Соглашение на обработку персональных данных как на сайте написать: Как взять согласие на обработку персональных данных. Образец 2020 год

Полное руководство по соглашениям об обработке данных

• Защита данных

7 июля 2022 г. данные от имени других компаний. Читайте все о DPA здесь.

Соглашение об обработке данных (DPA) — это договор между компанией, которой требуются персональные данные для обработки, и компанией, которая обрабатывает данные от имени других компаний.

Каждый раз, когда компания обрабатывает персональные данные от имени другой компании, данные необходимы для того, чтобы сделать обработку законной. Без согласия сама обработка является нарушением применимых законов о защите данных.

Кто должен подписывать соглашение об обработке данных?

DPA должен быть подписан контроллером данных и обработчиком данных. GDPR, а также многие другие законы о защите данных во всем мире требуют, чтобы контролер предоставил обработчику письменные инструкции по обработке. Эти инструкции обычно приходят в форме DPA.

Контроллеру данных требуется DPA, поскольку он должен предоставить процессору такие инструкции. Без них обработка нарушает законы.

Обработчику данных требуется DPA, поскольку он не должен обрабатывать персональные данные без письменных инструкций.

В результате, в отсутствие письменного DPA между ними, обе стороны будут нести ответственность за нарушения.

Какие законы о защите данных требуют соглашения об обработке данных?

DPA были популяризированы GDPR, но теперь практически каждый закон о защите данных в мире требует их в той или иной форме. Везде, где закон требует письменных инструкций по обработке данных, контролер и обработчик требуют DPA.

DPAs are required by the following data protection laws:

• EU GDPR
• Brazil LGPD
• California CCPA/CPRA
• Virginia CDPA
• Colorado CPA
• Connecticut DPA
• Dubai PDPA
• Thailand PDPA
• South Африка ПОПИЯ и многие другие.
  

Что должны включать соглашения об обработке данных?

Каждый закон о защите данных определяет основные компоненты DPA. В нем может быть больше информации и положений, чем минимум, но не меньше.

То, что должно быть указано в вашем DPA, определяется законами, применимыми к вашему бизнесу. Большинство частей пересекаются между законами, но вы должны обязательно включить все необходимое для каждого отдельного пользователя, чьи персональные данные вы будете обрабатывать с помощью процессора.

Если ваша компания обрабатывает персональные данные от имени других предприятий, наиболее безопасным способом будет включение всех аспектов, включенных в различные законы о конфиденциальности данных. Тогда вы будете готовы к любой ситуации.

В DPA можно найти следующие элементы DPA:

• Цель и категории обрабатываемых данных
• Продолжительность обработки
• Категории субъектов данных
• Права и обязанности контроллера данных
• Что обработчик данных будет обрабатывать данные только по письменному указанию, то есть DPA
• Меры безопасности для обработки
• Положения о подпроцессорах, если таковые имеются
• Что обработчик данных поможет контроллеру данных соблюдать закон, при необходимости
• Обработчик данных предоставит контролеру данных всю информацию, необходимую для соблюдения, включая отчеты об аудите и проверках.
  

Как выполнить соглашение об обработке данных?

В большинстве случаев принятие Положений и условий на веб-сайте стороннего инструмента, который вы будете использовать для обработки данных, означает подписание с ним договора. Эта сделка включает обработку данных.

Для компаний, работающих в Интернете, существует два способа подписать DPA:

• В рамках Правил и условий (приложение к ним). Если DPA прилагается к Условиям, когда контролер подписывается на средство обработки, он одновременно подписывает DPA и предоставляет обработчику необходимые письменные инструкции для обработки персональных данных.
• В качестве отдельного договора. Контролер и обработчик могут отделить DPA от основного договора и подписать его отдельно. По сути, без разницы.

Пять проблем, с которыми сталкиваются DPO GDPR, и способы их решения Несмотря на то, что они не юристы, ожидается, что они знают GDPR вдоль и поперек. Хотя им может не хватать технических знаний, этим людям часто поручают давать советы о том, как организациям следует использовать передовые меры безопасности для защиты конфиденциальных данных.

• Защита данных

30 сентября 2022 г.

Три бесплатных шаблона DPIA и способы их использования 

В этой статье вы найдете три шаблона DPIA: один из Великобритании, один из французского DPA и один из IAPP, Международной ассоциации профессионалов в области конфиденциальности. Благодаря их опыту мы можем положиться на предоставленные ими шаблоны.

• Защита данных

24 сентября 2022 г.

Что такое платформа управления согласием?

Платформа управления согласием (CMP) — это программный инструмент, который позволяет веб-сайтам легко соблюдать правила использования файлов cookie. Прежде чем пользователь даст согласие, ваш веб-сайт должен заблокировать файлы cookie. В этой статье мы обсудим, как веб-сайты могут использовать CMP для отслеживания запрашиваемого согласия.

• Защита данных

24 сентября 2022 г.

Зачем они нужны (2022)

Соглашения об обработке данных имеют решающее значение для ведения законного бизнеса в цифровом зашифрованном мире. Принятый в Европейском Союзе в 2016 году Общий регламент по защите данных (GDPR) задает новый тон, когда речь идет о защите данных и конфиденциальности потребителей во всем мире. Эти законы продолжают распространяться по всему миру, поскольку другие страны и штаты принимают отдельные законы и требования.

Вам нужны соглашения об обработке данных для потребителей, если вы:

• Иметь веб-сайт
• Собирать данные о клиентах
• Занимайтесь продажами в Интернете

Как видите, эти правила действуют в подавляющем большинстве стран мира. Узнайте все, что вам нужно знать о соглашениях об обработке данных, продолжив статью ниже.

Что такое соглашение об обработке данных?

Соглашение об обработке данных, также называемое DPA, представляет собой юридический договор между контроллером данных и обработчиком данных. Они регулируют использование данных о потребителях компаниями, в частности то, как они обрабатываются. По сути, обработчик данных обещает использовать персональные данные (PII) в соответствии с условиями, изложенными в соглашении об обработке данных.

Если ваш веб-сайт собирает данные от людей, проживающих в местах, где действуют эти правила, то соглашения об обработке вашего веб-сайта и методы обработки данных должны им соответствовать.

Общие типы веб-сайтов компаний, которые должны иметь соглашения об обработке данных, включают:

• Интернет-магазины
• Интернет-маркетологи
• Филиалы
• Поставщики онлайн-услуг
• Фирмы профессиональных услуг
• B2B компании
• Финансовые институты
• Технологические фирмы
• Медицинские провайдеры

Если вы управляете крупной компанией, вам потребуется нанять сотрудника по защите данных (DPO), который будет контролировать и обеспечивать соблюдение ваших политик конфиденциальности данных и соглашений об обработке данных. Интернет изобилует возможностью раскрыть данные вашего клиента, что может привести к юридическим проблемам вашей компании с местными властями.

Избегайте этой ошибки, написав для своей компании персонализированное соглашение об обработке данных, предусмотрев при этом соответствующие меры безопасности для контроля за его соблюдением.

Вот статья об офицерах по защите данных (DPO).

Ключевые условия соглашения об обработке данных

Соглашения об обработке данных, как и все контракты, содержат ключевые условия и положения, которые помогают обеим сторонам понять свои права и обязанности. В случае соглашения об обработке данных потребитель или орган управления данными должны согласиться с условиями компании или обработчика данных, чтобы использовать их веб-сайт или приложение.

Ключевые условия соглашения об обработке данных включают:

• Тема
• Продолжительность
• Цель
• Используемые данные
• Категории данных
• Права и обязательства
• Права в случае утечки данных

Эти права и обязанности могут различаться в зависимости от штата, отрасли, страны и типа компании. Когда в договоре задействовано множество переменных, важно проконсультироваться с юристы по конфиденциальности чтобы помочь гарантировать, что они являются объективно-ориентированными, совместимыми и осуществимыми. В противном случае вы можете оказаться подверженными фидуциарным обязательствам в будущем.

Зачем вам нужно соглашение об обработке данных

Вашей компании необходимо соглашение об обработке данных, чтобы соблюдать соответствующие законы юрисдикции. Если у вас нет этих соглашений и вы используете данные потребителей, вы можете столкнуться со значительными штрафами. В то время как законодательство готовится медленно, в нескольких заметных местах вводятся строгие меры.

DPA и GDPR

Общее положение о защите данных (GDPR) краткое изложение того, как компании должны обрабатывать, хранить и использовать данные о клиентах. Эти правила содержатся в статье 28 текста GDPR, принятого Европейским союзом (ЕС).

Округа в ЕС включают:

• Австрия
• Бельгия
• Болгария
• Хорватия
• Республика Кипр
• Чешская Республика
• Дания
• Эстония
• Финляндия
• Франция
• Германия
• Греция
• Венгрия
• Ирландия
• Италия
• Латвия
• Литва
• Люксембург
• Мальта
• Нидерланды
• Польша
• Португалия
• Румыния
• Словакия
• Словения
• Испания
• Швеция

Независимо от того, где находится ваша целевая аудитория в ЕС, DPA являются важным компонентом веб-сайта во многих типах бизнеса и отраслях. Контроллеры данных также имеют особые меры правовой защиты.

Убедитесь, что ваше соглашение об обработке данных касается следующих прав:

• Право на отказ
• Право на получение информации
• Право на раскрытие
• Право на удаление
• Право на равные услуги и цены

Законодатели уполномочили органы по защите данных налагать штрафы в размере до 20 миллионов евро или 4 процента от мирового оборота в год, в зависимости от того, что больше, за нарушения GDPR. Работайте с командой профессионалов в области права и технологий, чтобы помочь вам создать соглашение и процесс, который поможет вам достичь целей вашей компании, сохраняя при этом соответствие требованиям ЕС.

Познакомьтесь с юристами на нашей платформе

7 проектов на СС

Просмотр профиля

Скотт С.

13 проектов на СС

Просмотр профиля

105 проектов на CC

Просмотр профиля

8 проектов на СС

Просмотр профиля

DPA и CCPA

С другой стороны, Закон штата Калифорния о конфиденциальности потребителей (CCPA) — это директива штата об электронной конфиденциальности, в которой описывается, как компании могут использовать данные потребителей, включая отслеживание браузеров и требования к шифрованию данных. Эти правила применяются к основным и сторонним поставщикам услуг и розничным продавцам.

Соглашения об обработке данных и малый бизнес

Владельцы малого бизнеса растягивают свои бюджеты и могут задаться вопросом, действительно ли необходимы соглашения об обработке данных. Как правило, они не освобождаются от соблюдения требований соглашения об обработке данных. Однако в некоторых географических регионах могут действовать менее жесткие правила.

Другие причины не использовать соглашения об обработке данных

Вам также не нужно иметь соглашение об обработке данных, если ваш целевой рынок не находится в месте с такими требованиями. Всегда консультируйтесь с интернет-юристами в вашем штате, чтобы определить, нужно ли вашему малому бизнесу использовать соглашения об обработке данных.

Почему вы должны начать рано

Скорее всего, мы увидим, как в Соединенных Штатах и ​​во всем мире будет появляться постоянное законодательство. Возможно, было бы неплохо сразу перейти к практике, соблюдая правила этики обработки данных. Ваши первопроходцы и технически подкованные клиенты обязательно обратят внимание на ваши невероятные усилия.

Соглашения об обработке данных и политика конфиденциальности

Существуют значительные различия между соглашениями об обработке данных и политика конфиденциальности . В соглашениях об обработке данных описывается, как вы обрабатываете данные клиента, чтобы предотвратить технологическую небезопасность, а политика конфиденциальности позволяет клиентам узнать, что вы делаете с их данными в целом.

Пример соглашений об обработке данных в сравнении с Политикой конфиденциальности

Например, в соглашении об обработке данных вы можете сообщить, что третья сторона, такая как Google, будет обрабатывать ваши данные при сборе адресов электронной почты для информационных бюллетеней. Вам не обязательно раскрывать эту конкретную информацию в своей политике конфиденциальности.

Изображение через Pexels Сумил Кумар

Составление соглашения об обработке данных

Очень важно, чтобы вы написали соглашение об обработке данных, которое служит поставленным целям. Однако написанные вами положения и условия также должны соответствовать местным, государственным, федеральным, национальным и отраслевым требованиям в зависимости от вашего бизнеса. Используйте методический подход, чтобы убедиться, что вы получите желаемый результат.

Подпишитесь на эти шаги при написании соглашения об обработке данных:

• Шаг 1. Определите, какие данные о клиентах необходимы
• Шаг 2. Определите, как долго вам нужно хранить/обрабатывать данные
• Шаг 3. Запишите своими словами, как вы планируете использовать данные
• Шаг 4. Окончательно согласовать эту информацию с ключевыми заинтересованными сторонами компании.
• Шаг 5. Запланируйте первоначальную встречу с юристом по вопросам конфиденциальности
• Шаг 6. Работайте с нанятым вами юристом, чтобы доработать политику

Наиболее практичный бизнес-подход для написания соглашения об обработке данных — это поговорить с юристы по технологиям . У них есть юридический опыт и цифровые знания, которые вам нужны при составлении соглашений об обработке данных. Ваш адвокат также может помочь вам составить другие документы соглашения об обработке данных, включая политику конфиденциальности, соглашение об условиях использования, соглашение об условиях обслуживания (ToS) и политика допустимого использования .

Получить помощь с DPA

Онлайн-соглашения, такие как соглашения об обработке данных, лучше оставить экспертам, которые понимают, как работают браузеры, программное обеспечение и онлайн-маркетинг, а также знакомы с глобальными законами о конфиденциальности данных. Опубликовать проект на торговой площадке ContractsCounsel, чтобы получить предложения от проверенных юристов по технологиям, которые могут помочь.

Соглашение об обработке данных | StructionSite

Настоящее Соглашение об обработке данных StructionSite («DPA») является частью и регулируется положениями Условий использования StructionSite, Inc. («Соглашение»). Термины, написанные с заглавной буквы, которые не определены в настоящем Соглашении, имеют значения, указанные в Соглашении.

Пожалуйста, отправьте запросы, касающиеся этого DPA, или если вам требуется подписанный DPA, связавшись с нами по адресу [email protected].

Определения

Следующие определения относятся исключительно к настоящему Соглашению об обработке данных:

• Термины «контроллер данных», «субъект данных», «персональные данные», «процесс», «обработка», «обработчик» и «обработчик данных» имеют значения, указанные для этих терминов в Законе ЕС о защите данных.
• «Закон ЕС о защите данных» означает любой закон о защите данных или конфиденциальности данных или нормативный акт Швейцарии или любой страны Европейской экономической зоны («ЕЭЗ»), применимый к Данным клиента, включая, если применимо, GDPR и Директиву об электронной конфиденциальности 2002 г. /58/ЕС.
• «GDPR» означает Общий регламент ЕС по защите данных 2016/679..
• «Субобработчик» означает лицо, нанятое нами для обработки Данных клиента.
• «Данные клиента» означает персональные данные (в соответствии с определением Закона ЕС о защите данных), которые собираются или загружаются на Платформу и обрабатываются в вашей Учетной записи.
• «Инцидент безопасности» означает нарушение безопасности Платформы или наших систем, используемых для обработки Данных клиента, что приводит к случайному или незаконному уничтожению, потере, изменению, несанкционированному раскрытию или доступу к Данным клиента, переданным, сохраненным или иным образом обработанным нас в контексте этого DPA.
• «Ваша учетная запись» означает вашу защищенную паролем учетную запись для использования Услуг и для выставления счетов в связи с таким использованием. Ваша Учетная запись может быть пробной или платной подпиской на Услуги.
• «Персонал» означает любое физическое или юридическое лицо, нанятое нами или нанятое нами по контракту (включая, помимо прочего, сотрудников, стажеров, контрактных сотрудников, консультантов и волонтеров).

Применимость

Настоящее DPA применимо к вам только в том случае, если вы или лица, чьи личные данные вы используете для обработки с помощью Сервисов (включая ваших сотрудников, если применимо), находятся в ЕЭЗ или Швейцарии и применяются только в отношении личных данных (как определяется Законом ЕС о защите данных). Вы соглашаетесь с тем, что мы не несем ответственности за персональные данные, которые вы выбрали для обработки с помощью сторонних сервисов или за пределами Сервисов, включая системы любых других сторонних облачных сервисов, автономные или локальные хранилища.

Детали обработки данных

• Предмет. Предметом обработки данных в соответствии с настоящим DPA являются персональные данные, как они определены в Законе ЕС о защите данных, используемые при выполнении Услуг в соответствии с Соглашением.
• Продолжительность обработки данных в соответствии с настоящим DPA соответствует сроку действия отношений между вами и нами, которые определяются использованием вами Услуг.
• Целью обработки данных в соответствии с настоящим DPA является предоставление Услуг, инициированных вами («Цель»).
• Характер обработки. Предоставление Услуг, включая вычисления, хранение и такие другие Услуги по вашему указанию.
• Тип персональных данных. Данные клиента, относящиеся к вашему Персоналу или другим лицам, чьи персональные данные обрабатываются в рамках Услуг в соответствии с предоставленными вами инструкциями.
• Категории субъектов данных. Ваш персонал и любые другие лица, чьи личные данные вы используете в Сервисах для обработки в соответствии с Законом ЕС о защите данных.

Роли обработки

Этот DPA применяется, когда мы обрабатываем Данные клиента. В этом контексте мы будем выступать в качестве «обработчика данных» для Клиента, который может выступать в качестве «контроллера данных» в отношении Данных клиента (согласно определению Закона ЕС о защите данных).

Описание действий по обработке данных

Мы будем обрабатывать Данные клиента с целью предоставления вам Услуг, которые могут использоваться, настраиваться или изменяться из вашей Учетной записи. Например, в зависимости от того, как вы используете Услуги, мы можем обрабатывать ваши Данные клиента, чтобы: (а) собирать, упорядочивать, сообщать или анализировать данные от ваших пользователей с помощью форм и приложений на базе Компании (б) отправлять сообщения вашим пользователям по электронной почте на вашем от вашего имени по вашему указанию или (c) аутентифицировать ваших авторизованных пользователей, чтобы они могли получить доступ к данным, которые вы контролируете. В соответствии с тем, как вы пользуетесь Услугами, мы можем осуществлять другие действия по обработке данных.

Мы будем обрабатывать ваши Данные клиента для Цели и в соответствии с Соглашением или инструкциями, которые вы даете нам через свою Учетную запись. Вы соглашаетесь с тем, что Соглашение и инструкции, данные через Вашу Учетную запись, являются вашими полными и окончательными инструкциями для нас в отношении ваших Данных клиента. Дополнительные инструкции, выходящие за рамки настоящего DPA, требуют предварительного письменного соглашения между вами и нами и могут включать соглашение о любых дополнительных сборах, которые вы должны уплатить нам за выполнение таких инструкций.

Соблюдение законов

Вы гарантируете, что ваши инструкции соответствуют всем законам, применимым в отношении ваших данных клиента, и что ваши данные клиента собираются вами или от вашего имени на законных основаниях и предоставляются нам вами в соответствии с таким законом. Вы также гарантируете, что обработка ваших Данных клиента в соответствии с вашими инструкциями не приведет и не приведет к нарушению нами или вами какого-либо Закона (включая Закон ЕС о защите данных). Вы несете ответственность за просмотр имеющейся у нас информации, касающейся безопасности данных в соответствии с Соглашением, и принятие независимого решения относительно того, соответствуют ли Услуги вашим требованиям и юридическим обязательствам, а также вашим обязательствам по настоящему DPA. Мы не будем получать доступ к вашим Данным клиента или использовать их, за исключением случаев, предусмотренных в Соглашении, необходимых для обслуживания или предоставления Услуг или необходимых для соблюдения Закона.

Вы несете ответственность за любую ответственность или расходы, возникающие в результате нашего соблюдения ваших инструкций или запросов в соответствии с Соглашением, которые выходят за рамки стандартных функций, доступных через Услуги.

Уведомление об инциденте безопасности

Мы направим вам уведомление без неоправданной задержки: (a) после того, как станет известно и подтвердится возникновение инцидента безопасности, уведомление о котором требуется в соответствии с применимыми законами ЕС о защите данных; (b) принять разумные меры для смягчения последствий и сведения к минимуму любого ущерба в результате Инцидента, связанного с безопасностью. Уведомление об инцидентах безопасности будет доставлено одному или нескольким администраторам вашей учетной записи любым способом, который мы выберем, в том числе по электронной почте. Мы предоставим вам такую ​​информацию об Инциденте, связанном с безопасностью, которую мы в разумных пределах можем раскрыть вам, принимая во внимание характер Инцидента, доступную нам, и любые ограничения на раскрытие информации, такие как наши обязательства по соблюдению конфиденциальности. Вы соглашаетесь с тем, что на неудачный Инцидент безопасности не распространяются те же обязательства, изложенные в этом DPA в соответствии с применимыми законами ЕС о защите данных. Наше обязательство сообщать или реагировать на Инцидент безопасности в соответствии с настоящим Разделом не является и не будет истолковываться как признание нами какой-либо вины или нашей ответственности в отношении Инцидента безопасности. Несмотря на вышеизложенное, наши обязательства по данному Разделу не распространяются на Инциденты безопасности, вызванные вами, любой активностью в вашей Учетной записи и/или сторонними сервисами.

Разумная помощь в соблюдении нормативных требований

Если вы не можете разумно сделать это через Платформу, свою Учетную запись или иным образом, мы будем оказывать вам разумную помощь в случае расследования компетентным регулирующим органом, в том числе регулирующим органом по защите данных. или аналогичного органа, если и в той мере, в какой такое расследование связано с обработкой Данных клиента нами от вашего имени в соответствии с настоящим DPA, принимая во внимание характер Услуг и доступной нам информации. Вы будете нести ответственность за наши разумные расходы, связанные с предоставлением нами такой помощи. Мы можем взимать разумную плату за такую ​​запрошенную помощь, за исключением случаев, когда такое расследование связано с нарушением нами Соглашения или настоящего DPA, в пределах, разрешенных применимым законодательством.

