Соглашение на обработку персональных данных как на сайте написать: Как взять согласие на обработку персональных данных. Образец 2020 год

Сайт 

Содержание

Соглашение на обработку персональных данных пользователей

Настоящим, регистрируясь на интернет-сайте portal.oppen.ru или в мобильном приложении OPPEN на устройствах под управлением операционных систем iOS и Android я предоставляю компании Общество с ограниченной ответственностью «ОППЕН ТЕХ» (далее – Компания) согласие на обработку моих персональных данных и подтверждаю, что давая такое согласие, я действую своей волей и в своем интересе.

В соответствии с Федеральным законом Российской Федерации от 27.07.2006 г. № 152-ФЗ «О персональных данных» я согласен на обработку всех моих персональных данных, включая: фамилию, имя, отчество, город проживания, контактный телефон, адрес электронной почты и персональные данные детей, посещающих муниципальные и частные детские сады, оснащенные системой контроля и управления доступом OPPEN.

Согласие на обработку персональных данных дается мною в целях получения услуг, оказываемых Компанией.

Я выражаю свое согласие на осуществление со всеми указанными персональными данными следующих действий: сбор, систематизация, накопление, хранение, уточнение (обновление или изменение), использование, распространение (в том числе, передача), обезличивание, блокирование, уничтожение, а также осуществление любых иных действий с персональными данными в соответствии с действующим законодательством.

Согласие дается, в том числе, на информационные (рекламные) оповещения. Обработка данных может осуществляться с использованием средств автоматизации, так и без их использования (при неавтоматической обработке).

При обработке персональных данных Компания не ограничена в применении способов их обработки.

Настоящим я признаю и подтверждаю, что в случае необходимости Компания вправе предоставлять мои персональные данные третьим лицам исключительно в целях оказания услуг технической поддержки, а также (в обезличенном виде) в статистических, маркетинговых и иных (научных) целях.

Третьи лица имеют право на обработку персональных данных на основании настоящего согласия.

Я уведомлен о том, что:

— согласие может быть отозвано мною путем направления письменного заявления в Компанию по адресу 420066, г. Казань, ул. Бондаренко, д. 34, офис 1005.

— в случае отзыва согласия на обработку персональных данных Компания вправе продолжить обработку персональных данных без моего согласия при наличии оснований, указанных в пунктах 2 – 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона №152-ФЗ «О персональных данных» от 27.

07.2006 г.;

— настоящее согласие действует все время до момента прекращения обработки персональных данных в случае его отзыва мною. В случае отзыва персональных данных, услуга не предоставляется, денежные средства не возвращаются.

Я ознакомлен с порядком сбора, хранения и обработки информации о персональных данных, размещенной в разделе «Политика конфиденциальности».

Я осознаю, что при нажатии кнопки «Я согласен на обработку персональных данных», Я принимаю условия «Соглашения на обработку персональных данных» означает мое письменное согласие с условиями, описанными в нём.

Предварительное согласие на обработку персональных данных



Предварительное согласие на обработку персональных данных

Я, посетитель веб сайта http://devisio.ru/ (далее – Сайт), оставляя отзыв, оформляя запись на прием, заказывая обратный звонок, задавая вопрос, отправляя анкету, резюме, а также заполняя любые другие формы обратной связи на Сайте, в соответствии с требованиями статьи 9 Федерального закона от 27. 07.2006 № 152-ФЗ «О персональных данных», свободно, своей волей и в своем интересе даю настоящее предварительное согласие ООО «Де визио-Алтай»,Российская Федерация, 656052, Алтайский край, г. Барнаул, ул. Телефонная, д. 44а, помещение No4 (далее — Оператор) на обработку в порядке, установленном действующим законодательством Российской Федерации, моих персональных данных (сбор, систематизацию, накопление, хранение, обновление, изменение, использование, обезличивание, блокирование, уничтожение, распространение), в том числе, включающих:

  1. имя, отчество;
  2. контактный номер телефона;
  3. адрес электронной почты;
  4. пользовательские данные, включая: ip-адрес, сведения о местоположении пользователя; тип и версия операционной системы устройства; тип и версия интернет-браузера; тип устройства и разрешение его экрана; источник, откуда произошел переход на данный Сайт; язык операционной системы устройства и браузера; страницы и элементы Сайта, которые были использованы мной;
  5. иные сведения, иные сведения, которые могут содержать мои персональные данные, содержащиеся в тексте моего запроса.

Обработка моих персональных данных осуществляется Оператором с целью использования мной сервисов Сайта, в том числе, но, не ограничиваясь перечисленными сервисами: «Задать вопрос врачу», «Записаться на прием», «Написать отзыв», «Заказать звонок», «Обратная связь», «Откликнуться на вакансию», а также обеспечения связи Оператора со мной посредством предоставленных мной персональных данных.

Обработка персональных данных осуществляется Оператором в порядке и на условиях, предусмотренных Политикой ООО «Де визио-Алтай» в отношении обработки персональных данных, с которой я имел возможность ознакомиться.

Я предоставляю Оператору право обрабатывать мои персональные данные посредством внесения их в электронную базу данных, включения в списки (реестры) и отчетные формы.

Я даю Оператору право на обработку моих персональных данных, как без использования средств автоматизации, так и с их использованием.

Я даю свое согласие на передачу персональных данных в электронной форме по открытым каналам связи.

Настоящее предварительное согласие действует с момента заполнения мной выше указанных форм сервисов на Сайте и действует до достижения Оператором заявленных в настоящем предварительном согласии целей обработки моих персональных данных.

Я оставляю за собой право отозвать свое предварительное согласие посредством составления соответствующего письменного документа, который может быть направлен мной в адрес Оператора по почте заказным письмом с уведомлением о вручении либо вручен лично представителю Оператора.

Положения настоящего предварительного согласия на обработку персональных данных мною прочитаны и поняты.

Шаблон соглашения об обработке данных GDPR

При соблюдении Общего регламента ЕС по защите данных (GDPR) вы должны убедиться, что вы передаете данные своих пользователей только тем компаниям, которые соответствуют требованиям GDPR. И вы по закону обязаны иметь договор с любыми обработчиками данных , то есть со всеми, кто обрабатывает персональные данные от вашего имени.

