Соглашение об обработке данных (DPA)

Последнее обновление:

Настоящее Соглашение об обработке данных («DPA») является частью Условий предоставления услуг или любого другого соглашения о предоставлении услуг («Основное соглашение») между quia-reprehenderit.com («Обработчик» или «мы») и вами («Контролер» или «Клиент»). Настоящее DPA применяется в тех случаях и в той мере, в какой quia-reprehenderit.com обрабатывает Персональные данные от имени Контролера в ходе предоставления услуг.

Настоящее DPA предназначено для удовлетворения требований статьи 28(3) Общего регламента по защите данных (ЕС) 2016/679 («GDPR») и любых применимых национальных имплементирующих законов, с поправками или заменяемых время от времени.

1. Определения

Термины, используемые в настоящем DPA (такие как «Персональные данные», «Контролер», «Обработчик», «Субъект данных», «Обработка», «Надзорный орган»), имеют значения, присвоенные им в GDPR.

• «Данные Клиента» означают любые Персональные данные, которые quia-reprehenderit.com обрабатывает от имени Клиента в связи с Услугами.
• «Услуги» относятся к консалтинговым услугам и любым связанным предложениям, предоставляемым quia-reprehenderit.com Клиенту, как описано в Основном соглашении.

2. Обработка Персональных данных

2.1. Роли Сторон

Стороны признают и соглашаются, что для целей настоящего DPA:

• Клиент является Контролером Данных Клиента.
• quia-reprehenderit.com является Обработчиком Данных Клиента.

2.2. Предмет, продолжительность, характер и цель обработки

• Предмет: Обработка Данных Клиента в связи с предоставлением консалтинговых услуг компанией quia-reprehenderit.com.
• Продолжительность: Срок действия Основного соглашения и до тех пор, пока quia-reprehenderit.com будет обязан обрабатывать Данные Клиента для указанных целей или в соответствии с применимым законодательством.
• Характер и цель: Для того чтобы quia-reprehenderit.com мог предоставлять согласованные Услуги Клиенту, что может включать сбор, хранение, анализ и отчетность по данным, предоставленным Клиентом или созданным для него. Это может включать коммуникацию, управление проектами, анализ данных, стратегическое планирование и другие консалтинговые мероприятия, как указано в Задании на выполнение работ (SOW).

2.3. Типы Персональных данных и категории Субъектов данных

• Типы Персональных данных: Это может включать, но не ограничиваться, имена, контактные данные (адрес электронной почты, номер телефона, адрес), профессиональную информацию (должность, компания), содержание сообщений и любые другие Персональные данные, которые Клиент решает предоставить или сделать доступными для quia-reprehenderit.com в контексте Услуг. Конкретные типы Персональных данных будут зависеть от характера консалтингового проекта.
• Категории Субъектов данных: Это может включать, но не ограничиваться, сотрудников Клиента, подрядчиков, клиентов, потенциальных клиентов, деловых партнеров или других лиц, чьи Персональные данные предоставляются quia-reprehenderit.com Клиентом.

3. Обязательства Обработчика (quia-reprehenderit.com)

quia-reprehenderit.com, как Обработчик, обязуется:

• Обрабатывать Данные Клиента только по документированным инструкциям Клиента (Контролера), в том числе в отношении передачи Персональных данных в третью страну или международную организацию, если это не требуется законодательством Союза или государства-члена, которому подчиняется quia-reprehenderit.com; в таком случае quia-reprehenderit.com информирует Клиента об этом правовом требовании перед обработкой, если только это законодательство не запрещает такую информацию по важным причинам общественного интереса. Основное соглашение и настоящее DPA представляют собой такие документированные инструкции.
• Обеспечить, чтобы лица, уполномоченные обрабатывать Данные Клиента, взяли на себя обязательство о конфиденциальности или находились под соответствующим установленным законом обязательством о конфиденциальности.
• Принимать соответствующие технические и организационные меры для обеспечения уровня безопасности, соответствующего риску, в соответствии со статьей 32 GDPR. Эти меры должны учитывать современный уровень техники, затраты на реализацию, а также характер, объем, контекст и цели обработки, а также риск различной вероятности и серьезности для прав и свобод физических лиц.
• Соблюдать условия, указанные в пунктах 2 и 4 статьи 28 GDPR, для привлечения другого обработчика (субобработчика). Если quia-reprehenderit.com привлекает субобработчика, он делает это только с предварительного специального или общего письменного разрешения Клиента. В случае общего письменного разрешения quia-reprehenderit.com информирует Клиента о любых предполагаемых изменениях, касающихся добавления или замены других субобработчиков, тем самым предоставляя Клиенту возможность возразить против таких изменений. quia-reprehenderit.com налагает на таких субобработчиков обязательства по защите данных, эквивалентные тем, которые изложены в настоящем DPA.
• Принимая во внимание характер обработки, оказывать Клиенту содействие с помощью соответствующих технических и организационных мер, насколько это возможно, для выполнения обязательства Клиента по ответам на запросы об осуществлении прав Субъекта данных, изложенных в Главе III GDPR.
• Оказывать Клиенту содействие в обеспечении соблюдения обязательств в соответствии со статьями 32-36 GDPR, принимая во внимание характер обработки и информацию, доступную quia-reprehenderit.com.
• По выбору Клиента удалить или вернуть все Данные Клиента Клиенту после прекращения предоставления услуг, связанных с обработкой, и удалить существующие копии, если законодательство Союза или государства-члена не требует хранения Персональных данных.
• Предоставлять Клиенту всю информацию, необходимую для демонстрации соблюдения обязательств, изложенных в статье 28 GDPR, и разрешать и способствовать проведению аудитов, включая инспекции, проводимые Клиентом или другим аудитором, уполномоченным Клиентом. quia-reprehenderit.com немедленно информирует Клиента, если, по его мнению, инструкция нарушает GDPR или другие положения Союза или государства-члена о защите данных.

4. Обязательства Контролера (Клиента)

Клиент, как Контролер, гарантирует и обязуется, что:

• Он соблюдал и будет продолжать соблюдать все применимые законы о защите данных, включая GDPR, в отношении обработки им Данных Клиента и любых инструкций по обработке, которые он выдает quia-reprehenderit.com.
• У него есть все необходимые права и согласия для разрешения quia-reprehenderit.com обрабатывать Данные Клиента в соответствии с настоящим DPA и Основным соглашением.
• Он будет нести ответственность за точность, качество и законность Данных Клиента, а также за средства, с помощью которых он приобрел Данные Клиента.

5. Субобработка

Клиент предоставляет общее разрешение quia-reprehenderit.com на привлечение субобработчиков. quia-reprehenderit.com будет вести список своих текущих субобработчиков, который будет предоставляться Клиенту по запросу. quia-reprehenderit.com будет уведомлять Клиента о любых новых назначениях субобработчиков, предоставляя Клиенту возможность возразить.

В случае привлечения субобработчика quia-reprehenderit.com заключит с ним письменное соглашение, налагающее обязательства по защите данных, которые являются как минимум такими же защитными, как и в настоящем DPA. quia-reprehenderit.com остается полностью ответственным перед Клиентом за выполнение обязательств субобработчика.

6. Передача данных

Данные Клиента могут обрабатываться в странах за пределами Европейской экономической зоны (ЕЭЗ). Если quia-reprehenderit.com передает Данные Клиента за пределы ЕЭЗ, он обеспечивает наличие соответствующих гарантий, таких как Стандартные договорные условия (SCC), одобренные Европейской комиссией, или полагается на решение об адекватности для защиты Данных Клиента в соответствии с требованиями GDPR.

7. Безопасность данных и уведомление о нарушениях

quia-reprehenderit.com внедряет и поддерживает соответствующие технические и организационные меры безопасности для защиты Данных Клиента от случайного или незаконного уничтожения, потери, изменения, несанкционированного раскрытия или доступа. В случае нарушения безопасности Персональных данных, затрагивающего Данные Клиента, quia-reprehenderit.com уведомляет Клиента без неоправданной задержки после того, как ему стало известно о нарушении. Это уведомление, насколько это возможно, будет описывать характер нарушения, категории и приблизительное количество затронутых Субъектов данных и записей Персональных данных, вероятные последствия, а также принятые или предлагаемые меры для устранения нарушения.

8. Срок действия и прекращение

Настоящее DPA остается в силе до тех пор, пока quia-reprehenderit.com обрабатывает Данные Клиента от имени Клиента в соответствии с Основным соглашением. Положения настоящего DPA, которые по своему характеру должны оставаться в силе после прекращения действия (например, конфиденциальность, возврат/удаление данных), останутся в силе.

9. Применимое право

Настоящее DPA регулируется и толкуется в соответствии с законодательством Эстонии, если иное не требуется применимым законодательством о защите данных.

10. Контактная информация

По любым вопросам или проблемам, связанным с настоящим DPA или обработкой данных, пожалуйста, свяжитесь с:

Сотрудник по защите данных quia-reprehenderit.com
Timuti 18, 15051 Tallinn, Harjumaa, Estonia
Электронная почта: [email protected] (Тема: Запрос по DPA)