Содержание

Отзыв согласия на обработку персональных данных: как составить, образец

Отзыв согласия на обработку персональных данных позволяет наложить запрет на работу оператора с личными сведениями о человеке. Как запретить обработку индивидуальной информации и в каких случаях запрет невозможен, читатель узнает из этой статьи.

Когда можно отозвать согласие

Порядок работы с личными сведениями установлен законом «О персональных данных» от 27.07.2006 № 152-ФЗ. Из ст. 3 закона следует, что к индивидуальным данным лица относится любая информация о нем, позволяющая его идентифицировать.

В том числе к таким сведениям можно отнести:

  • Ф. И. О.;
  • адрес проживания;
  • паспортные данные;
  • сведения о месте рождения;
  • прочие данные.

Полного перечня сведений закон не содержит, соответственно, в каждом конкретном случае необходимо анализировать, можно с помощью получаемой от человека информации его идентифицировать или нет. Часто отдельные данные не являются персональными, поскольку понять, кому конкретно они принадлежат, невозможно. Однако если совокупность сведений позволяет узнать, к какому человеку они относятся, то это персональные данные.

Персональные данные без штрафов Время прохождения около 5 мин. Пройти тест

Работа с личной информацией осуществляется на основании письменного согласия гражданина, чьи сведения будут обрабатываться. Установленного бланка нет, каждая организация самостоятельно разрабатывает форму соглашения на обработку личных материалов, которое подписывает гражданин. Только после подписания субъектом такого бланка учреждение имеет право начать работу с информацией о клиенте.

Согласие на обработку может быть получено в электронном виде с применением простой электронной подписи.

Гражданин имеет право отозвать свое согласие на обработку личных сведений в любое время (п.

 2 ст. 9 закона № 152-ФЗ). Причем законодатель не связывает отзыв персональных данных с какими-либо условиями или событиями. Из чего следует, что отказ от обработки персональных данных не требует обоснований.

Каков срок уничтожения персональных данных оператором при достижении цели обработки персональных данных либо при отзыве согласия на их обработку? Ответ на данный вопрос есть в КонсультантПлюс. Изучите материал, получив пробный доступ к системе К+ бесплатно.

Когда отзыв согласия не имеет значения для оператора персональных данных

Между тем оператор может продолжить работу с личными инфоматериалами субъекта даже при отзыве последним своего согласия. Перечень случаев, когда у него есть такое право, прописан в пп. 2–11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 закона № 152-ФЗ. В частности, использовать информацию о человеке могут:

  • суды при участии гражданина в судопроизводстве;
  • приставы при исполнении судебного акта;
  • государственные органы при исполнении своих полномочий;
  • стороны гражданско-правовых договоров, заключенных с субъектом персональных данных;
  • любые субъекты при необходимости защиты жизни или здоровья носителя персональной информации;
  • журналисты, если работа с личной информацией связана с их профессиональной деятельностью;
  • субъекты, участвующие в реализации международных договоров;
  • органы статистики, если личные данные обезличиваются.

Правомерна ли обработка персональных данных налоговыми органами без согласия субъекта персональных данных, узнайте в КонсультантПлюс. Если у вас нет доступа к системе К+, получите пробный онлайн-доступ бесплатно.

Порядок отзыва индивидуальных данных

Поскольку с выдачей разрешения на работу с личной информацией граждане сталкиваются очень часто, закономерен вопрос, как отозвать согласие на обработку персональных данных.

Поэтапный порядок в законодательстве не прописан. Поскольку разрешение на обработку сведений дается письменно, то и отзывать согласие нужно, подав оператору письменное заявление.

Отказ от согласия на обработку персональных данных готовится в свободной форме. Передать заявление в учреждение можно:

  1. Лично в канцелярию или приемную организации. В этом случае необходимо подготовить два экземпляра документа. На одном из них организация при приеме поставит отметку о получении.
  2. Почтовой корреспонденцией (заказным письмом с уведомлением). В этом случае подтверждать получение будет уведомление, вернувшееся отправителю.
  3. В электронной форме. Например, если отзывается согласие на использование личной информации, которую пользователь передал оператору через интернет (например, на сайте).

ВНМАНИЕ! Если вы разрешили обработку ваших данных на каком-либо сайте, по каждому из них надо писать заявление в ту организацию, который Вы дали согласие на такую обработку. То есть нужно перейти в контакты (они обычно есть на любом сайте) либо через форму обратной связи письменно попросить админа удалить  из базы ваши данные.

Некоторые сайты запрашивают данные через доступ к сведениям учетной записи на сайте «Госуслуги». В этом случае нужно перейти в меню «Профиль» далее «Согласия и доверенности», вы увидите ваши согласия. Нажав на кнопку «Отозвать согласие», вы отзываете согласие на обработку ваших персданных.

Подтвердить дату получения оператором обращения очень важно, так как с этого момента будет отсчитываться период, в течение которого оператор по обработке индивидуальных сведений должен будет прекратить работу с заявленной информацией.

Образец заявления на отзыв

Заявление на отзыв персональных данных составляется следующим образом:

  1. В правом верхнем столбце указывается наименование получателя и его адрес, данные отправителя.
  2. Ниже посередине — название документа.
  3. С красной строки — основной текст.
  4. В конце документа — дата и подпись.

Образец отзыва персональных данных из банка может выглядеть так:

Руководителю Центрально-Черноземного банка ПАО «Банк»

Воронеж, ул. 9 Января, 28

от Держаева Виктора Петровича

Воронеж, ул. Комарова, 28, 15

Заявление

Я, Держаев В. П., паспорт серия 0000 № 000 000, выдан РОВД Советского района г. Воронежа __ __ ___, в соответствии со ст. 9 закона № 152-ФЗ отзываю согласие на обработку персональных данных, данное мной при заключении кредитного договора № 377-2010 от __ __ ____.

Держаев В. П. /Держаев/

Дата: __ __ ____

Последствия отзыва

Согласно п.  5 ст. 21 закона № 152-ФЗ, если человек отозвал согласие на работу со своей индивидуальной информацией, оператор обязан прекратить это делать. На это ему дается 30 дней со дня получения обращения. В этот же срок оператор должен уничтожить или обеспечить уничтожение информации.

Однако закон разъясняет, что если дальнейшая работа с индивидуальными сведениями о человеке необходима для достижения целей, предусмотренных законодательством, то хранение информации может быть продолжено.

Например, выполнить требование субъекта персональных данных об отзыве согласия на их обработку не могут банки.

Так, в соответствии с п. 4 ст. 7 закона «О противодействии легализации (отмыванию) доходов…» от 07.08.2001 № 115-ФЗ банковские организации должны сохранять личную информацию о клиентах не менее 5 лет со дня прекращения отношений. Соответственно, если разрешение на работу с индивидуальными сведениями было отозвано, операции с информацией должны быть прекращены, но сами материалы не уничтожаются и могут быть выданы по запросу суда, прокуратуры и иных уполномоченных учреждений (апелляционное определение Московского городского суда от 14. 06.2019 по делу № 33-25479).

Итоги

Таким образом, отозвать свои индивидуальные сведения из обработки тем или иным учреждением несложно. Однако законодательство в некоторых случаях разрешает работу с такими инфоматериалами и без согласия гражданина.

СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ (ДАЛЕЕ – «СОГЛАСИЕ»)

 

Согласие на обработку персональных данных пользователей сайта https://medtouch.org/

 

Я, являясь пользователем сайта https://medtouch.org/, в соответствии с пунктом 1 части 1 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» предоставляю свое согласие Оператору: Обществу с ограниченной ответственностью «МЕДГУРУ» (ИНН 7716860313, ОГРН 1177746556130), адрес: 123060, г. Москва, ул. Маршала Рыбалко, дом 2, корпус 6, помещение I, комната 5, офис 722 (далее – Оператор).

    на обработку, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, обезличивание, блокирование, удаление, уничтожение персональных данных,

моих следующих персональных данных в следующих целях:

 

Цель Персональные данные и иные данные
Предоставление личного кабинета на Сайте (регистрация) ФИО
Номер телефона
Специальность
Город
Место работы
Принадлежность к медицине
Адрес электронной почты
Пользование Сайтом ФИО
Номер телефона
Специальность
Город
Место работы
Принадлежность к медицине
Адрес электронной почты
Должность
Фотография в цифровом формате
Формирование уважительного обращения к пользователю при взаимодействии Пол
Направления поздравлений с днем рождения Дата рождения
Оперативное предоставление ответов на вопросы Пользователей Имя
Адрес электронной почты
Номер телефона
Использование в маркетинговых целях (рассылка новостей, уведомлений, рекламы, информационных материалов и проч.
)
Адрес электронной почты
Номер телефона

Я ознакомлен (а) с тем, что мои персональные данные будут подвергаться автоматизированной обработке Оператором.

Я предоставляю согласие на получение рекламных и информационных материалов Оператора посредством направления СМС-сообщений и сообщений по электронной почте. Я уведомлен (а) и согласен (согласна), что настоящим я выражаю согласие на получение рекламы, распространяемой по сетям электросвязи согласно части 1 статьи 18 Федерального закона от 13.03.2006 № 38-ФЗ «О рекламе».

В подтверждение дачи согласия на получение рекламных и информационных материалов Оператора я ставлю «галочку» в соответствующем чекбоксе на сайте:

«Я даю согласие на получение информационной и рекламной рассылки путем направления писем по электронной почте»

«Я даю согласие на получение информационной и рекламной рассылки путем направления смс-сообщений по номеру телефона»

Я проинформирован (а) о том, что данное согласие может быть отозвано в любой момент по моему письменному заявлению, направленному по адресу Оператора: 123060, г. Москва, ул. Маршала Рыбалко, дом 2, корпус 6, помещение I, комната 5, офис 722 или путем направления письма на адрес электронной почты Оператора: [email protected], [email protected] и [email protected].
Я уведомлен (а), что после получения моего отзыва согласия Оператор вправе осуществлять дальнейшую обработку персональных данных в случаях, указанных в пунктах 2 — 11 части 1 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»

Я уведомлен (а), что мои персональные данные не могут передаваться иным лицам и обрабатываться в иных целях, чем указано в данном согласии.

Я уведомлен (а), что Оператор гарантирует конфиденциальность моих персональных данных и законность их обработки в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

Настоящее согласие действует до достижения предусмотренных настоящим согласием целей обработки персональных данных. По достижению указанных в настоящем согласии целей, отзыва мной согласия на обработку персональных данных, прекращения действия законных оснований для обработки мои персональные данные уничтожаются или обезличиваются Оператором в соответствии с частью 7 статьи 5 и частями 4, 5 статьи 21 Федерального закона от 27. 07.2006 № 152-ФЗ «О персональных данных» в течение 30 (Тридцати) календарных дней с наступления указанных в настоящем абзаце событий.

Я подтверждаю, что, давая настоящее согласие, я действую по собственной воле и в своих интересах. Я признаю, что данное согласие предоставляется мной Оператору сознательно, я достаточно проинформирован (а) об условиях и целях обработки персональных данных. Принадлежащие мне права в сфере обеспечения защиты персональных данных, ответственность за предоставление ложных сведений о себе мне понятны.

В подтверждение дачи согласия я ставлю «галочку» в соответствующих чекбоксах на сайте: «Я даю согласие на обработку моих персональных данных и ознакомился с условиями Политики обработки персональных данных в сети Интернет».


Соглашение на обработку персональных данных на сайте компании LEMUS

Общество с ограниченной ответственностью «ЛЕМУС ПРО» (ИНН 9701085457, место нахождения: Москва, Большая Почтовая ул, д. 22, стр. 5) (далее — «Компания») несет ответственность за процесс обработки ваших персональных данных в рамках использования сайта по адресу в сети Интернет: www. lemus.pro и всех его поддоменов (далее — «Сайт»).

Согласие на обработку персональных данных (далее — «Согласие») распространяется исключительно на те персональные данные, которые обрабатываются в рамках использования Сайта и исполнения договоров с Компанией. Использование Сайта предполагает ваше полное согласие на обработку ваших персональных данных.

1. Заполняя форму обратной связи и нажимая кнопку «Отправить» Вы (далее — «Пользователь») даете свое согласие Компании на сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, обезличивание, блокирование, удаление и уничтожение персональных данных.

2. Вы подтверждаете, что настоящим предоставляете согласие на обработку Компанией ваших персональных данных и подтверждаете, что, давая такое согласие, Вы действуете своей волей и в своем интересе. В соответствии с Федеральным законом Российской Федерации от 27.07.2006 г. № 152-ФЗ «О персональных данных», Вы согласны, во время заполнения информации при регистрации на Сайте предоставить следующие персональные данные, не являющиеся специальными или биометрическими: фамилия и имя, номер телефона, адрес электронной почты (e-mail).

3. Вы выражаете согласие на осуществление со всеми указанными персональными данными следующих действий: сбор, систематизация, накопление, хранение, уточнение (обновление или изменение), использование, распространение (в том числе — передача), обезличивание, блокирование, уничтожение, передача, а также осуществление любых иных действий с вашими персональными данными в соответствии с действующим законодательством РФ. Обработка персональных данных может осуществляться с использованием средств автоматизации, а также без их использования (при неавтоматической обработке).

4. При обработке персональных данных Компания не ограничена в применении способов их обработки.

5. Вы выражаете согласие на осуществление Компанией обратной связи с вами, включая: направление запросов и информации, исполнения соглашений и договоров, направление уведомлений, включая уведомления (рассылки) о новостях и продуктах Компании, обработку Ваших заявок.

6. В ходе обработки персональных данных Оператор принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных, а также принимает на себя обязательство сохранения конфиденциальности персональных данных Пользователя.

7. К обработке персональных данных Пользователя могут иметь доступ только работники Оператора, чьи должностные обязанности непосредственно связаны с доступом и работой с персональными данными Пользователя.

8. Компания вправе использовать предоставленную Пользователем информацию, в том числе персональные данные, обрабатывать, компилировать, анализировать, а также передавать ее третьим лицам, в целях обеспечения соблюдения требований действующего законодательства Российской Федерации, защиты прав и интересов пользователей, администрации сайта, третьих лиц (в том числе в целях выявления, проверки/расследования и/или пресечения противоправных действий). Раскрытие предоставленной Пользователем информации может быть произведено лишь в соответствии с действующим законодательством Российской Федерации по требованию суда, правоохранительных органов, а равно в иных предусмотренных законодательством Российской Федерации случаях.

9. Настоящее Согласие может быть отозвано Пользователем путем направления письменного заявления в адрес Оператора.

10. Согласие Пользователя на обработку персональных данных действует с момента подтверждения Пользователем дачи согласия на обработку персональных данных и до достижения целей обработки персональных данных или в течение сроков хранения информации установленных законодательством Российской Федерации.

11. Цель обработки персональных данных — аналитика действий физического лица на веб-сайте и функционирования веб-сайта; проведение рекламных и новостных рассылок.

12. Настоящим Вы признаете и подтверждаете, что в случае необходимости Компания вправе в случае необходимости предоставлять Ваши персональные данные третьим лицам в целях оказания услуг технической поддержки, а также (в обезличенном виде) в статистических, маркетинговых и иных научных целях. Такие третьи лица имеют право на обработку персональных данных на основании настоящего Согласия.

13. Вы предоставляете согласие на обработку ваших персональных данных в течение срока действия заключенных между вами и Компанией договоров и в течение 1 (одного) года после расторжения таких договоров как в связи с окончанием срока их действия, так и досрочно, однако вы можете отозвать такое согласие посредством письменного уведомления Компании не менее чем за 1 (один) месяц до момента отзыва согласия.

14. В процессе использования Сайта, после заполнения форм с Вашими персональными данными, нажимая соответствующую кнопку (например, «Оставить заявку», «Зарегистрироваться», «Создать аккаунт» и т.п.) вы подтверждаете, что предоставляете Компании свое согласие на обработку ваших персональных данных.

15. Ввиду того, что персональные данные получены Компанией исключительно в рамках использования Пользователем Сайта уведомление уполномоченного органа по защите прав субъектов персональных данных об обработке персональных данных не требуется (п. 2 ч. 2 ст. 22 Федеральным законом Российской Федерации от 27.07.2006 г. № 152-ФЗ «О персональных данных»).

16. Компания вправе в любой момент без предварительного уведомления пользователей изменять, дополнять или обновлять текст настоящего Согласия в той или иной части. В том случае, если в настоящее Согласие будут внесены существенные изменения, такое Согласие подлежит размещению на Сайте, а соответствующие изменения вступают в силу в течение 20 дней с момента официальной публикации новой редакции Согласия на Сайте.

Если в течение этих 20 дней вы в письменной форме не заявите отказ от принятия изменений, то это означает ваше принятие Согласия в новой редакции. Компания рекомендует регулярно просматривать текст настоящего Согласия, чтобы вы были своевременно информированы о любых изменениях и датах вступления в силу таких изменений. Для получения более подробной информации о процессе обработки Компанией ваших персональных данных, исправлении, блокировке или удаления любых ваших персональных данных, получении доступа к вашим персональным данным, отмене вашего согласия на определенные виды обработки персональных данных, удаления вашего адреса электронной почты из списков адресов в нашей базе данных, а также для направления вопросов, замечаний или предложений, касающихся настоящего Согласия, вы можете связываться с Компанией по следующему адресу электронной почты [email protected] или направить письмо по адресу: Москва, Большая Почтовая ул, д. 22, стр. 5

Персональные данные

Полный текст Политики доступен здесь
Согласие на обработку персональных данных

Мы в компании PERI ценим пользователей наших сайтов и ответственно относимся к понятию «персональные данные». Чтобы соблюсти требования ФЗ О защите персональных данных в компании принимаются необходимые меры для защиты информации о пользователях. Подробнее об этом мы хотим рассказать в этой статье.

Персональные данные

Персональными данными считаются любые данные о людях, в данном случае пользователях официальных сайтов или подписчиках официальных групп PERI, по которым их можно идентифицировать. Сюда относятся ФИО, дата рождения, почтовый адрес, адрес электронной почты, номер телефона, место работы, сфера интересов.

Говоря об официальных сайтах компании PERI, мы имеем в виду:

  • www.peri.ru
  • www.shop.peri.ru
  • www.trio.peri.ru
  • www.lesa.peri.ru
  • www.academy.peri.ru

Говоря об официальных группах компании PERI в социальных сетях, мы имеем в виду:

  • VK
  • YouTube
  • OK
  • Telegram

Пользователи могут свободно просматривать тексты, фотографии и видео на этих сайтах и в группах, не указывая никакой информации о себе. Но есть случаи, когда PERI вынуждена запрашивать персональные данные пользователей. Для этого на сайтах и в группах опубликованы контактные формы, где пользователи указывают ФИО, контактный телефон, e-mail, почтовый адрес и пр. Эта информация нам необходима, чтобы уточнить детали запроса и правильно обработать вашу заявку.

К контактным формам относятся:

  • Заказ каталогов
  • Задать вопрос
  • Обратный звонок
  • Обратная связь
  • Подписка на рассылку
  • Форма отправки резюме
  • Регистрация на мероприятие
  • Регистрация на вебинар
  • Регистрация на обучающие курсы
  • Обращение в чат Jivo
  • Сообщение в социальных сетях
  • Получение расчета стоимости оборудования и специальных предложений

Предоставленные персональные данные используются нами только в тех целях, для достижения которых они собраны. Например, имя и адрес необходимы для доставки печатной продукции по адресу и соответствующему получателю. По телефону из формы «Обратный звонок» мы осуществим сам звонок. На адрес электронной почты из формы подписки на рассылку будем отправлять письма информационного и рекламного содержания.

Стоит иметь в виду, что перед тем, как отправить какую-либо из форм, вам необходимо дать согласие на обработку персональных данных.

Важно обратить ваше внимание на то, что информация из одной формы может быть использована в целях другой формы. Например, адрес электронной почты, указанный в форме «Обратная связь», может быть использован для отправки вам писем из рассылки. Если вы не хотите получать подобные сообщения, можно в любой момент отменить этот процесс, нажав кнопку «отписаться» внизу письма. В этом случае мы исключим ваш адрес из рассылки и не будем вам надоедать.

Обработка персональных данных

Персональные данные собираются из указанных выше форм. Они записываются, систематизируются, обновляются и хранятся в закрытой базе. Доступ к этой базе имеют только определенные сотрудники компании PERI. Передача этой базы и использование ее не по назначению невозможны. Вы всегда можете обратиться к нам за разъяснением, какие ваши данные имеются в базе PERI. Или же направить просьбу удалить ваши персональные данные из базы. Для этого необходимо написать на [email protected].

Протокол передачи данных

Компьютеры одной сети должны общаться друг с другом на одном языке. В таком случае обмен данными между компьютерами будет проходить без проблем. Протоколов существует множество. К основным относят:

HTTP (Hyper Text Transfer Protocol) – протокол для просмотра веб-страниц в Интернете.
FTP (File Transfer Protocol) – протокол для передачи файлов с компьютера на компьютер.
POP (Post Office Protocol) — протокол для приема электронных писем.
SMTP (Simple Mail Transfer Protocol) — протокол для отправки электронных писем.

Задача любого протокола, определить формат и участников процесса взаимодействия: какие данные будут передаваться, кто и как действует между собой, как обрабатывается входящая информация.

При входе на сайт PERI ваш браузер автоматически отправляет на веб-сервер PERI протокольные данные:

  • дату и время входа на сайт;
  • URL-адрес веб-страницы;
  • полученный файл;
  • объем переданных данных;
  • тип и версия механизма просмотра данных;
  • ОС;
  • IP-адрес;
  • имя домена вашего поставщика услуг доступа к сети Интернет.

Протокольные данные хранятся отдельно от других данных, собранных в процессе использования сайта PERI. Определить личность пользователя по этим протокольным данным невозможно. Но они необходимы для корректной передачи пользователю контента сайтов PERI.

Протокольные данные собираются и оцениваются в статистических целях. Они используются для оптимизации сайта PERI и его присутствия в Интернете.

Счетчики посещаемости

На сайтах PERI установлены счетчики посещаемости: Яндекс метрика и Google Analytics. Эти счетчики необходимы для продвижения сайта в Интернете. Они анализируют поведение пользователей: считают их количество, фиксируют время пребывания на сайте, учитывают просмотренные страницы.

Нам эти счетчики необходимы для анализа и настройки сайта таким образом, чтобы большее число пользователей нашли, посетили и остались на сайте PERI.

Ссылки на другие сайты

Сайт PERI содержит ссылки на официальные группы PERI в социальных сетях, а также на другие сайты в интернете. На наш взгляд эти сайты могут быть вам интересны. Однако, пожалуйста, имейте в виду, что мы не гарантируем соблюдение требований ФЗ О персональных данных операторами этих сайтов. Если вы не уверены в безопасности ваших данных, отключите cookie-файлы в браузере, зашифруйте IP, не оставляйте e-mail или просто не переходите на сайт.

Cookie-файлы

Как и многие другие сайты, мы используем cookie-файлы. Об этом вас оповестит всплывающее окно в правом нижнем углу сайта.

Cookie нужны для того чтобы ваш браузер сохранял часто используемую информацию. Как пример, вы впервые зашли на сайт какого-либо интернет-магазина, выбрали товары и сложили их в корзину. Вы не регистрировались на этом сайте и сейчас совершить покупку не готовы. Очевидно, что при выходе с сайта ваши товары из корзины исчезнут. Но если сайт использует cookie-файлы, все товары сохранятся, и вы сможете завершить заказ. То есть вам не придется снова искать товары по сайту и складывать их в корзину.

Сookie-файлы – это техническая информация о ваших действиях на сайте. Cookie-файлы не используют персональные данные, через них невозможно передать вирус или запустить программу на вашем компьютере.

В любой момент вы можете включить или отключить передачу cookie-файлов. Для этого необходимо лишь настроить ваш браузер соответствующим образом. В крайнем случае покиньте сайт.

Мы всегда рады ответить на ваши вопросы или дать уточнения. Для этого, пожалуйста, воспользуйтесь контактами ниже.

Контактные данные

Отдел стратегического маркетинга и внутренних коммуникаций
+7 (495) 642 81 13
E-mail: market@peri. ru
Адрес для отправки писем:
142400 Московская область Ногинский район территория «Ногинск-Технопарк» дом 9 ООО «ПЕРИ»

Внесение изменений
Размещенная Политика обработки персональных данных компании PERI обновляется каждый раз, когда происходят изменения в процессе сбора, систематизации, хранения, обновления и использования персональных данных пользователей cайтов PERI и подписчиков официальных групп PERI в социальных сетях.

Последний раз Политика обработки персональных данных обновлялась 14.12.2020 г.

Согласие субъекта на обработку персональных данных

Согласие субъекта на обработку персональных данных

Я (далее – «Субъект»), предоставляю Согласие на обработку персональных данных (далее — «Согласие») на условиях, изложенных далее.

Предоставлением Согласия является нажатие кнопки «Отправить» или «Отправить бриф» или «Жду звонка» при на Интернет-сайте Оператора https://www.ruvision.ru.

Действуя свободно, в соответствии со своей волей и в своем интересе, а также подтверждая свою дееспособность, Субъект даёт согласие ИП Левину Алексею Александровичу (ОГРНИП 311741515000035, ИНН 741516329412, адрес: 456318, г. Миасс, Челябинская обл., ул. Попова, д.1, кв. 114) (далее – «Оператор») на обработку своих персональных данных в соответствии со следующими условиями:

  1. Согласие дается на обработку следующих персональных данных Субъекта, не являющихся специальными или биометрическими:
    • фамилия, имя, отчество, пол;
    • дата рождения, место рождения, гражданство;
    • паспортные данные;
    • адрес электронной почты;
    • контактный телефон;
    • фотографии;
    • профили в социальных сетях;
    • иная предоставленная Оператору информация, предоставляемая о Субъекте в связи с выполнением Оператора своих услуг.
  2. Оператор может использовать общеотраслевую технологию «куки» (cookies). Куки – это небольшой фрагмент данных, отправленный веб-сервером и хранимый на компьютере, который использует Субъект, позволяющий Оператору сохранять персональные настройки и предпочтения Субъекта, а также собирать неличную информацию о нём.
  3. Под обработкой персональных данных Оператором понимается действие (операция) или совокупность действий (операций) с персональными данными, включая сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (в том числе и трансграничная) (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
  4. Субъект дает свое согласие на обработку персональных данных для следующих целей:
    • Идентификация Субъекта;
    • Взаимодействие с Субъектом, в том числе направление уведомлений, запросов и информации, касающихся действий Оператора, а также обработка запросов и заявок от Субъекта;
    • Отправка Субъекту рекламных материалов и информации о специальных предложениях;
    • Обеспечение качественной работы сайта Оператора;
    • Оформление документов, подтверждающих оплату услуг Субъектом, и иных документов, связанных с действиями Субъекта на сайте Оператора;
    • Обеспечение взаимодействия между Субъектом и Оператором в целях оказания ему услуг;
    • Обеспечение исполнения нормативных и ненормативных правовых актов, а также решений, поручений и запросов органов государственной власти и лиц, действующих по поручению или от имени таких органов;
    • Анализ интересов Субъекта персональных данных, проведение его опросов.
  5. Субъект персональных данных вправе направить Оператору запрос на уточнение его персональных данных, требование о блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными.
  6. Субъект дает согласие на передачу Оператором своих персональных данных третьим лицам для оказания услуг Субъекту в соответствии с его запросом на сайте Оператора, либо иного аналогичного исполнения соглашения между Субъектом и Оператором, а также в целях проведения аудиторских проверок.
  7. Персональные данные Субъекта обрабатываются до ликвидации Оператора.
  8. Оператор обрабатывает персональные данные Субъекта, в соответствии с принятыми локальными нормативными актами.
  9. Оператор принимает необходимые и достаточные организационные и технические меры для защиты персональной информации Субъекта от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий третьих лиц.
  10. Согласие может быть отозвано Субъектом персональных данных или его представителем путем направления письменного заявления Оператору или электронного сообщения по адресу [email protected]. Согласие может быть отозвано при условии уведомления не менее чем за 30 дней до предполагаемой даты прекращения обработки данных Оператором.
  11. В случае отзыва Субъектом персональных данных или его представителем Согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2-11 части 1 статьи 6, части 2 статьи 10 Федерального закона №152-ФЗ «О персональных данных» от 27.07.2006 г.
  12. Настоящим Согласием Субъект подтверждает, что достиг возраста 18 лет.
  13. Настоящее Согласие действует все время до момента прекращения обработки персональных данных, указанных в пунктах 7 и 10 данного Согласия.

Соглашение на обработку персональных данных

1. Общие положения

1.1 ПК ИЮЛЬ (далее по тексту – Оператор) ставит соблюдение прав и свобод граждан одним из важнейших условий осуществления своей деятельности.

1.2 Политика Оператора в отношении обработки персональных данных (далее по тексту — Политика) применяется ко всей информации, которую Оператор может получить о посетителях веб-сайта июль18. рф. Персональные данные обрабатывается в соответствии с ФЗ «О персональных данных» № 152-ФЗ.

2. Основные понятия, используемые в Политике:

2.1 Веб-сайт — совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети интернет по сетевому адресу июль18.рф;

2.2 Пользователь – любой посетитель веб-сайта июль18.рф;

2.3 Персональные данные – любая информация, относящаяся к Пользователю веб-сайта июль18.рф;

2.4 Обработка персональных данных — любое действие с персональными данными, совершаемые с использованием ЭВМ, равно как и без их использования;

2.5 Обезличивание персональных данных – действия, результатом которых является невозможность без использования дополнительной информации определить принадлежность персональных данных конкретному Пользователю или лицу;

2.6 Распространение персональных данных – любые действия, результатом которых является раскрытие персональных данных неопределенному кругу лиц;

2. 7 Предоставление персональных данных – любые действия, результатом которых является раскрытие персональных данных определенному кругу лиц;

2.8 Уничтожение персональных данных – любые действия, результатом которых является безвозвратное уничтожение персональных на ЭВМ или любых других носителях.

3. Оператор может обрабатывать следующие персональные данные Пользователя:

3.1 Список персональных данных, которые обрабатывает оператор: фамилия, имя, отчество, номер телефона, адрес электронной почты.

3.2. Кроме того, на сайте происходит сбор и обработка обезличенных данных о посетителях (в т.ч. файлов «cookie») с помощью сервисов интернет-статистики (Яндекс Метрика, Гугл Аналитика и других).

4. Цели обработки персональных данных

4.1 Персональные данные пользователя — фамилия, имя, отчество, номер телефона, адрес электронной почты — обрабатываются со следующей целью: Уточнение деталей по продукции и отправка заказа клиенту, почтовая рассылка новостей компании. Оператор имеет право направлять Пользователю уведомления о новых продуктах и услугах, специальных предложениях и различных событиях. Пользователь всегда может отказаться от получения информационных сообщений, направив Оператору письмо на адрес [email protected].

4.2 Обезличенные данные Пользователей, собираемые с помощью сервисов интернет-статистики, служат для сбора информации о действиях Пользователей на сайте, улучшения качества сайта и его содержания.

5. Правовые основания обработки персональных данных

5.1 Оператор обрабатывает персональные данные Пользователя только в случае их отправки Пользователем через формы, расположенные на веб-сайте июль18.рф. Отправляя свои персональные данные Оператору, Пользователь выражает свое согласие с данной Политикой.

5.2 Оператор обрабатывает обезличенные данные о Пользователе в случае, если Пользователь разрешил это в настройках браузера (включено сохранение файлов «cookie» и использование технологии JavaScript).

6. Порядок сбора, хранения, передачи и других видов обработки персональных данных

6.1 Оператор обеспечивает сохранность персональных данных и принимает все возможные меры, исключающие доступ к персональным данным неуполномоченных лиц.

6.2 Персональные данные Пользователя никогда, ни при каких условиях не будут переданы третьим лицам, за исключением случаев, связанных с исполнением действующего законодательства.

6.3. В случае выявления неточностей в персональных данных, Пользователь может актуализировать их, направив Оператору уведомление с помощью электронной почты на электронный адрес Оператора [email protected], либо на почтовый адрес Оператора УР, город Ижевск, Воткинское шоссе, 172/2, с пометкой «Актуализация персональных данных».

6.3 Срок обработки персональных данных является неограниченным. Пользователь может в любой момент отозвать свое согласие на обработку персональных данных, направив Оператору уведомление с помощью электронной почты на электронный адрес Оператора 655413pk. [email protected], либо на почтовый адрес Оператора 426039, УР, город Ижевск, Воткинское шоссе, 172/2, с пометкой «Отзыв согласия на обработку персональных данных».

7. Заключительные положения

7.1. Пользователь может получить любые разъяснения по интересующим вопросам, касающимся обработки его персональных данных, обратившись к Оператору с помощью электронной почты [email protected], либо на почтовый адрес Оператора УР, город Ижевск, Воткинское шоссе, 172/2.

7.2. В данном документе будут отражены любые изменения политики обработки персональных данных Оператором. В случае существенных изменений Пользователю может быть выслана информация на указанный им электронный адрес.

Галерея изображений

Шаблон соглашения об обработке данных GDPR

При соблюдении Общего регламента ЕС по защите данных (GDPR) вы должны убедиться, что вы передаете данные своих пользователей только тем компаниям, которые соответствуют требованиям GDPR. И вы по закону обязаны иметь договор с любым обработчиком данных , то есть со всеми, кто обрабатывает персональные данные от вашего имени.

Здесь на помощь приходит ваше Соглашение об обработке данных .

В этой статье вы узнаете, что вам нужно включить в это соглашение, чтобы убедиться, что оно соответствует требованиям GDPR.


  • 1. Что такое соглашение об обработке данных?
  • 2. Субъекты данных, контролеры данных и обработчики данных
  • 3. Кому необходимо соглашение об обработке данных?
  • 4. Соглашения об обработке данных для малых предприятий
  • 5. Часто задаваемые вопросы: Соглашение об обработке данных GDPR
  • 6. Обязательные пункты соглашения об обработке данных
  • 6.1. Информация об обработке данных
  • 6.2. Информация о персональных данных и субъектах данных
  • 6.3. Обязанности Контролера данных
  • 6.4. Обязанности обработчика данных
  • 6. 4.1. Письменные инструкции
  • 6.4.2. Конфиденциальность
  • 6.4.3. Безопасность
  • 6.4.4. Подпроцессоры
  • 6.4.5. Права на данные
  • 6.4.6. Оценка воздействия на защиту данных
  • 6.4.7. Уведомления об утечке данных
  • 6.4.8. Возврат или удаление персональных данных
  • 6.4.9. Аудиты
  • 7. Прочие пункты соглашения об обработке данных
  • 7.1. Определения
  • 7.2. Обязательный сотрудник по защите данных
  • 7.3. Международная передача данных
  • 7.4. Ведение документации
  • 8. Краткое изложение вашего соглашения об обработке данных

Что такое соглашение об обработке данных?

Соглашение об обработке данных (DPA), также известное как приложение к обработке данных, представляет собой договор между контролерами данных и обработчиками данных или обработчиками данных и подпроцессорами. Эти соглашения предназначены для обеспечения того, чтобы каждый участник партнерства действовал в соответствии с GDPR или другими применимыми законами о конфиденциальности для защиты интересов обеих сторон.

Например, если вы собираете личные данные пользователей на своем веб-сайте, а затем используете сторонний процессор для обработки некоторых аспектов вашей бизнес-стратегии, вы хотели бы знать, что этот процессор данных работает в соответствии с GDPR и делает то, что они должны делать с важными данными ваших пользователей.

Если ваш обработчик данных нарушает требования, неправильно обрабатывает данные или становится жертвой утечки данных, соглашение об обработке данных может защитить вас юридически, доказывая, что вы проявили должную осмотрительность, чтобы убедиться, что компания, с которой вы сотрудничаете, соблюдает надлежащие процедуры.

Без такого контракта на вас может пасть ответственность и вина за использование третьей стороны без надлежащих политик и процедур. Это также может повлиять на ваших пользователей, которые доверили вам свою личную информацию.

Соглашение об обработке данных не является соглашением о политике конфиденциальности.

Вот знакомство с DPA Basecamp:

Контроллеры данных должны иметь DPA со всеми используемыми ими процессорами данных. Обработчики данных также должны иметь соглашение об обработке данных с любыми вспомогательными обработчиками, которые они используют .

По сути, если вы передаете личные данные, которые вам доверили, другой компании, необходимо составить договор, чтобы гарантировать, что все обрабатывают эти данные должным образом.

Субъекты данных, контролеры данных и обработчики данных

Как уже отмечалось, Соглашение об обработке данных представляет собой контракт между контроллером данных и обработчиком данных , в котором рассказывается, как обращаться с личными данными субъектов данных. Эти термины определены в статье 4 GDPR:

  • Субъектами данных являются физические лица. У них есть « персональных данных » — информация, которая может быть использована для их идентификации. Это варьируется от очевидной информации, такой как их имена и адреса, до более неясной информации, такой как их IP-адреса или данные интернет-браузера.
  • Контролер данных — это любое лицо или организация, которая « определяет цели и средства обработки персональных данных. «Он решает, почему и как обрабатываются личные данные субъектов данных». Обработка «персональные данные могут означать самые разные вещи — их сбор, хранение, обмен ими.
  • Обработчик данных — это любое лицо или организация, которая » обрабатывает персональные данные от имени контроллера [данные] . » Они не имеют прямого отношения к субъектам данных.

Физическое лицо может быть субъектом данных, контролером данных и обработчик данных — в зависимости от их отношения к набору персональных данных. Компания, которая действует в основном как обработчик данных, также часто будет в некоторых отношениях контролером данных.

Давайте рассмотрим это в контексте. Представьте себя, физическое лицо ( субъект данных ), совершающее покупки в интернет-магазине.

Интернет-магазин запрашивает данные вашей кредитной карты, чтобы принять платеж. Хранилищем является контроллер данных . Это решает цель (продать вам продукт) и означает (получение данных вашей кредитной карты) обработки ваших персональных данных.

Вы предоставляете данные своей кредитной карты через платежную систему, такую ​​как PayPal. Здесь PayPal является обработчиком данных . Он обрабатывает платеж от имени контроллера данных — интернет-магазина.

Некоторые другие примеры обработчиков данных включают компании, которые предлагают услуги в следующих областях:

  • Счета
  • Расчет заработной платы
  • Электронный маркетинг
  • Базы данных
  • Исследование рынка

Кому необходимо соглашение об обработке данных?

Контроллеры данных должны иметь соглашение об обработке данных с любыми обработчиками данных, которые они используют. Соглашение может быть написано контролером или процессором. Однако он является обязательным для обеих сторон.

GDPR вводит новых обязательства для обработчиков данных. Как заявляет Европейская комиссия, обработчики данных не могут «прятаться за» своими контролерами данных. Но основная обязанность по обеспечению безопасности персональных данных ложится на контролера данных.

Декларация 74 гласит, что контроллер данных несет ответственность за любую обработку данных, осуществляемую от его имени. Таким образом, в интересах контроллера данных обеспечить, чтобы эта обработка выполнялась безопасным и законным способом.

В соответствии со статьей 28 обработчику данных разрешается обрабатывать персональные данные только « на основании документированных указаний от контролера » (если иное не требуется по закону). Обработчик данных может также нанять « подпроцессора » для выполнения обработки данных на от своего имени , но только с письменного разрешения своего контроллера данных. Обработчик несет ответственность перед контроллером данных за действия этих подпроцессоров.

Соглашение об обработке данных является способом выполнения требований, предъявляемых как к контроллерам данных, так и к обработчикам .

Без соглашения об обработке данных или другого письменного договора незаконно использование контролером данных услуг обработчика данных или обработка персональных данных от имени контролера данных.

Соглашения об обработке данных для малых предприятий

Несмотря на то, что малому бизнесу может не понадобиться столько или столько соглашений об обработке данных, они все равно должны иметь их, если они используют сторонние службы или процессоры данных, которым они передают личную информацию их пользователей.

Соглашения об обработке данных предназначены для защиты как вашей компании, так и ее пользователей от неправильного обращения с личными данными, которое может привести к убыткам или судебным искам. Соглашение об обработке данных необходимо как для малого бизнеса, так и для крупного .

Малые предприятия часто используют третьих лиц или обработчиков данных для помощи в областях, которые крупные компании могли бы выполнять внутри, таких как обработка платежей и обслуживание клиентов.

Если, например, вы запускаете небольшой веб-сайт и используете стороннюю службу для обработки онлайн-платежей, вам необходимо заключить контракт, чтобы гарантировать, что ваш платежный процессор обрабатывает платежные данные резидентов ЕС в соответствие GDPR.

Если ваша компания соответствует требованиям GDPR, все используемые вами процессоры данных должны соответствовать требованиям, включая наличие соответствующего соглашения об обработке данных.

Вот список часто задаваемых вопросов, которые могут оказаться полезными.

Контроллеры данных должны иметь соглашение об обработке данных (DPA) GDPR, когда они используют процессоры данных.

Это связано с тем, что контролеры данных будут делиться защищенной законом личной информацией с обработчиками данных в ходе этих отношений, и DPA поможет гарантировать, что обработчик данных согласен обрабатывать данные надлежащим образом.

GDPR требует, чтобы следующая информация была включена в ваше соглашение об обработке данных:

  • Какая информация будет обрабатываться
  • Как долго эта информация будет обрабатываться
  • Почему информация обрабатывается/с какой целью
  • Права и обязанности контроллера данных
  • Заявление о том, что обработчик данных должен действовать только в соответствии с письменными инструкциями контроллера данных
  • Заявление о том, что обработка данных осуществляется конфиденциально
  • Заявление о том, что на каждом этапе обработки данных принимаются надлежащие меры безопасности
  • Ограничение, согласно которому подпроцессоры могут использоваться только с ведома и согласия контроллера данных
  • Примечание о том, что контроллеры и обработчики данных должны работать вместе для разрешения запросов субъекта на доступ
  • Заявление о том, что контролеры и обработчики данных должны работать вместе для защиты прав и конфиденциальности субъектов данных
  • Требование, согласно которому обработчики данных должны информировать контролеров данных об утечке данных
  • Требование о том, что обработчики данных должны помогать контролерам данных в оценке воздействия на защиту данных, где это применимо
  • Требование, чтобы обработчики данных удаляли или возвращали личную информацию от контроллера данных после завершения контракта
  • Примечание о том, что как контролеры, так и обработчики данных должны быть готовы к проверкам или проверкам и помогать друг другу, если это необходимо, для подтверждения соблюдения законодательства
  • Обратите внимание, что как обработчики данных, так и контролеры должны следить за любыми действиями, нарушающими GDPR, и должны уведомлять друг друга, чтобы можно было внести исправления
  • У обработчика данных должен быть сотрудник по защите данных, назначенный в соответствии с требованиями GDPR
  • .
  • Обработчик данных должен вести учет деятельности по обработке

Убедитесь, что обе стороны (вы и обработчик данных) действительно подписали соглашение , чтобы оно имело законную силу.


Обязательные пункты соглашения об обработке данных

Существуют определенные пункты , обязательные в для каждого Соглашения об обработке данных. Мы рассмотрим некоторые примеры таких положений в действующих соглашениях об обработке данных.

Имейте в виду, что многие из них написаны крупными процессорами данных, чьи клиенты или заказчики являются контроллерами данных. Это не имеет значения. Хотя формулировка может варьироваться, эти пункты являются обязательными в любом соглашении об обработке данных, независимо от того, написано ли оно контролером данных или обработчиком данных.

Информация об обработке данных

В соглашении об обработке данных должно быть четко указано, что на самом деле будет делать обработчик данных. Например, должны быть указаны следующие аспекты обработки данных:

  • Предмет
  • Продолжительность
  • Природа
  • Назначение

Многие соглашения об обработке данных включают эту информацию в виде списка или приложения в конце соглашения.

Вот пример от DotDigital:

Срок действия соглашения иногда называют его «сроком действия». Это обычно не дается в месяцах или годах. Вместо этого в нем оговариваются условия, на которых соглашение будет расторгнуто. Обычно в договоре есть такой пункт. В соглашении об обработке данных требуется, чтобы обработчики данных не могли обрабатывать персональные данные бесконечно.

Вот соответствующая часть DPA DotDigital:

А вот еще один пример из Bitrix:

Вот часть Соглашения об обработке данных от Voluum DSP, в которой изложены характер и 3 цели он будет выполнять от имени контроллеров данных:

Информация о персональных данных и субъектах данных

Соглашение об обработке данных должно включать подробную информацию о категориях персональные данные и категории субъектов данных .

Вот пример из Virtual College, который показывает как категории субъектов данных, так и типы персональных данных, с которыми они имеют дело: обязанности контроллера данных также должны быть четко определены.

Вот выдержка из этого раздела соглашения Huble Digital, который охватывает обязательства:

«Экспортер данных» означает «контролер данных» в данном конкретном соглашении.

Обратите внимание, что обязательства совсем не конкретны. Этот пункт работает скорее как общее заявление, которое обязывает контроллера данных следовать соглашению и соблюдать законы.

Обязательства обработчика данных

Большинство обязательных условий, требуемых в соглашении об обработке данных, являются обязательствами обработчика данных . Они изложены в главе 4 GDPR, особенно важной является статья 28.

Письменные инструкции

Обработчик должен обрабатывать персональные данные » только в соответствии с документированными инструкциями от контролера. » Это является причиной для самого Соглашения об обработке данных , но это также должно быть явно указано в соглашении .

Вот пример из соглашения Questback:

«Клиент» означает «контролер данных» в этом соглашении, поскольку Questback является процессором для других компаний, а эти другие компании являются клиентами Questback и контроллерами данных в отношениях.

Конфиденциальность

Обработчик должен убедиться, что « лица, уполномоченные обрабатывать персональные данные, взяли на себя обязательство соблюдать конфиденциальность . » Обратите внимание, что это , а не то же самое, что и соглашение о неразглашении. Это в первую очередь предназначено для защиты интересов субъектов данных, а не обработчика данных или контроллера.

Вот пример такого пункта от SuperOffice:

«MSA» здесь является аббревиатурой от Основного соглашения о подписке — основных положений и условий SuperOffice.

Безопасность

Обработчик должен явно согласиться соблюдать обязательства, изложенные в статье 32 GDPR. Эта часть GDPR касается безопасности обработки данных. Это требует, чтобы как обработчики данных, так и контролеры данных встроили определенные меры безопасности в свою деятельность по обработке данных.

Различные соглашения об обработке данных подходят к этому с разным уровнем детализации.

Например, вот лишь небольшая часть этого раздела из соглашения TimeTac:

Вот как Voluum DSP решает эту тему, а также предотвращает утечку данных:

Вот как Битрикс решает процедуры безопасности для подпроцессоров, а именно: без предварительного специального или общего письменного разрешения контролера.

Обратите внимание, что наем подпроцессоров разрешается по общему письменному соглашению с контроллером данных. В Соглашении об обработке данных может быть изложено такое письменное соглашение.

Вот пример из SuperOffice:

В этом пункте есть несколько замечаний:

  • Соглашение дает обработчику данных разрешение нанимать подпроцессоров.
  • Существует ряд сдержек и противовесов , чтобы гарантировать, что контролер сохраняет контроль над этими субдоговорными соглашениями.
  • В соглашении указано, что подпроцессоры связаны теми же условиями , что и главный процессор.
  • Имеется список предварительно одобренных подпроцессоров.
Права на данные

Обработчик данных должен согласиться помочь контроллеру данных в реализации прав субъекта данных. Их восемь, изложенных в главе 3 GDPR.

Контролер данных должен способствовать реализации своих прав субъектов данных , но для этого ему может потребоваться помощь обработчика данных. Это связано с тем, что некоторые из этих прав связаны с доступ или удаление персональных данных, которые могут находиться в распоряжении обработчика данных, или ограничение или прекращение обработки, которая может выполняться обработчиком данных.

Вот пример этого пункта от Float:

Соглашение об обработке данных также предоставляет возможность указать период времени, в течение которого обработчик данных должен выполнить такой запрос.

Оценка воздействия на защиту данных

Контролер данных должен провести оценку воздействия на защиту данных, прежде чем приступать к любому новому проекту обработки данных с высоким риском. Обработчик обязан помочь в этом, если требуется.

Вот пример от Semrush:

Уведомления об утечке данных

Контроллер данных должен сообщать о любых серьезных нарушениях личных данных в свой орган по защите данных. Здесь также играет роль процессор данных. Он должен » уведомить диспетчера без неоправданной задержки после того, как ему стало известно о 0003 нарушение персональных данных . »

Вот что Debenhams требует от своих обработчиков данных в случае утечки данных:

Обратите внимание, что 72-часовой срок, указанный здесь, может немного сократить его. Контролер обязан сообщить об утечке свой орган по защите данных в течение 72 часов.Получение уведомления от обработчика данных в конце этого периода может привести к тому, что он пропустит этот срок

Возврат или удаление персональных данных

В соответствии с пунктом 81, « после завершения обработки от имени контроллера процессор должен, по выбору контроллера, вернуть или удалить персональные данные . »

Вот как соглашение HubSpot соответствует это:

Аудиты

Обработчик данных должен разрешить контроллеру данных проводить аудита . Это может быть проведено другой организацией от имени контроллера данных. Соглашение об обработке данных должно разрешать это, но оно также может устанавливать основания, на которых это может происходить.

Вот пример из Virtual College, записывающий как обработчик данных. Он дает контролеру данных разрешение на проведение аудита, но также устанавливает условия этого соглашения:


Здесь вы можете установить свои собственные условия, если вы разрешаете аудит.

Другие пункты соглашения об обработке данных

В дополнение к обязательным пунктам, которые требует GDPR, вы также можете включить другие условия.

Помните, что Соглашение об обработке данных — это договор, который регулирует порядок ведения бизнеса контроллером и обработчиком данных.

Определения

Как и в случае с любым договором, рекомендуется изложить определения ключевых терминов в начале вашего Соглашения об обработке данных. Цель состоит в том, чтобы свести к минимуму количество договорных серых зон в случае возникновения спора.

Некоторые термины, которые вы захотите определить, включают:

  • Контроллер данных
  • Процессор данных
  • Субъект данных
  • Подпроцессор
  • Персональные данные
  • Обработка
  • Закон о защите данных

Вот выдержка из раздела определений Соглашения об обработке данных встроенного руководства:

Если у вас есть какие-либо проприетарные термины или слова, которые вы используете непонятно для всех, дайте им определения, чтобы не было недопонимания. или проблемы с условиями.

Обязательный сотрудник по защите данных

В соответствии со статьей 37 некоторые организации должны назначить сотрудника по защите данных. Некоторые соглашения об обработке данных требуют, чтобы обработчик данных делал это.

Было бы неплохо включить этот пункт в ваше Соглашение о защите данных, если, например, вы просите обработчика данных обработать большие объемы данных особой категории.

Вот соответствующий раздел Соглашения об обработке данных Caci:

Международная передача данных

GDPR имеет ряд строгих правил в отношении передачи персональных данных за пределы ЕС. Но это разрешено и часто происходит между контроллерами данных и их обработчиками данных или между обработчиками данных и их подпроцессорами.

Международная передача данных может осуществляться при определенных условиях, в том числе, если третья страна получила от Европейской комиссии решение об адекватности.

Вот как Caci управляет зарубежными переводами, делая так, чтобы обработчик не мог делать это без предварительного письменного согласия контроллера данных: свою деятельность. Согласие с этим требованием подразумевается в некоторых пунктах, которые мы рассмотрели выше. Но многие соглашения об обработке данных также включают это как явное требование к обработчику данных вместе с условиями, на которых такие записи должны быть переданы.

Вот пример из Voluum DSP:

Как и в случае любого контракта, целесообразно установить юрисдикцию, в которой будут разрешаться споры по соглашению («, регулирующий закон »). Хотя GDPR применяется во всех странах ЕС (с некоторыми незначительными вариациями), законы, регулирующие контракты, могут сильно различаться в странах, где находятся контролер и обработчик данных.

Вот пример из Соглашения об обработке данных Planday:

Краткое изложение вашего Соглашения об обработке данных

Везде, где обработка данных выполняется обработчиком данных, важно иметь четкое Соглашение об обработке данных. Это не только юридическое требование , но также позволит вам установить условия, на которых вы ведете бизнес, и уменьшит возможность юридических споров.

Ваше соглашение об обработке данных должно включать:

  • Сведения о предмете, продолжительности, характере и цели обработка
  • Подробная информация о категориях персональных данных и субъектов данных
  • Обязанности контроллера данных
  • Обязанности обработчика данных , в том числе:
    • Только действовать в соответствии с письменными инструкциями контроллера данных
    • Для обеспечения конфиденциальности персональных данных
    • В соответствии с требованиями безопасности GDPR
    • Чтобы помочь контролеру данных в содействии правам субъекта данных
    • Для оказания помощи контролеру данных в проведении Оценки воздействия на защиту данных при необходимости
    • Для информирования контроллера данных об обнаружении утечки персональных данных
    • На номер вернуть оператору данных или удалить любые личные данные при расторжении договора
    • Разрешить контроллеру данных проводить аудит
  • Любые другие применимые или необязательные положения, включая:
    • Определения основных терминов
    • Требование к обработчику данных назначить сотрудника по защите данных
    • Условия международной передачи данных
    • Явное требование к обработчику данных вести обработку записей
    • Применимое законодательство по которому будут решаться споры

Полное руководство по соглашениям об обработке данных

  • Защита данных

7 июля 2022 г. данные от имени других компаний. Читайте все о DPA здесь.

Соглашение об обработке данных (DPA) — это договор между компанией, которой требуются персональные данные для обработки, и компанией, которая обрабатывает данные от имени других компаний.

Каждый раз, когда компания обрабатывает персональные данные от имени другой компании, данные необходимы для того, чтобы сделать обработку законной. Без согласия сама обработка является нарушением применимых законов о защите данных.

Кто должен подписывать соглашение об обработке данных?

DPA должен быть подписан контроллером данных и обработчиком данных. GDPR, а также многие другие законы о защите данных во всем мире требуют, чтобы контролер предоставил обработчику письменные инструкции по обработке. Эти инструкции обычно приходят в форме DPA.

Контроллеру данных требуется DPA, поскольку он должен предоставить процессору такие инструкции. Без них обработка нарушает законы.

Обработчику данных требуется DPA, поскольку он не должен обрабатывать персональные данные без письменных инструкций.

В результате, в отсутствие письменного DPA между ними, обе стороны будут нести ответственность за нарушения.

Какие законы о защите данных требуют соглашения об обработке данных?

DPA были популяризированы GDPR, но теперь практически каждый закон о защите данных в мире требует их в той или иной форме. Везде, где закон требует письменных инструкций по обработке данных, контролер и обработчик требуют DPA.

DPAs are required by the following data protection laws:

  • EU GDPR
  • Brazil LGPD
  • California CCPA/CPRA
  • Virginia CDPA
  • Colorado CPA
  • Connecticut DPA
  • Dubai PDPA
  • Thailand PDPA
  • South Африка ПОПИЯ и многие другие.

Что должны включать соглашения об обработке данных?

Каждый закон о защите данных определяет основные компоненты DPA. В нем может быть больше информации и положений, чем минимум, но не меньше.

То, что должно быть указано в вашем DPA, определяется законами, применимыми к вашему бизнесу. Большинство частей пересекаются между законами, но вы должны обязательно включить все необходимое для каждого отдельного пользователя, чьи персональные данные вы будете обрабатывать с помощью процессора.

Если ваша компания обрабатывает персональные данные от имени других предприятий, наиболее безопасным способом будет включение всех аспектов, включенных в различные законы о конфиденциальности данных. Тогда вы будете готовы к любой ситуации.

В DPA можно найти следующие элементы DPA:

  • Цель и категории обрабатываемых данных
  • Продолжительность обработки
  • Категории субъектов данных
  • Права и обязанности контроллера данных
  • Что обработчик данных будет обрабатывать данные только по письменному указанию, то есть DPA
  • Меры безопасности для обработки
  • Положения о подпроцессорах, если таковые имеются
  • Что обработчик данных поможет контроллеру данных соблюдать закон, при необходимости
  • Обработчик данных предоставит контролеру данных всю информацию, необходимую для соблюдения, включая отчеты об аудите и проверках.

Как выполнить соглашение об обработке данных?

В большинстве случаев принятие Положений и условий на веб-сайте стороннего инструмента, который вы будете использовать для обработки данных, означает подписание с ним договора. Эта сделка включает обработку данных.

Для компаний, работающих в Интернете, существует два способа подписать DPA:

  • В рамках Правил и условий (приложение к ним). Если DPA прилагается к Условиям, когда контролер подписывается на средство обработки, он одновременно подписывает DPA и предоставляет обработчику необходимые письменные инструкции для обработки персональных данных.
  • В качестве отдельного договора. Контролер и обработчик могут отделить DPA от основного договора и подписать его отдельно. По сути, без разницы.

Пять проблем, с которыми сталкиваются DPO GDPR, и способы их решения Несмотря на то, что они не юристы, ожидается, что они знают GDPR вдоль и поперек. Хотя им может не хватать технических знаний, этим людям часто поручают давать советы о том, как организациям следует использовать передовые меры безопасности для защиты конфиденциальных данных.

Другими словами, это не простая задача.

  • Защита данных

Три бесплатных шаблона DPIA и способы их использования 

В этой статье вы найдете три шаблона DPIA: один из Великобритании, один из французского DPA и один из IAPP, Международной ассоциации профессионалов в области конфиденциальности. Благодаря их опыту мы можем положиться на предоставленные ими шаблоны.

  • Защита данных

Что такое платформа управления согласием?

Платформа управления согласием (CMP) — это программный инструмент, который позволяет веб-сайтам легко соблюдать правила использования файлов cookie. Прежде чем пользователь даст согласие, ваш веб-сайт должен заблокировать файлы cookie. В этой статье мы обсудим, как веб-сайты могут использовать CMP для отслеживания запрашиваемого согласия.

  • Защита данных

Подпишитесь на нашу рассылку новостей
и получайте последние новости о конфиденциальности данных

Неправильный адрес электронной почты

Зачем они нужны (2022)

Соглашения об обработке данных имеют решающее значение для ведения законного бизнеса в цифровом зашифрованном мире. Принятый в Европейском Союзе в 2016 году Общий регламент по защите данных (GDPR) задает новый тон, когда речь идет о защите данных и конфиденциальности потребителей во всем мире. Эти законы продолжают распространяться по всему миру, поскольку другие страны и штаты принимают отдельные законы и требования.

Вам нужны соглашения об обработке данных для потребителей, если вы:

  • Иметь веб-сайт
  • Собирать данные о клиентах
  • Занимайтесь продажами в Интернете

Как видите, эти правила действуют в подавляющем большинстве стран мира. Узнайте все, что вам нужно знать о соглашениях об обработке данных, продолжив статью ниже.

Что такое соглашение об обработке данных?

Соглашение об обработке данных, также называемое DPA, представляет собой юридический договор между контроллером данных и обработчиком данных. Они регулируют использование данных о потребителях компаниями, в частности то, как они обрабатываются. По сути, обработчик данных обещает использовать персональные данные (PII) в соответствии с условиями, изложенными в соглашении об обработке данных.

Если ваш веб-сайт собирает данные от людей, проживающих в местах, где действуют эти правила, то соглашения об обработке вашего веб-сайта и методы обработки данных должны им соответствовать.

Общие типы веб-сайтов компаний, которые должны иметь соглашения об обработке данных, включают:

  • Интернет-магазины
  • Интернет-маркетологи
  • Филиалы
  • Поставщики онлайн-услуг
  • Фирмы профессиональных услуг
  • B2B компании
  • Финансовые институты
  • Технологические фирмы
  • Медицинские провайдеры

Если вы управляете крупной компанией, вам потребуется нанять сотрудника по защите данных (DPO), который будет контролировать и обеспечивать соблюдение ваших политик конфиденциальности данных и соглашений об обработке данных. Интернет изобилует возможностью раскрыть данные вашего клиента, что может привести к юридическим проблемам вашей компании с местными властями.

Избегайте этой ошибки, написав для своей компании персонализированное соглашение об обработке данных, предусмотрев при этом соответствующие меры безопасности для контроля за его соблюдением.

Вот статья об офицерах по защите данных (DPO).

Ключевые условия соглашения об обработке данных

Соглашения об обработке данных, как и все контракты, содержат ключевые условия и положения, которые помогают обеим сторонам понять свои права и обязанности. В случае соглашения об обработке данных потребитель или орган управления данными должны согласиться с условиями компании или обработчика данных, чтобы использовать их веб-сайт или приложение.

Ключевые условия соглашения об обработке данных включают:

  • Тема
  • Продолжительность
  • Цель
  • Используемые данные
  • Категории данных
  • Права и обязательства
  • Права в случае утечки данных

Эти права и обязанности могут различаться в зависимости от штата, отрасли, страны и типа компании. Когда в договоре задействовано множество переменных, важно проконсультироваться с юристы по конфиденциальности чтобы помочь гарантировать, что они являются объективно-ориентированными, совместимыми и осуществимыми. В противном случае вы можете оказаться подверженными фидуциарным обязательствам в будущем.

Зачем вам нужно соглашение об обработке данных

Вашей компании необходимо соглашение об обработке данных, чтобы соблюдать соответствующие законы юрисдикции. Если у вас нет этих соглашений и вы используете данные потребителей, вы можете столкнуться со значительными штрафами. В то время как законодательство готовится медленно, в нескольких заметных местах вводятся строгие меры.

DPA и GDPR

Общее положение о защите данных (GDPR) краткое изложение того, как компании должны обрабатывать, хранить и использовать данные о клиентах. Эти правила содержатся в статье 28 текста GDPR, принятого Европейским союзом (ЕС).

Округа в ЕС включают:

  • Австрия
  • Бельгия
  • Болгария
  • Хорватия
  • Республика Кипр
  • Чешская Республика
  • Дания
  • Эстония
  • Финляндия
  • Франция
  • Германия
  • Греция
  • Венгрия
  • Ирландия
  • Италия
  • Латвия
  • Литва
  • Люксембург
  • Мальта
  • Нидерланды
  • Польша
  • Португалия
  • Румыния
  • Словакия
  • Словения
  • Испания
  • Швеция

Независимо от того, где находится ваша целевая аудитория в ЕС, DPA являются важным компонентом веб-сайта во многих типах бизнеса и отраслях. Контроллеры данных также имеют особые меры правовой защиты.

Убедитесь, что ваше соглашение об обработке данных касается следующих прав:

  • Право на отказ
  • Право на получение информации
  • Право на раскрытие
  • Право на удаление
  • Право на равные услуги и цены

Законодатели уполномочили органы по защите данных налагать штрафы в размере до 20 миллионов евро или 4 процента от мирового оборота в год, в зависимости от того, что больше, за нарушения GDPR. Работайте с командой профессионалов в области права и технологий, чтобы помочь вам создать соглашение и процесс, который поможет вам достичь целей вашей компании, сохраняя при этом соответствие требованиям ЕС.

Познакомьтесь с юристами на нашей платформе

Джон П.

7 проектов на СС

Просмотр профиля

Скотт С.

13 проектов на СС

Просмотр профиля

Макс М.

105 проектов на CC

Просмотр профиля

Мэтью С.

8 проектов на СС

Просмотр профиля

DPA и CCPA

С другой стороны, Закон штата Калифорния о конфиденциальности потребителей (CCPA) — это директива штата об электронной конфиденциальности, в которой описывается, как компании могут использовать данные потребителей, включая отслеживание браузеров и требования к шифрованию данных. Эти правила применяются к основным и сторонним поставщикам услуг и розничным продавцам.

Соглашения об обработке данных и малый бизнес

Владельцы малого бизнеса растягивают свои бюджеты и могут задаться вопросом, действительно ли необходимы соглашения об обработке данных. Как правило, они не освобождаются от соблюдения требований соглашения об обработке данных. Однако в некоторых географических регионах могут действовать менее жесткие правила.

Другие причины не использовать соглашения об обработке данных

Вам также не нужно иметь соглашение об обработке данных, если ваш целевой рынок не находится в месте с такими требованиями. Всегда консультируйтесь с интернет-юристами в вашем штате, чтобы определить, нужно ли вашему малому бизнесу использовать соглашения об обработке данных.

Почему вы должны начать рано

Скорее всего, мы увидим, как в Соединенных Штатах и ​​во всем мире будет появляться постоянное законодательство. Возможно, было бы неплохо сразу перейти к практике, соблюдая правила этики обработки данных. Ваши первопроходцы и технически подкованные клиенты обязательно обратят внимание на ваши невероятные усилия.

Соглашения об обработке данных и политика конфиденциальности

Существуют значительные различия между соглашениями об обработке данных и политика конфиденциальности . В соглашениях об обработке данных описывается, как вы обрабатываете данные клиента, чтобы предотвратить технологическую небезопасность, а политика конфиденциальности позволяет клиентам узнать, что вы делаете с их данными в целом.

Пример соглашений об обработке данных в сравнении с Политикой конфиденциальности

Например, в соглашении об обработке данных вы можете сообщить, что третья сторона, такая как Google, будет обрабатывать ваши данные при сборе адресов электронной почты для информационных бюллетеней. Вам не обязательно раскрывать эту конкретную информацию в своей политике конфиденциальности.

Изображение через Pexels Сумил Кумар

Составление соглашения об обработке данных

Очень важно, чтобы вы написали соглашение об обработке данных, которое служит поставленным целям. Однако написанные вами положения и условия также должны соответствовать местным, государственным, федеральным, национальным и отраслевым требованиям в зависимости от вашего бизнеса. Используйте методический подход, чтобы убедиться, что вы получите желаемый результат.

Подпишитесь на эти шаги при написании соглашения об обработке данных:

  • Шаг 1. Определите, какие данные о клиентах необходимы
  • Шаг 2. Определите, как долго вам нужно хранить/обрабатывать данные
  • Шаг 3. Запишите своими словами, как вы планируете использовать данные
  • Шаг 4. Окончательно согласовать эту информацию с ключевыми заинтересованными сторонами компании.
  • Шаг 5. Запланируйте первоначальную встречу с юристом по вопросам конфиденциальности
  • Шаг 6. Работайте с нанятым вами юристом, чтобы доработать политику

Наиболее практичный бизнес-подход для написания соглашения об обработке данных — это поговорить с юристы по технологиям . У них есть юридический опыт и цифровые знания, которые вам нужны при составлении соглашений об обработке данных. Ваш адвокат также может помочь вам составить другие документы соглашения об обработке данных, включая политику конфиденциальности, соглашение об условиях использования, соглашение об условиях обслуживания (ToS) и политика допустимого использования .

Получить помощь с DPA

Онлайн-соглашения, такие как соглашения об обработке данных, лучше оставить экспертам, которые понимают, как работают браузеры, программное обеспечение и онлайн-маркетинг, а также знакомы с глобальными законами о конфиденциальности данных. Опубликовать проект на торговой площадке ContractsCounsel, чтобы получить предложения от проверенных юристов по технологиям, которые могут помочь.

Соглашение об обработке данных | StructionSite

Настоящее Соглашение об обработке данных StructionSite («DPA») является частью и регулируется положениями Условий использования StructionSite, Inc. («Соглашение»). Термины, написанные с заглавной буквы, которые не определены в настоящем Соглашении, имеют значения, указанные в Соглашении.

Пожалуйста, отправьте запросы, касающиеся этого DPA, или если вам требуется подписанный DPA, связавшись с нами по адресу [email protected].

Определения

Следующие определения относятся исключительно к настоящему Соглашению об обработке данных:

  • Термины «контроллер данных», «субъект данных», «персональные данные», «процесс», «обработка», «обработчик» и «обработчик данных» имеют значения, указанные для этих терминов в Законе ЕС о защите данных.
  • «Закон ЕС о защите данных» означает любой закон о защите данных или конфиденциальности данных или нормативный акт Швейцарии или любой страны Европейской экономической зоны («ЕЭЗ»), применимый к Данным клиента, включая, если применимо, GDPR и Директиву об электронной конфиденциальности 2002 г. /58/ЕС.
  • «GDPR» означает Общий регламент ЕС по защите данных 2016/679..
  • «Субобработчик» означает лицо, нанятое нами для обработки Данных клиента.
  • «Данные клиента» означает персональные данные (в соответствии с определением Закона ЕС о защите данных), которые собираются или загружаются на Платформу и обрабатываются в вашей Учетной записи.
  • «Инцидент безопасности» означает нарушение безопасности Платформы или наших систем, используемых для обработки Данных клиента, что приводит к случайному или незаконному уничтожению, потере, изменению, несанкционированному раскрытию или доступу к Данным клиента, переданным, сохраненным или иным образом обработанным нас в контексте этого DPA.
  • «Ваша учетная запись» означает вашу защищенную паролем учетную запись для использования Услуг и для выставления счетов в связи с таким использованием. Ваша Учетная запись может быть пробной или платной подпиской на Услуги.
  • «Персонал» означает любое физическое или юридическое лицо, нанятое нами или нанятое нами по контракту (включая, помимо прочего, сотрудников, стажеров, контрактных сотрудников, консультантов и волонтеров).

Применимость

Настоящее DPA применимо к вам только в том случае, если вы или лица, чьи личные данные вы используете для обработки с помощью Сервисов (включая ваших сотрудников, если применимо), находятся в ЕЭЗ или Швейцарии и применяются только в отношении личных данных (как определяется Законом ЕС о защите данных). Вы соглашаетесь с тем, что мы не несем ответственности за персональные данные, которые вы выбрали для обработки с помощью сторонних сервисов или за пределами Сервисов, включая системы любых других сторонних облачных сервисов, автономные или локальные хранилища.

Детали обработки данных

  • Предмет. Предметом обработки данных в соответствии с настоящим DPA являются персональные данные, как они определены в Законе ЕС о защите данных, используемые при выполнении Услуг в соответствии с Соглашением.
  • Продолжительность обработки данных в соответствии с настоящим DPA соответствует сроку действия отношений между вами и нами, которые определяются использованием вами Услуг.
  • Целью обработки данных в соответствии с настоящим DPA является предоставление Услуг, инициированных вами («Цель»).
  • Характер обработки. Предоставление Услуг, включая вычисления, хранение и такие другие Услуги по вашему указанию.
  • Тип персональных данных. Данные клиента, относящиеся к вашему Персоналу или другим лицам, чьи персональные данные обрабатываются в рамках Услуг в соответствии с предоставленными вами инструкциями.
  • Категории субъектов данных. Ваш персонал и любые другие лица, чьи личные данные вы используете в Сервисах для обработки в соответствии с Законом ЕС о защите данных.

Роли обработки

Этот DPA применяется, когда мы обрабатываем Данные клиента. В этом контексте мы будем выступать в качестве «обработчика данных» для Клиента, который может выступать в качестве «контроллера данных» в отношении Данных клиента (согласно определению Закона ЕС о защите данных).

Описание действий по обработке данных

Мы будем обрабатывать Данные клиента с целью предоставления вам Услуг, которые могут использоваться, настраиваться или изменяться из вашей Учетной записи. Например, в зависимости от того, как вы используете Услуги, мы можем обрабатывать ваши Данные клиента, чтобы: (а) собирать, упорядочивать, сообщать или анализировать данные от ваших пользователей с помощью форм и приложений на базе Компании (б) отправлять сообщения вашим пользователям по электронной почте на вашем от вашего имени по вашему указанию или (c) аутентифицировать ваших авторизованных пользователей, чтобы они могли получить доступ к данным, которые вы контролируете. В соответствии с тем, как вы пользуетесь Услугами, мы можем осуществлять другие действия по обработке данных.

Мы будем обрабатывать ваши Данные клиента для Цели и в соответствии с Соглашением или инструкциями, которые вы даете нам через свою Учетную запись. Вы соглашаетесь с тем, что Соглашение и инструкции, данные через Вашу Учетную запись, являются вашими полными и окончательными инструкциями для нас в отношении ваших Данных клиента. Дополнительные инструкции, выходящие за рамки настоящего DPA, требуют предварительного письменного соглашения между вами и нами и могут включать соглашение о любых дополнительных сборах, которые вы должны уплатить нам за выполнение таких инструкций.

Соблюдение законов

Вы гарантируете, что ваши инструкции соответствуют всем законам, применимым в отношении ваших данных клиента, и что ваши данные клиента собираются вами или от вашего имени на законных основаниях и предоставляются нам вами в соответствии с таким законом. Вы также гарантируете, что обработка ваших Данных клиента в соответствии с вашими инструкциями не приведет и не приведет к нарушению нами или вами какого-либо Закона (включая Закон ЕС о защите данных). Вы несете ответственность за просмотр имеющейся у нас информации, касающейся безопасности данных в соответствии с Соглашением, и принятие независимого решения относительно того, соответствуют ли Услуги вашим требованиям и юридическим обязательствам, а также вашим обязательствам по настоящему DPA. Мы не будем получать доступ к вашим Данным клиента или использовать их, за исключением случаев, предусмотренных в Соглашении, необходимых для обслуживания или предоставления Услуг или необходимых для соблюдения Закона.

Вы несете ответственность за любую ответственность или расходы, возникающие в результате нашего соблюдения ваших инструкций или запросов в соответствии с Соглашением, которые выходят за рамки стандартных функций, доступных через Услуги.

Уведомление об инциденте безопасности

Мы направим вам уведомление без неоправданной задержки: (a) после того, как станет известно и подтвердится возникновение инцидента безопасности, уведомление о котором требуется в соответствии с применимыми законами ЕС о защите данных; (b) принять разумные меры для смягчения последствий и сведения к минимуму любого ущерба в результате Инцидента, связанного с безопасностью. Уведомление об инцидентах безопасности будет доставлено одному или нескольким администраторам вашей учетной записи любым способом, который мы выберем, в том числе по электронной почте. Мы предоставим вам такую ​​информацию об Инциденте, связанном с безопасностью, которую мы в разумных пределах можем раскрыть вам, принимая во внимание характер Инцидента, доступную нам, и любые ограничения на раскрытие информации, такие как наши обязательства по соблюдению конфиденциальности. Вы соглашаетесь с тем, что на неудачный Инцидент безопасности не распространяются те же обязательства, изложенные в этом DPA в соответствии с применимыми законами ЕС о защите данных. Наше обязательство сообщать или реагировать на Инцидент безопасности в соответствии с настоящим Разделом не является и не будет истолковываться как признание нами какой-либо вины или нашей ответственности в отношении Инцидента безопасности. Несмотря на вышеизложенное, наши обязательства по данному Разделу не распространяются на Инциденты безопасности, вызванные вами, любой активностью в вашей Учетной записи и/или сторонними сервисами.

Разумная помощь в соблюдении нормативных требований

Если вы не можете разумно сделать это через Платформу, свою Учетную запись или иным образом, мы будем оказывать вам разумную помощь в случае расследования компетентным регулирующим органом, в том числе регулирующим органом по защите данных. или аналогичного органа, если и в той мере, в какой такое расследование связано с обработкой Данных клиента нами от вашего имени в соответствии с настоящим DPA, принимая во внимание характер Услуг и доступной нам информации. Вы будете нести ответственность за наши разумные расходы, связанные с предоставлением нами такой помощи. Мы можем взимать разумную плату за такую ​​запрошенную помощь, за исключением случаев, когда такое расследование связано с нарушением нами Соглашения или настоящего DPA, в пределах, разрешенных применимым законодательством.

Меры безопасности

В течение всего срока действия Соглашения и настоящего DPA мы будем постоянно внедрять и поддерживать соответствующие технические и организационные меры для защиты Данных клиента в соответствии с действующими на тот момент отраслевыми практиками в соответствии с Законом ЕС о защите данных. По вашему запросу мы предоставим письменное описание мер безопасности, принимаемых на момент запроса. Вы соглашаетесь с тем, что вам может потребоваться согласиться с соглашением о неразглашении с нами, прежде чем мы поделимся с вами какой-либо такой информацией. Мы можем изменить наши меры безопасности в любое время, но не будем делать это таким образом, чтобы это отрицательно сказывалось на безопасности Данных клиента. Мы принимаем меры для обеспечения того, чтобы любое физическое лицо, действующее в соответствии с нашими полномочиями и имеющее доступ к Данным клиента, не обрабатывало их, кроме как по нашим инструкциям, за исключением случаев, когда такое лицо обязано делать это в соответствии с применимым законодательством, и чтобы персонал, уполномоченный нами на обработку Данных клиента взяли на себя соответствующие обязательства по соблюдению конфиденциальности или несут соответствующие установленные законом обязательства по соблюдению конфиденциальности.

Суб-обработчики

Вы соглашаетесь с тем, что мы можем передавать ваши Данные клиента Суб-обработчикам для предоставления вам Услуг. Мы возлагаем договорные обязательства на наших субобработчиков и по договору обязываем наших субобработчиков налагать договорные обязательства на любых дополнительных субподрядчиков, которых они привлекают для обработки Данных клиента, которые обеспечивают такой же уровень защиты данных для Данных клиента во всех существенных уважает договорные обязательства, налагаемые настоящим DPA, в той мере, в какой это применимо к характеру услуг, предоставляемых таким Субобработчиком. Список наших текущих субобработчиков на дату вступления в силу настоящего DPA доступен в Приложении A ниже.

Мы заранее уведомим вас (по электронной почте и посредством уведомления на Платформе) о любых изменениях в списке Субобработчиков, действующих на дату вступления в силу настоящего DPA, за исключением экстренной замены или удаления Субобработчиков без замены. . Если вы возражаете против какого-либо Субобработчика, и ваше возражение является разумным и связано с соображениями защиты данных, мы приложим коммерчески разумные усилия, чтобы предоставить вам средства, позволяющие избежать обработки Субобработчиком, против которого подан протест. Если мы не сможем предоставить такое предлагаемое изменение в течение разумного периода времени, мы уведомим вас, и если вы по-прежнему возражаете против использования нами такого субпроцессора, вы можете аннулировать или прекратить действие своей учетной записи или, если возможно, области Услуги, предполагающие использование такого Субпроцессора. За исключением случаев, изложенных в этом Разделе, или если вы можете разрешить иным образом, мы не разрешаем никакому вспомогательному обработчику доступ к вашим Данным клиента. За исключением случаев, указанных в этом разделе, если вы возражаете против каких-либо Субобработчиков, вы не можете использовать Услуги или получать к ним доступ.

Мы можем сменить Субобработчика, если причина смены находится вне нашего разумного контроля. В этом случае мы сообщим вам о замене Субпроцессора как можно скорее. Вы сохраняете право возражать против замены Субобработчика, как указано в этом Разделе.

Мы будем нести ответственность за соблюдение им обязательств по настоящему DPA, а также за любые действия или бездействие любого Субобработчика или их дополнительных субподрядчиков, которые обрабатывают ваши Данные клиента и заставляют нас нарушать какие-либо из наших обязательств по настоящему DPA, исключительно в той мере, в какой StructionSite будет нести ответственность по Соглашению, если действие или бездействие было нашим собственным.

Конфиденциальность

Мы обеспечим, чтобы любое лицо, которому мы уполномочили обрабатывать Данные клиента, защищало Данные клиента в соответствии с нашими обязательствами по конфиденциальности в соответствии с Соглашением и настоящим DPA. Мы не будем раскрывать Данные клиента какому-либо правительству или любой другой третьей стороне, за исключением случаев, когда это необходимо для соблюдения Закона.

Запросы на получение информации

Мы предоставим вам всю информацию, необходимую для демонстрации соблюдения обязательств, изложенных в настоящем DPA, а также для разрешения и участия в проверках, проводимых вами или уполномоченным вами аудитором. Мы также поможем вам в проведении любых требуемых законом оценок воздействия на защиту данных (включая последующие консультации с надзорным органом), если это требуется в соответствии с Законом ЕС о защите данных, принимая во внимание характер обработки и доступную нам информацию. Мы можем взимать разумную плату за такую ​​помощь с запросами информации, аудитами или оценками воздействия, как это разрешено применимым законодательством.

Запросы субъектов данных

Вы несете ответственность за обработку любых запросов или жалоб от субъектов данных в отношении их персональных данных, обрабатываемых нами в качестве Данных клиента в соответствии с настоящим DPA. Мы предоставим разумный и своевременный ответ, уведомив вас, если получим какие-либо такие запросы или жалобы.

Передача данных

Вы разрешаете нам передавать Данные клиента за пределы страны, в которой такие данные были первоначально собраны. В частности, вы разрешаете нам передавать Данные клиента в США. Мы будем передавать Данные клиента за пределы ЕЭЗ и Швейцарии, используя законный и надлежащий механизм передачи данных, признанный в соответствии с Законом ЕС о защите данных как обеспечивающий адекватный уровень защиты для такой передачи данных. .

Возврат или удаление Данных клиента

Платформа предоставляет функции, которые позволяют вам, контролеру данных, загружать и удалять Данные клиента. После прекращения действия вашей Учетной записи по любой причине мы удалим Данные клиента в соответствии с нашими политиками хранения данных и юридическими обязательствами или по вашему запросу, связавшись с нами. Ваши запросы на возврат или удаление Данных клиента могут быть не выполнены в той мере, в какой этого требуют юридические обязательства или Закон ЕС о защите данных.

Ограничение ответственности

Ответственность каждой стороны по настоящему DPA регулируется исключениями и ограничениями ответственности, изложенными в Соглашении. Вы соглашаетесь с тем, что любые нормативные штрафы или претензии со стороны субъектов данных или других лиц, понесенные нами в отношении Данных клиента, которые возникают в результате или в связи с несоблюдением вами своих обязательств в соответствии с настоящим DPA или Законом о защите данных ЕС, засчитываются. в отношении и уменьшить нашу ответственность по Соглашению, как если бы это была ответственность перед вами по Соглашению.

Конфликт и прекращение действия соглашений

В случае противоречия между настоящим DPA и Соглашением этот DPA будет иметь преимущественную силу. Настоящий DPA остается в силе до прекращения действия Соглашения.

ПРИЛОЖЕНИЕ A : Субпроцессоры StructionSite: – Отправьте электронное письмо по адресу [email protected], чтобы получить список наших самых современных субпроцессоров.

ПРИЛОЖЕНИЕ B : Стандартные договорные положения

Стандартные договорные положения : Для целей статьи 26(2) Директивы 95/46/EC для передачи персональных данных обработчикам, зарегистрированным в третьих странах, которые не обеспечивают надлежащий уровень защиты данных.

Название организации, экспортирующей данные: Пользователь StructionSite, как определено в Соглашении. Электронная почта: Адрес электронной почты основного администратора/владельца учетной записи. организация-импортер: StructionSite, Inc. Адрес: 248 3rd St. #550, Окленд, Калифорния, 94607, USA Телефон: (415) 890-5144 Электронная почта:[email protected]

StructionSite, Inc. («импортер данных»), каждая из которых является «стороной»; вместе «стороны», ДОГОВОРИЛИСЬ о следующих пунктах договора (пункты), чтобы обеспечить адекватные гарантии в отношении защиты частной жизни и основных прав и свобод людей для передачи экспортером данных импортеру данных персональные данные, указанные в Приложении 1.

Пункт 1 – Определение

Для целей пунктов:
(a) «персональные данные», «особые категории данных», «обработка/обработка», «контролер», «обработчик данных», «субъект данных» и «надзорный орган» должны иметь то же значение, что и в Директиве 95/46/ЕС Европейского парламента и Совета от 24 октября 1995 г. о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных;
(b) « экспорт данных r» означает контролера, который передает персональные данные;
(c) «импортер данных» означает обработчик, который соглашается получать от экспортера данных персональные данные, предназначенные для обработки от его имени, после передачи в соответствии с его инструкциями и условиями Пунктов и который не подлежит третьему система страны, обеспечивающая надлежащую защиту по смыслу статьи 25(1) Директивы 95/46/ЕС;
(d) «подпроцессор » означает любого обработчика, нанятого импортером данных или любым другим подпроцессором импортера данных, который соглашается получать от импортера данных или от любого другого подпроцессора импортера данных персональные данные, предназначенные исключительно для обработки. действия, которые должны быть выполнены от имени экспортера данных после передачи в соответствии с его инструкциями, условиями Пунктов и условиями письменного субдоговора;
(e) «t применимый закон о защите данных» означает законодательство, защищающее основные права и свободы людей и, в частности, их право на неприкосновенность частной жизни в отношении обработки персональных данных, применимое к контроллеру данных в члене. Государство, в котором установлен экспортер данных;
(f) «технические и организационные меры безопасности» означает меры, направленные на защиту персональных данных от случайного или незаконного уничтожения или случайной потери, изменения, несанкционированного раскрытия или доступа, в частности, когда обработка включает передачу данных по сети , а также против всех других незаконных форм обработки.

Пункт 2 – Подробная информация о передаче

Подробная информация о передаче и, в частности, специальные категории персональных данных, где это применимо, указаны в Приложении 1, которое является неотъемлемой частью Пунктов.

Пункт 3 – Положение о третьей стороне-бенефициаре

Подробная информация о передаче и, в частности, специальные категории персональных данных, где это применимо, указаны в Приложении 1, которое является неотъемлемой частью Пунктов.

  1. Субъект данных может применить к экспортеру данных этот пункт, пункты 4(b)–(i), пункты 5(a)–(e) и (g)–(j), пункт 6(1) и (2), Статья 7, Статья 8(2) и Статья 9до 12 в качестве стороннего бенефициара.
  2. Субъект данных может применить к импортеру данных этот пункт, пункты 5(a)–(e) и (g), пункт 6, пункт 7, пункт 8(2) и пункты 9–12 в случаях, когда экспортер данных фактически исчез или прекратил свое существование по закону, если только какое-либо правопреемник не принял на себя все юридические обязательства экспортера данных по договору или в силу закона, в результате чего он берет на себя права и обязанности экспортера данных. , и в этом случае субъект данных может применить их против такой организации.
  3. Субъект данных может потребовать от субобработчика настоящего пункта, пунктов 5(a)–(e) и (g), пункта 6, пункта 7, пункта 8(2) и пунктов 9–12 в случаях, когда оба экспортер данных и импортер данных фактически исчезли, прекратили свое существование по закону или стали неплатежеспособными, за исключением случаев, когда какая-либо организация-правопреемник приняла на себя все юридические обязательства экспортера данных по договору или в силу закона, в результате чего он берет на себя права и обязанности экспортера данных, и в этом случае субъект данных может применить их против такого лица. Такая ответственность субобработчика перед третьей стороной ограничивается его собственными операциями по обработке в соответствии с Пунктами.
  4. Стороны не возражают против того, чтобы субъект данных был представлен ассоциацией или другим органом, если субъект данных прямо желает этого и если это разрешено национальным законодательством.
Пункт 4 – Обязанности экспортера данных

Экспортер данных соглашается и гарантирует:
(a) что обработка, включая собственно передачу, персональных данных осуществлялась и будет осуществляться в соответствии с соответствующие положения применимого законодательства о защите данных (и, если это применимо, было уведомлено соответствующие органы государства-члена, в котором учрежден экспортер данных) и не нарушает соответствующие положения этого государства;
(b) что он проинструктировал и в течение всего срока оказания услуг по обработке персональных данных будет инструктировать импортера данных об обработке персональных данных, переданных только от имени экспортера данных и в соответствии с применимым законом о защите данных и положениями;
(c) что импортер данных предоставит достаточные гарантии в отношении технических и организационных мер безопасности, указанных в Приложении 2 к настоящему контракту;
(d) что после оценки требований применимого законодательства о защите данных меры безопасности являются подходящими для защиты персональных данных от случайного или незаконного уничтожения или случайной потери, изменения, несанкционированного раскрытия или доступа, в частности, когда обработка включает передачу данных по сети и от всех других незаконных форм обработки, и что эти меры обеспечивают уровень безопасности, соответствующий рискам, связанным с обработкой, и характеру защищаемых данных с учетом
состояние техники и стоимость их внедрения;
(е), что он будет обеспечивать соблюдение мер безопасности;
(f) что, если передача включает специальные категории данных, субъект данных был проинформирован или будет проинформирован до или как можно скорее после передачи о том, что его данные могут быть переданы в третью страну, не обеспечивающую надлежащую защиту по смыслу Директивы 95/46/ЕС;
(g) для направления любого уведомления, полученного от импортера данных или любого субпроцессора в соответствии с пунктом 5(b) и пунктом 8(3), в орган по надзору за защитой данных, если экспортер данных решит продолжить передачу или отменить приостановку;
(h) предоставить субъектам данных по запросу копию Условий, за исключением Приложения 2, и краткое описание мер безопасности, а также копию любого контракта на услуги по дополнительной обработке, которые должны быть сделано в соответствии с Пунктами, если только Пункты или договор не содержат коммерческую информацию, и в этом случае он может удалить такую ​​коммерческую информацию;
(i) что в случае субобработки деятельность по обработке осуществляется в соответствии с пунктом 11 субпроцессором, обеспечивающим как минимум такой же уровень защиты персональных данных и прав субъекта данных, что и импортер данных в соответствии с статьи; и
(j), что он обеспечит соблюдение пунктов 4 (a)–(i).

Пункт 5 – Обязанности импортера данных

Импортер данных соглашается и гарантирует:
(a) обрабатывать персональные данные только от имени экспортера данных и в соответствии с его инструкциями и положениями; если он не может обеспечить такое соответствие по каким-либо причинам, он соглашается незамедлительно информировать экспортера данных о своей неспособности выполнить требования, и в этом случае экспортер данных имеет право приостановить передачу данных и/или расторгнуть договор;
(b) что у него нет оснований полагать, что применимое к нему законодательство препятствует выполнению инструкций, полученных от экспортера данных, и его обязательств по контракту, и что в случае изменения этого законодательства, которое, вероятно, существенное неблагоприятное воздействие на гарантии и обязательства, предусмотренные пунктами, он незамедлительно уведомит об изменении экспортера данных, как только ему станет известно, и в этом случае экспортер данных имеет право приостановить передачу данных и/или прекратить действие договор;
(c) что он принял технические и организационные меры безопасности, указанные в Приложении 2, до обработки переданных персональных данных;
(d) о том, что он будет незамедлительно уведомлять экспортера данных о:
(i) любом юридически обязывающем запросе на раскрытие персональных данных со стороны правоохранительных органов, если иное не запрещено, например, запрет в соответствии с уголовным законодательством на сохранение конфиденциальности расследование правоохранительных органов,
(ii) любой случайный или несанкционированный доступ, и
(iii) любой запрос, полученный непосредственно от субъектов данных без ответа на этот запрос, если только он не был уполномочен на это;
(e) оперативно и надлежащим образом обрабатывать все запросы экспортера данных, касающиеся его обработки персональных данных, подлежащих передаче, и соблюдать рекомендации надзорного органа в отношении обработки переданных данных;
(f) по запросу экспортера данных предоставить свои средства обработки данных для аудита деятельности по обработке, охватываемой пунктами, которая должна проводиться экспортером данных или инспекционным органом, состоящим из независимых членов и обладающим необходимыми профессиональная квалификация, связанная обязательством по сохранению конфиденциальности, выбранная экспортером данных, если применимо, по согласованию с надзорным органом;
(g) предоставить субъекту данных по запросу копию Условий или любого существующего договора на дополнительную обработку, если только Условия или договор не содержат коммерческую информацию, и в этом случае он может удалить такую ​​коммерческую информацию, за исключением Приложения. 2, который заменяется кратким описанием мер безопасности в тех случаях, когда субъект данных не может получить копию от экспортера данных;
(h) что в случае дополнительной обработки он предварительно проинформировал экспортера данных и получил его предварительное письменное согласие;
(i) что услуги по обработке субобработчиком будут осуществляться в соответствии с пунктом 11; (j) незамедлительно отправить копию любого соглашения с субобработчиком, которое он заключает в соответствии с пунктами, экспортеру данных.

Пункт 6 – Ответственность
  1. Стороны соглашаются с тем, что любой субъект данных, который понес ущерб в результате любого нарушения обязательств, указанных в пункте 3 или в пункте 11, любой стороной или субобработчиком, имеет право на получение компенсации от экспортеру данных за понесенный ущерб.
  2. Если субъект данных не может подать иск о компенсации в соответствии с пунктом 1 против экспортера данных в результате нарушения импортером данных или его субобработчиком любого из своих обязательств, указанных в пункте 3 или в пункте 11, поскольку экспортер данных фактически исчез, прекратил свое существование по закону или стал неплатежеспособным, импортер данных соглашается с тем, что субъект данных может подать иск против импортера данных как
    , если бы он был экспортером данных, за исключением случаев, когда какой-либо правопреемник принял на себя все юридические обязательства экспортера данных по договору или в силу закона, и в этом случае субъект данных может реализовать свои права в отношении такого лица. Импортер данных не может полагаться на нарушение субпроцессором своих обязательств, чтобы избежать собственных обязательств.
  3. Если субъект данных не может предъявить иск экспортеру данных или импортеру данных, указанному в пунктах 1 и 2, в результате нарушения субобработчиком любого из своих обязательств, указанных в пункте 3 или в пункте 11 поскольку и экспортер данных, и импортер данных фактически исчезли, прекратили свое существование по закону или стали неплатежеспособными, подпроцессор соглашается с тем, что субъект данных может подать иск против подпроцессора данных в отношении его собственных операций по обработке данных в соответствии с положениями как если бы он был экспортером или импортером данных, за исключением случаев, когда какая-либо организация-преемник приняла на себя все юридические обязательства экспортера или импортера данных по договору или в силу закона, и в этом случае субъект данных может реализовать свои права против такой организации. Ответственность субобработчика ограничивается его собственными операциями по обработке в соответствии с Пунктами.
Пункт 7 – Посредничество и юрисдикция

Импортер данных соглашается с тем, что, если субъект данных ссылается на него в отношении прав третьих лиц-бенефициаров и/или требует возмещения ущерба в соответствии с Пунктами, импортер данных примет решение субъекта данных :

  • (a) для передачи спора на рассмотрение независимого лица или, если применимо, надзорного органа;
  • (b) для передачи спора в суды в государстве-члене, в котором зарегистрирован экспортер данных.

Стороны соглашаются, что выбор, сделанный субъектом данных, не нанесет ущерба его материальным или процессуальным правам на получение средств правовой защиты в соответствии с другими положениями национального или международного права.

Пункт 8 – Сотрудничество с надзорными органами
  1. Экспортер данных соглашается передать копию настоящего договора в надзорный орган, если он того потребует, или если такое хранение требуется в соответствии с применимым законодательством о защите данных.
  2. Стороны соглашаются, что надзорный орган имеет право проводить аудит импортера данных и любого вспомогательного обработчика данных, который имеет тот же объем и подчиняется тем же условиям, которые применяются к аудиту экспортера данных в соответствии с применимое законодательство о защите данных.
  3. Импортер данных должен незамедлительно информировать экспортера данных о наличии применимого к нему или любому вспомогательному обработчику законодательства, препятствующего проведению аудита импортера данных или любого вспомогательного обработчика в соответствии с параграфом 2. В таком случае экспортер данных должен иметь право принимать меры, предусмотренные статьей 5(b).
Пункт 9 – Применимое право

Пункты регулируются законодательством государства-члена, в котором учрежден экспортер данных.

Пункт 10 – Изменение Договора

Стороны обязуются не изменять и не изменять Пункты. Это не мешает сторонам добавлять пункты по вопросам, связанным с бизнесом, если это необходимо, если они не противоречат пункту.

Пункт 11 — Подобработка
  1. Импортер данных не должен заключать субподрядные операции по обработке, выполняемые от имени экспортера данных в соответствии с Пунктами, без предварительного письменного согласия экспортера данных. Если импортер данных передает свои обязательства в соответствии с Пунктами с согласия экспортера данных, он должен делать это только посредством письменного соглашения с субобработчиком, которое налагает на субобработчика те же обязательства, что и на импортера данных в соответствии с Пункты. Если субпроцессор не выполняет свои обязательства по защите данных в соответствии с таким письменным соглашением, импортер данных несет полную ответственность перед экспортером данных за выполнение субпроцессором своих обязательств по такому соглашению.
  2. Предварительный письменный договор между импортером данных и подпроцессором также должен предусматривать положение о третьей стороне-бенефициаре, как указано в статье 3, для случаев, когда субъект данных не может предъявить требование о компенсации, упомянутое в пункте 1 статьи. 6 против экспортера или импортера данных, потому что они фактически исчезли, перестали существовать по закону или стали неплатежеспособными, и ни одна организация-правопреемник не приняла на себя все юридические обязательства экспортера или импортера данных по договору или в силу закона. Такая ответственность субобработчика перед третьей стороной ограничивается его собственными операциями по обработке в соответствии с Пунктами.
  3. Положения, касающиеся аспектов защиты данных для дополнительной обработки контракта, упомянутого в параграфе 1, регулируются законодательством государства-члена, в котором учрежден экспортер данных.
  4. Экспортер данных должен вести список соглашений о дополнительной обработке, заключенных в соответствии с пунктами и уведомленных импортером данных в соответствии с пунктом 5 (j), который должен обновляться не реже одного раза в год. Список должен быть доступен органу надзора за защитой данных экспортера данных.
Пункт 12 – Обязательства после прекращения оказания услуг по обработке персональных данных
  1. Стороны соглашаются, что при прекращении оказания услуг по обработке данных импортер данных и субобработчик по выбору экспортера данных возвращают все переданные персональные данные и их копии экспортеру данных или должны уничтожить все персональные данные и подтвердить экспортеру данных, что он это сделал, если только законодательство, наложенное на импортера данных, не препятствует возврату или уничтожению всех или части переданы персональные данные. В этом случае импортер данных гарантирует, что он будет гарантировать конфиденциальность переданных персональных данных и больше не будет активно обрабатывать переданные персональные данные.
  2. Импортер данных и подпроцессор гарантируют, что по запросу экспортера данных и/или надзорного органа он представит свои средства обработки данных для проверки мер, указанных в пункте 1.
ПРИЛОЖЕНИЕ 1 К СТАНДАРТНЫЕ УСЛОВИЯ ДОГОВОРА

Настоящее Приложение является частью Положений.

Государства-члены могут заполнить или указать, в соответствии со своими национальными процедурами, любую дополнительную необходимую информацию, которая должна содержаться в этом Приложении.

Термины, написанные с заглавной буквы, используемые в этом Приложении, которые в противном случае не определены в этих Пунктах, имеют значения, данные им в Соглашении об обработке данных, к которому прилагаются эти Пункты.

Экспортер данных

Экспортер данных — StructionSite, Inc. , ООО

Импортер данных

Импортер данных — StructionSite, Inc. данные импортеру данных посредством использования Услуг («Респонденты»).

  • Физические лица, чьи персональные данные могут быть переданы экспортеру данных Респондентами посредством использования Услуг.
  • Физические лица, являющиеся сотрудниками, представителями или другими деловыми контактами экспортера данных.
  • Пользователи экспортера данных, уполномоченные экспортером данных на доступ и использование Сервисов.
  • Категории данных

    Передаваемые личные данные относятся к следующим категориям данных: который определяется и контролируется экспортером данных по его собственному усмотрению и который может включать в себя, без 9Ограничение 0014:

    Персональные данные всех типов, которые могут быть отправлены Респондентами экспортеру данных через пользователя Услуг (например, при регистрации). Например: имя, географическое положение, возраст, контактные данные, IP-адрес, профессия, пол, финансовое положение, личные предпочтения, личные покупательские или потребительские привычки, а также другие предпочтения и другие личные данные, которые экспортер данных
    запрашивает или желает получить. его ответчиков.

    Контактная информация и платежные реквизиты сотрудников экспортера данных, авторизованных конечных пользователей и других деловых контактов. Например: имя, должность, работодатель, контактная информация (компания, электронная почта, телефон, адрес и т. д.), платежная информация и другие данные, связанные с учетной записью.

    Операции по обработке

    Передаваемые персональные данные подлежат следующим основным действиям по обработке:

    Целью обработки Персональных данных импортером данных является поддержка StructionSite, Inc. в предоставлении Услуг в соответствии с Соглашение.

    ПРИЛОЖЕНИЕ 2 К СТАНДАРТНЫМ УСЛОВИЯМ ДОГОВОРА

    Настоящее Приложение является частью Положений.

    Термины, написанные с заглавной буквы в этом Приложении, которые в других отношениях не определены в настоящих Пунктах, имеют значения, данные им в

    Соглашение об обработке данных, к которому прилагаются настоящие пункты.

    Описание технических и организационных мер безопасности, реализованных импортером данных в соответствии с пунктами 4(d) и 5(c) (или приложенным документом/законом): Импортер данных будет поддерживать соответствующие административные, физические и технические меры безопасности ( «Меры безопасности») для защиты безопасности, конфиденциальности и целостности Персональных данных, как описано в Соглашении об обработке данных, к которому прилагаются настоящие Пункты.

    Контракты | ICO

    Краткий обзор

    • Всякий раз, когда контроллер использует процессор, должен быть заключен письменный договор (или иной юридический акт).
    • Контракт важен тем, что обе стороны понимают свои обязанности и обязательства.
    • GDPR Великобритании устанавливает, что должно быть включено в договор.
    • Если обработчик использует другую организацию (т.е. субпроцессора) для помощи в обработке персональных данных для контролера, он должен иметь письменный договор с этим субобработчиком.

    Контрольные списки

    Что включать в договор

    В договоре (или ином правовом акте) излагаются детали обработки, включая:

    ☐ предмет обработки;

    ☐ продолжительность обработки;

    ☐ характер и цель обработки;

    ☐ тип задействованных персональных данных;

    ☐ категории субъекта данных;

    ☐ обязанности и права контролера.

    Контракт или иной правовой акт включает условия или положения, устанавливающие, что:

    ☐ обработчик должен действовать только в соответствии с задокументированными инструкциями контролера, если только закон не требует действовать без таких инструкций;

    ☐ обработчик должен гарантировать, что лица, обрабатывающие данные, должны соблюдать конфиденциальность;

    ☐ обработчик должен принять соответствующие меры для обеспечения безопасности обработки;

    ☐ обработчик должен нанимать вспомогательного обработчика только с предварительного разрешения контролера и на основании письменного договора;

    ☐ обработчик должен принять соответствующие меры, чтобы помочь контролеру реагировать на запросы отдельных лиц об осуществлении их прав;

    ☐ принимая во внимание характер обработки и доступную информацию, обработчик должен помочь контролеру в выполнении его обязательств GDPR Великобритании в отношении безопасности обработки, уведомления об утечке персональных данных и оценки воздействия на защиту данных;

    ☐ обработчик должен удалить или вернуть все персональные данные контролеру (по выбору контролера) по окончании договора, а также обработчик должен удалить существующие персональные данные, если закон не требует их хранения; и

    ☐ обработчик должен проходить аудиты и проверки. Обработчик также должен предоставить контролеру любую информацию, которая ему необходима, чтобы убедиться, что они оба выполняют свои обязательства по статье 28.

    Коротко

    • Когда нужен договор и почему он важен?
    • Что необходимо включить в договор?
    • Какие обязанности и обязательства несут контроллеры при использовании процессора?
    • Какие обязанности и обязательства несут сами обработчики?
    • Подробнее

    Когда нужен договор и почему это важно?

    Всякий раз, когда контролер использует процессор для обработки персональных данных от своего имени, между сторонами должен быть заключен письменный договор.

    Аналогичным образом, если обработчик использует другую организацию (т.е. вспомогательного обработчика) для помощи в обработке персональных данных для контролера, он должен иметь письменный договор с этим вспомогательным обработчиком.

    Контракты между контролерами и обработчиками гарантируют, что они оба понимают свои обязанности, ответственность и обязательства. Контракты также помогают им соблюдать GDPR Великобритании и помогают контролерам демонстрировать отдельным лицам и регулирующим органам их соответствие требованиям принципа подотчетности.

    Что должно быть включено в контракт?

    В контрактах должны быть указаны:

    • предмет и продолжительность обработки;
    • характер и цель обработки;
    • тип персональных данных и категории субъекта данных; и
    • обязанности и права контролера.

    Контракты также должны включать конкретные условия или положения, касающиеся:

    • обработки только по задокументированным инструкциям контролера;
    • долг конфиденциальности;
    • соответствующие меры безопасности;
    • с использованием подпроцессоров;
    • прав субъектов данных;
    • помощь контроллеру;
    • положения об окончании контракта; и
    • ревизий и проверок.

    Какие обязанности и обязательства несут контроллеры при использовании процессора?

    Контроллеры должны использовать только процессоры, которые могут дать достаточные гарантии того, что они примут соответствующие технические и организационные меры, чтобы их обработка соответствовала требованиям GDPR Великобритании и защищала права субъектов данных.

    Контроллеры несут основную ответственность за общее соблюдение GDPR Великобритании и за демонстрацию этого соответствия. Если это не будет достигнуто, они могут быть обязаны возместить ущерб в судебном порядке или подвергнуться штрафам или другим санкциям или исправительным мерам.

    Какие обязанности и обязательства несут сами обработчики?

    В дополнение к своим договорным обязательствам перед контроллером обработчик имеет некоторые прямые обязанности в соответствии с GDPR Великобритании. Если обработчик не выполняет свои обязательства или действует вне или вопреки инструкциям контролера, он может быть обязан возместить ущерб в судебном порядке или подвергнуться штрафам или другим санкциям или исправительным мерам.

    Обработчик не может пользоваться услугами вспомогательного обработчика без предварительного специального или общего письменного разрешения контролера. Если авторизация предоставлена, обработчик должен заключить контракт с подпроцессором. Условия договора, относящиеся к статье 28(3), должны обеспечивать такой же уровень защиты персональных данных, как и в договоре между контролером и обработчиком. Обработчики по-прежнему несут ответственность перед контролером за соблюдение требований любыми подпроцессорами, которых они привлекли.

    Более подробно – руководство ICO

    Мы подготовили более подробное руководство по договорам и обязательствам между контролерами и обработчиками.

    Структура подотчетности рассматривает ожидания ICO в отношении контрактов.

    Что такое соглашение об обработке данных (DPA)?

    Соглашение об обработке данных, или DPA, — это соглашение между контролером данных (например, компанией) и обработчиком данных (например, сторонним поставщиком услуг). Он регулирует любую обработку персональных данных, осуществляемую в коммерческих целях. DPA также можно назвать соглашением об обработке данных GDPR.

    Обработка данных включает любую операцию, при которой данные собираются, переводятся, передаются и/или классифицируются для получения значимой информации. Компании часто нанимают третьих лиц для обработки и анализа личных данных клиентов, что обычно требует наличия DPA.

    Например, New York Times (NYT) использует Google BigQuery для сбора и анализа данных о том, какие статьи люди читают, как долго они остаются на сайте и как часто используют приложение NYT. Это значимая информация для принятия бизнес-решений, и между NYT и Google, безусловно, существует DPA, который регулирует использование и управление этими данными.

    В связи с этим: узнайте о других основных деловых соглашениях

    В соглашении об обработке данных излагаются технические требования, которым контролер и обработчик должны следовать при обработке данных. Это включает в себя настройку условий хранения, защиты, обработки, доступа и использования данных. Соглашение также определяет, что процессор может и не может делать с данными.

    DPA является ключевым компонентом соответствия GDPR.

    GDPR расшифровывается как Общий регламент по защите данных. Это закон о конфиденциальности и безопасности, принятый Европейским союзом (ЕС). Хотя GDPR был создан ЕС, он применяется к любой организации, которая нацелена или собирает данные о людях в ЕС.

    GDPR фокусируется главным образом на персональных данных и обработке данных, субъектах, контролерах и обработчиках. Он требует подписания DPA со сторонними обработчиками данных. Если ваша организация использует данные о резидентах ЕС, вы должны соответствовать GDPR и использовать DPA. Невыполнение этого требования может привести к большим штрафам и пени.

    Организациям, использующим данные о резидентах ЕС, требуется соглашение об обработке данных GDPR каждый раз, когда они нанимают третью сторону для обработки этих данных. Для компаний, которые не взаимодействуют с пользовательскими данными из ЕС, DPA может оказаться полезным для определения условий ведения бизнеса с внешними обработчиками данных.

    Соглашение об обработке данных четко определяет роли и обязанности контролеров и обработчиков. Это полезный контракт для любой договоренности между двумя сторонами, работающими с данными клиентов или пользователей.

    Элементы DPA

    Вообще говоря, DPA должен включать объем и цель обработки данных, какие данные будут обрабатываться, как они будут защищены, а также отношения между контроллером и процессором.

    Соглашения об обработке данных GDPR должны быть особенно подробными. Они должны включать:

    • Общая информация: Сюда входят действия, связанные с обработкой данных, способы использования персональных данных, сторона, ответственная за обеспечение соответствия данных требованиям GDPR, и продолжительность обработки. Он также охватывает определения субъектов данных (клиенты или пользователи), типы данных, подлежащих обработке, способы и место хранения данных, а также условия расторжения договора.
    • Обязанности контролера: Когда речь идет о соблюдении GDPR, установление законной обработки данных и соблюдение прав субъектов данных ложится на контролера. Контроллер также отвечает за выдачу инструкций по обработке и определяет, как процессор обрабатывает данные.
    • Обязанности обработчика: В соответствии с GDPR у обработчиков есть длинный список обязанностей. К ним относятся поддержание информационной безопасности, сотрудничество с органами власти в случае запроса, сообщение об утечке данных, предоставление возможностей для аудита, ведение учета, удаление или возврат данных по окончании контракта и многое другое.
    • Технические и организационные требования: Как данные будут шифроваться, получать к ним доступ и тестировать? Могут ли обе стороны обеспечить постоянную конфиденциальность, целостность, доступность и отказоустойчивость систем и услуг обработки? GDPR требует, чтобы контролеры и обработчики учитывали, как современные технологии, затраты на внедрение и различия в личных свободах влияют на их способность обеспечивать постоянную безопасность данных.

    Если обработчик планирует использовать субобработчиков, также необходим раздел, описывающий субдоговорные отношения. Обработчику требуется письменное согласие контроллера на использование подпроцессоров, которые должны обеспечивать защиту данных и регулярно проходить проверку соответствия.

    Когда организация нанимает или сотрудничает со сторонним обработчиком данных, ее, скорее всего, попросят подписать соглашение об обработке данных с этим обработчиком. Это совершенно нормально и даже необходимо, если организация работает с личными данными людей, проживающих в ЕС.

    Например, поставщик медицинских услуг может решить приобрести облачное программное обеспечение для управления пациентами, в котором хранится информация о медицинском обслуживании людей. Хотя программное обеспечение может быть отличным обновлением бумажных систем или электронных таблиц, поставщик программного обеспечения является третьей стороной, которая будет собирать, хранить и передавать личные данные о пациентах. Для этого необходимо соглашение об обработке данных.

    При представлении DPA убедитесь, что в нем четко указано, как процессор может использовать данные. Найдите элементы DPA, перечисленные выше, и убедитесь, что они достаточно подробны, чтобы не оставлять места для интерпретации.

    В случае соглашения об обработке данных GDPR помните, что контролер может нести ответственность за утечку данных, даже если она вызвана ошибкой процессора. Убедитесь, что процессор имеет пропускную способность, необходимую для обеспечения защиты данных, и примите меры для быстрого реагирования на любые возникающие проблемы.

    Если вы обеспечиваете обработку данных, особенно для клиентов, работающих с данными пользователей в ЕС, вам необходимо ознакомиться с созданием и управлением DPA.

    Лучше всего начать с просмотра DPA, используемых в настоящее время корпоративными процессорами. Например, DPA HubSpot легко найти и прочитать. Однако соглашения об обработке данных являются длинными, и чтение даже нескольких из них для составления собственного контракта может занять много времени.

    Более того, некоторым из ваших клиентов или каждому из них могут потребоваться уникальные DPA, соответствующие их потребностям в использовании данных. Управление этими различными DPA может снизить производительность вашей юридической команды. Учитывая, насколько важно точно управлять контрактами, касающимися данных потребителей, вам понадобится интеллектуальная система управления, которая предотвращает ошибки и упущения, а также дает возможность любому, кому необходимо создать контракт.

    Когда данные о контрактах хранятся в отдельных системах, которые не взаимодействуют друг с другом, берет верх неэффективность.

    Автор записи

    Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *