Додаток щодо обробки даних
Ця Додаткова угода про обробку даних (“DPA”) укладається між Quantum PM LLP (“Quantum”) та Вами, Користувачем, як визначено в Угоді (“Користувач”). Ця DPA включається до Умов та положень Quantum (“Угода”), доступних за адресою https://www.qpm.ai/terms, які регулюють використання послуг, що надаються Quantum.
Ця DPA складається зі Стандартних договірних положень (“SCC”) та інших положень, включаючи відповідні Додатки (“Annex”), і замінює будь-які раніше діючі умови обробки та безпеки даних. У разі конфлікту між положеннями цієї DPA та положеннями Угоди, положення цієї DPA мають перевагу над суперечливими положеннями Угоди.
Quantum та Користувач також згадуються окремо як “Сторона” і разом як “Сторони”.
1. Визначення
Якщо не зазначено інше, кожен термін з великої літери в цій DPA матиме значення, встановлене в Угоді, а наступні терміни, що використовуються в цій DPA, будуть визначені наступним чином:
1.1. “Уповноважений афілійований партнер” означає будь-якого члена команди Користувача, як визначено в Угоді, який запрошений Користувачем, прийняв умови Угоди та має право використовувати послуги згідно з Угодою.
1.2. “Контролер” має значення, надане в GDPR.
1.3. “Закони про захист даних” означає всі застосовні закони, нормативні акти та інші правові або регуляторні вимоги в будь-якій юрисдикції, що стосуються конфіденційності, захисту даних, безпеки або обробки персональних даних, включаючи, але не обмежуючись, (i) Загальний регламент про захист даних, Регламент (ЄС) 2016/679 (“GDPR”), (ii) щодо Сполученого Королівства, Закон про захист даних 2018 року (”UK DPA 2018”) та GDPR, як збережено в законодавстві Сполученого Королівства відповідно до розділу 3 Закону про вихід з Європейського Союзу 2018 року (“UK GDPR”).
1.4. “Суб'єкт даних” має значення, надане в GDPR.
1.5. “Європейська економічна зона” або “EEA” означає держави-члени Європейського Союзу разом з Ісландією, Норвегією та Ліхтенштейном.
1.6. “Персональні дані” означає персональні дані, як визначено в GDPR і описано в ДОДАТКУ II, а також будь-які інші персональні дані, які Quantum обробляє від імені Користувача у зв'язку з наданням послуг Quantum згідно з Угодою.
1.7. “Обробка” має значення, надане в GDPR, і “Обробляти” буде інтерпретовано відповідно.
1.8. “Процесор” має значення, надане в GDPR.
1.9. “Чутливі дані” означає персональні дані, які захищені спеціальним законодавством і вимагають особливого поводження відповідно до чинних Законів про захист даних. Чутливі дані можуть включати інформацію про расове або етнічне походження, політичні погляди, релігійні або філософські переконання, членство в профспілках, генетичні дані, біометричні дані з метою унікальної ідентифікації фізичної особи, дані про здоров'я або статеве життя, або сексуальну орієнтацію.
1.10. “Стандартні договірні положення” означає (i) де застосовується GDPR, стандартні договірні положення, додані до Виконавчого рішення Європейської Комісії 2021/914 від 4 червня 2021 року щодо стандартних договірних положень для передачі персональних даних третім країнам відповідно до Регламенту (ЄС) 2016/679 Європейського парламенту та Європейської ради (доступно з червня 2021 року за посиланням https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj), (“EU SCCs”); (ii) де застосовується UK GDPR, застосовні стандартні положення про захист даних, прийняті відповідно до статті 46(2)(c) або (d) UK GDPR, включаючи стандартні положення про захист даних, видані комісаром відповідно до статті 119A(1) Закону UK DPA 2018, що час від часу переглядаються (“UK Addendum”).
1.11. “Субпроцесор” означає будь-яку третю сторону, яка здійснює конкретні обробки персональних даних за вказівкою Quantum.
1.12. “Контролюючий орган” має значення, надане в Регламенті.
2. Мета та сфера застосування
Метою цієї DPA є забезпечення дотримання Законів про захист даних щодо захисту фізичних осіб у зв'язку з обробкою персональних даних та вільним рухом таких даних. Ця DPA застосовується до обробки персональних даних, як зазначено в ній та у відповідних Додатках. Усі Додатки до цієї DPA є її невід'ємною частиною. Ця DPA не впливає на зобов'язання, які підпадають під Закони про захист даних.
3. Ролі Сторін
Сторони погоджуються, що під час обробки персональних даних від імені Користувача, Quantum є Процесором таких персональних даних, а Користувач є Контролером персональних даних. Надалі терміни “Процесор” та “Контролер” стосуються Quantum та Користувача відповідно.
4. Зобов'язання та відповідальність Користувача
Під час використання послуг та надання інструкцій Quantum, Користувач повинен дотримуватися чинних Законів про захист даних, положень Угоди та цієї DPA. Без шкоди для загальності вищевикладеного, Користувач несе одноосібну відповідальність за:
4.1. точність, якість і законність персональних даних та засобів, за допомогою яких персональні дані були отримані Користувачем;
4.2. забезпечення дотримання всіх необхідних вимог щодо прозорості та законності відповідно до чинних Законів про захист даних для збору та використання персональних даних, включаючи отримання будь-яких необхідних згод та авторизацій;
4.3. мати право передавати Quantum персональні дані та/або надавати Quantum доступ до персональних даних;
4.4. інструкції, надані Quantum щодо обробки персональних даних та їх відповідність Законам про захист даних та іншим застосовним законодавствам;
4.5. отримання необхідних згод від відповідного суб'єкта даних, коли Quantum, під час обробки персональних даних від імені Контролера, необхідно надсилати електронні листи цьому суб'єкту даних.
5. Інструкції Користувача
Quantum повинен обробляти персональні дані лише на підставі документованих інструкцій від Контролера, якщо інше не вимагається чинним законодавством, до якого підпадає Quantum. У такому випадку Quantum повинен повідомити Контролера про цю правову вимогу до обробки, якщо закон не забороняє це з важливих громадських інтересів. Подальші інструкції можуть також надаватися Контролером протягом усього періоду обробки персональних даних. Ці інструкції повинні завжди бути документовані. Сторони погоджуються, що ця DPA, Угода та використання Користувачем послуг відповідно до Угоди повинні складати повні інструкції від Користувача до Quantum щодо обробки персональних даних. Незважаючи на вищевикладене, під час використання послуг відповідно до Угоди, Користувач може надавати додаткові інструкції щодо обробки персональних даних, які повинні бути узгоджені з Угодою, Законами про захист даних, природою та законним використанням послуг.
Quantum повинен негайно повідомити Контролера, якщо, на думку Quantum, інструкції, надані Контролером, порушують Закони про захист даних або інше застосовне законодавство. Тут зазначається, що Quantum не зобов'язаний оцінювати, чи порушують інструкції Контролера будь-які Закони про захист даних.
6. Обов'язки Quantum
6.1. Дотримання інструкцій та конфлікти законодавства. Quantum повинен обробляти персональні дані лише для цілей, описаних у цій DPA, та інструкцій Користувача, як описано в розділі 5 цієї DPA. Quantum не несе відповідальності за дотримання будь-яких Законів про захист даних, застосовних до Користувача та/або його галузі, які не є загальноприйнятими для Quantum. У випадку, якщо Quantum дізнається про неможливість та/або заборону обробки персональних даних відповідно до інструкцій Користувача через правову вимогу згідно з будь-яким чинним законодавством, Quantum повинен (i) протягом розумного періоду часу та наскільки це дозволено чинним законодавством, повідомити Користувача про цю правову вимогу; та (ii) у разі необхідності, припинити всю обробку (крім простого зберігання та підтримки безпеки відповідних персональних даних) до того, як Користувач видасть нові інструкції, що відповідають чинному законодавству. Якщо Quantum не може обробляти персональні дані з вищезазначених причин, і це спричиняє невиконання надання послуг згідно з Угодою, Quantum не несе відповідальності перед Користувачем згідно з Угодою та цією DPA.
6.2. Тривалість обробки. Quantum повинен обробляти персональні дані лише протягом періоду, зазначеного в Додатку II.
6.3. Опис обробки. Quantum обробляє персональні дані для надання послуг Користувачу відповідно до Угоди та цієї DPA. Деталі операцій обробки, зокрема категорії персональних даних та цілі обробки, зазначені в Додатку II.
6.4. Безпека обробки. Quantum повинен як мінімум впроваджувати технічні та організаційні заходи, зазначені в Додатку III, для забезпечення безпеки персональних даних. Це включає захист даних від порушення безпеки, що призводить до випадкового або незаконного знищення, втрати, зміни, несанкціонованого розкриття або доступу до даних (“Порушення персональних даних”). Незважаючи на будь-які положення, що суперечать цьому, Quantum має право змінювати або оновлювати заходи безпеки на власний розсуд за умови, що такі зміни або оновлення не призведуть до суттєвого зниження рівня захисту персональних даних.
6.5. Конфіденційність. Quantum повинен забезпечити, щоб особи, уповноважені обробляти персональні дані, зобов'язалися зберігати конфіденційність або знаходяться під відповідним статутним зобов'язанням щодо конфіденційності.
7. Чутливі дані
Сторони погоджуються, що послуги, надані згідно з Угодою, не призначені для обробки чутливих даних. У випадку, якщо Контролер хоче, щоб Процесор обробляв чутливі дані від імені Контролера, він повинен спочатку отримати явну письмову згоду Процесора та укласти будь-які додаткові угоди, які можуть бути необхідні.
8. Документація та дотримання
Сторони повинні мати можливість демонструвати дотримання цієї DPA. На запит Контролера за 10 (десять) робочих днів попереднього письмового повідомлення, який не повинен бути більше одного разу на 12 (дванадцять) місяців (за винятком випадків, коли є вказівки на недотримання), Процесор повинен надати Контролеру всю інформацію, необхідну для демонстрації дотримання зобов'язань, викладених у цій DPA, і також дозволити та сприяти аудитам обробки даних, охоплюваних цією DPA. Під час прийняття рішення щодо проведення огляду або аудиту Контролер може враховувати відповідні сертифікації, надані Процесором. Контролер може проводити аудит самостійно або залучати незалежного аудитора, якого погодять Сторони. Аудити також можуть включати інспекції на території або в фізичних об'єктах Процесора і, де це доречно, проводитимуться з розумним повідомленням. Вся інформація, що стосується аудитів, інспекцій і їх результатів, включаючи документи, що відображають результати, може використовуватися Контролером лише для оцінки відповідності Процесора цій DPA і не повинна використовуватися для інших цілей або передаватися третім сторонам без попередньої письмової згоди Процесора. У зв'язку з будь-яким аудитом або інспекцією, проведеною відповідно до цього розділу 8, Контролер та/або відповідний незалежний аудитор повинні бути зобов'язані дотримуватися зобов'язань щодо конфіденційності, не менш захищених, ніж ті, що містяться в Угоді. Контролер та/або відповідний незалежний аудитор не мають права отримувати будь-які дані або інформацію, що стосується інших користувачів Процесора або будь-яку іншу конфіденційну інформацію Процесора, яка не має безпосереднього відношення до дозволених цілей аудиту або інспекції.
У разі проведення аудиту або інспекції, як зазначено вище, Контролер повинен забезпечити, що він та/або відповідний незалежний аудитор не завдадуть (або мінімізують, якщо це не можна уникнути) будь-яких пошкоджень, травм або перерв у роботі Процесора, його об'єктів, обладнання, персоналу та бізнесу, якщо це застосовно, під час проведення такого аудиту або інспекції.
Якщо та в тій мірі, в якій застосовуються SCC, ніщо в цьому розділі 8 не змінює та не модифікує SCC і не впливає на права наглядаючих органів або суб'єктів даних відповідно до SCC.
Сторони повинні надавати інформацію, зазначену в цьому розділі, включаючи результати будь-яких аудитів або інспекцій, компетентним наглядаючим органам за запитом.
9. Субпроцесори
9.1. Загальні умови. Процесор має загальне авторизаційне право Контролера на залучення Субпроцесорів зі списку, який додається як Додаток IV до цієї DPA. Процесор повинен письмово повідомити Контролера про будь-яке додавання або заміну Субпроцесорів щонайменше за 14 (чотирнадцять) календарних днів заздалегідь, надаючи Контролеру достатній час для заперечення щодо таких змін до залучення відповідних Субпроцесорів.
9.2. Право на заперечення. Контролер може обґрунтовано заперечити проти використання Процесором нового або заміненого Субпроцесора. Протягом 14 (чотирнадцяти) календарних днів після отримання повідомлення про додавання або заміну Субпроцесора Контролер повинен подати заперечення, повідомивши Процесора за адресою legal@qpm.ai. У повідомленні Контролер повинен зазначити причини свого заперечення. У разі, якщо Контролер не висловив заперечень протягом вищезазначеного періоду та у вказаний спосіб, використання нового Субпроцесора вважається прийнятим Контролером. Якщо Контролер повідомляє Процесора про свої заперечення відповідно до вищезазначеної процедури, Процесор повинен докласти розумних зусиль для надання Контролеру зміни в наданні послуг відповідно до Угоди або запропонувати комерційно розумну зміну конфігурації або використання послуг Контролером, щоб уникнути обробки персональних даних новим Субпроцесором, проти якого висловлено заперечення. Якщо Процесор не може надати таку зміну протягом 30 (тридцяти) календарних днів після отримання заперечення, будь-яка Сторона може припинити Угоду та цю DPA без штрафних санкцій, надіславши письмове повідомлення іншій Стороні. Усі суми, що залишаються несплаченими за Угодою до дати припинення стосовно обробки, яка є предметом суперечки, повинні бути сплачені Процесору. Процесор може тимчасово припинити або припинити обробку відповідних персональних даних та/або призупинити доступ до послуг за Угодою, доки не буде прийнято рішення щодо заперечень Контролера. У разі припинення Угоди та цієї DPA відповідно до цього розділу Контролер не має подальших претензій до Процесора у зв'язку з припиненням, включаючи, але не обмежуючись, запити на повернення коштів.
9.3. Договірні відносини з Субпроцесорами. Коли Процесор залучає Субпроцесора для виконання конкретних обробок (від імені Контролера), він повинен це зробити за допомогою договору, який накладає на Субпроцесора, в основному, ті самі зобов'язання щодо захисту даних, які накладені на Процесора згідно з цією DPA. Процесор повинен забезпечити, що Субпроцесор виконує зобов'язання, покладені на Процесора відповідно до цієї DPA та Регламенту про захист даних. Процесор залишається відповідальним перед Контролером за виконання Субпроцесором своїх зобов'язань відповідно до його договору з Процесором. Процесор повинен повідомити Контролера про будь-яке невиконання Субпроцесором своїх договірних зобов'язань.
10. Уповноважений афілійований партнер
10.1. Відносини між Користувачем та Уповноваженим афілійованим партнером. Сторони визнають та погоджуються, що, підписуючи цю DPA, Користувач укладає DPA від свого імені та, у разі потреби, від імені своїх Уповноважених афілійованих партнерів, у такому випадку кожен Уповноважений афілійований партнер погоджується дотримуватися зобов'язань Користувача відповідно до цієї DPA, якщо і в тій мірі, в якій Процесор обробляє персональні дані від імені таких Уповноважених афілійованих партнерів, тим самим визнаючи їх "Контролером" щодо персональних даних, оброблюваних від їхнього імені. Весь доступ до послуг і їх використання Уповноваженими афілійованими партнерами повинні відповідати умовам та положенням Угоди та цієї DPA. Будь-яке порушення цієї DPA Уповноваженим афілійованим партнером вважатиметься порушенням Користувачем.
10.2. Комунікація між Користувачем та Уповноваженим афілійованим партнером. Користувач залишається відповідальним за координацію всієї комунікації з Процесором згідно з Угодою та цією DPA і має право здійснювати та отримувати будь-яку комунікацію, що стосується цієї DPA, від імені своїх Уповноважених афілійованих партнерів.
11. Міжнародні передачі
11.1. Передачі з EEA та Великобританії до країн, які підпадають під Директиву про адекватність. У випадку передачі персональних даних з EEA та Великобританії до країн, які забезпечують адекватний рівень захисту даних відповідно до директив, опублікованих відповідними органами EEA та/або Великобританії (далі — “Директиви про адекватність”), додаткові заходи безпеки не потрібні.
11.2. Передачі з EEA та Великобританії до інших країн.
11.2.1. Для передач персональних даних з EEA до інших країн, які не підпадають під відповідні Директиви про адекватність, і такі передачі не можуть бути здійснені через альтернативний механізм відповідності, визнаний Законами про захист даних, застосовуються умови та положення SCC ЄС.
11.2.2. Для передач персональних даних з Великобританії до інших країн, які не підпадають під відповідні Директиви про адекватність, і такі передачі не можуть бути здійснені через альтернативний механізм відповідності, визнаний Законами про захист даних, застосовуються умови та положення UK Addendum.
11.3. Передачі з інших країн. У разі передачі персональних даних Контролером та/або від імені Контролера Процесору з будь-якої іншої юрисдикції, яка вимагає певного механізму відповідності для законної передачі таких даних, Контролер повинен повідомити Процесора про такі застосовні вимоги, і Сторони можуть домовитися про необхідні зміни до цієї DPA.
12. Запити суб'єктів даних
Отримуючи будь-який запит від суб'єкта даних, Процесор повинен негайно повідомити про це Контролера або переадресувати суб'єкта даних до Контролера. У тій мірі, в якій це дозволено та вимагається Законами про захист даних, Процесор повинен сприяти Контролеру у виконанні його зобов'язань відповідати на запити суб'єктів даних щодо реалізації їхніх прав, враховуючи характер обробки. У тій мірі, в якій це законодавчо дозволено, Контролер несе відповідальність за будь-які витрати, що виникають у зв'язку з наданням Процесором додаткових функцій для сприяння запиту суб'єкта даних.
13. Повідомлення про порушення персональних даних
У разі порушення персональних даних, що стосуються даних, оброблюваних Процесором, Процесор повинен повідомити Контролера без зайвої затримки після того, як Процесор дізнався про порушення. Таке повідомлення повинно містити, як мінімум:
13.1. опис характеру порушення (включаючи, за можливості, категорії та приблизну кількість суб'єктів даних і записів даних, що стосуються порушення);
13.2. контактні дані, де можна отримати більше інформації про порушення персональних даних;
13.3. ймовірні наслідки та заходи, вжиті або запропоновані для усунення порушення, включаючи заходи для зменшення його можливих негативних наслідків.
У разі, якщо не можливо надати всю цю інформацію одразу, початкове повідомлення повинно містити наявну на той момент інформацію, а додаткова інформація повинна бути надана без зайвої затримки.
14. Видалення або повернення персональних даних
Після припинення дії Угоди та припинення надання послуг Процесор повинен, за вибором Контролера, який повинен бути повідомлений Процесору письмово, видалити всі персональні дані, оброблені від імені Контролера, та підтвердити Контролеру, що це зроблено, або повернути всі персональні дані Контролеру та видалити наявні копії, якщо інше не вимагається чинним законодавством. До видалення або повернення даних Процесор повинен продовжувати забезпечувати дотримання цієї DPA.
15. Недотримання DPA та припинення
Без шкоди для будь-яких положень Законів про захист даних, у разі порушення Процесором своїх зобов'язань відповідно до цієї DPA, Контролер може інструктувати Процесора призупинити обробку персональних даних до моменту, коли той дотримається цієї DPA або Угода буде припинена. Процесор повинен негайно повідомити Контролера, якщо він не може виконувати цю DPA з будь-якої причини.
15.1. Припинення Контролером. Контролер має право припинити Угоду та цю DPA в тій мірі, в якій вона стосується обробки персональних даних відповідно до цієї DPA, якщо:
15.1.1. Обробка персональних даних Процесором була призупинена Контролером з вищезазначених причин, і якщо дотримання цієї DPA не відновлено протягом розумного часу і в будь-якому випадку протягом 1 (одного) місяця після призупинення;
15.1.2. Процесор перебуває в значному або постійному порушенні цієї DPA або своїх зобов'язань відповідно до Законів про захист даних;
15.1.3. Процесор не виконує обов'язкове рішення компетентного суду або компетентного наглядаючого органу/органів щодо своїх зобов'язань відповідно до цієї DPA або Законів про захист даних.
15.2. Припинення Процесором. Процесор має право припинити Угоду та цю DPA в тій мірі, в якій вона стосується обробки персональних даних відповідно до цієї DPA, якщо після повідомлення Контролера про те, що його інструкції порушують чинні Закони про захист даних, Контролер наполягає на дотриманні інструкцій.
16. Оцінка впливу на захист даних та попередня консультація
Враховуючи характер обробки та наявну в Процесора інформацію, Процесор надасть розумну допомогу та співпрацю з Контролером для виконання будь-якої законодавчо вимаганої оцінки впливу на захист даних щодо обробки або пропонованої обробки персональних даних Контролера, яка включає Процесора, а також при консультації з наглядаючими органами або іншими регуляторними органами, як того вимагає законодавство, надаючи Контролеру будь-яку публічно доступну документацію для послуг, що надаються згідно з Угодою, або виконуючи розділ 8 цієї угоди. Додаткова підтримка для оцінки впливу на захист даних або відносини з наглядаючими органами можуть бути доступними і вимагатимуть взаємної згоди щодо зборів, обсягу залучення Процесора та будь-яких інших умов, які Сторони вважатимуть за потрібне.
17. Зміни
Принаймні за 30 (тридцять) календарних днів попереднього письмового повідомлення іншій Стороні, будь-яка Сторона може вимагати в письмовій формі будь-які зміни до цієї DPA, якщо вони необхідні в результаті будь-яких змін у застосовних Законах про захист даних, щоб дозволити обробку персональних даних відповідно до таких Законів про захист даних. Відповідно до такого повідомлення, Сторони повинні докласти комерційно розумних зусиль для врахування таких необхідних змін і вести добросовісні переговори з метою погодження та впровадження цих або альтернативних змін, спрямованих на задоволення вимог відповідно до застосовного Закону про захист даних, як зазначено у відповідному повідомленні, якомога швидше. Крім того, Процесор може час від часу вносити зміни до цієї DPA без попереднього повідомлення, за умови, що такі зміни не є суттєво несприятливими з точки зору прав Контролера або зобов'язань Процесора. У разі, якщо Процесор вносить будь-які суттєві несприятливі зміни до прав Контролера або зобов'язань Процесора, Процесор повинен повідомити Контролера, надіславши електронний лист.
ДОДАТОК I - ОПИС ПЕРЕДАЧІ ПЕРСОНАЛЬНИХ ДАНИХ
A. СПИСОК СТОРІН
__________
Роль: Контролер
Електронна адреса: ____
Підпис і дата: ____
і
QUANTUM PM LLP
Роль: Процесор
Електронна адреса: legal@qpm.ai
Підпис і дата: ____
B. ОПИС ПЕРЕДАЧІ
Категорії суб'єктів даних, чиї персональні дані передаються: Категорії суб'єктів даних, чиї персональні дані передаються, визначаються виключно Контролером. Процесор обробляє персональні дані про наступні категорії суб'єктів даних від імені Контролера: працівники Контролера, підрядники, постачальники та будь-які інші суб'єкти даних, дані яких Контролер витягує, передає та завантажує на сервери під час використання послуг за Угодою.
Категорії персональних даних, що передаються: Категорії персональних даних, що передаються, визначаються виключно Контролером. Зазвичай, під час використання послуг за Угодою, Контролер може передавати персональні дані, які включають, але не обмежуються:
- ім'я та прізвище;
- контактна інформація;
- _______
Чутливі дані: Непридатне
Частота передачі: Безперервно
Характер обробки: Надання послуг відповідно до Угоди.
Мета передачі даних та подальшої обробки: Надання послуг за Угодою, виконання зобов'язань відповідно до DPA, дія відповідно до інструкцій Контролера за умови, що вони відповідають умовам Угоди, дотримання застосовного законодавства.
Період зберігання персональних даних або, якщо це неможливо, критерії, які використовуються для визначення цього періоду: Тривалість Угоди та відповідно до законодавства.
Для передач Субпроцесорам також вкажіть предмет, характер і тривалість обробки: Той самий предмет, характер і тривалість обробки, що зазначені вище та в Угоді та DPA.
Компетентний наглядовий орган
Компетентний наглядовий орган буде __________________________.
ДОДАТОК II - ОПИС ОБРОБКИ
Категорії суб'єктів даних, чиї персональні дані обробляються:
Категорії суб'єктів даних, чиї персональні дані оброблятимуться, визначаються виключно Контролером. Процесор обробляє персональні дані про наступні категорії суб'єктів даних від імені Контролера: працівники Контролера, підрядники, постачальники та будь-які інші суб'єкти даних, дані яких Контролер витягує, передає та завантажує на сервери під час використання послуг за Угодою.
Категорії персональних даних, що обробляються:
Категорії персональних даних, які оброблятимуться Процесором, визначаються виключно Контролером. Сторони погоджуються, що Процесор оброблятиме такі категорії персональних даних від імені Контролера:
1) ім'я та прізвище;
2) контактна інформація;
3) _______
Характер обробки:
Процесор обробляє персональні дані для надання послуг відповідно до Угоди та спілкування з Контролером про ці послуги. Це може включати як автоматизовану, так і ручну обробку даних.
Мета(и) обробки персональних даних від імені Контролера:
Надання послуг відповідно до Угоди, виконання зобов'язань відповідно до DPA, дія відповідно до інструкцій Контролера за умови, що вони відповідають умовам Угоди, дотримання застосовного законодавства.
Тривалість обробки:
Процесор оброблятиме персональні дані протягом тривалості Угоди та відповідно до законодавства.
ДОДАТОК III - ТЕХНІЧНІ ТА ОРГАНІЗАЦІЙНІ ЗАХОДИ, ВКЛЮЧАЮЧИ ТЕХНІЧНІ ТА ОРГАНІЗАЦІЙНІ ЗАХОДИ ДЛЯ ЗАБЕЗПЕЧЕННЯ БЕЗПЕКИ ДАНИХ
Процесор повинен впровадити такі заходи:
| Захід | Опис |
|---|---|
| Заходи для забезпечення здатності відновлення доступності та доступу до персональних даних у своєчасний спосіб у разі фізичного або технічного інциденту | Компанія впровадить і підтримуватиме документований набір політик і процедур для відновлення після катастроф, щоб забезпечити відновлення або продовження важливої технологічної інфраструктури та систем після катастрофи. |
| Процеси для регулярного тестування, оцінки та оцінювання ефективності технічних і організаційних заходів для забезпечення безпеки обробки | Компанія проводить періодичні оцінки для моніторингу своєї програми інформаційної безпеки, щоб виявити ризики та забезпечити ефективність контролю шляхом проведення внутрішніх аудитів і оцінок ризиків. Компанія залучатиме кваліфікованих зовнішніх аудиторів для проведення оцінок своєї програми інформаційної безпеки відповідно до стандартів ISO 27000. Оцінки проводитимуться щорічно, і докази будуть надані Замовнику згідно з їхньою відповідною Угодою. |
| Заходи для ідентифікації користувачів та авторизації | Доступ до персональних даних обмежується авторизованим персоналом Компанії, який повинен отримати доступ до персональних даних для виконання функцій як частина надання послуг. Доступ до персональних даних має здійснюватися через унікальні імена користувачів і паролі, і багатофакторна аутентифікація повинна бути увімкнена. Доступ вимикається протягом одного робочого дня після звільнення співробітника. |
| Заходи для захисту даних під час передачі | Компанія шифруватиме персональні дані під час передачі та у стані спокою, використовуючи стандартні алгоритми шифрування, які відповідають механізму передачі (наприклад, TLS 1.2, AES-256). |
| Заходи для захисту даних під час зберігання | Персональні дані зберігаються в Microsoft Azure. Резервні копії даних зашифровані. Персональні дані зашифровані під час передачі та у стані спокою, використовуючи стандартні алгоритми шифрування, які відповідають механізму передачі (наприклад, TLS 1.2, AES-256). |
| Заходи для забезпечення фізичної безпеки місць, де обробляються персональні дані | Компанія забезпечить, щоб усі фізичні місця, де обробляються, зберігаються або передаються персональні дані, розташовувалися у безпечних фізичних приміщеннях. Компанія щорічно переглядатиме сертифікати безпеки своїх сторонніх постачальників хмарного хостингу, щоб переконатися, що відповідні фізичні заходи безпеки встановлені. |
| Заходи для забезпечення реєстрації подій | Всі доступи до систем управління інформаційною безпекою в Компанії обмежені, моніторяться та реєструються. Як мінімум, записи журналу включають дату, час, виконану дію та ідентифікатор користувача або пристрою, який виконав дію. Рівень додаткових деталей, які потрібно записати в кожному журналі аудиту, буде пропорційний кількості та чутливості інформації, що зберігається та/або обробляється на цій системі. Всі журнали захищені від змін. |
| Заходи для забезпечення конфігурації системи, включаючи конфігурацію за замовчуванням | Для запобігання та мінімізації потенційних загроз для систем Компанії всі конфігурації хмарних ресурсів визначені в людинозчитуваних маніфестах, і всі зміни проходять процес перевірки з боку колег та автоматизовану перевірку безпеки. Особливі заходи вживаються для періодичної перевірки відповідності фактичного стану ресурсів маніфесту. |
| Заходи для внутрішнього управління IT та IT безпекою | Структури та процеси управління IT безпекою розроблені для забезпечення дотримання принципів захисту даних при їх ефективному впровадженні. Компанія забезпечує, щоб персонал, уповноважений доступати до чутливих даних, був відповідно навчений і поінформований. |
| Заходи для сертифікації/гарантування процесів і продуктів | Рамка інформаційної безпеки Компанії буде базуватися на системі управління інформаційною безпекою ISO 27001 і охоплюватиме такі сфери: управління ризиками безпеки, політики та процедури, управління інцидентами безпеки, контроль доступу, управління вразливістю, фізична безпека, оперативна безпека, корпоративна безпека, інфраструктурна безпека, безпека продукту, відновлення після катастроф, безпека персоналу, дотримання вимог безпеки та безпека постачальників. |
| Заходи для забезпечення мінімізації даних | Компанія збирає лише ту інформацію, яка необхідна для надання послуг, описаних у наших Умовах надання послуг і Політиці конфіденційності. Наші співробітники отримують вказівки доступати лише до мінімальної кількості інформації, необхідної для виконання завдання. |
| Заходи для забезпечення якості даних | Користувачі, які бажають скористатися своїми правами відповідно до чинного законодавства щодо оновлення інформації, яка є застарілою або неправильною, можуть зробити це в будь-який час за допомогою відповідної форми самообслуговування. |
| Заходи для забезпечення обмеженого зберігання даних | Компанія зберігатиме інформацію протягом періоду, необхідного для виконання цілей, описаних у нашій Політиці конфіденційності, якщо довший період зберігання не вимагається або не дозволений законом, або якщо Угода вимагає або дозволяє конкретні періоди зберігання або видалення. Клієнт може запросити видалення даних у будь-який час, і персональні дані видаляються або анонімізуються після припинення Угоди. |
| Заходи для забезпечення підзвітності | Компанія встановила всебічну програму відповідності GDPR і прагне співпрацювати з клієнтами та постачальниками у питаннях дотримання GDPR. Призначено Офіцера з захисту даних (“DPO”), до якого можна звернутися за адресою dpo@qpm.ai. |
| Заходи для забезпечення перенесення даних та забезпечення їх видалення | Компанія надає механізм для фізичних осіб для реалізації своїх прав на конфіденційність відповідно до чинного законодавства. Фізичні особи можуть звернутися до Компанії в будь-який час через службу підтримки клієнтів. |
ДОДАТОК IV – СПИСОК СУБПРОЦЕСОРІВ
Контролер авторизував використання Субпроцесорів відповідно до Додатків I та IV:
Відстеження використання сайту та аналітика
• Google Analytics (контактна форма, США): електронна пошта, IP-адреса.
• Microsoft (контактна форма, інша контактна інформація тут; США): електронна пошта, IP-адреса.
Постачальник хмарних послуг
• Microsoft (контактна форма, інша контактна інформація тут; США): електронна пошта, IP-адреса.
Постачальник послуг управління ідентифікацією користувачів
• Microsoft (контактна форма, інша контактна інформація тут; США): електронна пошта, ім'я.
Обробка платежів
• Stripe (контактна форма, інша контактна інформація тут; у більшості випадків США, залежить від юрисдикції, детальніше тут): інформація про платіжну картку (номер картки, дата закінчення дії, CVC, країна).
Обробка транзакційних та маркетингових електронних листів
• SendGrid (privacy@twilio.com, інша контактна інформація тут; залежить від юрисдикції, детальніше тут): електронна пошта, ім'я, IP-адреса.
Хостинг послуг та резервне копіювання даних
• Microsoft Azure (контактна форма, інша контактна інформація тут; США): зберігання баз даних, зашифрованих архівів резервних даних і файлів імпорту. Ці дані не можуть бути прочитані Microsoft.