Соглашение об обработке данных (DPA)
Последнее обновление:
Настоящее Соглашение об обработке данных ("DPA") заключается между ad-minus.com ("Компания", "мы", "нас" или "наш") и вами или представляемым вами юридическим лицом ("Клиент" или "вы"). Настоящее DPA включено в Условия и Положения ("Соглашение") между Компанией и Клиентом и является их неотъемлемой частью.
1. Определения
Для целей настоящего DPA:
- "Законы о защите данных" означают все применимые законы, касающиеся защиты данных и конфиденциальности, включая, без ограничений, Общий регламент по защите данных ЕС 2016/679 ("GDPR"), Закон Великобритании о защите данных 2018 года, а также любые другие национальные или международные законы и нормативные акты о защите данных, применимые к обработке Персональных данных в соответствии с Соглашением.
- "Персональные данные" означают любую информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу, которая обрабатывается Компанией от имени Клиента в связи с предоставлением Услуг.
- "Обработка" означает любую операцию или совокупность операций, которые выполняются с Персональными данными, независимо от того, осуществляются ли они автоматизированными средствами, такие как сбор, запись, организация, структурирование, хранение, адаптация или изменение, извлечение, консультация, использование, раскрытие путем передачи, распространения или иного предоставления доступа, выравнивание или комбинирование, ограничение, стирание или уничтожение.
- "Контролер", "Обработчик", "Субъект данных", "Надзорный орган" имеют значения, присвоенные им в GDPR.
2. Роли и обязанности
2.1. Роли сторон: Стороны признают и соглашаются, что в отношении Обработки Персональных данных Клиент является Контролером, а Компания — Обработчиком. Каждая сторона будет выполнять свои соответствующие обязательства в соответствии с Законами о защите данных.
2.2. Ограничение цели: Компания должна обрабатывать Персональные данные только для целей, описанных в Соглашении, и в соответствии с законными, документированными инструкциями Клиента, если иное не требуется законодательством Союза или государства-члена, которому подчиняется Компания. В таком случае Компания должна проинформировать Клиента об этом юридическом требовании перед обработкой, если только такой закон не запрещает такую информацию по важным соображениям общественного интереса.
2.3. Инструкции Клиента: Клиент поручает Компании обрабатывать Персональные данные по мере разумной необходимости для предоставления Услуг и в соответствии с Соглашением. Клиент гарантирует, что его инструкции являются законными и что обработка Персональных данных в соответствии с такими инструкциями не будет нарушать Законы о защите данных.
3. Безопасность обработки
3.1. Меры безопасности: Компания должна внедрять и поддерживать соответствующие технические и организационные меры для защиты Персональных данных от случайного или незаконного уничтожения, потери, изменения, несанкционированного раскрытия или доступа. Эти меры должны обеспечивать уровень безопасности, соответствующий риску, с учетом уровня техники, затрат на внедрение, а также природы, объема, контекста и целей обработки, а также риска для прав и свобод физических лиц.
3.2. Конфиденциальность: Компания должна обеспечивать, чтобы ее сотрудники, уполномоченные на обработку Персональных данных, обязались сохранять конфиденциальность или были подвержены соответствующим статутным обязательствам конфиденциальности.
4. Подработка
4.1. Уполномоченные подработчики: Клиент дает общее разрешение Компании на привлечение подработчиков для обработки Персональных данных от имени Клиента. Компания должна поддерживать список своих текущих подработчиков, который будет предоставлен Клиенту по запросу. Компания будет информировать Клиента о любых намечаемых изменениях, связанных с добавлением или заменой подработчиков, давая Клиенту возможность возразить против таких изменений.
4.2. Обязательства подработчиков: Когда Компания привлекает подработчика, она должна делать это посредством письменного договора, который налагает на подработчика обязательства по защите данных, не менее защитные, чем те, которые изложены в настоящем DPA. Компания остается полностью ответственна перед Клиентом за выполнение обязательств подработчика.
5. Права субъектов данных
Компания должна, в пределах допустимого законом, оперативно уведомлять Клиента, если она получает запрос от Субъекта данных на осуществление их прав в соответствии с Законами о защите данных (например, доступ, исправление, удаление, переносимость). Учитывая природу обработки, Компания должна помогать Клиенту соответствующими техническими и организационными мерами, в той мере, в которой это возможно, для выполнения обязательств Клиента по ответу на такие запросы Субъектов данных.
6. Уведомление о нарушении данных
В случае нарушения Персональных данных, обрабатываемых Компанией от имени Клиента, Компания должна уведомлять Клиента без неоправданной задержки после того, как станет осведомлена о нарушении. Компания должна предоставлять Клиенту достаточную информацию, чтобы позволить Клиенту выполнить любые обязательства по уведомлению или информированию Субъектов данных о нарушении Персональных данных в соответствии с Законами о защите данных.
7. Оценка влияния на защиту данных и предварительная консультация
Компания должна оказывать Клиенту разумную помощь в проведении оценок влияния на защиту данных и предварительных консультаций с Надзорными органами, которые Клиент разумно считает необходимыми в соответствии с Законами о защите данных, в каждом случае исключительно в отношении обработки Персональных данных Компанией и с учетом природы обработки и имеющейся у Компании информации.
8. Удаление или возврат Персональных данных
По истечении срока действия Соглашения или по письменному запросу Клиента Компания должна, по выбору Клиента, удалять или возвращать все Персональные данные Клиенту и удалять существующие копии, если только закон Союза или государства-члена не требует хранения Персональных данных. Это обязательство подлежит стандартной политике резервного копирования и хранения данных Компании.
9. Международные передачи
Компания не должна передавать Персональные данные за пределы Европейской экономической зоны (ЕЭЗ) или Великобритании (Великобритании) в любую страну, не признанную адекватной Европейской комиссией или Управлением комиссара по информации Великобритании, без обеспечения надлежащих гарантий, таких как Стандартные контрактные положения (СКП) или другие законные механизмы передачи, требуемые Законами о защите данных. Клиент уполномочивает Компанию заключать СКП с подработчиками от имени Компании, когда это необходимо.
10. Право на аудит
Компания должна предоставлять Клиенту всю необходимую информацию для демонстрации соблюдения обязательств, изложенных в настоящем DPA, и разрешать и способствовать проведению аудитов, включая инспекции, проводимые Клиентом или другим аудитором, уполномоченным Клиентом, с учетом разумного уведомления и обязательств по конфиденциальности. Такие аудиты должны проводиться в течение нормальных рабочих часов и таким образом, чтобы не создавать неоправданного помеха в бизнес-операциях Компании.
11. Общие положения
11.1. Применимое право: Настоящее DPA должно регулироваться и толковаться в соответствии с законами, применимыми к Соглашению, если иное не требуется Законами о защите данных.
11.2. Отделимость: Если какое-либо положение настоящего DPA будет признано судом компетентной юрисдикции недействительным, незаконным или неисполнимым, такое положение будет исключено из DPA, и остальная часть DPA продолжит действовать в полной мере.
11.3. Полное соглашение: Настоящее DPA, вместе с Соглашением, составляет полное соглашение между сторонами относительно предмета настоящего DPA и заменяет все предыдущие и современные соглашения и понимания, как устные, так и письменные.
12. Контактная информация
По любым вопросам, связанным с настоящим DPA или нашими практиками обработки данных, пожалуйста, свяжитесь с нами по адресу:
ad-minus.com
20 Argyll Road, HR2 3WS Llandinabo, Великобритания
Email: [email protected]