Соглашение на обработку персональных данных: Согласие на обработку персональных данных 2021: бланк, скачать форму

В этом документе должно быть подробно расписано, как, с какой целью и какие конкретно сведения из персональных данных будут применяться, обрабатываться и храниться.

Следует отметить, что по закону, вся персональная информация, предоставленная работодателю, может использоваться только в служебных целях.

Если сотрудник отказывается подписывать согласие

Обычно это бывает вызвано тем, что они не понимают истинного назначения документа: защитить права работника, а напротив, опасаются, что личные сведения о них попадут в руки недобросовестных граждан.

В этих случаях закон допускает обработку персональных данных без согласия работника, но только тогда, когда это нужно для реализации условий и целей ранее заключенного трудового договора.

Здесь отдельно следует акцентировать внимание на том, что это касается только тех сотрудников организации, которые уже зачислены в ее штат, а вот в отношении новых работников согласие на обработку персональных данных получить необходимо – без него в большинстве случаев человека на сегодняшний день даже невозможно принять на работу. Связано это с тем, что между сторонами еще не заключен трудовой договор, а значит, у работодателя еще нет и обязанности его исполнять.

Логично, что администрация предприятия стремится избежать ситуаций, когда, например, даже в таких мелочах, как выписка пропуска на территорию компании, отсутствие согласия на обработку персональных данных может сыграть свою негативную роль.

Что грозит за разглашение персональных данных

Как уже говорилось выше, действия, которые работодатель может совершать с персональными данными работников, четко прописываются в тексте согласия.

Если полномочия в какой-то степени превышаются, а, тем более, если происходит какое-то злоупотребление, ответственность может наступить самая серьезная: начиная от дисциплинарной и административной, вплоть до уголовной.

Для того, чтобы сотрудник имел четкое представление о том, не выходит ли запрашиваемая у него информация за рамки нужной по закону или не превышаются ли полномочия работников предприятия по тексту согласия, следует заранее проанализировать документ (возможно даже воспользовавшись помощью квалифицированного юриста) и только тогда ставить под согласием свою подпись.

В частности, данные о том, отбывал ли гражданин срок в местах лишения свободы, нужна только тогда, когда должность, на которую он претендует, напрямую требует отсутствия судимости (иными словами, если соискатель хочет работать менеджером по рекламе, такие данные он имеет право не предоставлять).

Как уведомить

Законодательство гласит о том, что представители организаций должны извещать Роскомнадзор об обработке поступивших в их распоряжение всех персональных данных (статья 22 закона № 152-ФЗ). Посмотреть, исполняет ли работодатель эту норму закона можно на сайте данной госструктуры.

Можно ли отозвать согласие

Обычно действие с согласием на обработку персональных данных происходит так: устраиваясь на работу, человек подписывает документ, после чего благополучно о нем забывает. Но в некоторых случаях, возникает необходимость об отзыве ранее подписанного согласия. Как правило, это бывает, когда работодатель нарушает условия хранения, использования и обеспечения закрытости поступившей в его распоряжение информации, а также при увольнении.

Для того, чтобы оформить отзыв достаточно всего лишь написать заявление в свободной форме, потребовать в нем прекратить сбор, обработку, использование, хранение персональных данных и уничтожить всю информацию о подчиненном (сослаться надо на закон № 152-ФЗ: п. 1 ст. 9 и п. 5 ст. 22).

Это требование должно быть выполнено не позже чем через месяц после написания отзыва.

Образец согласия

Согласие пишется в произвольной форме или по шаблону, который разработан и утвержден внутри организации. При этом в бланке обязательно должны быть следующие данные:

• наименование компании-работодателя;
• место и дата составления документа;
• фамилия, имя, отчество работника, его паспортные данные и сведения о месте жительства.

Далее в основной части подробно указывается:

• каких именно персональных данных касается документ;
• в каких целях и что именно допустимо с ними делать;
• срок действия согласия и возможность его отзыва (хотя это итак гарантировано законодательством).

Обязательно следует поставить отметку о том, что согласие написано без принуждения и в добровольном порядке. После того этого под документом ставится подпись.

СОГЛАСИЕ
НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

г. Иваново

03.08.2018 г.

Я, Ковтун Инна Олеговна, паспорт 2495 564738, выдан Ленинским РОВД г. Иваново, адрес регистрации: г. Иваново, ул. Мельничная д.73, кв. 8, даю свое согласие ОАО «КомЖилФонд» на обработку моих персональных данных. Согласие касается фамилии, имени, отчества, данных о поле, дате рождении, гражданстве, типе документа, удостоверяющем личность (его серии, номере, дате и месте выдачи), а также сведений из трудовой книжки: опыте работы, месте работы и должности.

Я даю согласие на использование персональных данных исключительно в целях формирования кадрового документооборота предприятия, бухгалтерских операций и налоговых отчислений, а также на хранение всех вышеназванных данных на электронных носителях. Также данным согласием я разрешаю сбор моих персональных данных, их хранение, систематизацию, обновление, использование (в т.ч. передачу третьим лицам для обмена информацией), а также осуществление любых иных действий, предусмотренных действующим законом Российской Федерации.

До моего сведения доведено, что ОАО «КомЖилФонд» гарантирует обработку моих персональных данных в соответствии с действующим законодательством Российской Федерации. Срок действия данного согласия не ограничен. Согласие может быть отозвано в любой момент по моему письменному заявлению.

Подтверждаю, что давая согласие я действую без принуждения, по собственной воле и в своих интересах.

Ковтун И.О. (подпись)

Соглашение на хранение и обработку персональных данных

Настоящее пользовательское соглашение является публичной офертой (то есть предложением заключить соглашение).

Нажимая кнопки «Отправить», «Обратная связь» и любые другие кнопки для отправки данных форм, Вы считаетесь присоединившимся к нему.

Если вы считаете, что Соглашение или Администрация Сайта нарушает ваши права, сообщите об этом по электронному адресу: [email protected]

Предоставляя свои персональные данные Пользователь web-сайта iss.ru (именуемого далее «Сайт») даёт согласие на обработку, хранение и использование своих персональных данных на основании ФЗ № 152-ФЗ «О персональных данных» от 27.07.2006 г. в следующих целях:

• Осуществление клиентской поддержки;
• Получения Пользователем информации о маркетинговых событиях, об услугах Центра Обучения;
• Проведения аудита и прочих внутренних исследований с целью повышения качества предоставляемых услуг.

Под персональными данными подразумевается любая информация личного характера, позволяющая установить личность Пользователя Сайта такая как:

• Фамилия, Имя, Отчество
• Контактный телефон
• Адрес электронной почты
• Название компании–работодателя Пользователя и наименование должности Пользователя

Персональные данные Пользователей хранятся исключительно на электронных носителях и обрабатываются с использованием автоматизированных систем, за исключением случаев, когда неавтоматизированная обработка персональных данных необходима в связи с исполнением требований законодательства.

Компания ISS обязуется не передавать полученные персональные данные третьим лицам, за исключением запросов уполномоченных органов государственной власти РФ только по основаниям и в порядке, установленным законодательством РФ.
Компания ISS оставляет за собой право вносить изменения в одностороннем порядке в настоящие правила, при условии, что изменения не противоречат действующему законодательству РФ. Изменения условий настоящих правил вступают в силу после их публикации на Сайте.

404 Not Found

Выберите город

Симферополь Севастополь Абакан Анадырь Архангельск Астрахань Барнаул Белгород Биробиджан Благовещенск Брянск Великий Новгород Владивосток Владикавказ Владимир Волгоград

Вологда Воронеж Горно-Алтайск Грозный Екатеринбург Иваново Ижевск Иркутск Йошкар-Ола Казань Калининград Калуга Кемерово Киров Кострома Краснодар

Красноярск Курган Курск Кызыл Липецк Магадан Магас Майкоп Махачкала Мурманск Нальчик Нижний Новгород Новосибирск Омск Орел Оренбург

Пенза Пермь Петрозаводск Петропавловск-Камчатский Псков Ростов-на-Дону Рязань Салехард Салехард Самара Санкт-Петербург Саранск Саратов Сахалинская область Смоленск Ставрополь

Сыктывкар Тамбов Тверь Томск Тула Тюмень Улан-Удэ Ульяновск Уфа Хабаровск Ханты Мансийск Чебоксары Челябинск Черкесск Чита Элиста

Якутск Ярославль

Соглашение на обработку персональных данных

Пользователь, действуя свободно, своей волей и в своем интересе, а также подтверждая свою дееспособность и оставляя заявку путем заполнения веб-формы на интернет-сайте ЗАО «ТаксНет» по адресу: https://taxnet. ru (далее Сайт), предоставляет настоящее Согласие на обработку его персональных данных (далее — Согласие). Пользователь дает свое Согласие ЗАО «Такснет», которое расположено по адресу: Россия, 420021, Республика Татарстан, г. Казань, ул. Каюма Насыри , д.28 на обработку своих персональных данных на следующих условиях:

1. Данное Согласие дается на обработку персональных данных Пользователя, как с использованием средств автоматизации, так и без использования средств автоматизации.

2. Согласие дается на обработку следующих персональных данных Пользователя: имя, номер контактного телефона, адрес электронной почты.

3. Персональные данные, предоставляемые в рамках настоящего Согласия, не являются общедоступными.

4. Цели обработки персональных данных: — организация обратной связи с Пользователем;- прием и обработка заявок и обращений Пользователя;

5. Основанием для обработки персональных данных является п.1 ч.1 ст.6 Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных»; Политика обработки персональных данных и реализуемых требований к защите персональных данных ЗАО «ТаксНет».

6. Настоящее Согласие дается на совершение следующих действий с персональными данными: сбор, запись, систематизация, накопление, хранение.

7. Обработка персональных данных может быть прекращена по запросу Пользователя.

8. Согласие может быть отозвано Пользователем или его представителем путем направления письменного уведомления в ЗАО «ТаксНет» по адресу, указанному в тексте настоящего Согласия.

9. Настоящее Согласие действует до истечения сроков хранения соответствующей информации, определяемых в соответствии с действующим законодательством Российской Федерации, либо до утраты правовых оснований.

Соглашение на обработку персональных данных АВРОРА — Сеть Фитнес-Клубов в Барнауле

                Настоящим я даю свое согласие на обработку ИП Банщиков ЕВ, 658046, Алтайский край, с. Санниково, 14 (далее по тексту — «Компания») моих персональных данных и подтверждаю, что давая такое согласие, я действую своей волей и в своем интересе. Согласие распространяется на информацию, вводимую в полях регистрации данного сайта Компании (имя, фамилия, e-mail, номер телефона). Согласие на обработку персональных данных дается мною в целях получения услуг, оказываемых Компанией. Обработка персональных данных осуществляется Компанией следующими способами: обработка персональных данных с использованием средств автоматизации, обработка персональных данных без использования средств автоматизации (неавтоматизированная обработка). При обработке персональных данных Компания не ограничена в применении способов их обработки. Согласие предоставляется на осуществление любых действий в отношении персональных данных, которые необходимы для достижения вышеуказанных целей, включая без ограничения: сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение, а также осуществление любых иных действий с персональными данными в соответствии с действующим законодательством. Настоящим я признаю и подтверждаю, что в случае необходимости предоставления персональных данных для достижения указанных выше целей третьему лицу, а равно как при привлечении третьих лиц к оказанию услуг в указанных целях, передаче Компанией принадлежащих ей функций и полномочий иному лицу, Компания вправе в необходимом объеме раскрывать для совершения вышеуказанных действий информацию обо мне лично таким третьим лицам, их агентам и иным уполномоченным ими лицам, а также предоставлять таким лицам соответствующие документы, содержащие такую информацию. Также настоящим признаю и подтверждаю, что настоящее согласие считается данным мною любым третьим лицам, указанным выше, с учетом соответствующих изменений, и любые такие третьи лица имеют право на обработку персональных данных на основании настоящего согласия. Настоящее согласие дается мною бессрочно, но может быть отозвано посредством направления мною письменного уведомления Компании не менее чем за 1 (один) месяц до момента отзыва согласия на почту sfk_avrora@list. ru

Пользовательское соглашение (согласие на обработку персональных данных)

Пользователь, оставляя заявку на интернет-сайте http://alfametal.ru/, принимает настоящее Согласие на обработку персональных данных (далее – Согласие). Действуя свободно, своей волей и в своем интересе, а также подтверждая свою дееспособность, Пользователь дает свое согласие ООО «ПО «АЛЬФА-МЕТАЛЛ» (ИНН 5021011203), которое расположено по адресу г. Москва, ул. Угрешская, 2, стр.101, на обработку своих персональных данных со следующими условиями:

1. Данное Согласие дается на обработку персональных данных, как без использования средств автоматизации, так и с их использованием.

2. Согласие дается на обработку следующих моих персональных данных:

2.1.Персональные данные, не являющиеся специальными или биометрическими: номера контактных телефонов; адреса электронной̆ почты; место работы и занимаемая должность; пользовательские данные (сведения о местоположении; тип и версия ОС; тип и версия Браузера; тип устройства и разрешение его экрана; источник откуда пришел на сайт пользователь; с какого сайта или по какой рекламе; язык ОС и Браузера; какие страницы открывает и на какие кнопки нажимает пользователь; ip-адрес)

3. Персональные данные не являются общедоступными.

4. Цели обработки персональных данных: обработка входящих запросов физических лиц с целью оказания консультирования; подготовка и направление ответов на запросы физических лиц, выполнение договорных отношений с клиентами; аналитика действий физического лица на веб-сайте и функционирования веб-сайта; проведение рекламных и новостных рассылок.

5. В случае необходимости предоставления моих персональных данных третьим лицам в целях надлежащего исполнения своих обязательств передо мной компанией ООО «ПО «АЛЬФА-МЕТАЛЛ», я даю согласие на передачу им моих персональных данных. ООО «ПО «АЛЬФА-МЕТАЛЛ» вправе поручить обработку моих персональных данных третьей стороне на основании заключаемого с этой стороной договора, (далее – поручение). Третья сторона, осуществляющая обработку персональных данных по поручению ООО «ПО «АЛЬФА-МЕТАЛЛ», обязана соблюдать принципы и правила обработки персональных данных, предусмотренные ФЗ-152, обеспечивая конфиденциальность и безопасность при их обработке.

6. Основанием для обработки персональных данных является:

6.1.ст. 24 Конституции Российской Федерации;

6.2.ст. 6 Федерального закона №152-ФЗ «О персональных данных»;

6.3.Устав ООО «ПО «АЛЬФА-МЕТАЛЛ»;

6.4.Настоящее согласие на обработку персональных данных

7. Под обработкой персональных данных понимаются любые действия, совершаемые Исполнителем с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение персональных данных.

8. Способы и принципы обработки персональных данных, права и обязанности Сторон, а также перечень мер, применяемых Исполнителем в целях обеспечения безопасности персональных данных при их обработке указаны в Политике в отношении обработки персональных данных опубликованной на Сайте по адресу: http://alfametal. ru/confidential/

9. Персональные данные обрабатываются до отписки физического лица от рекламных и новостных рассылок. Также обработка персональных данных может быть прекращена по запросу субъекта персональных данных. Хранение персональных данных, зафиксированных на бумажных носителях осуществляется согласно Федеральному закону №125-ФЗ «Об архивном деле в Российской Федерации» и иным нормативно правовым актам в области архивного дела и архивного хранения.

10. Согласие может быть отозвано субъектом персональных данных или его представителем путем направления письменного заявления ООО «ПО «АЛЬФА-МЕТАЛЛ» или его представителю по адресу, указанному в начале данного Согласия, либо путем направления обращения на электронный адрес [email protected]

11. В случае отзыва субъектом персональных данных или его представителем согласия на обработку персональных данных ООО «ПО «АЛЬФА-МЕТАЛЛ» вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 – 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона №152-ФЗ «О персональных данных» от 27. 07.2006 г.

12. Подписываясь на электронную рассылку, заполняя информацию в личном кабинете, оправляя запросы на продукцию, цены, документы и прочую информацию посетитель сайта www.alfametal.ru (далее — Пользователь) соглашается получать информационную рассылку на электронный адрес, указанный при заполнение информационных форм через сервис рассылки.

13. Пользователь проинформирован о том, что в случае, если у него возникнет желание отказаться от рассылки сайта ООО «ПО«АЛЬФА-МЕТАЛЛ» (www.alfametal.ru), ему будет необходимо самостоятельно перейти по ссылке «Отписаться от рассылки», указываемой в тексте отправляемых сайтом сообщений.

14. Пользователь также ознакомлен с нижеизложенным Пользовательским соглашением и даёт разрешение ООО «ПО«АЛЬФА-МЕТАЛЛ» (www.alfametal.ru) собирать, хранить и обрабатывать все переданные им в адрес ООО «ПО«АЛЬФА-МЕТАЛЛ» (www.alfametal.ru) свои персональные данные (в том числе фамилию, имя, отчество и адрес электронной почты) с целью информирования о новостях, рекламных предложений, акциях и других мероприятиях ООО «ПО«АЛЬФА-МЕТАЛЛ» (www. alfametal.ru). С правами, возникающими в связи с обработкой персональных данных Пользователя, и целями обработки и использования персональных данных Пользователя ознакомлен.

15. Настоящее согласие действует все время до момента прекращения обработки персональных данных, указанных в п.9 и п.10 данного Согласия.

Пользовательское соглашение и Согласие на обработку персональных данных

ПОЛЬЗОВАТЕЛЬСКОЕ СОГЛАШЕНИЕ:

Настоящее Соглашение определяет условия использования Пользователями материалов и сервисов сайта www.zdorovie7i.ru (далее — «Сайт»).

1. Общие условия
   1. Использование материалов и сервисов Сайта регулируется нормами действующего законодательства Российской Федерации.
   2. Настоящее Соглашение является публичной офертой. Получая доступ к материалам Сайта Пользователь считается присоединившимся к настоящему Соглашению.
   3. Администрация Сайта вправе в любое время в одностороннем порядке изменять условия настоящего Соглашения. Такие изменения вступают в силу по истечении 3 (Трех) дней с момента размещения новой версии Соглашения на сайте. При несогласии Пользователя с внесенными изменениями он обязан отказаться от доступа к Сайту, прекратить использование материалов и сервисов Сайта.
2. Обязательства Пользователя
   1. Пользователь соглашается не предпринимать действий, которые могут рассматриваться как нарушающие российское законодательство или нормы международного права, в том числе в сфере интеллектуальной собственности, авторских и/или смежных правах, а также любых действий, которые приводят или могут привести к нарушению нормальной работы Сайта и сервисов Сайта.
   2. Использование материалов Сайта без согласия правообладателей не допускается (статья 1270 Г.К РФ). Для правомерного использования материалов Сайта необходимо заключение лицензионных договоров (получение лицензий) от Правообладателей.
   3. При цитировании материалов Сайта, включая охраняемые авторские произведения, ссылка на Сайт обязательна (подпункт 1 пункта 1 статьи 1274 Г. К РФ).
   4. Комментарии и иные записи Пользователя на Сайте не должны вступать в противоречие с требованиями законодательства Российской Федерации и общепринятых норм морали и нравственности.
   5. Пользователь предупрежден о том, что Администрация Сайта не несет ответственности за посещение и использование им внешних ресурсов, ссылки на которые могут содержаться на сайте.
   6. Пользователь согласен с тем, что Администрация Сайта не несет ответственности и не имеет прямых или косвенных обязательств перед Пользователем в связи с любыми возможными или возникшими потерями или убытками, связанными с любым содержанием Сайта, регистрацией авторских прав и сведениями о такой регистрации, товарами или услугами, доступными на или полученными через внешние сайты или ресурсы либо иные контакты Пользователя, в которые он вступил, используя размещенную на Сайте информацию или ссылки на внешние ресурсы.
   7. Пользователь принимает положение о том, что все материалы и сервисы Сайта или любая их часть могут сопровождаться рекламой. Пользователь согласен с тем, что Администрация Сайта не несет какой-либо ответственности и не имеет каких-либо обязательств в связи с такой рекламой.
3. Прочие условия
   1. Все возможные споры, вытекающие из настоящего Соглашения или связанные с ним, подлежат разрешению в соответствии с действующим законодательством Российской Федерации.
   2. Ничто в Соглашении не может пониматься как установление между Пользователем и Администрации Сайта агентских отношений, отношений товарищества, отношений по совместной деятельности, отношений личного найма, либо каких-то иных отношений, прямо не предусмотренных Соглашением.
   3. Признание судом какого-либо положения Соглашения недействительным или не подлежащим принудительному исполнению не влечет недействительности иных положений Соглашения.
   4. Бездействие со стороны Администрации Сайта в случае нарушения кем-либо из Пользователей положений Соглашения не лишает Администрацию Сайта права предпринять позднее соответствующие действия в защиту своих интересов и защиту авторских прав на охраняемые в соответствии с законодательством материалы Сайта. Пользователь подтверждает, что ознакомлен со всеми пунктами настоящего Соглашения и безусловно принимает их.

СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ:

Проставляя галочку в соответствующем окне сайта, я даю свое согласие сотрудникам ООО «Здоровье семьи» на обработку моих персональных данных. В соответствии с требованиями статьи 9 Федерального закона от 27.07.06 г. «О персональных данных» № 152-ФЗ, я подтверждаю свое согласие на передачу и обработку Оператором моих персональных данных, включающих: фамилию, имя, отчество, пол, дату рождения, адрес места жительства, контактный(е) телефон(ы), данные о состоянии моего здоровья, интимной жизни, случаях обращения за медицинской помощью — в медико-профилактических целях, в целях установления медицинского диагноза и оказания медицинских услуг при условии, что их обработка осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным сохранять врачебную тайну. В процессе оказания Оператором мне медицинской помощи я предоставляю право медицинским работникам передавать мои персональные данные, содержащие сведения, составляющие врачебную тайну, другим должностным лицам или подразделениям Оператора или сторонним лицам в соответствии с законодательством РФ, с использованием машинных носителей или по каналам связи с соблюдением мер, обеспечивающих их защиту от несанкционированного доступа, при условии, что их прием и обработка будут осуществляется лицом, обязанным сохранять профессиональную тайну. В соответствии с законодательством таковыми являются специализированные медицинские учреждения, контролирующие эпидемиологическую обстановку социально опасных инфекционных заболеваний (кожно-венерологический диспансер, СПИД центр, эпидемиологическое бюро Роспотребнадзора, органы местного управления и федерального подчинения, производящие надзор за качеством оказания медицинской помощи (Министерство здравоохранения и территориальное управление Росздравнадзора), следственные и судебные органы, а также медицинские учреждения и организации, в которые Оператор по показаниям направляет пациента или взятые у него образцы для исследования. Предоставляю Оператору право осуществлять все действия (операции) с моими персональными данными, включая сбор, систематизацию, накопление, хранение, обновление, изменение, использование, обезличивание, блокирование, уничтожение. Оператор вправе обрабатывать мои персональные данные посредством внесения их в электронную базу данных, включения в списки (реестры) и отчетные формы, предусмотренные документами, регламентирующими предоставление отчетных данных. Срок хранения моих персональных данных соответствует сроку хранения первичных медицинских документов (медицинской карты) в соответствии с приказами Министерства здравоохранения РФ.Передача моих персональных данных иным лицам или иное их разглашение может осуществляться только с моего письменного согласия или в соответствии с требованиями статьи 9 Федерального закона от 27.07.06 г. «О персональных данных» № 152-ФЗ. Я оставляю за собой право отозвать свое согласие посредством составления соответствующего письменного документа, который может быть направлен мной в адрес Оператора по почте заказным письмом с уведомлением о вручении, либо вручен лично под расписку представителю Оператора. В случае получения моего письменного заявления об отзыве настоящего согласия на обработку персональных данных Оператор обязан прекратить их обработку в течение периода времени, необходимого для завершения взаиморасчетов по оплате оказанной мне до этого медицинской помощи.

Что такое соглашение об обработке данных GDPR?

Практически каждый бизнес полагается на третьи стороны при обработке личных данных.

Общий регламент ЕС по защите данных требует более серьезного подхода к контрактам, чем предыдущие правила ЕС о данных. Если ваша организация подпадает под действие GDPR, у вас должно быть письменное соглашение об обработке данных со всеми вашими обработчиками данных.Да, соглашение об обработке данных — это больше утомляет бумажная волокита. Но это также один из самых основных шагов по соблюдению GDPR, необходимый, чтобы избежать штрафов GDPR.

Это руководство служит введением в соглашения об обработке данных — что они собой представляют, почему они важны, для кого они предназначены и что они должны сказать. Вы также можете перейти по ссылке, чтобы найти шаблон соглашения об обработке данных GDPR, который вы можете загрузить, настроить и использовать для своей компании.

Термин «обработка» встречается в этой статье с неприятной частотой.В определениях GDPR под обработкой понимается все, что вы можете делать с чьей-либо личной информацией: сбор, хранение, монетизация, уничтожение и т. Д.

Основы соглашения об обработке данных

Соответствие GDPR требует, чтобы контролеры данных подписали соглашение об обработке данных с любыми сторонами, которые действуют от их имени в качестве обработчиков данных. Если вам нужны определения этих терминов, вы можете найти их в нашей статье «Что такое GDPR», но обычно обработчиком данных является другая компания, которую вы используете для помощи в хранении, анализе или передаче личной информации.Например, если вы медицинская страховая компания и передаете информацию о клиентах через зашифрованную электронную почту, то эта зашифрованная электронная почта является обработчиком данных. Или, если вы используете Matomo для анализа трафика на своем веб-сайте, Matomo также будет обработчиком данных.

Соглашение об обработке данных — это юридически обязывающий договор, в котором указываются права и обязанности каждой стороны в отношении защиты личных данных (см. «Что такое личные данные?»). Статья 28 GDPR охватывает соглашения об обработке данных в соответствии с разделом 3:

Обработка обработчиком регулируется договором или другим правовым актом в соответствии с законодательством Союза или государства-члена, который является обязательным для обработчика в отношении контролера и который устанавливает предмет и продолжительность обработки, характер и цель обработки, тип персональных данных и категории субъектов данных, а также обязанности и права контролера.

Если вы являетесь владельцем бизнеса, подпадающим под действие GDPR, в ваших интересах иметь соглашение об обработке данных: в первую очередь, оно требуется для соблюдения GDPR, но DPA также дает вам гарантии, что обработчик данных, который вы используете, квалифицирован и способен. Как указано в Рекитале 81:

При поручивании обработчику операций обработки, контролер должен использовать только процессоры, обеспечивающие достаточные гарантии, в частности, с точки зрения экспертных знаний, надежности и ресурсов, для реализации технических и организационных мер, которые будут соответствовать требованиям требований настоящего Регламента, в том числе по безопасности обработки.

Пример соглашения об обработке данных

Этот веб-сайт, как вы, возможно, знаете, управляется провайдером зашифрованной электронной почты ProtonMail (и частично финансируется программой Европейского Союза Horizon 2020). В рамках наших усилий по соблюдению GDPR мы предоставили всем нашим корпоративным пользователям возможность загрузить, просмотреть и подписать собственное соглашение об обработке данных.

Наш DPA дает ряд гарантий компаниям, которые доверяют нам личные данные. Например, соглашение об обработке данных ProtonMail обещает использование технических мер безопасности, таких как шифрование, как указано в статье 32 GDPR. Он также предлагает разумную помощь контролерам при проведении оценки воздействия на защиту данных.

Для получения более подробной информации вы можете прочитать соглашение об обработке данных ProtonMail или проверить общий шаблон соглашения об обработке данных, который мы разместили на этом веб-сайте.

Что должно быть в соглашении об обработке данных

GDPR Статья 28, раздел 3 подробно объясняет восемь тем, которые должны быть рассмотрены в DPA. Итак, вот что вам необходимо указать:

• Процессор соглашается обрабатывать персональные данные только по письменным инструкциям контролера.
• Все, кто соприкасается с данными, обязаны соблюдать конфиденциальность.
• Все соответствующие технические и организационные меры используются для защиты данных.
• Процессор не будет заключать субподряд с другим процессором, если это не указано в письменной форме от контроллера. В этом случае необходимо будет подписать другой DPA с субпроцессором (в соответствии с разделами 2 и 4 статьи 28).
• Процессор поможет контроллеру выполнять свои обязательства в соответствии с GDPR, в частности, в отношении прав субъектов данных.
• Процессор поможет контроллеру поддерживать соответствие GDPR в отношении статьи 32 (безопасность обработки) и статьи 36 (консультации с органом по защите данных перед выполнением обработки с высоким риском).
• Обработчик соглашается удалить все личные данные после прекращения обслуживания или вернуть данные контроллеру.
• Процессор должен разрешить контроллеру провести аудит и предоставить всю информацию, необходимую для подтверждения соответствия.

Штрафы GDPR ожидают тех, кто не соблюдает

С момента вступления GDPR в силу органы по защите данных продемонстрировали свою готовность наложить штрафы. Не остались без внимания и малый и средний бизнес. Штрафы GDPR могут составлять до 20 миллионов евро или 4% от общемирового дохода компании.

Однако существует два уровня штрафов, в зависимости от серьезности и типа нарушения. Штрафы GDPR, налагаемые за нарушения, связанные с обработчиками данных, обычно относятся к первому уровню, который, согласно руководящим принципам, может достигать 10 миллионов евро или 2% от глобального дохода.
В любом случае подписать соглашение об обработке данных и соблюдать его условия гораздо менее болезненно, чем заплатить штраф GDPR. Надеемся, это руководство поможет. Чтобы получить более понятную помощь по соблюдению GDPR, ознакомьтесь с нашим контрольным списком GDPR.

Соглашение об обработке данных: 7 элементов, которые должен иметь каждый DPA, соответствующий GDPR [Обновлено]

Если вы хотите знать, как составить законное соглашение об обработке данных (DPA), вы находитесь в нужном месте. В этом сообщении блога мы познакомим вас со всеми важными элементами DPA в соответствии с Общим регламентом защиты данных (GDPR).

GDPR налагает множество обязательств на тех, кто хочет собирать и использовать персональные данные о пользователях. Одним из наиболее важных является DPA с каждой стороной, имеющей доступ к этим данным. Пункт DPA или заказной обработки данных — это юридически обязательный документ, подписанный между контролером и обработчиком. Он регулирует особенности обработки данных, например:

• Объем и цель обработки
• Отношения между этими актерами
• Обязательства каждой стороны в соответствии с положением

Когда вам понадобится DPA?

Каждый раз, когда обработчик данных выполняет какую-либо обработку от вашего имени, вам необходимо заключить письменный договор.

Это означает, что вам понадобится DPA, например, когда вы используете платформы управления взаимоотношениями с клиентами (CRM), платформы данных о клиентах (CDP), аналитику и многие другие инструменты, предназначенные для анализа поведения пользователей.

Контракт важен для того, чтобы обе стороны понимали свою роль в обработке персональных данных пользователей и свои обязательства, вытекающие из этого. Это гарантирует, что цепочка ответственности ясна каждому участнику процесса.

В этом нет ничего нового.Подписание такого документа требуется многими другими нормативными актами о конфиденциальности данных, включая Закон о защите данных Великобритании и предшествующий GDPR Директиву о защите данных 95/46 / EC.

Тем не менее, согласно GDPR требования к контракту шире. Они также помогают продемонстрировать соответствие каждой стороны в случае проверки органами по защите данных.

По данным Управления комиссара по информации Великобритании:

Контракты между контролерами и обработчиками гарантируют, что они оба понимают свои обязательства, ответственность и ответственность.Они помогают им соблюдать GDPR и помогают диспетчерам продемонстрировать свое соответствие GDPR. Использование контрактов контроллерами и обработчиками также может повысить уверенность субъектов данных в обработке их личных данных.

Должен ли DPA быть отдельным документом?

Нет никаких юридических ограничений, согласно которым DPA не может быть частью обычного контракта между процессором и контролером. Однако, учитывая сложность задачи, хорошо бы создать отдельный документ или приложение к основному договору.

Что должно быть включено в DPA?

GDPR дает некоторые общие рекомендации о том, что включать в DPA. Основываясь на нормах, а также на нашем собственном опыте и знаниях, мы подготовили список элементов, которые должны быть в каждом соглашении об обработке данных.

Важное примечание! Информация, содержащаяся в этой статье, предназначена только для информационных целей и не должна рассматриваться как юридическая консультация.

1) Общие положения

В этой части контракта вы указываете термины, используемые в документе.Помимо прочего, вы должны определить:

• Предмет соглашения — обычно это все виды деятельности, связанные с договорными отношениями между партнерами.
• Объем, характер и продолжительность обработки данных — как личные данные будут использоваться и какая сторона будет нести ответственность за соблюдение процесса. Эта ответственность обычно лежит на контроллере данных (на вас).
• Субъекты обработки данных — чьи данные вы хотите обработать, e.грамм. дети, клиенты банков, пациенты или просто посетители веб-сайтов. Субъекты данных могут относиться к нескольким категориям.
• Тип данных, которые вы хотите обработать — различные категории данных, которые вы хотите обработать. Это может быть, например, технические характеристики браузера, данные о поведении на веб-сайтах или IP-адресах.

передовой опыт

Контроллер должен информировать обработчика данных, если они собирают особые категории данных, поскольку существует больше ограничений на обработку определенных типов данных.Если вы хотите узнать больше о категориях личных данных, прочтите это сообщение в блоге.

• Хранение данных — Хотя GDPR не запрещает компаниям хранить личные данные пользователей за пределами ЕС, он устанавливает ограничения для такой передачи (см. Главу 5). Обработчик не должен отправлять данные за границу без предварительного согласия. Если данные должны храниться за границей, вам необходимо описать, как обработчик данных должен обрабатывать их, чтобы соответствовать стандартам защиты, установленным GDPR. Поскольку инструкции должны быть подробными, их стоит включить в отдельный пункт или даже в приложение к контракту.

• Условия расторжения контракта — Здесь вы должны указать, что все данные о ваших пользователях должны быть удалены из баз данных процессора после расторжения контракта. Вы также должны указать, когда у вас есть право расторгнуть соглашение — например, если процессор не сообщает вам о нарушении данных или вносит несанкционированные изменения в процедуры обработки данных.

2) Права и обязанности контролеров данных (вас)

Вы также должны указать свои обязанности в качестве контроллера данных и включить следующие положения:

• Вы несете ответственность за установление законной обработки данных и соблюдение прав субъектов данных, включая сбор разрешений и запросов субъектов данных.
• Вы несете ответственность за выдачу инструкций по обработке данных, например назначение сотрудников в качестве контактных лиц.

Чтобы узнать больше о том, что GDPR говорит о роли контроллера данных, прочитайте статью 24.

3) Обязанности обработчиков данных

Статьи 28-36 GDPR устанавливают обязанности обработчиков данных. Среди прочего их:

• Должен обеспечивать адекватную информационную безопасность
• Запрещается привлекать субпроцессоров без вашего предварительного согласия.
• Должен сотрудничать с властями в случае запроса
• Должны сообщать вам об утечках данных, как только они узнают о них
• Может потребоваться назначение сотрудника по защите данных
• Должен дать вам возможность проводить аудит для проверки их соответствия
• Должен вести учет всех операций по переработке
• Должен соответствовать правилам трансграничной передачи данных ЕС
• Должен помочь вам соблюдать права субъектов данных, включая обработку запросов субъектов данных.
• Должен помочь вам в управлении последствиями утечки данных
• Должен удалить или вернуть все личные данные в конце контракта, если требуется
• Должен сообщить вам, если ваши инструкции по обработке нарушают GDPR

передовой опыт

DPA не должно оставлять места для неправильного толкования.Чтобы избежать серых областей, не забудьте:

• Установите временные рамки, в течение которых обработчик данных должен обрабатывать запросы данных и в течение которых обработчик данных должен сообщить вам об утечке данных
• Раскройте контактные данные своего уполномоченного по защите данных
• Укажите, планируете ли вы проводить аудит процессора, и как часто, и кто покроет связанные с этим расходы

Таким образом вы убедитесь, что нет слабых звеньев, а процессор данных точно знает, чего вы от них ожидаете.

Положения этой части контракта должны быть адаптированы к конкретным потребностям организации и отраслевым требованиям. Если вы хотите более подробно изучить обязанности обработчика данных, посетите эту страницу.

4) Технические и организационные меры

Этот пункт контракта относится к системам и процедурам, которые применяют обработчики данных для обеспечения безопасности личных данных, содействия соблюдению закона и предотвращения утечки данных.

Согласно статье 32 Постановления:

Принимая во внимание уровень техники, затраты на реализацию и характер, объем, контекст и цели обработки, а также риск различной вероятности и серьезности для прав и свобод физических лиц, контролера и обработчика должен применять соответствующие технические и организационные меры для обеспечения уровня безопасности, соответствующего риску, включая, помимо прочего, при необходимости:

• Псевдонимизация и шифрование персональных данных
• Способность обеспечивать постоянную конфиденциальность, целостность, доступность и отказоустойчивость систем обработки и услуг
• Возможность своевременного восстановления доступности и доступа к персональным данным в случае физического или технического происшествия
• Процесс регулярного тестирования, оценки и оценки эффективности технических и организационных мер по обеспечению безопасности обработки

В контракте должно быть указано, что обработчик данных должен принять все необходимые технические и организационные меры до того, как начнет обработку персональных данных пользователей.В конце концов, одна из ключевых ролей DPA — гарантировать, что процессоры предоставляют достаточные гарантии защиты данных.

Учитывая сложность этих мер, лучше всего включить их в отдельное приложение к контракту (см .: Приложение 1).

5) Субподрядные отношения

Этот раздел проливает свет на отношения между основным процессором данных и подпроцессорами (сторонами, которые обрабатывают данные от имени процессора). Вот что включить в эту часть соглашения:

• Обработчик данных должен получить письменное согласие контроллера данных на привлечение субпроцессоров.
• Контракт между процессором и субпроцессором должен обеспечивать уровень защиты данных, сопоставимый с уровнем, обеспечиваемым DPA.
• Контроллер данных должен нести ответственность за регулярную проверку соответствия субпроцессоров (например, не реже одного раза в 12 месяцев).

Также, для ясности, неплохо перечислить субпроцессоров в отдельном приложении к контракту (см. Раздел «Приложение 2»).

6) Заключительные положения

Это стандартная часть каждого контракта.Упомяните здесь, что:

• Любые изменения в контракте должны быть приняты обеими сторонами
• DPA заменяет все другие соглашения между обработчиком данных и контроллером данных

Это не оставит места для неправильного толкования в случае, если положения других соглашений противоречат требованиям DPA.

7) Приложения

DPA не было бы полным без приложений, в которых подробно излагаются договорные соглашения. Вот что в них стоит включить:

Приложение 1 — Технические и организационные меры

Это приложение дополняет пункты DPA, касающиеся технических и организационных мер.Здесь обработчик данных должен доказать свою «способность обеспечивать постоянную конфиденциальность, целостность, доступность и отказоустойчивость систем обработки и услуг » и установить «процесс для регулярного тестирования, оценки и оценки эффективности технические и организационные меры по обеспечению безопасности обработки ». Обе цитаты являются выдержками из статьи 32 GDPR.

Ниже приведен список областей, имеющих решающее значение для соблюдения GDPR:

Конфиденциальность

Среди прочего процессор должен описать:

• Структура дата-центра, где планируют хранить персональные данные
• Протоколы управления информационной безопасностью
• Физический доступ в офис и примененные меры безопасности
• Удаленный доступ в офис
• Контроль доступа к приложениям (ПО)

Целостность

В этой части контракта обработчик данных должен доказать, что личные данные не могут быть прочитаны, скопированы, изменены или удалены какой-либо неавторизованной стороной во время передачи данных.

Доступность и устойчивость

В этом разделе приложения процессор должен представить свои политики резервного копирования и меры, используемые для обеспечения избыточности, возможности восстановления и высокой доступности данных.

Процедуры периодической проверки

Здесь обработчик данных должен подробно описать структуру для периодической оценки технических и организационных мер из предыдущих частей приложения.

Приложение 2 — Список подпроцессоров

Здесь ничего сложного — в этот список должны быть включены все субпроцессоры данных, а также адреса их штаб-квартир.

Соглашение об обработке данных в соответствии с GDPR

Мы надеемся, что это сообщение в блоге даст вам хорошее представление о том, как должно выглядеть соглашение об обработке данных. Но мы знаем, что это сложная проблема, и у вас все еще могут быть вопросы, на которые нет ответа. Если да, обязательно ознакомьтесь с некоторыми дополнительными источниками информации о составлении DPA, включая это чрезвычайно информативное руководство Управления Комиссара по информации Великобритании.

Изучите 10 элементов, которые должна содержать каждая политика конфиденциальности, соответствующая GDPR >>
Соответствует ли Google Analytics GDPR? 10 вещей, которые следует учитывать >>
Узнайте, как получить согласие и собрать данные в соответствии с руководством CNIL и GDPR >>
Узнайте, как темные шаблоны противоречат GDPR и CCPA >>

Что вам нужно знать

GDPR быстро изменил отношение к конфиденциальности данных во всем мире и предоставил субъектам данных ЕС большую автономию в использовании их данных, чем когда-либо прежде.Личные данные все чаще перемещаются между организациями, потому что большинство деловых партнеров передают некоторые аспекты своих бизнес-функций на аутсорсинг, создавая сети ответственности и надзора.

Однако из-за множества неоднозначных требований к контроллерам данных, обработчикам и субпроцессорам у организаций все еще могут возникать вопросы об определенных требованиях в соответствии с законом, например о том, что должно быть включено в соглашение об обработке данных (DPA). Эти соглашения об обработке данных имеют решающее значение для обеспечения конфиденциальности личных данных субъектов данных.

Давайте рассмотрим, что такое DPA, что необходимо включить в DPA и примеры статей DPA.

Что такое соглашение об обработке данных для GDPR?

Статья 28 (3) GDPR требует, чтобы контроллеры, обработчики и субпроцессоры заключали письменные контракты или соглашения об обработке данных для обмена личными данными. Соглашения об обработке данных (DPA) устанавливают роли и обязанности контроллеров, процессоров и субпроцессоров, а также устанавливают ограничения ответственности.

По сути, DPA — это форма гарантии того, что процессор или субпроцессор выполнит должную осмотрительность для обеспечения конфиденциальности личных данных. Например, если контроллер и процессор вступают в DPA, и процессор обнаруживает нарушение, то DPA потенциально может ограничить ответственность контроллера за нарушения.

Требования соглашения об обработке данных

Что необходимо включить в DPA? GDPR очень строг, когда речь идет о требованиях DPA.Статья 28 (3) гласит, что DPA должны включать конкретные детали, касающиеся обработки персональных данных, в том числе:

• Предмет обработки
• Продолжительность обработки
• Характер и цель обработки
• Тип задействованных персональных данных
• Категории субъектов данных
• Обязанности и права контролера

Кроме того, DPA должны включать особые требования для процессоров:

• Процессор должен действовать только в соответствии с задокументированными инструкциями контроллера, если это не требуется по закону.
• Обработчик данных должен гарантировать, что люди, обрабатывающие данные, обязаны соблюдать конфиденциальность. Это может быть достигнуто посредством соглашений о конфиденциальности с сотрудниками или политиками допустимого использования.
• Процессор должен принять соответствующие меры для обеспечения безопасности обработки. Это можно сделать с помощью отчетов сторонних аудиторов или анкет по информационной безопасности.
• Обработчик должен взаимодействовать с субпроцессором только с предварительного разрешения контролера и в соответствии с письменным контрактом.
• Обработчик данных должен принять соответствующие меры, чтобы помочь контролеру ответить на запрос отдельных лиц о реализации своих прав. Это может быть достигнуто с помощью функций в программных приложениях или с помощью ручных процессов.
• Принимая во внимание характер обработки и доступную информацию, обработчик должен помогать контроллеру в выполнении его обязательств GDPR в отношении безопасности обработки, уведомления о нарушениях личных данных и оценок воздействия на защиту данных.В контрактах следует указывать тип информации и сроки, необходимые для уведомления о нарушении.
• Обработчик должен удалить или вернуть все персональные данные контроллеру в конце контракта, а обработчик также должен удалить существующие персональные данные, если закон не требует их хранения.
• Обработчик должен проходить аудиты и инспекции. Процессор также должен предоставить контроллеру всю необходимую информацию, чтобы убедиться, что они оба выполняют свои обязательства по статье 28.В GDPR неясно, в какой степени контролеры могут осуществлять свои права аудита, поэтому в вашем контракте должен быть конкретизирован характер прав аудита (частота, тип аудита, стоимость).

Примеры статей соглашения об обработке данных GPDR

Независимо от того, являетесь ли вы контроллером, вступающим в DPA с процессором, или процессором, взаимодействующим с подпроцессором, обеспечение соответствия конкретной формулировки ваших DPA этим требованиям может показаться сложной задачей. К счастью, Европейская комиссия опубликовала примеры модельных пунктов для контроллеров, процессоров и подпроцессоров.Хотя эти пункты предназначены для международной передачи данных, используется стандартный язык пунктов, утвержденный ЕС, что позволяет организациям иметь доступ к реальным формулировкам контрактов, которые соответствуют требованиям статьи 28.

Кроме того, поскольку многие контроллеры данных работают с более чем одним процессором или подпроцессором, создание нового DPA для каждого партнерства является сложной задачей. Вот почему многие поставщики услуг, такие как Amazon Web Services и SalesForce , сделали свои DPA общедоступными в Интернете для контроллеров.

Хотя срок соблюдения GDPR уже истек, никогда не поздно начать усилия по соблюдению требований. Есть вопросы о создании DPA? Хотите узнать больше о том, как KirkpatrickPrice может помочь вам в достижении целей соблюдения GDPR? Свяжитесь с нами сегодня.

Дополнительные ресурсы о конфиденциальности GDPR

Каким требованиям GDPR вы должны соответствовать?

GDPR: вы контроллер данных или обработчик?

10 ключевых терминов GDPR, которые необходимо знать

Цена несоблюдения GDPR: штрафы и пени

Соглашение об обработке данных

Настоящее Соглашение об обработке данных («Соглашение ») заключено между Terra Dotta, LLC (« Terra Dotta ») и любым образовательным учреждением и другими организациями, которые покупают услуги Terra Dotta (« Клиент »).Настоящее Соглашение (i) применяется, если Клиент является контролером данных в соответствии с GDPR (определено ниже), а Terra Dotta является его обработчиком данных в отношении Персональных данных, и (ii) содержит дополнительные условия, касающиеся конфиденциальности и безопасности. Настоящее Соглашение является дополнением к Соглашению о предоставлении услуг «Программное обеспечение как услуга» («Клиентское соглашение , »), заключаемому сторонами. Термины, написанные с заглавной буквы, используемые в настоящем Соглашении, но не имеющие определения, имеют значение, указанное в Клиентском соглашении или GDPR, в зависимости от обстоятельств.

За хорошее и ценное вознаграждение, получение и достаточность которого настоящим подтверждаются, стороны соглашаются о нижеследующем:

1. Определения . Используемые здесь термины имеют следующие определения:
   1. « контроллер », « процессор », « субъект данных », « персональные данные » и « обработка » (и « процесс ») имеют значения, указанные в законах о конфиденциальности, в зависимости от обстоятельств. на обработку Персональных данных Клиента в соответствии с настоящим Соглашением.
   2. « Персональные данные клиента » означают персональные данные, предоставленные Клиентом или его пользователями Terra Dotta в связи с Услугами Terra Dotta, предоставляемыми в соответствии с Клиентским соглашением.
   3. « GDPR » означает Регламент Общего регламента по защите данных (ЕС) 2016/679.
   4. « Terra Dotta Software » означает стандартное программное решение Terra Dotta, которое помогает учебным заведениям управлять обучением за границей, международными образовательными программами и международными поездками своих студентов, преподавателей и персонала.
   5. «Законы о конфиденциальности » означают все применимые законы США и международные законы, регулирующие использование, раскрытие и обработку персональных данных. Законы о конфиденциальности включают применимые GDPR и другие применимые законы, которые определяют обязательства по уведомлению о конфиденциальности, защите данных, безопасности или нарушениях безопасности, которые применяются к личным данным.
   6. « Terra Dotta Services » означает Программное обеспечение как услугу, хостинг, техническую поддержку и другие услуги, предоставляемые Terra Dotta Клиенту, исключительно в той степени, в которой стороны согласовали это в соответствии с Клиентским соглашением.
2. Роли сторон в соответствии с GDPR . Стороны признают и соглашаются с тем, что Клиент является контролером, а Terra Dotta — обработчиком в отношении обработки Terra Dotta Персональных данных Клиента в соответствии с настоящим Соглашением. Предмет, характер и цель обработки Terra Dotta ограничиваются предоставлением Услуг Terra Dotta в соответствии с Клиентским соглашением. Продолжительность обработки — это срок Клиентского соглашения. Субъекты данных включают авторизованных пользователей Клиента, как определено в Клиентском соглашении.
3. Инструкция по обработке . Terra Dotta обрабатывает Персональные данные Клиента только для предоставления Услуг Terra Dotta в соответствии с Клиентским соглашением и настоящим Соглашением, которые, по соглашению сторон, служат в качестве документированных инструкций Клиента. Клиент может предоставить Terra Dotta дополнительные инструкции для обработки Персональных данных Клиента при условии, что Terra Dotta будет обязана выполнять такие дополнительные инструкции, только если они требуются в соответствии с применимым законодательством и соответствуют условиям и сфере действия Клиентского соглашения и настоящего Соглашения.Клиент заявляет и гарантирует, что любые инструкции, предоставленные Клиентом, не нарушают никаких Законов о конфиденциальности, и что Клиент возместит Terra Dotta все расходы (включая разумные гонорары адвокатов), которые Terra Dotta может понести, если инструкции Клиента действительно нарушают законы о конфиденциальности.
4. Персонал Терра Дотта . Terra Dotta требует от своего персонала, имеющего доступ к Персональным данным Клиента: (a) пройти соответствующее обучение по своим обязанностям в отношении обработки и защиты Персональных данных Клиента, и (b) согласиться соблюдать обязательства конфиденциальности, которые остаются в силе после прекращения действия таких трудоустройство персонала.
5. Меры безопасности . Клиент и Terra Dotta должны поддерживать (с учетом уровня техники, затрат на реализацию и характера, объема, контекста и целей обработки, а также риска различной вероятности и серьезности для прав и свобод физических лиц ), соответствующие технические и организационные меры для защиты от потери, изменения, несанкционированного раскрытия или доступа к Персональным данным Клиента.
6. Соответствие законам о конфиденциальности .Клиент и Terra Dotta соглашаются соблюдать все законы о конфиденциальности. В отношениях между сторонами Клиент несет полную ответственность за точность, качество и законность Персональных данных Клиента, а также за способы, с помощью которых Клиент получил Персональные данные Клиента.
7. Защита конфиденциальности . Terra Dotta прошла самостоятельную сертификацию в рамках ЕС-США. Платформа Privacy Shield поддерживается Министерством торговли США («Privacy Shield») и соответствует требованиям Privacy Shield в отношении обработки, сбора и передачи Персональных данных из ЕЭЗ и Швейцарии в США в связи с Услугами Terra Dotta.Terra Dotta будет оставаться сертифицированным в течение срока действия Клиентского соглашения, пока Privacy Shield признан действующим механизмом передачи в соответствии с GDPR.
8. Права субъектов данных . В той степени, в которой это разрешено законом, Terra Dotta будет сообщать субъектам данных, которые обращаются к Terra Dotta с запросами о реализации своих прав субъекта данных (таких как запросы на удаление, исправление и переносимость данных) в отношении Персональных данных Клиента, чтобы они напрямую связались с Клиентом по поводу такого запроса.Клиент несет полную ответственность за ответы на такие запросы от субъектов данных. Если Программное обеспечение Terra Dotta не предоставляет Клиенту возможность отвечать на такие запросы, то по запросу Клиента Terra Dotta окажет Клиенту разумную помощь в ответах на такие запросы. В зависимости от характера такой помощи Terra Dotta оставляет за собой право взимать с Клиента плату за помощь с такими запросами.
9. Инциденты безопасности . Каждая сторона должна, насколько это разрешено законом, без неоправданной задержки уведомить другую сторону после того, как станет известно об утечке личных данных, связанных с личными данными клиента (« инцидент безопасности »).Каждая сторона должна предоставить разумно запрошенную помощь другой стороне в решении любого инцидента безопасности, принимая во внимание характер обработки и информацию, доступную такой стороне. Ни одна из сторон не может делать никаких публичных заявлений о происшествиях, связанных с безопасностью, без предварительного письменного согласия другой стороны, за исключением случаев, предусмотренных применимым законодательством.
10. Удаление личных данных клиента . После расторжения или истечения срока действия Клиентского соглашения Terra Dotta удалит личные данные Клиента, находящиеся в его распоряжении, как указано в Клиентском соглашении, если иное не разрешено применимым законодательством.
11. Запросы государственного доступа . Если это не запрещено применимым законодательством или юридически обязывающим запросом правоохранительных органов, Terra Dotta незамедлительно уведомляет Клиента о любом запросе государственного или правоохранительного органа о доступе или копировании Персональных данных Клиента.
12. Аудит . При условии разумного уведомления и за счет Клиента (включая сборы и расходы на компенсацию Terra Dotta за ее время и личные расходы, связанные с ответом на любой запрос аудита), Terra Dotta предоставляет Клиенту обоснованно запрошенную информацию о программе безопасности Terra Dotta и системы и процедуры, применимые к Услугам Terra Dotta, если это необходимо для демонстрации соблюдения Terra Dotta законов о конфиденциальности, а также, если это разумно необходимо для проведения аудита.Аудиты будут проводиться не чаще одного раза в год или после уведомления о нарушении безопасности.
13. Подпроцессоры . Клиент дает Terra Dotta общее разрешение на назначение вспомогательных процессоров для поддержки работы Terra Dotta Services, включая поставщиков центров обработки данных. По запросу Terra Dotta предоставит Клиенту список таких субпроцессоров. Если у Клиента есть возражения против любого такого вспомогательного обработчика, Terra Dotta будет работать с Клиентом для решения любых таких проблем. Terra Dotta гарантирует, что любой субпроцессор, которого она привлекает от своего имени в связи с настоящим Соглашением, согласится в письменном контракте с условиями субпроцессора, в значительной степени защищающими Личные данные клиента, как те, которые налагаются на Terra Dotta в этом Соглашении («Условия субпроцессора ») .Terra Dotta несет ответственность перед Клиентом за любое нарушение субпроцессором любого из Условий субпроцессора.
14. Полнота соглашения; Конфликт : Настоящее Соглашение заменяет собой все предшествующие и одновременные заявления, договоренности и сообщения, устные и письменные, в отношении предмета настоящего Соглашения. В случае возникновения конфликта между настоящим Соглашением и Клиентским соглашением преимущественную силу имеют условия настоящего Соглашения. За исключением случаев, прямо указанных в настоящем Соглашении, условия Клиентского соглашения остаются в силе.Во избежание сомнений стороны предполагают, что ограничения по положениям об ответственности в Клиентском соглашении будут применяться к настоящему Соглашению.

Соглашение об обработке данных — Snap Inc.

3. Обязательства Snap

a. Обработка персональных данных клиентов. Snap будет обрабатывать Персональные данные Клиента только в соответствии с Условиями бизнес-услуг и настоящим Соглашением и не будет использовать или обрабатывать Персональные данные Клиента для каких-либо целей, кроме как в качестве обработчика, назначенного Контроллером данных.

г. Безопасность данных. В соответствии со статьей 32 GDPR, GDPR Великобритании и LGPD, если применимо, и как описано в Приложении 2 к настоящему Соглашению, Snap будет применять и поддерживать все соответствующие технические, административные и организационные меры, необходимые для: (i) обеспечения определенного уровня конфиденциальности и безопасность, соответствующая рискам, связанным с обработкой и характером Персональных данных Клиента; и (ii) предотвращать несанкционированную или незаконную обработку Персональных данных Клиента, случайную потерю, раскрытие, уничтожение или повреждение Персональных данных Клиента.

г. Неразглашение. Snap не будет публиковать, раскрывать или разглашать (и будет гарантировать, что его персонал не будет публиковать, раскрывать или разглашать) Персональные данные Клиента третьим лицам, если Контроллер данных не дал своего предварительного письменного согласия.

г. Конфиденциальность. Snap гарантирует, что только персонал, который может потребоваться для оказания помощи в выполнении своих обязательств в соответствии с Условиями бизнес-услуг или настоящим Соглашением, будет иметь доступ к Персональным данным Клиента и что такой персонал будет связан соответствующими обязательствами конфиденциальности, и предпримет все разумные меры. в соответствии с передовой отраслевой практикой для обеспечения конфиденциальности Персональных данных Клиента.

эл. Сотрудничество. Snap обеспечит разумное сотрудничество и помощь Контроллеру данных, поскольку Контроллер данных может обоснованно потребовать, чтобы Контроллер данных выполнял свои обязательства в соответствии со статьями 32–36 GDPR, GDPR Великобритании и LGPD, в зависимости от обстоятельств, в том числе в отношении безопасности данных, уведомление о нарушении данных, оценка воздействия на защиту данных, предварительные консультации с надзорными органами, соблюдение прав субъектов данных, а также любой запрос, уведомление или расследование со стороны надзорного органа, как более подробно описано в настоящем Соглашении.

ф. Субъект данных и запросы надзорных органов. Snap будет информировать Контролера данных незамедлительно и в любом случае в течение двух рабочих дней о любом запросе или жалобе, которые Snap получает от субъекта данных или надзорного органа в отношении Персональных данных Клиента. Snap будет помогать Контроллеру данных, насколько это коммерчески целесообразно, выполнять обязанность Контроллера данных отвечать на запросы субъектов данных и надзорных органов в соответствии с требованиями Закона о защите данных.

г.Оценка воздействия на защиту данных. По запросу Snap предоставит контроллеру данных коммерчески обоснованную информацию и помощь с учетом характера обработки и информации, доступной Snap, чтобы помочь контроллеру данных провести оценку воздействия на защиту данных в соответствии с требованиями Закона о защите данных. .

ч. Предоставление доказательств. В течение срока действия настоящего Соглашения и в течение одного года после этого Snap будет предоставлять Контроллеру данных или международно признанной аудиторской фирме, действующей от имени Контроллера данных, всю информацию, разумно необходимую для демонстрации соблюдения Snap настоящего Соглашения, и Snap будет разрешать и вносить свой вклад в аудиты, проводимые Контроллером данных или его представителями, которые связаны соответствующими обязательствами конфиденциальности; если: (i) Контроллер данных направляет Snap письменное уведомление не менее чем за десять рабочих дней; (ii) такая проверка проводится в обычные рабочие часы Snap и таким образом, чтобы не создавать необоснованного вмешательства в нормальные бизнес-операции Snap; (iii) такая проверка длится не более трех рабочих дней; (iv) ни при каких обстоятельствах Контроллер данных (или, во избежание сомнений, любой уполномоченный сторонний аудитор) не имеет права на доступ или получение частной или конфиденциальной информации Snap, за исключением случаев, когда это строго необходимо для демонстрации соблюдения настоящего Соглашения; и (v) Контроллер данных обязан возместить Snap за документально подтвержденные разумные расходы Snap, если в ходе аудита будет установлено, что Snap соблюдает условия настоящего Соглашения.В случае, если аудит определит, что Snap не соблюдает условия настоящего Соглашения, Snap будет обязан оплатить все разумные расходы на такой аудит.

и. Вернуть или уничтожить личные данные клиента. После выполнения обязательств Snap в отношении обработки Персональных данных Клиента в соответствии с настоящим Соглашением или по запросу Контроллера данных в любое время в течение срока действия настоящего Соглашения (и, если Контроллер данных этого требует, через регулярные промежутки времени, установленные Контроллером данных ), Snap: (i) вернет все или часть Персональных данных Клиента, которыми владеет Snap, Контроллеру данных; (ii) сделать все или часть Персональных данных Клиента анонимными таким образом, чтобы эти данные больше не являлись персональными данными; или (iii) безвозвратно удалить или сделать все или часть Персональных данных Клиента нечитаемыми.По запросу Контроллера данных Snap должен предоставить Контролеру данных письменное подтверждение анонимности, возврата и удаления Персональных данных Клиента.

Дж. Хешированные персональные данные клиентов. Если Snap получает Персональные данные Клиента в хешированном или иным образом запутанном формате, Snap будет: (i) не пытаться реконструировать или иным образом повторно идентифицировать хешированные или запутанные Персональные данные Контроллера данных, если Контроллер данных не проинструктирует Snap сделать это; и (ii) передавать Персональные данные Клиента только в формате, полученном Snap от Контроллера данных.

Соглашение об обработке данных — Retently

Настоящее Соглашение об обработке данных («DPA») является частью Условий использования Retently («Основное соглашение») между Retently («Обработчик», «Сервис»), действующим от своего имени и в качестве агент для каждого аффилированного лица службы; и Пользователь («Контроллер», «Клиент»), который подписывается на Сервис, действующий от своего имени и в качестве агента для каждого Партнерского партнера Клиента.

Это DPA отражает соглашение Retently и Клиента в отношении обработки Персональных данных, переданных, загруженных и / или иным образом предоставленных Retently Клиентом.

Термины, используемые в этом DPA, имеют значения, указанные в настоящем Соглашении. Термины, написанные с заглавной буквы, не определенные в данном документе, имеют значение, данное им в Основном соглашении. За исключением случаев, указанных ниже, условия Основного соглашения остаются в полной силе.

Принимая во внимание взаимные обязательства, изложенные в настоящем документе, стороны настоящим соглашаются, что изложенные ниже положения и условия будут добавлены в качестве Дополнения к Основному соглашению.За исключением случаев, когда контекст требует иного, ссылки в этом Дополнении к Основному соглашению относятся к Основному соглашению с поправками, внесенными этим Дополнением, включая его.

Статья 1. Цели обработки

1.1. Обработчик настоящим соглашается в соответствии с условиями настоящего DPA обрабатывать Персональные данные от имени Контроллера только для целей, изложенных в Политике конфиденциальности.

1.2. Персональные данные, которые будут обрабатываться Оператором для целей, изложенных в предыдущем пункте, и категории задействованных субъектов данных указаны в Приложении 1 к настоящему Соглашению об обработке данных.Обработчик не должен обрабатывать Персональные данные для каких-либо других целей без согласия Администратора. Контроллер должен информировать Обработчика о любых целях обработки в объеме, не упомянутом в настоящем Соглашении об обработке данных. Тем не менее, Обработчику разрешается использовать Персональные данные в целях обеспечения качества и статистических исследований, касающихся качества услуг Обработчика.

1.3. Все Персональные данные, обрабатываемые от имени Контроллера, остаются собственностью Контроллера и / или соответствующих субъектов данных.

Статья 2. Обязанности обработчика

2.1. В отношении операций обработки, упомянутых в предыдущем пункте, Оператор должен соблюдать все применимые законы, включая все законы об обработке данных, такие как Общие правила защиты данных (GDPR).

2.2. По первому запросу Оператор должен проинформировать Контролера о любых мерах, принятых для выполнения своих обязательств по настоящему Соглашению об обработке данных.

2.3. Все обязательства Обработчика по настоящему Соглашению об обработке данных в равной степени распространяются на любое лицо, обрабатывающее Персональные данные под надзором Обработчика, включая, но не ограничиваясь, сотрудников в самом широком смысле этого слова.

2.4. Оператор должен незамедлительно проинформировать Контролера, если, по его мнению, инструкция Контроллера нарушит законодательство, указанное в первом пункте этой статьи.

2.5. Обработчик данных должен оказывать Контролеру разумную помощь в контексте любых оценок воздействия на конфиденциальность, которые должны быть выполнены Контроллером.

Статья 3. Передача персональных данных

3.1. Обработчик может обрабатывать Персональные данные в любой стране Европейского Союза.

3.2. Кроме того, Обработчик может передавать Персональные данные в страну за пределами Европейского Союза при условии, что эта страна обеспечивает адекватный уровень защиты Персональных данных и соблюдает другие обязательства, возложенные на него в соответствии с настоящим Соглашением об обработке данных и GDPR, включая доступность соответствующие гарантии и обеспеченные правовой санкцией права субъектов данных, а также эффективные средства правовой защиты для субъектов данных.

3.3. Обработчик должен отчитываться перед Контролером участвующих стран.Обработчик гарантирует, что с учетом обстоятельств, которые применяются к передаче Персональных данных или любой категории передач, страна или страны за пределами Европейского Союза имеют адекватный уровень защиты.

3.4. В частности, Обработчик должен учитывать продолжительность обработки, страну происхождения и страну назначения, общие и отраслевые нормы права в стране назначения, а также профессиональные правила и меры безопасности, которые соблюдаются. в этой стране.

Статья 4. Распределение обязанностей

4.1. Обработчик несет полную ответственность за обработку Персональных данных в соответствии с настоящим Соглашением об обработке данных в соответствии с инструкциями, указанными в Политике конфиденциальности. Обработчик не принимает на себя никакой ответственности за любую другую обработку Персональных данных, включая, помимо прочего, сбор Персональных данных Контроллером, обработку для целей, о которых не сообщается Оператору, обработку третьими сторонами и / или для других целей.

4.2. Контроллер заявляет и гарантирует, что содержание, использование и инструкции по обработке Персональных данных, как это предусмотрено в настоящем Соглашении об обработке данных, являются законными и не нарушают никаких прав третьих лиц.

Статья 5. Сторонние обработчики данных

5.1. Контроллер признает, что при предоставлении некоторых услуг Обработчик может передавать Личные данные сторонним обработчикам данных и иным образом взаимодействовать с ними при условии, что такие стороны заранее сообщаются Контролеру.Узнайте больше о сторонних сервисах, которые могут участвовать в обработке данных, из Политики конфиденциальности.

5.2. Контроллер соглашается с тем, что в случае и в той мере, в какой такая передача происходит, Контроллер несет ответственность за заключение отдельных договорных соглашений с такими сторонними обработчиками данных, обязывающих их выполнять обязательства в соответствии с GDPR.

5.3. В любом случае Оператор должен гарантировать, что любые третьи стороны будут связаны как минимум теми же обязательствами, которые согласованы между Контроллером и Оператором.

Статья 6. Обеспечение

6.1. Обработчик данных должен прилагать разумные усилия для реализации соответствующих технических и организационных мер для обеспечения уровня безопасности, соответствующего риску обработки задействованных операций, от потери или незаконной обработки (в частности, от случайного или незаконного уничтожения, потери, изменения, несанкционированного раскрытия. или доступ к Персональным данным, передаваемым, хранящимся или обрабатываемым иным образом).

6.2. Обработчик данных должен применять особые меры безопасности, указанные в GDPR.Обработчик может изменить меры безопасности в любое время в одностороннем порядке. Обработчик должен информировать Контроллера о любых корректировках.

6.3. Процессор не гарантирует, что безопасность эффективна при любых обстоятельствах. Если какая-либо мера безопасности, явно согласованная в настоящем Соглашении об обработке данных, отсутствует, то Обработчик должен приложить все усилия для обеспечения уровня безопасности, соответствующего риску, с учетом современного состояния, затрат на реализацию и характера, объема , контекст и цели обработки, а также риск различной вероятности и серьезности для прав и свобод физических лиц.

6.4. Контроллер должен предоставлять Личные данные Обработчику для обработки только в том случае, если он убедился, что были приняты необходимые меры безопасности. Контролер несет ответственность за соблюдение сторонами этих мер безопасности.

Статья 7. Уведомление и сообщение о нарушениях данных

7.1. Контроллер всегда несет ответственность за уведомление о любых нарушениях безопасности и / или нарушениях Персональных данных (которые понимаются как нарушение безопасности, ведущее к случайному или незаконному уничтожению, потере, изменению, несанкционированному раскрытию или доступу к Персональным данным). Данные, передаваемые, хранящиеся или обрабатываемые иным образом) в компетентный надзорный орган, а также для передачи их субъектам данных.Чтобы позволить Контролеру выполнить это юридическое требование, Оператор должен уведомить Контроллера в течение 72 часов после того, как ему станет известно о фактическом или потенциальном нарушении безопасности или Персональных данных.

7.2. Уведомление согласно предыдущему пункту должно делаться всегда, но только в случае фактических нарушений.

7.3. В уведомлении должен быть указан как минимум факт нарушения. Кроме того, уведомление должно:

• Описывать характер нарушения Персональных данных, включая, где это возможно, приблизительное количество заинтересованных субъектов данных;
• Опишите вероятные последствия нарушения Персональных данных;
• Опишите меры, принятые или предлагаемые Обработчиком для устранения нарушения Персональных данных, включая, где это уместно, меры по смягчению его возможных неблагоприятных последствий.

Статья 8. Обработка запросов субъектов данных

8.1. В случае, если субъект данных делает запрос на осуществление своих законных прав в соответствии с законодательством о защите данных, Оператор передает такой запрос Контролеру, а Контроллер обрабатывает запрос. Обработчик может сообщить субъекту данных, что Контроллер был уведомлен об их запросе.

Статья 9. Обязательства по конфиденциальности

9.1. Все Персональные данные, которые Обработчик получает от Контроллера и / или собирает сам, подлежат строгим обязательствам конфиденциальности по отношению к третьим сторонам.Обработчик не должен использовать эту информацию для каких-либо целей, кроме тех, для которых она была получена, даже если информация была преобразована в форму, которая больше не связана с идентифицированным или идентифицируемым физическим лицом.

9.2. Обязательство о конфиденциальности не применяется в той мере, в какой Контроллер дал явное разрешение на предоставление информации третьим сторонам. Положение третьим сторонам является разумно необходимым, учитывая характер передачи Контролеру или если это положение требуется по закону.

Статья 10. Аудит

10.1. Контроллер имеет право на проведение аудитов Обработчика независимой третьей стороной, связанной обязательствами по конфиденциальности, для проверки соблюдения требований безопасности, соответствия GDPR, несанкционированного использования Персональных данных персоналом Обработчика, соблюдения Соглашения об обработке данных и все вопросы, связанные с этим разумно.

10.2. Этот аудит может проводиться один раз в год, а также в случае обоснованного утверждения о неправомерном использовании Персональных данных.

10.3. Обработчик данных должен полностью сотрудничать с аудитом и предоставлять сотрудникам и всю разумно значимую информацию, включая подтверждающие данные, такие как системные журналы.

10.4. Результаты аудита должны оцениваться сторонами в ходе совместных консультаций и могут быть реализованы или не реализованы одной из сторон или совместно.

10.5. Расходы на аудит несет контролер.

Статья 11. Ответственность и договорный штраф

11.1. Ответственность сторон за любой ущерб в результате серьезного несоблюдения настоящего Соглашения об обработке данных, незаконных действий или иным образом исключается. В той степени, в которой такая ответственность не может быть исключена, она ограничивается прямым ущербом по каждому событию (последовательность последовательных событий, считающихся одним событием), вплоть до суммы, полученной другой стороной за все действия в рамках настоящего Соглашения об обработке данных за месяц до этого. на мероприятие. Любая ответственность сторон за прямой ущерб в любом случае не может превышать 1 евро.000.000.

11.2. Прямые убытки включают только:

• Повреждения физических объектов;
• Разумные и доказанные затраты, которые заставят заинтересованную сторону восстановить соблюдение настоящего Соглашения об обработке данных;
• Разумные затраты для оценки причины и размера прямого ущерба, как указано в этой статье;
• Разумные и подтвержденные расходы, которые понес Контролер для ограничения прямого ущерба, как указано в этой статье.

11.3. Любая ответственность сторон за косвенный ущерб исключается. Косвенные убытки — это все убытки, которые не являются прямыми убытками, и, таким образом, включая, помимо прочего, косвенные убытки, упущенную выгоду, упущенную экономию, уменьшение деловой репутации, убытки из-за простоя, убытки в результате использования данных, предписанных Контроллером, или убытки, повреждение или уничтожение данных.

11.4. Никаких ограничений ответственности не существует, если и в той степени, в которой ущерб явился результатом умышленного неправомерного поведения или грубой небрежности со стороны соответствующей стороны или ее директоров.

11,5. Если отказ рассматриваемой стороны не может быть исправлен, любая ответственность будет существовать только в том случае, если другая сторона уведомит ответственную сторону о невыполнении обязательств, включая разумный срок для устранения сбоя, и ответственная сторона не выполнит своих обязательств даже после этого. срок. Уведомление должно содержать подробное описание отказа, чтобы гарантировать, что ответственная сторона имеет разумную возможность устранить сбой.

11.6. Любая претензия о возмещении убытков одной из сторон другой стороне, которая не была специально уведомлена подробно, должна быть погашена по прошествии двенадцати (12) месяцев после даты первого возникновения ее причины.

Статья 12. Срок действия и прекращение

12.1. Настоящее Соглашение об обработке данных вступает в силу с момента его подписания сторонами и с даты последней подписи или с момента предоставления Клиентом согласия на обработку Персональных данных и принятия Политики конфиденциальности Retently и DPA при подписке на услуги Retently.

12.2. Настоящее Соглашение об обработке данных заключается в течение срока действия Соглашения, периода подписки Клиента или до 90 дней после того, как подписка была отменена, но Клиент не отозвал согласие на обработку данных.

12.3. После расторжения Соглашения об обработке данных, независимо от причины или способа, Оператор должен — по выбору Контроллера — вернуть в исходном формате или уничтожить все доступные ему Персональные данные.

12.4. Настоящее Соглашение об обработке данных может быть изменено так же, как и Соглашение.

Приложение 1: Условия использования персональных данных и субъектов данных

Сервис обрабатывает два типа персональных данных: персональные данные клиента и данные, контролируемые клиентом.Обработчик обрабатывает указанные ниже Личные данные под контролем Контролера, как указано в статье 1 Соглашения об обработке данных:

Личные данные клиента: При регистрации и использовании Сервиса мы можем попросить вас предоставить нам определенные Персональные данные, которые включают:

• Адрес электронной почты
• Имя и фамилия
• Название компании
• Должность
• Номер телефона
• IP-адрес
• Местоположение (страна и / или город)

Вы можете отказаться от предоставления определенных Персональных данных, передаваемых нам, и в этом случае вы не сможете зарегистрироваться и использовать Сервис.

Данные, контролируемые клиентом: При использовании Сервиса вы можете загружать или импортировать в свою учетную запись списки, содержащие информацию о ваших клиентах. При загрузке или импорте информации ваших клиентов в Сервис мы можем попросить вас предоставить следующую информацию:

• Адрес электронной почты субъекта данных
• Имя и фамилия субъекта данных
• Название компании субъекта данных
• Название субъекта данных
• Местоположение субъекта данных (страна и / или город)

Сервис не имеет прямых отношений с клиентами пользователя, и каждый пользователь несет исключительную ответственность за уведомление своих клиентов о причине сбора их Персональных данных и о том, как эта информация хранится. обрабатываются в Сервисе или через него.

Оператор обрабатывает указанные ниже Персональные данные под наблюдением Контролера, как указано в статье 1 Соглашения об обработке данных:

Контроллер заявляет и гарантирует, что описание Персональных данных и категорий субъектов данных в этом Приложение 1 является полным и точным, оно освобождает от ответственности и оградит процесс от всех неисправностей и претензий, которые могут возникнуть в результате нарушения данного заявления и гарантии.

Соглашение об обработке данных (DPA) | Регистр GDPR

Что должно быть включено в соглашение об обработке данных?

Статьи 28–36 GDPR устанавливают условия обмена данными и условия передачи персональных данных между контроллером и обработчиками.Вот наиболее важные вопросы, которые вы должны включить в свое соглашение об обработке данных.

Подробная информация об обработке

• предмет и продолжительность обработки;
• характер и цель обработки;
• вид персональных данных и категории субъектов данных;
• цель и правовые основы обработки персональных данных;
• Права и обязанности контролера и обработчика.

Минимальные требуемые сроки

Процессор должен действовать в соответствии с письменными инструкциями контроллера

В соглашении должно быть сказано, что процессор может обрабатывать персональные данные только в соответствии с документированными инструкциями контроллера (в том числе при выполнении международной передачи персональных данных). data), если иное не требуется законодательством ЕС или государства-члена.

Инструкция может быть оформлена в любой письменной форме, включая электронную почту. Инструкция должна быть в воспроизводимой форме, чтобы была запись инструкции.

В этом условии контракта должно быть четко указано, что именно контролер, а не процессор, имеет полный контроль над тем, что происходит с личными данными.

Если процессор действует вне инструкций контроллера таким образом, что он определяет цель и средства обработки, то он будет считаться контроллером в отношении этой обработки и будет нести такую ​​же ответственность, что и контроллер.

Конфиденциальность обрабатываемых персональных данных

В соглашении должно быть сказано, что обработчик должен получить обязательство о конфиденциальности от любого, кому он позволяет обрабатывать персональные данные, если только это лицо уже не несет такой обязанности по закону.

Это условие контракта должно распространяться на сотрудников обработчика, а также на любых временных работников и сторонних работников, имеющих доступ к личным данным.

Обязательство по обеспечению адекватной информационной безопасности, технические и организационные меры, которые должны быть выполнены

Соглашение устанавливает обязанность процессора принимать все меры безопасности, необходимые для выполнения требований по безопасности обработки (см. Статью 32).

И контроллеры, и процессоры обязаны принимать соответствующие технические и организационные меры для обеспечения безопасности любых обрабатываемых ими персональных данных, которые могут включать, в зависимости от обстоятельств:

• шифрование и псевдонимизацию;
• способность обеспечивать постоянную конфиденциальность, целостность, доступность и отказоустойчивость систем обработки и услуг;
• возможность восстановления доступа к персональным данным в случае инцидента; и
• процессы для регулярного тестирования и оценки эффективности мер.

Кодексы поведения и сертификации могут помочь переработчикам продемонстрировать достаточные гарантии того, что их обработка будет соответствовать GDPR.

Требование использовать субпроцессоры только с ведома и согласия контроллера данных

В соглашении должно быть сказано, что:

• процессор не должен привлекать субпроцессор без предварительного специального или общего письменного разрешения контроллера;
• если подпроцессор используется с общего письменного разрешения контроллера, процессор должен сообщать контроллеру о любых предполагаемых изменениях и давать контроллеру возможность возразить против них;
• если процессор использует подпроцессор, он должен заключить договор, налагающий те же обязательства по защите данных на этот подпроцессор;
• процессор несет ответственность перед контроллером за соблюдение субпроцессором своих обязательств по защите данных.

Взаимодействие обработчика с целью разрешения запросов на доступ субъектов

Соглашение должно предусматривать, что процессор принимает соответствующие технические и организационные меры, чтобы помочь контроллеру реагировать на запросы отдельных лиц для реализации своих прав.

Сотрудничество обработчика с целью защиты прав и конфиденциальности субъектов данных

В соглашении должно быть сказано, что, принимая во внимание характер обработки и доступную информацию, обработчик должен помогать контроллеру в выполнении его обязательств по :

В соглашении должно быть максимально ясно указано, как процессор поможет контроллеру выполнять свои обязательства.

Продолжительность обработки и возврата и / или удаления персональных данных

В соглашении должно быть сказано, что в конце контракта обработчик должен:

• по выбору контролера удалить или вернуть контроллеру все персональные данные. данные, которые он для этого обрабатывал; и
• удалить существующие копии личных данных, если только закон ЕС или государства-члена не требует их хранения.

Следует отметить, что удаление личных данных должно производиться безопасным способом в соответствии с требованиями безопасности статьи 32.

Соглашение должно включать эти условия для обеспечения постоянной защиты личных данных после окончания контракта. Это отражает тот факт, что в конечном итоге контролер должен решать, что должно происходить с обрабатываемыми персональными данными после завершения обработки.

Процессор должен позволять контроллеру данных проводить аудиты для проверки их соответствия

Согласно Статье 28 (3) (h) соглашение должно требовать:

• Процессор должен предоставить контроллеру всю информацию, необходимую для показать, что обязательства по статье 28 были выполнены; и
• процессор, позволяющий проводить аудиты и инспекции, проводимые контролером, или аудитором, назначенным контролером, и вносить в них свой вклад.

Это положение обязывает процессор иметь возможность продемонстрировать контроллеру соблюдение всей статьи 28. Например, обработчик может сделать это, предоставив контроллеру необходимую информацию или представив аудит или инспекцию.

Ведение записей операций по обработке было бы полезно для процессора, чтобы продемонстрировать соблюдение Статьи 28.