Здесь на помощь приходит ваше соглашение об обработке данных

.

В этой статье вы узнаете, что вам нужно включить в это соглашение, чтобы убедиться, что оно соответствует требованиям GDPR.

Что такое соглашение об обработке данных?

Соглашение об обработке данных (DPA), также известное как приложение к обработке данных, представляет собой договор между контролерами данных и обработчиками данных или обработчиками данных и подпроцессорами. Эти соглашения предназначены для обеспечения того, чтобы каждый участник партнерства действовал в соответствии с GDPR или другими применимыми законами о конфиденциальности для защиты интересов обеих сторон.

Например, если вы собираете личные данные от пользователей на своем веб-сайте, а затем используете сторонний процессор для обработки некоторых аспектов вашей бизнес-стратегии, вы хотели бы знать, что этот процессор данных работает в соответствии с GDPR и делает то, что они должны делать с важными данными ваших пользователей.

Если ваш обработчик данных нарушает требования, неправильно обрабатывает данные или становится жертвой утечки данных, соглашение об обработке данных может защитить вас юридически, доказывая, что вы проявили должную осмотрительность, чтобы убедиться, что компания, с которой вы сотрудничаете, соблюдает надлежащие процедуры.

Без такого контракта на вас может ложиться ответственность и вина за использование третьей стороны без надлежащих политик и процедур. Это также может повлиять на ваших пользователей, которые доверили вам свою личную информацию.

Соглашение об обработке данных не является соглашением о политике конфиденциальности.

Вот введение в Basecamp DPA:

Контроллеры данных должны иметь DPA со всеми используемыми ими процессорами данных. Обработчики данных также должны иметь соглашение об обработке данных с любыми вспомогательными обработчиками, которые они используют .

По существу, если вы передаете личные данные, которые вам доверили, другой компании, необходимо составить договор, чтобы гарантировать, что все обрабатывают эти данные должным образом.

Субъекты данных, контроллеры данных и обработчики данных

Как уже отмечалось, Соглашение об обработке данных — это договор между контроллером данных и обработчиком данных , в котором говорится о том, как обрабатывать персональные данные субъектов данных. Эти термины определены в статье 4 GDPR:

.
  • Субъектами данных являются физические лица. У них есть « персональных данных » — информация, которая может быть использована для их идентификации. Это варьируется от очевидной информации, такой как их имена и адреса, до более неясной информации, такой как их IP-адреса или данные интернет-браузера.
  • Контроллер данных — это любое лицо или организация, которая « определяет цели и средства обработки персональных данных. » решает, почему и как обрабатываются личные данные субъектов данных. « Обработка » персональных данных может означать что угодно — их сбор, хранение, совместное использование.
  • Обработчик данных — это любое лицо или организация, которая » обрабатывает персональные данные от имени контроллера [данные] . » Они не имеют прямого отношения к субъектам данных.

Физическое лицо может быть субъектом данных, контроллером данных и обработчиком данных — в зависимости от их отношения к набору персональных данных. Компания, которая действует в основном как обработчик данных, также часто будет в некоторых отношениях контролером данных.

Давайте рассмотрим это в контексте. Представьте себя, физическое лицо ( субъект данных ), совершающее покупки в интернет-магазине.

Интернет-магазин запрашивает у вас данные вашей кредитной карты, чтобы принять платеж. Магазин контроллер данных . Он решает, что цель (продать вам продукт) и означает (получение данных вашей кредитной карты) обработки ваших личных данных.

Вы предоставляете данные своей кредитной карты через платежную систему, такую ​​как PayPal. Здесь PayPal является обработчиком данных . Он обрабатывает платеж по номеру от имени контроллера данных — интернет-магазина.

Некоторые другие примеры обработчиков данных включают компании, которые предлагают услуги в следующих областях:

  • Счета
  • Расчет заработной платы
  • Маркетинг по электронной почте
  • Базы данных
  • Исследование рынка

Кому необходимо соглашение об обработке данных?

Контроллеры данных должны иметь соглашение об обработке данных с любыми обработчиками данных, которые они используют. Соглашение может быть написано контролером или процессором. Однако он является обязательным для обеих сторон.

GDPR вводит новых обязательства для обработчиков данных. Как заявляет Европейская комиссия, обработчики данных не могут «прятаться за» своими контролерами данных. Но основная обязанность по обеспечению безопасности персональных данных ложится на контролера данных.

Декларация 74 гласит, что контроллер данных несет ответственность за любую обработку данных, осуществляемую от его имени. Таким образом, в интересах контроллера данных обеспечить, чтобы эта обработка выполнялась безопасным и законным способом.

В соответствии со статьей 28 обработчику данных разрешается обрабатывать персональные данные только « на документированных инструкциях от контролера » (если иное не требуется по закону). Обработчик данных может также нанять « подпроцессора » для выполнения обработки данных на от своего имени , но только с письменного разрешения своего контроллера данных. Обработчик несет ответственность перед контроллером данных за действия этих подпроцессоров.

Соглашение об обработке данных является способом выполнения требований, предъявляемых как к контроллерам данных, так и к обработчикам .

Без соглашения об обработке данных или другого письменного договора контролеру данных незаконно пользоваться услугами обработчика данных или обработчику данных обрабатывать персональные данные от имени контролера данных.

Соглашения об обработке данных для малого бизнеса

Несмотря на то, что малому бизнесу может не понадобиться столько соглашений об обработке данных или таких подробных, они все же должны быть у них, если они используют сторонние службы или обработчики данных, которым они передают личную информацию своих пользователей.

Соглашения об обработке данных предназначены для защиты как вашей компании, так и ее пользователей от неправильного обращения с личными данными, которое может привести к убыткам или судебным искам. Соглашение об обработке данных необходимо как для малого бизнеса, так и для крупного .

Малые предприятия часто используют третьих лиц или обработчиков данных для оказания помощи в областях, которые крупные компании могут выполнять внутри себя, таких как обработка платежей и обслуживание клиентов.