Меры безопасности

В течение всего срока действия Соглашения и настоящего DPA мы будем постоянно внедрять и поддерживать соответствующие технические и организационные меры для защиты Данных клиента в соответствии с действующими на тот момент отраслевыми практиками в соответствии с Законом ЕС о защите данных. По вашему запросу мы предоставим письменное описание мер безопасности, принимаемых на момент запроса. Вы соглашаетесь с тем, что вам может потребоваться согласиться с соглашением о неразглашении с нами, прежде чем мы поделимся с вами какой-либо такой информацией. Мы можем изменить наши меры безопасности в любое время, но не будем делать это таким образом, чтобы это отрицательно сказывалось на безопасности Данных клиента. Мы принимаем меры для обеспечения того, чтобы любое физическое лицо, действующее в соответствии с нашими полномочиями и имеющее доступ к Данным клиента, не обрабатывало их, кроме как по нашим инструкциям, за исключением случаев, когда такое лицо обязано делать это в соответствии с применимым законодательством, и чтобы персонал, уполномоченный нами на обработку Данных клиента взяли на себя соответствующие обязательства по соблюдению конфиденциальности или несут соответствующие установленные законом обязательства по соблюдению конфиденциальности.

Суб-обработчики

Вы соглашаетесь с тем, что мы можем передавать ваши Данные клиента Суб-обработчикам для предоставления вам Услуг. Мы возлагаем договорные обязательства на наших субобработчиков и по договору обязываем наших субобработчиков налагать договорные обязательства на любых дополнительных субподрядчиков, которых они привлекают для обработки Данных клиента, которые обеспечивают такой же уровень защиты данных для Данных клиента во всех существенных уважает договорные обязательства, налагаемые настоящим DPA, в той мере, в какой это применимо к характеру услуг, предоставляемых таким Субобработчиком. Список наших текущих субобработчиков на дату вступления в силу настоящего DPA доступен в Приложении A ниже.

Мы заранее уведомим вас (по электронной почте и посредством уведомления на Платформе) о любых изменениях в списке Субобработчиков, действующих на дату вступления в силу настоящего DPA, за исключением экстренной замены или удаления Субобработчиков без замены. . Если вы возражаете против какого-либо Субобработчика, и ваше возражение является разумным и связано с соображениями защиты данных, мы приложим коммерчески разумные усилия, чтобы предоставить вам средства, позволяющие избежать обработки Субобработчиком, против которого подан протест. Если мы не сможем предоставить такое предлагаемое изменение в течение разумного периода времени, мы уведомим вас, и если вы по-прежнему возражаете против использования нами такого субпроцессора, вы можете аннулировать или прекратить действие своей учетной записи или, если возможно, области Услуги, предполагающие использование такого Субпроцессора. За исключением случаев, изложенных в этом Разделе, или если вы можете разрешить иным образом, мы не разрешаем никакому вспомогательному обработчику доступ к вашим Данным клиента. За исключением случаев, указанных в этом разделе, если вы возражаете против каких-либо Субобработчиков, вы не можете использовать Услуги или получать к ним доступ.

Мы можем сменить Субобработчика, если причина смены находится вне нашего разумного контроля. В этом случае мы сообщим вам о замене Субпроцессора как можно скорее. Вы сохраняете право возражать против замены Субобработчика, как указано в этом Разделе.

Мы будем нести ответственность за соблюдение им обязательств по настоящему DPA, а также за любые действия или бездействие любого Субобработчика или их дополнительных субподрядчиков, которые обрабатывают ваши Данные клиента и заставляют нас нарушать какие-либо из наших обязательств по настоящему DPA, исключительно в той мере, в какой StructionSite будет нести ответственность по Соглашению, если действие или бездействие было нашим собственным.

Конфиденциальность

Мы обеспечим, чтобы любое лицо, которому мы уполномочили обрабатывать Данные клиента, защищало Данные клиента в соответствии с нашими обязательствами по конфиденциальности в соответствии с Соглашением и настоящим DPA. Мы не будем раскрывать Данные клиента какому-либо правительству или любой другой третьей стороне, за исключением случаев, когда это необходимо для соблюдения Закона.

Запросы на получение информации

Мы предоставим вам всю информацию, необходимую для демонстрации соблюдения обязательств, изложенных в настоящем DPA, а также для разрешения и участия в проверках, проводимых вами или уполномоченным вами аудитором. Мы также поможем вам в проведении любых требуемых законом оценок воздействия на защиту данных (включая последующие консультации с надзорным органом), если это требуется в соответствии с Законом ЕС о защите данных, принимая во внимание характер обработки и доступную нам информацию. Мы можем взимать разумную плату за такую ​​помощь с запросами информации, аудитами или оценками воздействия, как это разрешено применимым законодательством.

Запросы субъектов данных

Вы несете ответственность за обработку любых запросов или жалоб от субъектов данных в отношении их персональных данных, обрабатываемых нами в качестве Данных клиента в соответствии с настоящим DPA. Мы предоставим разумный и своевременный ответ, уведомив вас, если получим какие-либо такие запросы или жалобы.

Передача данных

Вы разрешаете нам передавать Данные клиента за пределы страны, в которой такие данные были первоначально собраны. В частности, вы разрешаете нам передавать Данные клиента в США. Мы будем передавать Данные клиента за пределы ЕЭЗ и Швейцарии, используя законный и надлежащий механизм передачи данных, признанный в соответствии с Законом ЕС о защите данных как обеспечивающий адекватный уровень защиты для такой передачи данных. .

Возврат или удаление Данных клиента

Платформа предоставляет функции, которые позволяют вам, контролеру данных, загружать и удалять Данные клиента. После прекращения действия вашей Учетной записи по любой причине мы удалим Данные клиента в соответствии с нашими политиками хранения данных и юридическими обязательствами или по вашему запросу, связавшись с нами. Ваши запросы на возврат или удаление Данных клиента могут быть не выполнены в той мере, в какой этого требуют юридические обязательства или Закон ЕС о защите данных.

Ограничение ответственности

Ответственность каждой стороны по настоящему DPA регулируется исключениями и ограничениями ответственности, изложенными в Соглашении. Вы соглашаетесь с тем, что любые нормативные штрафы или претензии со стороны субъектов данных или других лиц, понесенные нами в отношении Данных клиента, которые возникают в результате или в связи с несоблюдением вами своих обязательств в соответствии с настоящим DPA или Законом о защите данных ЕС, засчитываются. в отношении и уменьшить нашу ответственность по Соглашению, как если бы это была ответственность перед вами по Соглашению.

Конфликт и прекращение действия соглашений

В случае противоречия между настоящим DPA и Соглашением этот DPA будет иметь преимущественную силу. Настоящий DPA остается в силе до прекращения действия Соглашения.

ПРИЛОЖЕНИЕ A : Субпроцессоры StructionSite: – Отправьте электронное письмо по адресу [email protected], чтобы получить список наших самых современных субпроцессоров.

ПРИЛОЖЕНИЕ B : Стандартные договорные положения

Стандартные договорные положения : Для целей статьи 26(2) Директивы 95/46/EC для передачи персональных данных обработчикам, зарегистрированным в третьих странах, которые не обеспечивают надлежащий уровень защиты данных.

Название организации, экспортирующей данные: Пользователь StructionSite, как определено в Соглашении. Электронная почта: Адрес электронной почты основного администратора/владельца учетной записи. организация-импортер: StructionSite, Inc. Адрес: 248 3rd St. #550, Окленд, Калифорния, 94607, USA Телефон: (415) 890-5144 Электронная почта:[email protected]

StructionSite, Inc. («импортер данных»), каждая из которых является «стороной»; вместе «стороны», ДОГОВОРИЛИСЬ о следующих пунктах договора (пункты), чтобы обеспечить адекватные гарантии в отношении защиты частной жизни и основных прав и свобод людей для передачи экспортером данных импортеру данных персональные данные, указанные в Приложении 1.

Пункт 1 – Определение

Для целей пунктов:
(a) «персональные данные», «особые категории данных», «обработка/обработка», «контролер», «обработчик данных», «субъект данных» и «надзорный орган» должны иметь то же значение, что и в Директиве 95/46/ЕС Европейского парламента и Совета от 24 октября 1995 г. о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных;
(b) « экспорт данных r» означает контролера, который передает персональные данные;
(c) «импортер данных» означает обработчик, который соглашается получать от экспортера данных персональные данные, предназначенные для обработки от его имени, после передачи в соответствии с его инструкциями и условиями Пунктов и который не подлежит третьему система страны, обеспечивающая надлежащую защиту по смыслу статьи 25(1) Директивы 95/46/ЕС;
(d) «подпроцессор » означает любого обработчика, нанятого импортером данных или любым другим подпроцессором импортера данных, который соглашается получать от импортера данных или от любого другого подпроцессора импортера данных персональные данные, предназначенные исключительно для обработки. действия, которые должны быть выполнены от имени экспортера данных после передачи в соответствии с его инструкциями, условиями Пунктов и условиями письменного субдоговора;
(e) «t применимый закон о защите данных» означает законодательство, защищающее основные права и свободы людей и, в частности, их право на неприкосновенность частной жизни в отношении обработки персональных данных, применимое к контроллеру данных в члене. Государство, в котором установлен экспортер данных;
(f) «технические и организационные меры безопасности» означает меры, направленные на защиту персональных данных от случайного или незаконного уничтожения или случайной потери, изменения, несанкционированного раскрытия или доступа, в частности, когда обработка включает передачу данных по сети , а также против всех других незаконных форм обработки.

Пункт 2 – Подробная информация о передаче

Подробная информация о передаче и, в частности, специальные категории персональных данных, где это применимо, указаны в Приложении 1, которое является неотъемлемой частью Пунктов.

Пункт 3 – Положение о третьей стороне-бенефициаре

Подробная информация о передаче и, в частности, специальные категории персональных данных, где это применимо, указаны в Приложении 1, которое является неотъемлемой частью Пунктов.

1. Субъект данных может применить к экспортеру данных этот пункт, пункты 4(b)–(i), пункты 5(a)–(e) и (g)–(j), пункт 6(1) и (2), Статья 7, Статья 8(2) и Статья 9до 12 в качестве стороннего бенефициара.
2. Субъект данных может применить к импортеру данных этот пункт, пункты 5(a)–(e) и (g), пункт 6, пункт 7, пункт 8(2) и пункты 9–12 в случаях, когда экспортер данных фактически исчез или прекратил свое существование по закону, если только какое-либо правопреемник не принял на себя все юридические обязательства экспортера данных по договору или в силу закона, в результате чего он берет на себя права и обязанности экспортера данных. , и в этом случае субъект данных может применить их против такой организации.
3. Субъект данных может потребовать от субобработчика настоящего пункта, пунктов 5(a)–(e) и (g), пункта 6, пункта 7, пункта 8(2) и пунктов 9–12 в случаях, когда оба экспортер данных и импортер данных фактически исчезли, прекратили свое существование по закону или стали неплатежеспособными, за исключением случаев, когда какая-либо организация-правопреемник приняла на себя все юридические обязательства экспортера данных по договору или в силу закона, в результате чего он берет на себя права и обязанности экспортера данных, и в этом случае субъект данных может применить их против такого лица. Такая ответственность субобработчика перед третьей стороной ограничивается его собственными операциями по обработке в соответствии с Пунктами.
4. Стороны не возражают против того, чтобы субъект данных был представлен ассоциацией или другим органом, если субъект данных прямо желает этого и если это разрешено национальным законодательством.

Пункт 4 – Обязанности экспортера данных

Экспортер данных соглашается и гарантирует:
(a) что обработка, включая собственно передачу, персональных данных осуществлялась и будет осуществляться в соответствии с соответствующие положения применимого законодательства о защите данных (и, если это применимо, было уведомлено соответствующие органы государства-члена, в котором учрежден экспортер данных) и не нарушает соответствующие положения этого государства;
(b) что он проинструктировал и в течение всего срока оказания услуг по обработке персональных данных будет инструктировать импортера данных об обработке персональных данных, переданных только от имени экспортера данных и в соответствии с применимым законом о защите данных и положениями;
(c) что импортер данных предоставит достаточные гарантии в отношении технических и организационных мер безопасности, указанных в Приложении 2 к настоящему контракту;
(d) что после оценки требований применимого законодательства о защите данных меры безопасности являются подходящими для защиты персональных данных от случайного или незаконного уничтожения или случайной потери, изменения, несанкционированного раскрытия или доступа, в частности, когда обработка включает передачу данных по сети и от всех других незаконных форм обработки, и что эти меры обеспечивают уровень безопасности, соответствующий рискам, связанным с обработкой, и характеру защищаемых данных с учетом
состояние техники и стоимость их внедрения;
(е), что он будет обеспечивать соблюдение мер безопасности;
(f) что, если передача включает специальные категории данных, субъект данных был проинформирован или будет проинформирован до или как можно скорее после передачи о том, что его данные могут быть переданы в третью страну, не обеспечивающую надлежащую защиту по смыслу Директивы 95/46/ЕС;
(g) для направления любого уведомления, полученного от импортера данных или любого субпроцессора в соответствии с пунктом 5(b) и пунктом 8(3), в орган по надзору за защитой данных, если экспортер данных решит продолжить передачу или отменить приостановку;
(h) предоставить субъектам данных по запросу копию Условий, за исключением Приложения 2, и краткое описание мер безопасности, а также копию любого контракта на услуги по дополнительной обработке, которые должны быть сделано в соответствии с Пунктами, если только Пункты или договор не содержат коммерческую информацию, и в этом случае он может удалить такую ​​коммерческую информацию;
(i) что в случае субобработки деятельность по обработке осуществляется в соответствии с пунктом 11 субпроцессором, обеспечивающим как минимум такой же уровень защиты персональных данных и прав субъекта данных, что и импортер данных в соответствии с статьи; и
(j), что он обеспечит соблюдение пунктов 4 (a)–(i).

Пункт 5 – Обязанности импортера данных

Импортер данных соглашается и гарантирует:
(a) обрабатывать персональные данные только от имени экспортера данных и в соответствии с его инструкциями и положениями; если он не может обеспечить такое соответствие по каким-либо причинам, он соглашается незамедлительно информировать экспортера данных о своей неспособности выполнить требования, и в этом случае экспортер данных имеет право приостановить передачу данных и/или расторгнуть договор;
(b) что у него нет оснований полагать, что применимое к нему законодательство препятствует выполнению инструкций, полученных от экспортера данных, и его обязательств по контракту, и что в случае изменения этого законодательства, которое, вероятно, существенное неблагоприятное воздействие на гарантии и обязательства, предусмотренные пунктами, он незамедлительно уведомит об изменении экспортера данных, как только ему станет известно, и в этом случае экспортер данных имеет право приостановить передачу данных и/или прекратить действие договор;
(c) что он принял технические и организационные меры безопасности, указанные в Приложении 2, до обработки переданных персональных данных;
(d) о том, что он будет незамедлительно уведомлять экспортера данных о:
(i) любом юридически обязывающем запросе на раскрытие персональных данных со стороны правоохранительных органов, если иное не запрещено, например, запрет в соответствии с уголовным законодательством на сохранение конфиденциальности расследование правоохранительных органов,
(ii) любой случайный или несанкционированный доступ, и
(iii) любой запрос, полученный непосредственно от субъектов данных без ответа на этот запрос, если только он не был уполномочен на это;
(e) оперативно и надлежащим образом обрабатывать все запросы экспортера данных, касающиеся его обработки персональных данных, подлежащих передаче, и соблюдать рекомендации надзорного органа в отношении обработки переданных данных;
(f) по запросу экспортера данных предоставить свои средства обработки данных для аудита деятельности по обработке, охватываемой пунктами, которая должна проводиться экспортером данных или инспекционным органом, состоящим из независимых членов и обладающим необходимыми профессиональная квалификация, связанная обязательством по сохранению конфиденциальности, выбранная экспортером данных, если применимо, по согласованию с надзорным органом;
(g) предоставить субъекту данных по запросу копию Условий или любого существующего договора на дополнительную обработку, если только Условия или договор не содержат коммерческую информацию, и в этом случае он может удалить такую ​​коммерческую информацию, за исключением Приложения. 2, который заменяется кратким описанием мер безопасности в тех случаях, когда субъект данных не может получить копию от экспортера данных;
(h) что в случае дополнительной обработки он предварительно проинформировал экспортера данных и получил его предварительное письменное согласие;
(i) что услуги по обработке субобработчиком будут осуществляться в соответствии с пунктом 11; (j) незамедлительно отправить копию любого соглашения с субобработчиком, которое он заключает в соответствии с пунктами, экспортеру данных.

Пункт 6 – Ответственность

1. Стороны соглашаются с тем, что любой субъект данных, который понес ущерб в результате любого нарушения обязательств, указанных в пункте 3 или в пункте 11, любой стороной или субобработчиком, имеет право на получение компенсации от экспортеру данных за понесенный ущерб.
2. Если субъект данных не может подать иск о компенсации в соответствии с пунктом 1 против экспортера данных в результате нарушения импортером данных или его субобработчиком любого из своих обязательств, указанных в пункте 3 или в пункте 11, поскольку экспортер данных фактически исчез, прекратил свое существование по закону или стал неплатежеспособным, импортер данных соглашается с тем, что субъект данных может подать иск против импортера данных как
   , если бы он был экспортером данных, за исключением случаев, когда какой-либо правопреемник принял на себя все юридические обязательства экспортера данных по договору или в силу закона, и в этом случае субъект данных может реализовать свои права в отношении такого лица. Импортер данных не может полагаться на нарушение субпроцессором своих обязательств, чтобы избежать собственных обязательств.
3. Если субъект данных не может предъявить иск экспортеру данных или импортеру данных, указанному в пунктах 1 и 2, в результате нарушения субобработчиком любого из своих обязательств, указанных в пункте 3 или в пункте 11 поскольку и экспортер данных, и импортер данных фактически исчезли, прекратили свое существование по закону или стали неплатежеспособными, подпроцессор соглашается с тем, что субъект данных может подать иск против подпроцессора данных в отношении его собственных операций по обработке данных в соответствии с положениями как если бы он был экспортером или импортером данных, за исключением случаев, когда какая-либо организация-преемник приняла на себя все юридические обязательства экспортера или импортера данных по договору или в силу закона, и в этом случае субъект данных может реализовать свои права против такой организации. Ответственность субобработчика ограничивается его собственными операциями по обработке в соответствии с Пунктами.

Пункт 7 – Посредничество и юрисдикция

Импортер данных соглашается с тем, что, если субъект данных ссылается на него в отношении прав третьих лиц-бенефициаров и/или требует возмещения ущерба в соответствии с Пунктами, импортер данных примет решение субъекта данных :

• (a) для передачи спора на рассмотрение независимого лица или, если применимо, надзорного органа;
• (b) для передачи спора в суды в государстве-члене, в котором зарегистрирован экспортер данных.

Стороны соглашаются, что выбор, сделанный субъектом данных, не нанесет ущерба его материальным или процессуальным правам на получение средств правовой защиты в соответствии с другими положениями национального или международного права.

Пункт 8 – Сотрудничество с надзорными органами

1. Экспортер данных соглашается передать копию настоящего договора в надзорный орган, если он того потребует, или если такое хранение требуется в соответствии с применимым законодательством о защите данных.
2. Стороны соглашаются, что надзорный орган имеет право проводить аудит импортера данных и любого вспомогательного обработчика данных, который имеет тот же объем и подчиняется тем же условиям, которые применяются к аудиту экспортера данных в соответствии с применимое законодательство о защите данных.
3. Импортер данных должен незамедлительно информировать экспортера данных о наличии применимого к нему или любому вспомогательному обработчику законодательства, препятствующего проведению аудита импортера данных или любого вспомогательного обработчика в соответствии с параграфом 2. В таком случае экспортер данных должен иметь право принимать меры, предусмотренные статьей 5(b).

Пункт 9 – Применимое право

Пункты регулируются законодательством государства-члена, в котором учрежден экспортер данных.

Пункт 10 – Изменение Договора

Стороны обязуются не изменять и не изменять Пункты. Это не мешает сторонам добавлять пункты по вопросам, связанным с бизнесом, если это необходимо, если они не противоречат пункту.

Пункт 11 — Подобработка

1. Импортер данных не должен заключать субподрядные операции по обработке, выполняемые от имени экспортера данных в соответствии с Пунктами, без предварительного письменного согласия экспортера данных. Если импортер данных передает свои обязательства в соответствии с Пунктами с согласия экспортера данных, он должен делать это только посредством письменного соглашения с субобработчиком, которое налагает на субобработчика те же обязательства, что и на импортера данных в соответствии с Пункты. Если субпроцессор не выполняет свои обязательства по защите данных в соответствии с таким письменным соглашением, импортер данных несет полную ответственность перед экспортером данных за выполнение субпроцессором своих обязательств по такому соглашению.
2. Предварительный письменный договор между импортером данных и подпроцессором также должен предусматривать положение о третьей стороне-бенефициаре, как указано в статье 3, для случаев, когда субъект данных не может предъявить требование о компенсации, упомянутое в пункте 1 статьи. 6 против экспортера или импортера данных, потому что они фактически исчезли, перестали существовать по закону или стали неплатежеспособными, и ни одна организация-правопреемник не приняла на себя все юридические обязательства экспортера или импортера данных по договору или в силу закона. Такая ответственность субобработчика перед третьей стороной ограничивается его собственными операциями по обработке в соответствии с Пунктами.
3. Положения, касающиеся аспектов защиты данных для дополнительной обработки контракта, упомянутого в параграфе 1, регулируются законодательством государства-члена, в котором учрежден экспортер данных.
4. Экспортер данных должен вести список соглашений о дополнительной обработке, заключенных в соответствии с пунктами и уведомленных импортером данных в соответствии с пунктом 5 (j), который должен обновляться не реже одного раза в год. Список должен быть доступен органу надзора за защитой данных экспортера данных.

Пункт 12 – Обязательства после прекращения оказания услуг по обработке персональных данных

1. Стороны соглашаются, что при прекращении оказания услуг по обработке данных импортер данных и субобработчик по выбору экспортера данных возвращают все переданные персональные данные и их копии экспортеру данных или должны уничтожить все персональные данные и подтвердить экспортеру данных, что он это сделал, если только законодательство, наложенное на импортера данных, не препятствует возврату или уничтожению всех или части переданы персональные данные. В этом случае импортер данных гарантирует, что он будет гарантировать конфиденциальность переданных персональных данных и больше не будет активно обрабатывать переданные персональные данные.
2. Импортер данных и подпроцессор гарантируют, что по запросу экспортера данных и/или надзорного органа он представит свои средства обработки данных для проверки мер, указанных в пункте 1.

ПРИЛОЖЕНИЕ 1 К СТАНДАРТНЫЕ УСЛОВИЯ ДОГОВОРА

Настоящее Приложение является частью Положений.

Государства-члены могут заполнить или указать, в соответствии со своими национальными процедурами, любую дополнительную необходимую информацию, которая должна содержаться в этом Приложении.

Термины, написанные с заглавной буквы, используемые в этом Приложении, которые в противном случае не определены в этих Пунктах, имеют значения, данные им в Соглашении об обработке данных, к которому прилагаются эти Пункты.

Экспортер данных

Экспортер данных — StructionSite, Inc. , ООО

Импортер данных

Импортер данных — StructionSite, Inc. данные импортеру данных посредством использования Услуг («Респонденты»).

Категории данных

Передаваемые личные данные относятся к следующим категориям данных: который определяется и контролируется экспортером данных по его собственному усмотрению и который может включать в себя, без 9Ограничение 0014:

Персональные данные всех типов, которые могут быть отправлены Респондентами экспортеру данных через пользователя Услуг (например, при регистрации). Например: имя, географическое положение, возраст, контактные данные, IP-адрес, профессия, пол, финансовое положение, личные предпочтения, личные покупательские или потребительские привычки, а также другие предпочтения и другие личные данные, которые экспортер данных
запрашивает или желает получить. его ответчиков.

Контактная информация и платежные реквизиты сотрудников экспортера данных, авторизованных конечных пользователей и других деловых контактов. Например: имя, должность, работодатель, контактная информация (компания, электронная почта, телефон, адрес и т. д.), платежная информация и другие данные, связанные с учетной записью.

Операции по обработке

Передаваемые персональные данные подлежат следующим основным действиям по обработке:

Целью обработки Персональных данных импортером данных является поддержка StructionSite, Inc. в предоставлении Услуг в соответствии с Соглашение.

ПРИЛОЖЕНИЕ 2 К СТАНДАРТНЫМ УСЛОВИЯМ ДОГОВОРА

Настоящее Приложение является частью Положений.

Термины, написанные с заглавной буквы в этом Приложении, которые в других отношениях не определены в настоящих Пунктах, имеют значения, данные им в

Соглашение об обработке данных, к которому прилагаются настоящие пункты.

Описание технических и организационных мер безопасности, реализованных импортером данных в соответствии с пунктами 4(d) и 5(c) (или приложенным документом/законом): Импортер данных будет поддерживать соответствующие административные, физические и технические меры безопасности ( «Меры безопасности») для защиты безопасности, конфиденциальности и целостности Персональных данных, как описано в Соглашении об обработке данных, к которому прилагаются настоящие Пункты.

Контракты | ICO

Краткий обзор

• Всякий раз, когда контроллер использует процессор, должен быть заключен письменный договор (или иной юридический акт).
• Контракт важен тем, что обе стороны понимают свои обязанности и обязательства.
• GDPR Великобритании устанавливает, что должно быть включено в договор.
• Если обработчик использует другую организацию (т.е. субпроцессора) для помощи в обработке персональных данных для контролера, он должен иметь письменный договор с этим субобработчиком.

Контрольные списки

Что включать в договор

В договоре (или ином правовом акте) излагаются детали обработки, включая:

☐ предмет обработки;

☐ продолжительность обработки;

☐ характер и цель обработки;

☐ тип задействованных персональных данных;

☐ категории субъекта данных;

☐ обязанности и права контролера.

Контракт или иной правовой акт включает условия или положения, устанавливающие, что:

☐ обработчик должен действовать только в соответствии с задокументированными инструкциями контролера, если только закон не требует действовать без таких инструкций;

☐ обработчик должен гарантировать, что лица, обрабатывающие данные, должны соблюдать конфиденциальность;

☐ обработчик должен принять соответствующие меры для обеспечения безопасности обработки;

☐ обработчик должен нанимать вспомогательного обработчика только с предварительного разрешения контролера и на основании письменного договора;

☐ обработчик должен принять соответствующие меры, чтобы помочь контролеру реагировать на запросы отдельных лиц об осуществлении их прав;

☐ принимая во внимание характер обработки и доступную информацию, обработчик должен помочь контролеру в выполнении его обязательств GDPR Великобритании в отношении безопасности обработки, уведомления об утечке персональных данных и оценки воздействия на защиту данных;

☐ обработчик должен удалить или вернуть все персональные данные контролеру (по выбору контролера) по окончании договора, а также обработчик должен удалить существующие персональные данные, если закон не требует их хранения; и

☐ обработчик должен проходить аудиты и проверки. Обработчик также должен предоставить контролеру любую информацию, которая ему необходима, чтобы убедиться, что они оба выполняют свои обязательства по статье 28.

Коротко

• Когда нужен договор и почему он важен?
• Что необходимо включить в договор?
• Какие обязанности и обязательства несут контроллеры при использовании процессора?
• Какие обязанности и обязательства несут сами обработчики?
• Подробнее

Когда нужен договор и почему это важно?

Всякий раз, когда контролер использует процессор для обработки персональных данных от своего имени, между сторонами должен быть заключен письменный договор.

Аналогичным образом, если обработчик использует другую организацию (т.е. вспомогательного обработчика) для помощи в обработке персональных данных для контролера, он должен иметь письменный договор с этим вспомогательным обработчиком.

Контракты между контролерами и обработчиками гарантируют, что они оба понимают свои обязанности, ответственность и обязательства. Контракты также помогают им соблюдать GDPR Великобритании и помогают контролерам демонстрировать отдельным лицам и регулирующим органам их соответствие требованиям принципа подотчетности.

Что должно быть включено в контракт?

В контрактах должны быть указаны:

• предмет и продолжительность обработки;
• характер и цель обработки;
• тип персональных данных и категории субъекта данных; и
• обязанности и права контролера.

Контракты также должны включать конкретные условия или положения, касающиеся:

• обработки только по задокументированным инструкциям контролера;
• долг конфиденциальности;
• соответствующие меры безопасности;
• с использованием подпроцессоров;
• прав субъектов данных;
• помощь контроллеру;
• положения об окончании контракта; и
• ревизий и проверок.

Какие обязанности и обязательства несут контроллеры при использовании процессора?

Контроллеры должны использовать только процессоры, которые могут дать достаточные гарантии того, что они примут соответствующие технические и организационные меры, чтобы их обработка соответствовала требованиям GDPR Великобритании и защищала права субъектов данных.

Контроллеры несут основную ответственность за общее соблюдение GDPR Великобритании и за демонстрацию этого соответствия. Если это не будет достигнуто, они могут быть обязаны возместить ущерб в судебном порядке или подвергнуться штрафам или другим санкциям или исправительным мерам.

Какие обязанности и обязательства несут сами обработчики?

В дополнение к своим договорным обязательствам перед контроллером обработчик имеет некоторые прямые обязанности в соответствии с GDPR Великобритании. Если обработчик не выполняет свои обязательства или действует вне или вопреки инструкциям контролера, он может быть обязан возместить ущерб в судебном порядке или подвергнуться штрафам или другим санкциям или исправительным мерам.

Обработчик не может пользоваться услугами вспомогательного обработчика без предварительного специального или общего письменного разрешения контролера. Если авторизация предоставлена, обработчик должен заключить контракт с подпроцессором. Условия договора, относящиеся к статье 28(3), должны обеспечивать такой же уровень защиты персональных данных, как и в договоре между контролером и обработчиком. Обработчики по-прежнему несут ответственность перед контролером за соблюдение требований любыми подпроцессорами, которых они привлекли.

Более подробно – руководство ICO

Мы подготовили более подробное руководство по договорам и обязательствам между контролерами и обработчиками.

Структура подотчетности рассматривает ожидания ICO в отношении контрактов.

Что такое соглашение об обработке данных (DPA)?

Соглашение об обработке данных, или DPA, — это соглашение между контролером данных (например, компанией) и обработчиком данных (например, сторонним поставщиком услуг). Он регулирует любую обработку персональных данных, осуществляемую в коммерческих целях. DPA также можно назвать соглашением об обработке данных GDPR.

Обработка данных включает любую операцию, при которой данные собираются, переводятся, передаются и/или классифицируются для получения значимой информации. Компании часто нанимают третьих лиц для обработки и анализа личных данных клиентов, что обычно требует наличия DPA.

Например, New York Times (NYT) использует Google BigQuery для сбора и анализа данных о том, какие статьи люди читают, как долго они остаются на сайте и как часто используют приложение NYT. Это значимая информация для принятия бизнес-решений, и между NYT и Google, безусловно, существует DPA, который регулирует использование и управление этими данными.

В связи с этим: узнайте о других основных деловых соглашениях

В соглашении об обработке данных излагаются технические требования, которым контролер и обработчик должны следовать при обработке данных. Это включает в себя настройку условий хранения, защиты, обработки, доступа и использования данных. Соглашение также определяет, что процессор может и не может делать с данными.

DPA является ключевым компонентом соответствия GDPR.

GDPR расшифровывается как Общий регламент по защите данных. Это закон о конфиденциальности и безопасности, принятый Европейским союзом (ЕС). Хотя GDPR был создан ЕС, он применяется к любой организации, которая нацелена или собирает данные о людях в ЕС.

GDPR фокусируется главным образом на персональных данных и обработке данных, субъектах, контролерах и обработчиках. Он требует подписания DPA со сторонними обработчиками данных. Если ваша организация использует данные о резидентах ЕС, вы должны соответствовать GDPR и использовать DPA. Невыполнение этого требования может привести к большим штрафам и пени.

Организациям, использующим данные о резидентах ЕС, требуется соглашение об обработке данных GDPR каждый раз, когда они нанимают третью сторону для обработки этих данных. Для компаний, которые не взаимодействуют с пользовательскими данными из ЕС, DPA может оказаться полезным для определения условий ведения бизнеса с внешними обработчиками данных.

Соглашение об обработке данных четко определяет роли и обязанности контролеров и обработчиков. Это полезный контракт для любой договоренности между двумя сторонами, работающими с данными клиентов или пользователей.

Элементы DPA

Вообще говоря, DPA должен включать объем и цель обработки данных, какие данные будут обрабатываться, как они будут защищены, а также отношения между контроллером и процессором.

Соглашения об обработке данных GDPR должны быть особенно подробными. Они должны включать:

• Общая информация: Сюда входят действия, связанные с обработкой данных, способы использования персональных данных, сторона, ответственная за обеспечение соответствия данных требованиям GDPR, и продолжительность обработки. Он также охватывает определения субъектов данных (клиенты или пользователи), типы данных, подлежащих обработке, способы и место хранения данных, а также условия расторжения договора.
• Обязанности контролера: Когда речь идет о соблюдении GDPR, установление законной обработки данных и соблюдение прав субъектов данных ложится на контролера. Контроллер также отвечает за выдачу инструкций по обработке и определяет, как процессор обрабатывает данные.
• Обязанности обработчика: В соответствии с GDPR у обработчиков есть длинный список обязанностей. К ним относятся поддержание информационной безопасности, сотрудничество с органами власти в случае запроса, сообщение об утечке данных, предоставление возможностей для аудита, ведение учета, удаление или возврат данных по окончании контракта и многое другое.
• Технические и организационные требования: Как данные будут шифроваться, получать к ним доступ и тестировать? Могут ли обе стороны обеспечить постоянную конфиденциальность, целостность, доступность и отказоустойчивость систем и услуг обработки? GDPR требует, чтобы контролеры и обработчики учитывали, как современные технологии, затраты на внедрение и различия в личных свободах влияют на их способность обеспечивать постоянную безопасность данных.

Если обработчик планирует использовать субобработчиков, также необходим раздел, описывающий субдоговорные отношения. Обработчику требуется письменное согласие контроллера на использование подпроцессоров, которые должны обеспечивать защиту данных и регулярно проходить проверку соответствия.

Когда организация нанимает или сотрудничает со сторонним обработчиком данных, ее, скорее всего, попросят подписать соглашение об обработке данных с этим обработчиком. Это совершенно нормально и даже необходимо, если организация работает с личными данными людей, проживающих в ЕС.

Например, поставщик медицинских услуг может решить приобрести облачное программное обеспечение для управления пациентами, в котором хранится информация о медицинском обслуживании людей. Хотя программное обеспечение может быть отличным обновлением бумажных систем или электронных таблиц, поставщик программного обеспечения является третьей стороной, которая будет собирать, хранить и передавать личные данные о пациентах. Для этого необходимо соглашение об обработке данных.

При представлении DPA убедитесь, что в нем четко указано, как процессор может использовать данные. Найдите элементы DPA, перечисленные выше, и убедитесь, что они достаточно подробны, чтобы не оставлять места для интерпретации.

В случае соглашения об обработке данных GDPR помните, что контролер может нести ответственность за утечку данных, даже если она вызвана ошибкой процессора. Убедитесь, что процессор имеет пропускную способность, необходимую для обеспечения защиты данных, и примите меры для быстрого реагирования на любые возникающие проблемы.

Если вы обеспечиваете обработку данных, особенно для клиентов, работающих с данными пользователей в ЕС, вам необходимо ознакомиться с созданием и управлением DPA.

Лучше всего начать с просмотра DPA, используемых в настоящее время корпоративными процессорами. Например, DPA HubSpot легко найти и прочитать. Однако соглашения об обработке данных являются длинными, и чтение даже нескольких из них для составления собственного контракта может занять много времени.

Более того, некоторым из ваших клиентов или каждому из них могут потребоваться уникальные DPA, соответствующие их потребностям в использовании данных. Управление этими различными DPA может снизить производительность вашей юридической команды. Учитывая, насколько важно точно управлять контрактами, касающимися данных потребителей, вам понадобится интеллектуальная система управления, которая предотвращает ошибки и упущения, а также дает возможность любому, кому необходимо создать контракт.

Когда данные о контрактах хранятся в отдельных системах, которые не взаимодействуют друг с другом, берет верх неэффективность.