора та укласти будь-які додаткові угоди, які можуть бути необхідні.
  8. Документація та дотримання

    Сторони повинні мати можливість демонструвати дотримання цієї DPA. На запит Контролера за 10 (десять) робочих днів попереднього письмового повідомлення, який не повинен бути більше одного разу на 12 (дванадцять) місяців (за винятком випадків, коли є вказівки на недотримання), Процесор повинен надати Контролеру всю інформацію, необхідну для демонстрації дотримання зобов'язань, викладених у цій DPA, і також дозволити та сприяти аудитам обробки даних, охоплюваних цією DPA. Під час прийняття рішення щодо проведення огляду або аудиту Контролер може враховувати відповідні сертифікації, надані Процесором. Контролер може проводити аудит самостійно або залучати незалежного аудитора, якого погодять Сторони. Аудити також можуть включати інспекції на території або в фізичних об'єктах Процесора і, де це доречно, проводитимуться з розумним повідомленням. Вся інформація, що стосується аудитів, інспекцій і їх результатів, включаючи документи, що відображають результати, може використовуватися Контролером лише для оцінки відповідності Процесора цій DPA і не повинна використовуватися для інших цілей або передаватися третім сторонам без попередньої письмової згоди Процесора. У зв'язку з будь-яким аудитом або інспекцією, проведеною відповідно до цього розділу 8, Контролер та/або відповідний незалежний аудитор повинні бути зобов'язані дотримуватися зобов'язань щодо конфіденційності, не менш захищених, ніж ті, що містяться в Угоді. Контролер та/або відповідний незалежний аудитор не мають права отримувати будь-які дані або інформацію, що стосується інших користувачів Процесора або будь-яку іншу конфіденційну інформацію Процесора, яка не має безпосереднього відношення до дозволених цілей аудиту або інспекції.

    У разі проведення аудиту або інспекції, як зазначено вище, Контролер повинен забезпечити, що він та/або відповідний незалежний аудитор не завдадуть (або мінімізують, якщо це не можна уникнути) будь-яких пошкоджень, травм або перерв у роботі Процесора, його об'єктів, обладнання, персоналу та бізнесу, якщо це застосовно, під час проведення такого аудиту або інспекції.

    Якщо та в тій мірі, в якій застосовуються SCC, ніщо в цьому розділі 8 не змінює та не модифікує SCC і не впливає на права наглядаючих органів або суб'єктів даних відповідно до SCC.

    Сторони повинні надавати інформацію, зазначену в цьому розділі, включаючи результати будь-яких аудитів або інспекцій, компетентним наглядаючим органам за запитом.
  9. Субпроцесори
    1. Загальні умови. Процесор має загальне авторизаційне право Контролера на залучення Субпроцесорів зі списку, який додається як Додаток IV до цієї DPA. Процесор повинен письмово повідомити Контролера про будь-яке додавання або заміну Субпроцесорів щонайменше за 14 (чотирнадцять) календарних днів заздалегідь, надаючи Контролеру достатній час для заперечення щодо таких змін до залучення відповідних Субпроцесорів.
    2. Право на заперечення. Контролер може обґрунтовано заперечити проти використання Процесором нового або заміненого Субпроцесора. Протягом 14 (чотирнадцяти) календарних днів після отримання повідомлення про додавання або заміну Субпроцесора Контролер повинен подати заперечення, повідомивши Процесора за адресою legal@qpm.ai. У повідомленні Контролер повинен зазначити причини свого заперечення. У разі, якщо Контролер не висловив заперечень протягом вищезазначеного періоду та у вказаний спосіб, використання нового Субпроцесора вважається прийнятим Контролером. Якщо Контролер повідомляє Процесора про свої заперечення відповідно до вищезазначеної процедури, Процесор повинен докласти розумних зусиль для надання Контролеру зміни в наданні послуг відповідно до Угоди або запропонувати комерційно розумну зміну конфігурації або використання послуг Контролером, щоб уникнути обробки персональних даних новим Субпроцесором, проти якого висловлено заперечення. Якщо Процесор не може надати таку зміну протягом 30 (тридцяти) календарних днів після отримання заперечення, будь-яка Сторона може припинити Угоду та цю DPA без штрафних санкцій, надіславши письмове повідомлення іншій Стороні. Усі суми, що залишаються несплаченими за Угодою до дати припинення стосовно обробки, яка є предметом суперечки, повинні бути сплачені Процесору. Процесор може тимчасово припинити або припинити обробку відповідних персональних даних та/або призупинити доступ до послуг за Угодою, доки не буде прийнято рішення щодо заперечень Контролера. У разі припинення Угоди та цієї DPA відповідно до цього розділу Контролер не має подальших претензій до Процесора у зв'язку з припиненням, включаючи, але не обмежуючись, запити на повернення коштів.
    3. Договірні відносини з Субпроцесорами. Коли Процесор залучає Субпроцесора для виконання конкретних обробок (від імені Контролера), він повинен це зробити за допомогою договору, який накладає на Субпроцесора, в основному, ті самі зобов'язання щодо захисту даних, які накладені на Процесора згідно з цією DPA. Процесор повинен забезпечити, що Субпроцесор виконує зобов'язання, покладені на Процесора відповідно до цієї DPA та Регламенту про захист даних. Процесор залишається відповідальним перед Контролером за виконання Субпроцесором своїх зобов'язань відповідно до його договору з Процесором. Процесор повинен повідомити Контролера про будь-яке невиконання Субпроцесором своїх договірних зобов'язань.
  10. Уповноважений афілійований партнер
    1. Відносини між Користувачем та Уповноваженим афілійованим партнером. Сторони визнають та погоджуються, що, підписуючи цю DPA, Користувач укладає DPA від свого імені та, у разі потреби, від імені своїх Уповноважених афілійованих партнерів, у такому випадку кожен Уповноважений афілійований партнер погоджується дотримуватися зобов'язань Користувача відповідно до цієї DPA, якщо і в тій мірі, в якій Процесор обробляє персональні дані від імені таких Уповноважених афілійованих партнерів, тим самим визнаючи їх "Контролером" щодо персональних даних, оброблюваних від їхнього імені. Весь доступ до послуг і їх використання Уповноваженими афілійованими партнерами повинні відповідати умовам та положенням Угоди та цієї DPA. Будь-яке порушення цієї DPA Уповноваженим афілійованим партнером вважатиметься порушенням Користувачем.
    2. Комунікація між Користувачем та Уповноваженим афілійованим партнером. Користувач залишається відповідальним за координацію всієї комунікації з Процесором згідно з Угодою та цією DPA і має право здійснювати та отримувати будь-яку комунікацію, що стосується цієї DPA, від імені своїх Уповноважених афілійованих партнерів.
  11. Міжнародні передачі
    1. Передачі з EEA та Великобританії до країн, які підпадають під Директиву про адекватність. У випадку передачі персональних даних з EEA та Великобританії до країн, які забезпечують адекватний рівень захисту даних відповідно до директив, опублікованих відповідними органами EEA та/або Великобританії (далі — “Директиви про адекватність”), додаткові заходи безпеки не потрібні.
    2. Передачі з EEA та Великобританії до інших країн.
      1. Для передач персональних даних з EEA до інших країн, які не підпадають під відповідні Директиви про адекватність, і такі передачі не можуть бути здійснені через альтернативний механізм відповідності, визнаний Законами про захист даних, застосовуються умови та положення SCC ЄС.
      2. Для передач персональних даних з Великобританії до інших країн, які не підпадають під відповідні Директиви про адекватність, і такі передачі не можуть бути здійснені через альтернативний механізм відповідності, визнаний Законами про захист даних, застосовуються умови та положення UK Addendum.
    3. Передачі з інших країн. У разі передачі персональних даних Контролером та/або від імені Контролера Процесору з будь-якої іншої юрисдикції, яка вимагає певного механізму відповідності для законної передачі таких даних, Контролер повинен повідомити Процесора про такі застосовні вимоги, і Сторони можуть домовитися про необхідні зміни до цієї DPA.
  12. Запити суб'єктів даних

    Отримуючи будь-який запит від суб'єкта даних, Процесор повинен негайно повідомити про це Контролера або переадресувати суб'єкта даних до Контролера. У тій мірі, в якій це дозволено та вимагається Законами про захист даних, Процесор повинен сприяти Контролеру у виконанні його зобов'язань відповідати на запити суб'єктів даних щодо реалізації їхніх прав, враховуючи характер обробки. У тій мірі, в якій це законодавчо дозволено, Контролер несе відповідальність за будь-які витрати, що виникають у зв'язку з наданням Процесором додаткових функцій для сприяння запиту суб'єкта даних.
  13. Повідомлення про порушення персональних даних

    У разі порушення персональних даних, що стосуються даних, оброблюваних Процесором, Процесор повинен повідомити Контролера без зайвої затримки після того, як Процесор дізнався про порушення. Таке повідомлення повинно містити, як мінімум:
    1. опис характеру порушення (включаючи, за можливості, категорії та приблизну кількість суб'єктів даних і записів даних, що стосуються порушення);
    2. контактні дані, де можна отримати більше інформації про порушення персональних даних;
    3. ймовірні наслідки та заходи, вжиті або запропоновані для усунення порушення, включаючи заходи для зменшення його можливих негативних наслідків.

    У разі, якщо не можливо надати всю цю інформацію одразу, початкове повідомлення повинно містити наявну на той момент інформацію, а додаткова інформація повинна бути надана без зайвої затримки.
  14. Видалення або повернення персональних даних

    Після припинення дії Угоди та припинення надання послуг Процесор повинен, за вибором Контролера, який повинен бути повідомлений Процесору письмово, видалити всі персональні дані, оброблені від імені Контролера, та підтвердити Контролеру, що це зроблено, або повернути всі персональні дані Контролеру та видалити наявні копії, якщо інше не вимагається чинним законодавством. До видалення або повернення даних Процесор повинен продовжувати забезпечувати дотримання цієї DPA.
  15. Недотримання DPA та припинення

    Без шкоди для будь-яких положень Законів про захист даних, у разі порушення Процесором своїх зобов'язань відповідно до цієї DPA, Контролер може інструктувати Процесора призупинити обробку персональних даних до моменту, коли той дотримається цієї DPA або Угода буде припинена. Процесор повинен негайно повідомити Контролера, якщо він не може виконувати цю DPA з будь-якої причини.
    1. Припинення Контролером. Контролер має право припинити Угоду та цю DPA в тій мірі, в якій вона стосується обробки персональних даних відповідно до цієї DPA, якщо:
      1. Обробка персональних даних Процесором була призупинена Контролером з вищезазначених причин, і якщо дотримання цієї DPA не відновлено протягом розумного часу і в будь-якому випадку протягом 1 (одного) місяця після призупинення;
      2. Процесор перебуває в значному або постійному порушенні цієї DPA або своїх зобов'язань відповідно до Законів про захист даних;
      3. Процесор не виконує обов'язкове рішення компетентного суду або компетентного наглядаючого органу/органів щодо своїх зобов'язань відповідно до цієї DPA або Законів про захист даних.
    2. Припинення Процесором. Процесор має право припинити Угоду та цю DPA в тій мірі, в якій вона стосується обробки персональних даних відповідно до цієї DPA, якщо після повідомлення Контролера про те, що його інструкції порушують чинні Закони про захист даних, Контролер наполягає на дотриманні інструкцій.
  16. Оцінка впливу на захист даних та попередня консультація

    Враховуючи характер обробки та наявну в Процесора інформацію, Процесор надасть розумну допомогу та співпрацю з Контролером для виконання будь-якої законодавчо вимаганої оцінки впливу на захист даних щодо обробки або пропонованої обробки персональних даних Контролера, яка включає Процесора, а також при консультації з наглядаючими органами або іншими регуляторними органами, як того вимагає законодавство, надаючи Контролеру будь-яку публічно доступну документацію для послуг, що надаються згідно з Угодою, або виконуючи розділ 8 цієї угоди. Додаткова підтримка для оцінки впливу на захист даних або відносини з наглядаючими органами можуть бути доступними і вимагатимуть взаємної згоди щодо зборів, обсягу залучення Процесора та будь-яких інших умов, які Сторони вважатимуть за потрібне.
  17. Зміни

    Принаймні за 30 (тридцять) календарних днів попереднього письмового повідомлення іншій Стороні, будь-яка Сторона може вимагати в письмовій формі будь-які зміни до цієї DPA, якщо вони необхідні в результаті будь-яких змін у застосовних Законах про захист даних, щоб дозволити обробку персональних даних відповідно до таких Законів про захист даних. Відповідно до такого повідомлення, Сторони повинні докласти комерційно розумних зусиль для врахування таких необхідних змін і вести добросовісні переговори з метою погодження та впровадження цих або альтернативних змін, спрямованих на задоволення вимог відповідно до застосовного Закону про захист даних, як зазначено у відповідному повідомленні, якомога швидше. Крім того, Процесор може час від часу вносити зміни до цієї DPA без попереднього повідомлення, за умови, що такі зміни не є суттєво несприятливими з точки зору прав Контролера або зобов'язань Процесора. У разі, якщо Процесор вносить будь-які суттєві несприятливі зміни до прав Контролера або зобов'язань Процесора, Процесор повинен повідомити Контролера, надіславши електронний лист.
ДОДАТОК I - ОПИС ПЕРЕДАЧІ ПЕРСОНАЛЬНИХ ДАНИХ

A. СПИСОК СТОРІН

__________
Роль: Контролер
Електронна адреса: ____
Підпис і дата: ____

і

QUANTUM PM LLP
Роль: Процесор
Електронна адреса: legal@qpm.ai
Підпис і дата: ____

B. ОПИС ПЕРЕДАЧІ

Категорії суб'єктів даних, чиї персональні дані передаються: Категорії суб'єктів даних, чиї персональні дані передаються, визначаються виключно Контролером. Процесор обробляє персональні дані про наступні категорії суб'єктів даних від імені Контролера: працівники Контролера, підрядники, постачальники та будь-які інші суб'єкти даних, дані яких Контролер витягує, передає та завантажує на сервери під час використання послуг за Угодою.

Категорії персональних даних, що передаються: Категорії персональних даних, що передаються, визначаються виключно Контролером. Зазвичай, під час використання послуг за Угодою, Контролер може передавати персональні дані, які включають, але не обмежуються:
- ім'я та прізвище;
- контактна інформація;
- _______

Чутливі дані: Непридатне

Частота передачі: Безперервно

Характер обробки: Надання послуг відповідно до Угоди.

Мета передачі даних та подальшої обробки: Надання послуг за Угодою, виконання зобов'язань відповідно до DPA, дія відповідно до інструкцій Контролера за умови, що вони відповідають умовам Угоди, дотримання застосовного законодавства.

Період зберігання персональних даних або, якщо це неможливо, критерії, які використовуються для визначення цього періоду: Тривалість Угоди та відповідно до законодавства.

Для передач Субпроцесорам також вкажіть предмет, характер і тривалість обробки: Той самий предмет, характер і тривалість обробки, що зазначені вище та в Угоді та DPA.

Компетентний наглядовий орган
Компетентний наглядовий орган буде __________________________.

ДОДАТОК II - ОПИС ОБРОБКИ

Категорії суб'єктів даних, чиї персональні дані обробляються:

Категорії суб'єктів даних, чиї персональні дані оброблятимуться, визначаються виключно Контролером. Процесор обробляє персональні дані про наступні категорії суб'єктів даних від імені Контролера: працівники Контролера, підрядники, постачальники та будь-які інші суб'єкти даних, дані яких Контролер витягує, передає та завантажує на сервери під час використання послуг за Угодою.

Категорії персональних даних, що обробляються:

Категорії персональних даних, які оброблятимуться Процесором, визначаються виключно Контролером. Сторони погоджуються, що Процесор оброблятиме такі категорії персональних даних від імені Контролера:

1) ім'я та прізвище;
2) контактна інформація;
3) _______

Характер обробки:

Процесор обробляє персональні дані для надання послуг відповідно до Угоди та спілкування з Контролером про ці послуги. Це може включати як автоматизовану, так і ручну обробку даних.

Мета(и) обробки персональних даних від імені Контролера:

Надання послуг відповідно до Угоди, виконання зобов'язань відповідно до DPA, дія відповідно до інструкцій Контролера за умови, що вони відповідають умовам Угоди, дотримання застосовного законодавства.

Тривалість обробки:

Процесор оброблятиме персональні дані протягом тривалості Угоди та відповідно до законодавства.

ДОДАТОК III - ТЕХНІЧНІ ТА ОРГАНІЗАЦІЙНІ ЗАХОДИ, ВКЛЮЧАЮЧИ ТЕХНІЧНІ ТА ОРГАНІЗАЦІЙНІ ЗАХОДИ ДЛЯ ЗАБЕЗПЕЧЕННЯ БЕЗПЕКИ ДАНИХ

Процесор повинен впровадити такі заходи:


Захід Опис
Заходи для забезпечення здатності відновлення доступності та доступу до персональних даних у своєчасний спосіб у разі фізичного або технічного інциденту Компанія впровадить і підтримуватиме документований набір політик і процедур для відновлення після катастроф, щоб забезпечити відновлення або продовження важливої технологічної інфраструктури та систем після катастрофи.
Процеси для регулярного тестування, оцінки та оцінювання ефективності технічних і організаційних заходів для забезпечення безпеки обробки Компанія проводить періодичні оцінки для моніторингу своєї програми інформаційної безпеки, щоб виявити ризики та забезпечити ефективність контролю шляхом проведення внутрішніх аудитів і оцінок ризиків. Компанія залучатиме кваліфікованих зовнішніх аудиторів для проведення оцінок своєї програми інформаційної безпеки відповідно до стандартів ISO 27000. Оцінки проводитимуться щорічно, і докази будуть надані Замовнику згідно з їхньою відповідною Угодою.
Заходи для ідентифікації користувачів та авторизації Доступ до персональних даних обмежується авторизованим персоналом Компанії, який повинен отримати доступ до персональних даних для виконання функцій як частина надання послуг. Доступ до персональних даних має здійснюватися через унікальні імена користувачів і паролі, і багатофакторна аутентифікація повинна бути увімкнена. Доступ вимикається протягом одного робочого дня після звільнення співробітника.
Заходи для захисту даних під час передачі Компанія шифруватиме персональні дані під час передачі та у стані спокою, використовуючи стандартні алгоритми шифрування, які відповідають механізму передачі (наприклад, TLS 1.2, AES-256).
Заходи для захисту даних під час зберігання Персональні дані зберігаються в Microsoft Azure. Резервні копії даних зашифровані. Персональні дані зашифровані під час передачі та у стані спокою, використовуючи стандартні алгоритми шифрування, які відповідають механізму передачі (наприклад, TLS 1.2, AES-256).
Заходи для забезпечення фізичної безпеки місць, де обробляються персональні дані Компанія забезпечить, щоб усі фізичні місця, де обробляються, зберігаються або передаються персональні дані, розташовувалися у безпечних фізичних приміщеннях. Компанія щорічно переглядатиме сертифікати безпеки своїх сторонніх постачальників хмарного хостингу, щоб переконатися, що відповідні фізичні заходи безпеки встановлені.
Заходи для забезпечення реєстрації подій Всі доступи до систем управління інформаційною безпекою в Компанії обмежені, моніторяться та реєструються. Як мінімум, записи журналу включають дату, час, виконану дію та ідентифікатор користувача або пристрою, який виконав дію. Рівень додаткових деталей, які потрібно записати в кожному журналі аудиту, буде пропорційний кількості та чутливості інформації, що зберігається та/або обробляється на цій системі. Всі журнали захищені від змін.
Заходи для забезпечення конфігурації системи, включаючи конфігурацію за замовчуванням Для запобігання та мінімізації потенційних загроз для систем Компанії всі конфігурації хмарних ресурсів визначені в людинозчитуваних маніфестах, і всі зміни проходять процес перевірки з боку колег та автоматизовану перевірку безпеки. Особливі заходи вживаються для періодичної перевірки відповідності фактичного стану ресурсів маніфесту.
Заходи для внутрішнього управління IT та IT безпекою Структури та процеси управління IT безпекою розроблені для забезпечення дотримання принципів захисту даних при їх ефективному впровадженні. Компанія забезпечує, щоб персонал, уповноважений доступати до чутливих даних, був відповідно навчений і поінформований.
Заходи для сертифікації/гарантування процесів і продуктів Рамка інформаційної безпеки Компанії буде базуватися на системі управління інформаційною безпекою ISO 27001 і охоплюватиме такі сфери: управління ризиками безпеки, політики та процедури, управління інцидентами безпеки, контроль доступу, управління вразливістю, фізична безпека, оперативна безпека, корпоративна безпека, інфраструктурна безпека, безпека продукту, відновлення після катастроф, безпека персоналу, дотримання вимог безпеки та безпека постачальників.
Заходи для забезпечення мінімізації даних Компанія збирає лише ту інформацію, яка необхідна для надання послуг, описаних у наших Умовах надання послуг і Політиці конфіденційності. Наші співробітники отримують вказівки доступати лише до мінімальної кількості інформації, необхідної для виконання завдання.
Заходи для забезпечення якості даних Користувачі, які бажають скористатися своїми правами відповідно до чинного законодавства щодо оновлення інформації, яка є застарілою або неправильною, можуть зробити це в будь-який час за допомогою відповідної форми самообслуговування.
Заходи для забезпечення обмеженого зберігання даних Компанія зберігатиме інформацію протягом періоду, необхідного для виконання цілей, описаних у нашій Політиці конфіденційності, якщо довший період зберігання не вимагається або не дозволений законом, або якщо Угода вимагає або дозволяє конкретні періоди зберігання або видалення. Клієнт може запросити видалення даних у будь-який час, і персональні дані видаляються або анонімізуються після припинення Угоди.
Заходи для забезпечення підзвітності Компанія встановила всебічну програму відповідності GDPR і прагне співпрацювати з клієнтами та постачальниками у питаннях дотримання GDPR. Призначено Офіцера з захисту даних (“DPO”), до якого можна звернутися за адресою dpo@qpm.ai.
Заходи для забезпечення перенесення даних та забезпечення їх видалення Компанія надає механізм для фізичних осіб для реалізації своїх прав на конфіденційність відповідно до чинного законодавства. Фізичні особи можуть звернутися до Компанії в будь-який час через службу підтримки клієнтів.
ДОДАТОК IV – СПИСОК СУБПРОЦЕСОРІВ

Контролер авторизував використання Субпроцесорів відповідно до Додатків I та IV:

Відстеження використання сайту та аналітика

Google Analytics (контактна форма, США): електронна пошта, IP-адреса.

Microsoft (контактна форма, інша контактна інформація тут; США): електронна пошта, IP-адреса.

Постачальник хмарних послуг

Microsoft (контактна форма, інша контактна інформація тут; США): електронна пошта, IP-адреса.

Постачальник послуг управління ідентифікацією користувачів

Microsoft (контактна форма, інша контактна інформація тут; США): електронна пошта, ім'я.

Обробка платежів

Stripe (контактна форма, інша контактна інформація тут; у більшості випадків США, залежить від юрисдикції, детальніше тут): інформація про платіжну картку (номер картки, дата закінчення дії, CVC, країна).

Обробка транзакційних та маркетингових електронних листів

SendGrid (privacy@twilio.com, інша контактна інформація тут; залежить від юрисдикції, детальніше тут): електронна пошта, ім'я, IP-адреса.

Хостинг послуг та резервне копіювання даних

Microsoft Azure (контактна форма, інша контактна інформація тут; США): зберігання баз даних, зашифрованих архівів резервних даних і файлів імпорту. Ці дані не можуть бути прочитані Microsoft.