Если, например, вы запускаете небольшой веб-сайт и используете стороннюю службу для обработки онлайн-платежей, вам необходимо заключить контракт, чтобы гарантировать, что ваш платежный процессор обрабатывает платежные данные резидентов ЕС в соответствии с с GDPR.

Если ваша компания соответствует требованиям GDPR, все используемые вами обработчики данных должны соответствовать требованиям, в том числе наличие соответствующего соглашения об обработке данных.

Вот список часто задаваемых вопросов, которые могут оказаться полезными.

1. Нужно ли мне иметь соглашение об обработке данных GDPR?

2. Каковы основные разделы соглашения об обработке данных GDPR?

GDPR требует, чтобы в ваше соглашение об обработке данных была включена следующая информация:

  • Какая информация будет обрабатываться
  • Как долго эта информация будет обрабатываться
  • Почему информация обрабатывается/с какой целью
  • Права и обязанности контроллера данных
  • Заявление о том, что обработчик данных должен действовать только в соответствии с письменными инструкциями контроллера данных
  • Заявление о том, что обработка данных осуществляется конфиденциально
  • Заявление о том, что на каждом этапе обработки данных принимаются надлежащие меры безопасности
  • Ограничение, согласно которому подпроцессоры могут использоваться только с ведома и согласия контроллера данных
  • Примечание о том, что контроллеры и обработчики данных должны работать вместе для разрешения запросов субъекта на доступ
  • Заявление о том, что контролеры и обработчики данных должны работать вместе для защиты прав и конфиденциальности субъектов данных
  • Требование, согласно которому обработчики данных должны информировать контролеров данных об утечке данных
  • Требование о том, чтобы обработчики данных помогали контролерам данных в оценке воздействия на защиту данных, где это применимо
  • Требование, чтобы обработчики данных удаляли или возвращали личную информацию от контроллера данных после завершения контракта
  • Примечание о том, что как контролеры, так и обработчики данных должны быть готовы к проверкам или проверкам и помогать друг другу по мере необходимости для подтверждения соблюдения законодательства
  • Примечание о том, что как обработчики данных, так и контролеры должны следить за любыми действиями, нарушающими GDPR, и должны уведомлять друг друга, чтобы можно было внести исправления
  • У обработчика данных должен быть сотрудник по защите данных, назначенный в соответствии с требованиями GDPR
    • .
  • Обработчик данных должен вести учет деятельности по обработке

3. Как сделать так, чтобы мое Соглашение об обработке данных GDPR имело силу?


Пункты обязательного соглашения об обработке данных

Существуют определенные пункты , обязательные в для каждого Соглашения об обработке данных. Мы рассмотрим некоторые примеры таких положений в действующих соглашениях об обработке данных.

Имейте в виду, что многие из них написаны крупными процессорами данных, чьи клиенты или заказчики являются контроллерами данных. Это не имеет значения. Хотя формулировка будет варьироваться, эти пункты обязательный в любом Соглашении об обработке данных, независимо от того, написано ли оно контролером данных или обработчиком данных.

Информация об обработке данных

В соглашении об обработке данных должно быть четко указано, чем на самом деле будет заниматься обработчик данных. Например, должны быть указаны следующие аспекты обработки данных:

  • Тематика
  • Продолжительность
  • Природа
  • Назначение

Многие соглашения об обработке данных включают эту информацию в виде списка или приложения в конце соглашения.

Вот пример от DotDigital:

Срок действия соглашения иногда называют его «сроком действия». Это обычно не дается в месяцах или годах. Вместо этого в нем оговариваются условия, на которых соглашение будет расторгнуто. Обычно в договоре есть такой пункт. В соглашении об обработке данных требуется, чтобы обработчики данных не могли обрабатывать персональные данные бесконечно.

Вот соответствующая часть DPA DotDigital:

А вот еще пример из Битрикса:

Вот часть Соглашения об обработке данных от Voluum DSP, в котором изложены характер и цели обработки, которую он будет выполнять от имени контроллеров данных:

Информация о персональных данных и субъектах данных

Соглашение об обработке данных должно содержать подробную информацию о категориях персональных данных и категориях субъектов данных .

Вот пример из Виртуального колледжа, который показывает как категории субъектов данных, так и типы обрабатываемых персональных данных:

Обязанности контроллера данных

Хотя основное внимание в соглашении уделяется обработчику данных, обязанности контроллера данных также должны быть четко определены.

Вот выдержка из этого раздела соглашения Huble Digital, который охватывает обязательства:

«Экспортер данных» означает «контролер данных» в данном конкретном соглашении.

Обратите внимание, что обязательства совсем не конкретны. Этот пункт работает скорее как общее заявление, которое обязывает контроллера данных следовать соглашению и соблюдать законы.

Обязанности обработчика данных

Большинство обязательных условий, требуемых в соглашении об обработке данных, являются обязательствами обработчика данных . Они изложены в главе 4 GDPR, особенно важной является статья 28.

Письменные инструкции

Обработчик должен обрабатывать персональные данные » только в соответствии с документированными инструкциями от контролера. » Это является причиной самого Соглашения об обработке данных , но это также должно быть явно указано в соглашении.

Вот пример из соглашения Questback:

«Клиент» означает «контролер данных» в этом соглашении, поскольку Questback является процессором для других компаний, а эти другие компании являются клиентами Questback и контроллерами данных в отношениях.

Конфиденциальность

Обработчик должен убедиться, что « лица, уполномоченные обрабатывать персональные данные, взяли на себя обязательство соблюдать конфиденциальность . » Обратите внимание, что это , а не то же самое, что и соглашение о неразглашении. Это в первую очередь предназначено для защиты интересов субъектов данных, а не обработчика данных или контроллера.

Вот пример такого пункта из SuperOffice:

«MSA» здесь является аббревиатурой основного соглашения о подписке — основных положений и условий SuperOffice.

Безопасность

Обработчик должен явно согласиться соблюдать обязательства, изложенные в статье 32 GDPR. Эта часть GDPR касается безопасности обработки данных. Это требует, чтобы как обработчики данных, так и контролеры данных встроили определенные меры безопасности в свою деятельность по обработке данных.

Различные соглашения об обработке данных подходят к этому с разным уровнем детализации.

Например, вот лишь небольшая часть этого раздела из соглашения TimeTac:

Вот как Voluum DSP решает эту проблему, а также предотвращает утечку данных:

Вот как Битрикс решает процедуры безопасности для подпроцессоров, а именно:

Подпроцессоры

Обработчик данных » не должен нанимать другого обработчика без предварительного специального или общего письменного разрешения контролера. » Любые такие подпроцессоры связаны тем же уровнем обязательств, что и главный обработчик по Соглашению об обработке данных.

Обратите внимание, что найм подпроцессоров разрешен по общему письменному соглашению с контроллером данных. В Соглашении об обработке данных может быть изложено такое письменное соглашение.

Вот пример из SuperOffice:

В этом пункте есть несколько замечаний:

  • Соглашение дает обработчику данных разрешение нанимать подпроцессоров.
  • Существует ряд сдержек и противовесов , чтобы гарантировать, что контролер сохраняет контроль над этими субдоговорными соглашениями.
  • В соглашении указано, что подпроцессоры связаны теми же условиями , что и главный процессор.
  • Имеется список предварительно одобренных подпроцессоров.
Права на данные

Обработчик данных должен согласиться помочь контролеру данных в реализации прав субъекта данных. Их восемь, изложенных в главе 3 GDPR.

Контролер данных должен способствовать реализации своих прав субъектов данных , но для этого ему может потребоваться помощь обработчика данных. Это связано с тем, что некоторые из этих прав связаны с доступ или удаление персональных данных, которые могут находиться в распоряжении обработчика данных, или ограничение или прекращение обработки, которая может выполняться обработчиком данных.

Вот пример этого предложения из Float:

Соглашение об обработке данных также предоставляет возможность указать период времени, в течение которого обработчик данных должен выполнить такой запрос.

Оценка воздействия на защиту данных

Контроллер данных должен провести оценку воздействия на защиту данных, прежде чем приступать к любому новому проекту обработки данных с высоким уровнем риска. Обработчик обязан помочь в этом, если требуется.

Вот пример от Semrush:

Уведомления об утечке данных

Контроллер данных должен сообщать о любых серьезных нарушениях личных данных в свой орган по защите данных. Здесь также играет роль процессор данных. Он должен » уведомить диспетчера без неоправданной задержки после того, как ему станет известно о 0003 нарушение персональных данных . »

Вот что Debenhams требует от своих обработчиков данных в случае утечки данных:

Обратите внимание, что указанный здесь 72-часовой срок может быть слишком коротким. Контроллер обязан сообщить о нарушении своему органу по защите данных в течение 72 часов. Получение уведомления от обработчика данных ближе к концу этого периода может привести к тому, что он пропустит этот крайний срок.

Возврат или удаление персональных данных

В соответствии с пунктом 81, « после завершения обработки от имени контролера, процессор должен, по выбору контролера, вернуть или удалить персональные данные . »

Вот как соглашение HubSpot соответствует этому:

Аудит

Обработчик данных должен разрешить контролеру данных проводить проверки . Это может быть проведено другой организацией от имени контроллера данных. Соглашение об обработке данных должно разрешать это, но оно также может устанавливать основания, на которых это может происходить.

Вот пример из Виртуального Колледжа, пишущий как обработчик данных. Он дает контролеру данных разрешение на проведение аудита, но также устанавливает условия этой договоренности:


Здесь вы можете установить свои собственные условия, если вы разрешаете аудит.

Прочие пункты соглашения об обработке данных

В дополнение к обязательным пунктам, которые требует GDPR, вы также можете включить другие условия.

Помните, что Соглашение об обработке данных — это договор, который регулирует порядок ведения бизнеса контролером и обработчиком данных.

Определения

Как и в случае с любым другим договором, рекомендуется изложить определения ключевых терминов в начале вашего Соглашения об обработке данных. Цель состоит в том, чтобы свести к минимуму количество договорных серых зон в случае возникновения спора.

Некоторые термины, которые вы захотите определить, включают:

  • Контроллер данных
  • Процессор данных
  • Субъект данных
  • Подпроцессор
  • Персональные данные
  • Обработка
  • Закон о защите данных

Вот выдержка из раздела определений Соглашения об обработке данных встроенного руководства:

Если у вас есть какие-либо проприетарные термины или слова, которые вы используете не совсем понятным образом, дайте им определения, чтобы не было недопонимания или проблем с терминами.

Обязательный сотрудник по защите данных

В соответствии со статьей 37 некоторым организациям необходимо назначить сотрудника по защите данных. Некоторые соглашения об обработке данных требуют, чтобы обработчик данных делал это.

Было бы неплохо включить этот пункт в ваше Соглашение о защите данных, если, например, вы просите обработчика данных обработать большие объемы данных специальной категории.

Вот соответствующий раздел из Соглашения об обработке данных Caci:

Международная передача данных

GDPR имеет ряд строгих правил в отношении передачи персональных данных за пределы ЕС. Но это разрешено и часто происходит между контроллерами данных и их обработчиками данных или между обработчиками данных и их подпроцессорами.

Международная передача данных может осуществляться при определенных условиях, в том числе, если третья страна получила от Европейской комиссии решение об адекватности.

Вот как Caci управляет зарубежными переводами, делая так, чтобы обработчик не мог сделать это без предварительного письменного согласия контроллера данных:

Ведение записей

GDPR требует, чтобы обработчик данных хранил записи своей деятельности. Согласие с этим требованием подразумевается в некоторых пунктах, которые мы рассмотрели выше. Но многие соглашения об обработке данных также включают это как явное требование к обработчику данных вместе с условиями, на которых такие записи должны быть переданы.

Вот пример от Voluum DSP:

Как и в случае любого контракта, целесообразно установить юрисдикцию, в которой будут разрешаться споры по соглашению («, регулирующий закон »). Хотя GDPR применяется во всех странах ЕС (с некоторыми незначительными вариациями), законы, регулирующие контракты, могут сильно различаться в странах, где находятся контролер и обработчик данных.

Вот пример из Соглашения об обработке данных Planday:

Краткое изложение вашего соглашения об обработке данных

Везде, где обработка данных выполняется обработчиком данных, важно иметь четкое Соглашение об обработке данных. Это не только юридическое требование , но также позволит вам установить условия, на которых вы ведете бизнес, и уменьшит возможность юридических споров.

Ваше соглашение об обработке данных должно включать:

  • Подробная информация о предмете, продолжительности, характере и цели обработка
  • Подробная информация о категориях персональных данных и субъектов данных
  • Обязанности контроллера данных
  • Обязанности обработчика данных , в том числе:
    • Только действовать в соответствии с письменными инструкциями контроллера данных
    • Для обеспечения конфиденциальности персональных данных
    • В соответствии с требованиями безопасности GDPR
    • Чтобы помочь контролеру данных в содействии правам субъекта данных
    • Для оказания помощи контролеру данных в проведении Оценки воздействия на защиту данных при необходимости
    • Для информирования контроллера данных об обнаружении утечки персональных данных
    • На номер вернуть оператору данных или удалить любые личные данные при расторжении договора
    • Разрешить контроллеру данных проводить аудит
  • Любые другие применимые или необязательные пункты, включая:
    • Определения основных терминов
    • Требование к обработчику данных назначить сотрудника по защите данных
    • Условия международной передачи данных
    • Явное требование к обработчику данных вести обработку данных записей
    • Применимое законодательство по которому будут решаться споры

Соглашение о защите данных: определение и образец

Соглашение о защите данных — это юридический документ между организацией и клиентом, в котором устанавливаются условия использования личных данных. В этом соглашении указано, кто имеет доступ к информации, что может с ней произойти и нужно ли ее удалить из их системы в любой момент времени.

Чтобы соглашение о защите данных имело юридическую силу, все вовлеченные стороны должны согласовать его условия до подписания.

В современном мире, где наша жизнь все больше и больше протекает в Интернете — от банковской информации до сообщений в социальных сетях — многие люди подписались на услуги, регулируемые соглашениями о защите данных, не полностью понимая, на что они соглашаются в отношении своих личных данных. .

Приложение 10.2

Дополнение по обработке данных

К

Соглашение об оказании услуг по проектированию и производству Flextronics

Между

Flextronics Telecom Systems, Ltd. и FireEye, Inc

Настоящее Дополнение по обработке данных к Соглашению об оказании услуг по проектированию и производству Flextronics (далее именуемое «Дополнение по обработке данных» или «Дополнение») датировано и вступает в силу 9 апреля 2018 г. («Дата вступления в силу Дополнения»). , и находится между Flextronics Telecom Systems, Ltd., чей офис находится по адресу: Level 3, Alexander House, 35 Cybercity, Ebene, Mauritius, включая некоторые из ее аффилированных лиц и дочерних компаний, находящихся в полной собственности, в соответствии с Разделом 12.10(i) Соглашения (далее совместно именуемые «Flextronics» или «Поставщик услуг») и FireEye, Inc., корпорация штата Делавэр, с офисами, расположенными по адресу 601 McCarthy Blvd., Milpitas, CA 95035, и FireEye Ireland Limited, компания, созданная и действующая в соответствии с законодательством Ирландии, имеющая местонахождение: First Floor, Block B, City Gate Park, Mahon, Cork, Ирландия (далее совместно именуемые «FireEye» или « Клиент», как это определено в Соглашении). Настоящее Дополнение представляет собой поправку к Соглашению об оказании услуг по проектированию и производству Flextronics (именуемому «Соглашение»), которое было заключено сторонами 28 сентября 2012 г. или около того. объем Персональных данных, относящихся к FireEye и ее персоналу, которые были получены Поставщиком услуг от или от имени FireEye для Обработки в качестве импортера данных при выполнении функций или действий, предусмотренных Соглашением.

Настоящим стороны договариваются о нижеследующем:

1.

Общие определения. Все термины, написанные с заглавной буквы и не определенные в настоящем документе, имеют значения, указанные в Соглашении.

2.

Область применения. На дату вступления в силу Дополнения и в течение любого последующего периода времени, в течение которого Поставщик услуг является импортером данных и имеет доступ к Персональным данным FireEye в связи с Услугами до истечения срока действия или расторжения Соглашения, Поставщик услуг должен внедрить в свои Объекты, а затем должны поддерживать политики, процедуры и практику, которые удовлетворяют применимым требованиям, изложенным в настоящем Дополнении по обработке данных. Кроме того, в любое время в течение срока действия Соглашения и в течение любого периода времени после него, в течение которого Поставщик услуг является импортером данных и имеет доступ к Персональным данным FireEye в связи с Услугами, Поставщик услуг должен соблюдать все применимые Законы о защите данных, включая, когда он вступит в силу, Регламент 2016/EC/679.(«Общее положение о защите данных» или «GDPR»). Несмотря на вышеизложенное, если Поставщик услуг не может обеспечить такое соответствие по каким-либо причинам, он соглашается незамедлительно уведомить FireEye о своей неспособности выполнить требования, и в этом случае FireEye имеет право приостановить действие передача Персональных данных и/или прекращение соответствующих Услуг по проектированию или Работ в соответствии с Разделом 11.2 Соглашения

Соглашение FireEye — Flextronics об оказании услуг по проектированию и производству

Приложение по обработке данных

Страница | 1

3.

Обработка данных/Конфиденциальность Определения. Для целей настоящего Дополнения об обработке данных «Персональные данные», «Обработка(обработка)» и «Субъект(ы) данных» будут иметь значение, данное этим терминам в соответствии с применимыми законами о защите данных конкретной страны, включая, но не ограничивается Общей директивой ЕС о защите данных (GDPR). В течение срока действия Соглашения:

«Личные данные FireEye» означают Персональные данные о FireEye и ее персонале, которые Поставщик услуг получает от FireEye или иным образом Обрабатывает для или от имени FireEye для предоставления Услуг (включая любые продукты) в соответствии с Соглашением.

«Законы о защите данных» означает любой закон, регулирующий «Персональные данные», «Обработку (обработку)» и «Субъектов данных», включая GDPR и все законы о конфиденциальности других стран, включая применимые законы и положения о защите данных государств-членов. Поставщику услуг в качестве импортера Персональных данных FireEye при выполнении Услуг в соответствии с Соглашением.

«Объекты» или «Объекты» означают объекты Поставщика услуг, используемые в настоящее время или в будущем для оказания Услуг по проектированию и/или Работ в соответствии с Соглашением, которые имеют доступ, хранят, Обрабатывают или используют Персональные данные FireEye.

«Государство-член» означает страну, которая является членом Европейского союза или Европейской экономической зоны.

«Персонал» означает всех работников, включая, помимо прочего, сотрудников Поставщика услуг, временный персонал и других лиц, нанятых или нанятых Поставщиком услуг по контракту, которые имеют доступ, хранят, Обрабатывают или используют Персональные данные FireEye.

Услуга(и) означает Услуги по проектированию и/или Работы, предоставляемые Поставщиком услуг в соответствии с Соглашением.

«Субподрядчик» означает поставщиков, агентов, субподрядчиков Поставщика услуг и всех других лиц, юридических лиц или организаций, за исключением внештатных сотрудников FireEye, которые подчиняются указаниям, надзору и контролю Поставщика услуг.

«Субподрядчик» означает любого Субподрядчика, нанятого Поставщиком услуг для обработки Персональных данных FireEye, который указан в Приложении 1 к настоящему Дополнению.

4.

Обработка. При выполнении своих обязательств по Соглашению, если Поставщик услуг в любое время с Даты вступления в силу Дополнения и до прекращения предоставления Услуг или Соглашения обязуется обрабатывать Персональные данные для или от имени FireEye, Поставщик услуг будет обрабатывать все Персональные данные справедливо и законно. , уважая конфиденциальность Субъекта данных и в соответствии со всеми законами о защите данных, применимыми к такой обработке персональных данных. Поставщик услуг примет разумные меры, чтобы потребовать, чтобы весь его персонал и каждый из его субобработчиков обрабатывали все персональные данные в порядке, аналогичном описанному в Разделе 5 ниже. Поставщик услуг будет Обрабатывать Персональные данные FireEye только в целях и в соответствии с условиями, изложенными в Соглашении или настоящем Дополнении по обработке данных, а также в соответствии с взаимно согласованными инструкциями FireEye, которые время от времени издаются. Поставщик услуг не будет (i) получать какие-либо права на какие-либо Персональные данные в силу выполнения своих обязательств по Соглашению и/или настоящему Дополнению; (ii) за исключением утвержденных Субобработчиков или в соответствии с применимым законодательством, передавать или раскрывать любые Персональные данные (частично или полностью) любой третьей стороне, за исключением случаев, предусмотренных в настоящем Дополнении по обработке данных, (iii) за исключением технических необходимо для выполнения своих обязательств по Соглашению, передавать, получать доступ или хранить любые Персональные данные за пределами страны, в которой учрежден соответствующий Объект поставщика услуг («Страна происхождения»), в том числе с помощью облачных сервисов, без явного предварительного согласия FireEye или (iv) Обрабатывать или использовать любые Персональные данные в собственных целях или для получения выгоды. Поставщик услуг будет хранить все Персональные данные в конфиденциальности и безопасности.

5.

Третьи лица и субобработчики. Поставщик услуг может передать на субподряд свою работу по обработке, относящуюся к Персональным данным, в соответствии с Соглашением только с предварительного письменного согласия FireEye. Кроме того, Сервис

FireEye — Соглашение об оказании услуг по проектированию и производству Flextronics

Приложение по обработке данных

Страница | 2

Поставщик должен предоставить список действующих Субобработчиков согласно Приложению 1 к настоящему Дополнению. Такой список субобработчиков должен включать идентификационные данные этих субобработчиков и их страны местонахождения и должен быть одобрен FireEye. Если Поставщик услуг позднее решит использовать Субобработчиков, Поставщик услуг должен уведомить об этом FireEye в письменной форме. Поставщик услуг должен информировать FireEye перед любыми изменениями или заменой Субобработчиков и запрашивать прямое одобрение FireEye для такого изменения. FireEye не будет необоснованно возражать против таких изменений или замен. Если Поставщик услуг уполномочен FireEye передать третьей стороне какие-либо из своих обязательств по исполнению в соответствии с Соглашением в отношении Обработки Персональных данных FireEye, Поставщик услуг должен потребовать, чтобы его Субобработчики также приняли адекватные меры (разумно соответствующие хранению такого субподрядчика, деятельность по обслуживанию или обработке), которые во всех существенных отношениях соответствуют соответствующим обязательствам, изложенным в настоящем Дополнении, включая, помимо прочего, обязательства в отношении конфиденциальности данных, конфиденциальности, информационной безопасности и международной передачи. С учетом ограничений, изложенных в настоящем документе и в Разделе 10.6 Соглашения, в той мере, в какой это вызвано Поставщиком услуг, он будет нести ответственность перед FireEye за любые нарушения конфиденциальности личных данных или нарушения безопасности в рамках Услуги, в той мере, в какой это вызвано Услугами. Нарушение Поставщиком своих обязательств по настоящему Дополнению.

6.

Международные переводы. Вся передача Персональных данных FireEye за пределы Страны происхождения Поставщиком услуг (если таковая имеется) осуществляется в строгом соответствии с соответствующими положениями Законов о защите данных в стране происхождения. Если Персональные данные происходят из ЕС, их передача может осуществляться либо в страну с соответствующими законами о защите данных, либо в соответствии с Privacy Shield, Стандартными договорными положениями ЕС или Обязательными корпоративными правилами. Все передачи Персональных данных Поставщиком услуг, которые технически не необходимы для выполнения его обязательств по Соглашению, будут осуществляться с предварительного письменного согласия FireEye и будут осуществляться в строгом соответствии с применимыми Законами о защите данных или договорными обязательствами по такой передаче при условии, что такие договорные обязательства не нарушать применимые законы о защите данных. Все передачи Персональных данных за пределы Канады или стран Азиатско-Тихоокеанского региона и Латинской Америки будут осуществляться в соответствии с применимыми законами о защите данных.

7.

Сотрудничество и запросы. Поставщик услуг без неоправданной задержки проинформирует FireEye, если Поставщик услуг получит какой-либо запрос, жалобу или претензию от любого суда, государственного чиновника, третьих лиц или отдельных лиц (включая, помимо прочего, Субъектов данных), возникающие в связи с Услугами, и будет оказывать FireEye разумную поддержку. и своевременное сотрудничество в ответ на любой такой запрос. Если FireEye на основании применимого законодательства будет обязан предоставить доступ или информацию Субъекту данных об обработке персональных данных, относящихся к нему или ей, Поставщик услуг без взимания платы в разумных пределах поможет FireEye в предоставлении такого доступа или информация.

8.

Конфиденциальность и безопасность информации. В дополнение к любому другому соглашению и/или условиям, регулирующим конфиденциальность между сторонами, Поставщик услуг примет адекватные (с учетом характера Обработки и информации, доступной Поставщику услуг) технические и организационные меры, разумно необходимые для защиты Персональных данных и предотвратить несанкционированный доступ, изменение или потерю данных, включая меры, требуемые применимыми законами о защите данных. Поставщик услуг также обеспечит конфиденциальность Персональных данных, в том числе примет соответствующие меры для обеспечения конфиденциальности своего Персонала и субобработчиков. По разумному письменному запросу FireEye Поставщик услуг предоставит первому всеобъемлющую и актуальную концепцию защиты и безопасности персональных данных FireEye, полученных в соответствии с Соглашением при оказании Услуг в соответствии с Соглашением.

9.

Нарушения конфиденциальности, безопасности и утечки данных. Если поставщику услуг станет известно или возникнут обоснованные подозрения об этом при оказании Услуг по Соглашению, Поставщик услуг незамедлительно проинформирует FireEye, если: (i) Поставщик услуг или его Персонал нарушают применимые Законы о защите данных или обязательства по Соглашению, (ii) серьезные сбои во время Произошла обработка, или (iii) третьи лица имеют несанкционированный или непреднамеренный доступ к Персональным данным. Стороны осознают, что применимый Закон о защите данных может налагать обязанность информировать компетентные органы или затронутых Субъектов данных в случае потери или незаконного раскрытия Персональных данных или доступа к ним. Таким образом, поставщик услуг должен незамедлительно уведомлять FireEye об этих инцидентах, независимо от их происхождения. Это также относится к серьезным эксплуатационным неисправностям или к любым подозрениям в нарушении положений, касающихся

Соглашение FireEye – Flextronics об оказании услуг по проектированию и производству

Приложение по обработке данных

Страница | 3

защита Персональных данных или другие нарушения при обработке Персональных данных, принадлежащих FireEye. Проконсультировавшись с FireEye, Поставщик услуг должен принять соответствующие меры в рамках Услуги для устранения Нарушения, включая, при необходимости, меры по защите Персональных данных и добросовестно работать над снижением риска для Субъектов данных, чьи Персональные данные были затронуты. . Поставщик услуг должен координировать обмен сообщениями, касающимися любого нарушения конфиденциальности, безопасности или утечки данных, с FireEye, прежде чем делать какие-либо публичные раскрытия.

10.

Права на проверку и аудит. По предварительному письменному уведомлению не менее чем за 30 дней, как описано в Разделе 12.11 Соглашения и с учетом обязательств, изложенных в настоящем документе, FireEye может инспектировать операционные объекты Поставщика услуг или проводить аудит (каждый «Аудит»), безопасность Поставщика услуг, производственные процессы, качество контроля процессов и систем окружающей среды, используемых для обработки Персональных данных FireEye, для подтверждения соответствия настоящему Дополнению по обработке данных за счет FireEye (хотя FireEye никоим образом не несет ответственности за какие-либо расходы или расходы, понесенные в связи с коммерчески обоснованной поддержкой Поставщика услуг при оказании помощи FireEye в проведении Аудита или предоставление FireEye возможности инспектировать свои Объекты, и в случае обнаружения нарушения Поставщиком услуг обязательств по настоящему Дополнительному соглашению, которое может поставить под угрозу Персональные данные FireEye, Поставщик услуг несет ответственность за все разумные затраты и расходы, понесенные FireEye при проведении Аудита. ). В той мере, в какой это применимо к обязательствам Поставщика услуг в соответствии с настоящим Дополнением, этот Аудит может включать, помимо прочего, проверку того, соответствуют ли процедуры для технических и организационных требований защиты данных и информационной безопасности в соответствии с информацией о третьих лицах FireEye. Дополнение к требованиям безопасности (или аналогичные обязательства, согласованные сторонами либо в соглашении, либо в отдельной поправке/дополнении). Поставщик услуг предоставит FireEye любую разумно необходимую информацию и документы во время Аудита. Аудит может проводиться один раз в год сотрудником FireEye по защите данных или уполномоченным представителем по взаимному согласию, если не будет обнаружено нарушение обязательств Поставщика услуг в соответствии с настоящим Дополнением об обработке данных, и в таком случае FireEye может провести еще один Аудит в течение шести месяцев или если FireEye обоснованно полагает, что Поставщик услуг не выполняет обязательства, содержащиеся в настоящем Дополнении. Все Аудиты будут проводиться в обычное рабочее время; в соответствии с разумными требованиями безопасности, безопасности и конфиденциальности Поставщика услуг; и таким образом, чтобы Аудит не нарушал и не ставил под угрозу инфраструктуру Поставщика услуг или его способность выполнять нормальные бизнес-операции. Кроме того, Поставщик услуг будет разумно разрешать и оказывать помощь в проведении Аудита своих обязательств (за свой счет) в соответствии с настоящим Дополнением. Кроме того, Поставщик услуг будет сотрудничать с любой аудиторской проверкой, заказанной соответствующим органом по защите данных, которая возникает в результате его выполнения в соответствии с Соглашением.

Несмотря на вышеизложенное, любой Аудит не дает FireEye права просматривать или каким-либо образом получать доступ к записям и/или процессам:

i.

Не имеет прямого отношения к данным FireEye, обрабатываемым поставщиком услуг;

ii.

Не имеет прямого отношения к Дизайнерским услугам или Работам, предоставляемым FireEye по Соглашению;

iii.

В нарушение действующего законодательства; и/или

iv.

В нарушение обязательств Поставщика услуг по конфиденциальности перед третьей стороной

Для ясности: Аудиты будут проводиться только в том случае, если стороны взаимно договорились в письменной форме об объеме Аудита до любого Аудита. FireEye предоставит Поставщику услуг предварительное письменное уведомление, включая письменное объяснение причины проведения Аудита, не позднее, чем за 30 дней до начала любого такого Аудита. Перед любым Аудитом обе стороны должны согласиться добросовестно использовать другие средства согласования документов, которые сделают такие Аудиты ненужными. Взаимоприемлемый сторонний аудитор подпишет стандартное соглашение о раскрытии конфиденциальной информации Поставщика услуг, которое ограничит права стороннего аудитора раскрывать FireEye что-либо, кроме результатов соблюдения или несоблюдения Поставщиком услуг требований Аудита. Затраты и расходы на аудит должны быть взаимно согласованы между сторонами в письменной форме до проведения любого аудита.

11.

Возмещение. В соответствии с остальными положениями настоящего Раздела 11, стороны настоящим соглашаются, что Поставщик услуг несет обязательство по защите и возмещению убытков по любой Претензии, понесенной или оцененной

FireEye — Соглашение об услугах проектирования и производства Flextronics

Приложение об обработке данных

Страница | 4

против любого Заказчика, возмещающего ущерб третьей стороной за любые умышленные или небрежные действия или бездействие со стороны Поставщика услуг или любое нарушение настоящего Дополнения или Законов о защите данных, но в той мере, в какой такое нарушение было вызвано умышленными или небрежными действиями Поставщика услуг. или упущения при Обработке Персональных данных FireEye в качестве импортера данных в соответствии с настоящим Дополнением, и это обязательство должно быть добавлено к Соглашению в качестве Раздела 10.2 (d).

Невзирая ни на что, содержащееся в Соглашении, настоящем Дополнении или любой другой поправке или дополнении, стороны соглашаются, (i) что, если одна сторона будет привлечена к ответственности за нарушение Законов о защите данных, совершенное другой стороной, последняя будет, в той степени, в которой он несет ответственность, возместить другой стороне любые затраты, сборы, ущерб, расходы или убытки, которые она понесла в рамках своих обязательств по возмещению ущерба в соответствии с Разделами 10.1 и 10.2, в зависимости от обстоятельств; и (ii) ограничения и исключения в Разделе 10.6 (Ограничение ответственности) Соглашения, включая предел общей ответственности Поставщика услуг, применяются к этому Разделу 11.

Сторона, не возмещающая ущерб, должна:

(i)    незамедлительно уведомить другую сторону, узнав о Претензии; и

(ii)    сотрудничать в защите и урегулировании Претензии.

12.

Возврат персональных данных. После расторжения Соглашения Поставщик услуг, за исключением случаев, запрещенных применимым законодательством, по собственному усмотрению и по письменному запросу FireEye вернет FireEye или уничтожит и удалит все Персональные данные FireEye, подлежащие Обработке. Поставщик услуг должен письменно подтвердить FireEye, что он выполнил вышеуказанные обязательства.

13.

Аналоги. Настоящее Дополнение может быть составлено в экземплярах, каждый из которых при составлении и доставке представляет собой оригинал Дополнения, но все экземпляры вместе составляют один и тот же документ. Ни один экземпляр не имеет силы до тех пор, пока каждая сторона не подпишет хотя бы один экземпляр. Факсимильные или электронные подписи имеют обязательную силу в той же степени, что и оригинальные подписи.

14.

Интеграция. Если иное не указано в настоящем Дополнении, все положения и условия, содержащиеся в Соглашении и не измененные в нем, остаются в полной силе и действии. В случае возникновения противоречий между Соглашением и настоящим Дополнением или любым другим условием конфиденциальности в соглашении между сторонами порядок приоритета в отношении Обработки Персональных данных FireEye будет следующим: это Дополнение, а затем Соглашение.

В УДОСТОВЕРЕНИЕ ЧЕГО стороны подписали настоящее Дополнение через своих уполномоченных представителей, указанных ниже.

От лица экспортера данных: FireEye, Inc.

Имя (полностью): Joe Zuccaro

Должность: старший директор по контрактам

Адрес: 601 McCarthy Blvd, Milpitas, CA

Другая необходимая информация для того, чтобы договор имел обязательную силу (если таковой имеется):    

Подпись /s/ Joe Zuccaro

От имени экспортера данных: FireEye Ireland Limited

Имя (полностью): Ruth. Kelleher

Должность: Директор, FireEye Ireland Limited

Адрес: 2 ParK Place, City Gate Park, Cork, Ireland

Прочая информация, необходимая для того, чтобы договор имел обязательную силу (при наличии):    

Подпись /s/ Рут Келлехер

FireEye — Соглашение об оказании услуг по проектированию и производству Flextronics

Приложение об обработке данных

Страница | 5

От имени импортера данных: Flextronics Telecom Systems, Ltd.

Имя (полностью): Manny Marimuthu    

Должность: Директор    

Адрес:    

Другая информация, необходимая для заключения договора обязательный документ (при наличии):

Подпись /s/ Мэнни Маримуту

FireEye – Соглашение об оказании услуг по проектированию и производству Flextronics

Приложение по обработке данных

Страница | 6

Appendix 1 to the Addendum

List of agreed Sub-processors

Name of Sub-processor

Country Location of Sub-processor

нет

 

 

 

FireEye Соглашение о проектировании и производстве0007

Приложение по обработке данных

Страница | 7

Код :
Комиссия по обмену ценными бумагами — база данных Edgar, EX-10.

No related posts.

Автор записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *