Додаток до обробки даних

Додаток до обробки даних

 

Цей Додаток є невід’ємною частиною Контракту і укладається між:

 

  1. (i) Клієнтом ("Експортер даних")
  2. (ii) IQUALIF ("Імпортер даних")

 

Кожен з них є "Стороною" і зазвичай "Сторонами".

 

Преамбула

ДЕ, Імпортер даних надає професійні програмні послуги, комп’ютерні та пов’язані з ними послуги (такі як браузери з розширеними функціями пошуку);

ДЕ, відповідно до Контракту, Імпортер даних погодився надавати Експортеру даних послуги, зазначені в Контракті (далі "Послуги");

ДЕ, надаючи Послуги, Імпортер даних отримує або має доступ до інформації Експортера даних або інших осіб, що мають (потенційні) відносини з Експортером даних, таку інформацію можна кваліфікувати як персональні дані відповідно до Регламенту (ЄС) 2016/679 Європейського Парламенту та Ради від 27 квітня 2016 року щодо захисту фізичних осіб у зв’язку з обробкою персональних даних і про свободу руху таких даних ("GDPR") та інших застосовних законів про захист даних.

ДЕ, цей Додаток містить умови та положення, що застосовуються до збору, обробки та використання таких персональних даних Імпортером даних у своїй ролі уповноваженого агента з обробки даних Експортера даних, щоб забезпечити дотримання Сторонами застосовного законодавства про захист даних.

 

Тому, і щоб забезпечити законне продовження їхніх відносин, Сторони уклали цей Додаток наступним чином:

Частина 1

 

1. Структура документа та визначення

1.1 Структура

Цей Додаток складається з різних частин, а саме:

 

Частина 1: 

містить загальні положення, наприклад щодо визначень, дотримання місцевого законодавства, термінів і припинення

 
Частина 2:

містить основний текст стандартних договірних положень

 
Додаток 1.1 до Частини 2:

містить деталі операцій обробки, наданих Імпортером даних Експортеру даних як уповноваженому агенту з обробки даних (включаючи характер, мету обробки, тип персональних даних і категорії суб’єктів даних) відповідно до цього Додатку

 
Додаток 2 до Частини 2:

містить опис технічних та організаційних заходів безпеки Імпортера даних, які застосовуються у зв’язку з усіма видами обробки, описаними в Додатку 1.1 Частини 2

 
Частина 3:

містить підписи Сторін, які зобов’язуються дотримуватися цього Додатку, та ідентифікує кожного Імпортера даних

 

 

1.2 Терміни та визначення

Для цілей цього Додатку застосовуються терміни та визначення, що використовуються GDPR (у тексті стандартних договірних положень у Частині 2, де визначені терміни, які не написані з великої літери). 

 

"Держави-члени"

означає країну, що належить до Європейського Союзу або Європейської Економічної Зони

 
"Особливі категорії (персональних) даних"

стосуються персональних даних, що розкривають расовий або етнічний походження, політичні погляди, релігійні або філософські переконання, членство у профспілках, генетичні дані, біометричні дані, якщо обробляються з метою унікальної ідентифікації особи, дані про здоров’я, дані про сексуальне життя або орієнтацію

 
"Стандартні договірні положення"

означають стандартні договірні положення для передачі персональних даних обробникам, що створені відповідно до рішення Комісії 2010/87/ЄС від 5 лютого 2010 року, яке було змінено рішенням Комісії 2016/2297/ЄС від 16 грудня 2016 року

 
"Обробник даних"

означає будь-якого агента з обробки, що знаходиться всередині або поза межами ЄС/ЄЕЗ, який погоджується отримати від Імпортера даних або будь-якого іншого обробника даних Імпортера даних персональні дані виключно для цілей обробки, що здійснюється після передачі відповідно до інструкцій Експортера даних, умов цього Додатку та Контракту з Імпортером даних

 

 

 

2. Обов’язки Експортера даних

2.1 Експортер даних зобов’язаний забезпечити дотримання всіх застосовних зобов’язань відповідно до GDPR та будь-якого іншого застосовного законодавства про захист даних, і демонструвати таке дотримання відповідно до статті 5 (2) GDPR. Експортер даних гарантує, що отримав попередню згоду суб’єктів даних відповідно до статті 6 (a) GDPR і виконав обов’язки щодо інформування суб’єктів даних відповідно до статей 13 і 14 GDPR.

2.2 Експортер даних має надати Імпортеру даних відповідні файли операцій обробки відповідно до статті 30 (1) GDPR, що стосуються Послуг за цим Додатком, у міру необхідності для виконання обов’язків Імпортера згідно з статтею 30 (2) GDPR.

2.3 Експортер даних має призначити уповноважену особу з питань захисту даних або представника у межах, передбачених застосовним законодавством про захист даних. Експортер даних зобов’язаний надати контактні дані такої особи або представника, якщо вони є, Імпортеру даних.

2.4. Експортер даних підтверджує перед завершенням обробки, шляхом прийняття цього Додатку, що технічні та організаційні заходи безпеки Імпортера даних, викладені в Додатку 2 до Частини 2, є відповідними та достатніми для захисту прав суб’єкта даних і підтверджує, що Імпортер даних забезпечує належний рівень захисту в цьому відношенні.

 

3. Відповідність місцевому законодавству

Для виконання вимог щодо впровадження агентів обробки відповідно до статті 28 GDPR застосовуються такі поправки:

 

3.1 Інструкції

  1. (i) Експортер даних інструктує Імпортера даних обробляти персональні дані лише від імені Експортера даних. Інструкції Експортера даних надаються у цьому Додатку та в Контракті. Експортер даних зобов’язаний забезпечити, щоб усі інструкції, надані Імпортеру даних, відповідали застосовному законодавству про захист даних. Імпортер даних має обробляти персональні дані лише відповідно до інструкцій Експортера, якщо інше не передбачено законодавством ЄС або законодавством країни-члена (у цьому випадку застосовуються положення Частини 1, пункт 3.2 (iv) (c)).
  2. (ii) Всі інші інструкції, що виходять за межі цієї Додатку або Контракту, мають бути включені до предмету цього Додатку та Контракту. Якщо реалізація додаткової інструкції спричиняє витрати для Імпортера даних, він зобов’язаний повідомити про такі витрати Експортера даних і надати пояснення до їх впровадження. Лише після підтвердження Експортера даних щодо прийняття цих витрат, Імпортер даних реалізує цю додаткову інструкцію. Експортер даних має надавати додаткові інструкції у письмовій формі, якщо не виникає терміновість або інші обставини, що вимагають іншої форми (наприклад, усно, електронно). Інструкції в іншій формі, ніж письмова, мають бути підтверджені письмово і без затримки Експортером даних.
  3. 1. Якщо Експортер даних не може самостійно здійснити корекцію, видалення або обмеження персональних даних, інструкції також можуть стосуватися корекції, видалення або обмеження персональних даних, викладених у Частині 1, пункт 3.3.
  4. 2. Імпортер даних має негайно повідомити Експортера даних, якщо, на його думку, інструкція порушує GDPR або інші застосовні положення щодо захисту даних ЄС або країни-члена ("Спірна інструкція"). Якщо Імпортер даних вважає, що інструкція порушує GDPR або інші застосовні положення, він не зобов’язаний виконувати цю Спірну інструкцію. Якщо Експортер даних підтверджує спірну інструкцію після отримання інформації від Імпортера даних і визнає свою відповідальність за цю інструкцію, Імпортер даних виконає цю інструкцію, якщо вона не стосується (i) впровадження технічних та організаційних заходів безпеки, (ii) прав суб’єктів даних або (iii) залучення обробників даних. У випадках (i)–(iii) Імпортер даних може звернутися до компетентного наглядового органу для юридичної оцінки спірної інструкції. Якщо наглядовий орган визнає інструкцію законною, Імпортер даних виконає цю інструкцію. Пункт 3.1 (ii) Частини 1 залишається чинним.

 

3.2 Обов’язки Імпортера даних

  1. (i) Імпортер даних має забезпечити, щоб особи, уповноважені ним обробляти персональні дані від імені Експортера даних, зокрема працівники Імпортера та працівники будь-яких субпідрядників, взяли на себе зобов’язання дотримуватися конфіденційності або підпадали під відповідний законний обов’язок з конфіденційності, і щоб такі особи, що мають доступ до персональних даних, обробляли їх відповідно до інструкцій Експортера даних.
  2. (ii) Імпортер даних має впровадити технічні та організаційні заходи безпеки, викладені в Додатку 2 до Частини 2, перед обробкою персональних даних від імені Експортера даних. Імпортер даних може змінювати технічні та організаційні заходи безпеки з часом, якщо вони не забезпечують меншого рівня захисту, ніж ті, що викладені в Додатку 2 до Частини 2.
  3. (iii) Імпортер даних має надати Експортеру даних за запитом інформацію, що підтверджує виконання ним зобов’язань за цим Додатком. Це може бути зроблено шляхом надання звіту про аудит (що охоплює безпеку, доступність систем і конфіденційність) ("Звіт про аудит"). За законодавчими вимогами можуть бути потрібні додаткові аудиторські заходи, і тоді Експортер даних може вимагати проведення перевірок, що їх здійснює сам Експортер або інший аудитор, призначений ним, за умови підписання ним з Імпортером даних договору про конфіденційність ("Аудит"). Цей Аудит проводиться за умови: (i) попереднього письмового погодження Імпортера даних; (ii) всі витрати на проведення Аудиту несе Експортер даних. Імпортер даних має створити звіт, що підсумовує результати та спостереження за цим Аудитом ("Звіт про внутрішній аудит"). Ці звіти є конфіденційною інформацією Імпортера даних і не підлягають розголошенню третім особам, окрім випадків, передбачених законодавством або згодою Імпортера даних.
  4. (iv) Імпортер даних зобов’язаний без зайвої затримки повідомити Експортера даних:
    1. a. щодо будь-якого юридично обов’язкового запиту про розкриття персональних даних від правоохоронних органів, якщо інше не заборонено, наприклад, за кримінальним законом для збереження конфіденційності розслідування;
    2. b. щодо будь-якої скарги або запиту, отриманого безпосередньо від суб’єкта даних (наприклад, щодо доступу, виправлення, видалення, обмеження обробки, передачі даних, заперечення проти обробки даних, автоматизованого прийняття рішень), без відповіді на цей запит, якщо Імпортер даних не має дозволу робити це;
    3. c. якщо закон ЄС або країни-члена зобов’язує Імпортера даних або обробника даних обробляти персональні дані понад інструкції Експортера даних, перед виконанням такої обробки, якщо закони ЄС або країни-члена не забороняють таку обробку з важливих публічних інтересів, у цьому випадку повідомлення Експортеру даних має містити юридичне обґрунтування відповідно до законодавства ЄС або країни-члена; або
    4. d. якщо Імпортер даних виявляє порушення персональних даних, виключно через себе або свого субпідрядника, що може вплинути на персональні дані Експортера даних, що регулюються цим контрактом, він допоможе Експортеру даних у його зобов’язаннях відповідно до застосовного законодавства про захист даних повідомити суб’єктів даних і, за потреби, наглядові органи, надаючи доступну інформацію відповідно до статті 33 (3) GDPR.
  5. (v) За запитом Експортера даних, Імпортер даних зобов’язаний допомогти йому у проведенні оцінки впливу на захист даних відповідно до статті 35 GDPR та попередніх консультаціях відповідно до статті 36 GDPR щодо послуг, що надаються Імпортером даних за цим Додатком, надаючи необхідну інформацію. Імпортер даних буде зобов’язаний надати таку допомогу лише у разі, якщо Експортер даних не може виконати це іншим способом. Він повідомить Експортеру даних про вартість такої допомоги. Як тільки Експортер даних підтвердить, що може нести ці витрати, Імпортер даних надасть цю допомогу.
  6. (vi) Наприкінці надання послуг, Експортер даних може запросити повернення персональних даних, оброблених Імпортером даних відповідно до цього Додатку, протягом одного місяця після завершення послуг. Якщо законодавство країни-члена або ЄС вимагає зберігання або утримання таких даних, Імпортер даних зобов’язаний видалити всі такі дані після закінчення цього періоду, незалежно від того, чи були вони повернені за запитом Експортера даних чи ні.

 

3.3 Права суб’єктів даних

  1.  
    1. (i) Експортер даних керує запитами суб’єктів даних і відповідає на них. Імпортер даних не зобов’язаний відповідати безпосередньо суб’єктам даних.
    2. (ii) Якщо Експортер даних потребує допомоги Імпортера даних у обробці та відповіді на запити суб’єктів даних, він видає додаткову інструкцію відповідно до пункту 3.1 (ii) Частини 1. Імпортер даних допоможе Експортеру даних відповідними технічними та організаційними заходами для реагування на запити щодо реалізації прав суб’єктів даних, викладених у розділі III GDPR, наступним чином:
    3. a. Щодо запитів на інформацію, Імпортер даних надасть Експортеру даних лише ту інформацію, яку вимагає стаття 13 і 14 GDPR, і яка у нього є, якщо він не може знайти її самостійно.
    4. b. Щодо запитів на доступ (стаття 15 GDPR), Імпортер даних надасть Експортеру даних лише ту інформацію, яку потрібно надати суб’єкту даних за цим запитом, і яка у нього є, якщо він не може знайти її самостійно.
    5. c. Щодо запитів на виправлення (стаття 16 GDPR), видалення (стаття 17 GDPR), обмеження обробки (стаття 18 GDPR) або передачі даних (стаття 20 GDPR), і лише у разі, якщо Експортер даних не може самостійно виправити або видалити, обмежити або передати персональні дані іншій третій стороні, Імпортер даних надасть можливість Експортеру даних виправити або видалити, обмежити або передати відповідні персональні дані іншій третій стороні, або, якщо це неможливо, допоможе виправити або видалити, обмежити або передати відповідні персональні дані іншій третій стороні.
    6. d. Щодо повідомлення про виправлення, видалення або обмеження обробки (стаття 19 GDPR), Імпортер даних допоможе Експортеру даних повідомити всіх отримувачів персональних даних, яких залучив як обробників, якщо Експортер даних таке запитує, і якщо він не може самостійно виправити ситуацію.
    7. e. Щодо права заперечення, реалізованого суб’єктом даних (стаття 21 і 22 GDPR), Експортер даних визначить, чи є заперечення обґрунтованим і як з ним діяти.
    8. (iii) Обов’язки допомоги Імпортера даних обмежуються персональними даними, що обробляються в його інфраструктурі (наприклад, бази даних, системи, додатки, що належать або надаються Імпортером).
    9. (iv) Експортер даних визначає, чи може суб’єкт даних реалізувати права, викладені у пункті 3.1 цієї Частини 1, і повідомляє Імпортеру даних, наскільки допомога, передбачена у пунктах 3.3 (ii), (iii), є необхідною.
    10. (v) Якщо Експортер даних запитує додаткові або змінені технічні та організаційні заходи для забезпечення прав суб’єктів даних, що виходять за межі допомоги, наданої Імпортером даних за підпунктами 3.3 (ii), (iii), він повідомить Імпортера даних про вартість такої допомоги. Як тільки Експортер даних підтвердить, що може нести ці витрати, Імпортер даних реалізує ці додаткові або змінені заходи.
    11. (vi) Без обмеження пункту 3.3 (v), Експортер даних зобов’язаний відшкодувати Імпортеру даних його обґрунтовані витрати, понесені у відповідь на запити суб’єктів даних.

 

3.4 Підрядна обробка

  1.  
    1. (i) Експортер даних дозволяє Імпортеру даних використовувати субпідрядників для надання послуг відповідно до цього Додатку. Імпортер даних має ретельно обирати таких обробників даних. Експортер даних затверджує обробників даних, зазначених у Додатку 1.1 у кінці Частини 2.
    2. (ii) Імпортер даних передає свої зобов’язання за цим Додатком обробнику(ам) даних у межах застосовності до субпідрядних послуг.
    3. (iii) Імпортер даних може звільнити, замінити або призначити іншого відповідального та надійного обробника даних за власним розсудом. За письмовим запитом Експортера даних, Імпортер даних має дотримуватися процедури, викладеної нижче:
  2.  
    1. a. Імпортер даних повідомляє Експортера даних перед будь-якими змінами у списку обробників даних, зазначених у пункті 3.4 (i) Частини 1. Якщо Експортер даних не заперечує протягом тридцяти днів після отримання повідомлення, додаткові обробники даних вважаються прийнятими.
    2. b. Якщо у Експортера даних є обґрунтовані підстави заперечувати використання додаткового обробника даних, він надає письмове попереднє повідомлення Імпортеру даних протягом тридцяти днів після отримання повідомлення та перед початком роботи такого обробника. Якщо Експортер даних заперечує використання додаткового обробника даних, Імпортер даних може скасувати свої плани щодо використання такого обробника або вжити заходів, що його виправляють (скасування заперечення), або припинити надання послуги, що передбачає використання такого обробника, або погодитися з цим.
  3.  
    1. (iv) Якщо обробник даних знаходиться за межами ЄС/ЄЕЗ у країні, яка не визнана Європейською Комісією як забезпечуюча належний рівень захисту даних, Імпортер даних вживе заходів для забезпечення належного рівня захисту даних відповідно до GDPR (зокрема, використовуючи договори про обробку даних на основі стандартних положень, передачу до сертифікованих обробників даних у рамках EU-US Privacy Shield або подібних програм).

 

3.5 Термін дії

Закінчення дії цього Додатку збігається з датою закінчення відповідного Контракту. За винятком випадків, передбачених цим Додатком, права та обов’язки щодо припинення дії є такими ж, як і у Контракті.

 

4. Обмеження відповідальності

4.1 Кожна сторона відповідає за свої зобов’язання за цим Додатком та застосовним законодавством про захист даних.

4.2 Вся відповідальність за порушення зобов’язань за цим Додатком або застосовним законодавством про захист даних регулюється положеннями про відповідальність, викладеними у Контракті або застосовними до нього, за винятком випадків, коли передбачено інше цим Додатком. Якщо відповідальність регулюється положеннями Контракту, для обчислення меж відповідальності або застосування інших обмежень відповідальності будь-яка відповідальність за цим Додатком вважається виникаючою відповідно до Контракту.

 

5. Загальні положення

5.1 У разі будь-яких суперечностей або розбіжностей між Частинами 1 і 2 цього Додатку, перевага надається Частині 2. Навіть у такому випадку, Частина 1, яка виходить за межі Частини 2 (тобто умови Стандартних положень), без суперечності залишатиметься дійсною.

5.2 У разі будь-яких розбіжностей між положеннями цього Додатку та інших договорів, що зобов’язують сторони, цей Додаток має перевагу щодо зобов’язань сторін щодо захисту даних. У разі сумнівів щодо того, чи стосуються положення інших договорів зобов’язань щодо захисту даних, перевагу має цей Додаток.

5.3 Якщо будь-яке положення цього Додатку є недійсним або не має сили, решта цього Додатку залишається чинною. Недійсне або нечинне положення буде (i) змінено для забезпечення його дійсності та виконуваності, з урахуванням намірів сторін, або — якщо це неможливо — (ii) інтерпретовано так, ніби недійсна або нечинна частина ніколи не була частиною контракту. Це також застосовуватиметься у разі пропуску в цьому Додатку.

5.5 За необхідності, сторони можуть просити внести зміни до Частини 1, пункту 3 (Відповідність місцевому законодавству) або інших частин Додатку для відповідності тлумаченням, директивам або наказам компетентних органів Союзу або країн-членів, національним положенням щодо виконання або будь-яким іншим правовим змінам, що стосуються GDPR або інших умов делегування будь-яким суб’єктам, залученим до обробки даних, зокрема щодо використання Стандартних договірних положень у GDPR. Умови Стандартних договірних положень не можуть бути змінені або замінені, якщо Європейська Комісія не схвалить це явно (наприклад, новими відповідними положеннями або стандартами захисту даних).

5.6 Будь-яке посилання в цьому Додатку на "Положення" слід розуміти як посилання на всі положення цього Додатку, якщо інше не зазначено.

5.7 Вибір законодавства у пункті 2, пункті 9 застосовується до всього Контракту.

 

6. Персональні дані, передані та оброблені сторонами для особистих цілей (перехід від контролера до контролера)

6.1 Сторони повністю усвідомлюють, що певні персональні дані будуть передані від Експортера даних до Імпортера даних і навпаки, і що такі дані обробляються кожною стороною для своїх цілей. Щодо таких персональних даних, це не впливає на інші положення цього Додатку (крім цього пункту 6).

6.2 Експортер даних може передавати персональні дані, що стосуються персоналу Імпортера даних, включаючи інформацію про інциденти безпеки або будь-які інші документи або файли, створені або встановлені Експортером даних у зв’язку з Послугами, що надаються персоналом Імпортера даних. Імпортер даних може обробляти такі персональні дані для своїх цілей, зокрема у своїх професійних відносинах з персоналом Імпортера, для контролю якості та навчання або для бізнес-цілей.

6.3 Імпортер даних може передавати персональні дані Експортеру даних, включаючи ім’я та контактні дані персоналу Імпортера даних. Експортер даних може обробляти такі персональні дані для своїх цілей.

6.4 Обидві сторони зобов’язані дотримуватися застосовного законодавства про захист даних, включаючи GDPR, при зборі, обробці та використанні таких персональних даних, отриманих від іншої сторони відповідно до пункту 1 Частини 1. Зокрема, обидві сторони мають вжити належних заходів безпеки, забезпечуючи рівень захисту, що не нижчий за рівень заходів безпеки, викладених у Додатку 2 Частини 2. Доступ до таких персональних даних має бути обмежений лише тим, хто їх потребує.

6.5 Обидві сторони мають якомога швидше видалити такі персональні дані після досягнення цілей.

Частина 2

 

РІШЕННЯ КОМІСІЇ

від 5 лютого 2010 року

про стандартні договірні положення для передачі персональних даних обробникам, що створені у країнах, що не входять до ЄС, відповідно до Директиви 95/46/ЄС Європейського Парламенту та Ради

 

 

 

Пункт 1

Визначення

Згідно з положеннями цих Положень:

a) "персональні дані", "особливі категорії даних", "обробка/обробляти", "контролер", "обробник", "суб’єкт даних" і "наглядовий орган" мають таке саме значення, як у Директиві 95/46/ЄС від 24 жовтня 1995 року щодо захисту фізичних осіб у зв’язку з обробкою персональних даних і про свободу руху таких даних (1);

b) "Експортер даних" — контролер даних, що передає персональні дані;

c) "Імпортер даних" — обробник даних, який погоджується отримати від Експортера даних персональні дані, що мають оброблятися від імені Експортера даних після передачі відповідно до його інструкцій і за умовами цих Положень, і який не підпадає під механізм третьої країни, що забезпечує належний рівень захисту відповідно до статті 25(1) Директиви 95/46/ЄС; (d) "Обробник даних" означає обробника даних, залученого Імпортером даних або будь-яким іншим обробником Імпортера даних, який погоджується отримати від Імпортера даних або будь-якого іншого обробника даних Імпортера персональні дані виключно для цілей обробки, що здійснюється від імені Експортера даних після передачі відповідно до інструкцій Експортера даних, за умовами цих Положень і за письмовим договором про підрядну обробку даних;

e) "застосовне законодавство про захист даних" означає законодавство, що захищає основні права і свободи фізичних осіб, включаючи право на приватність щодо обробки персональних даних, і застосовується до контролера у країні, де він зареєстрований;

f) "технічні та організаційні заходи щодо безпеки" означають заходи, спрямовані на захист персональних даних від випадкового або незаконного знищення або випадкової втрати, змін, несанкціонованого розкриття або доступу, зокрема, коли обробка включає передачу даних через мережі, і від усіх інших незаконних форм обробки.

Пункт 2

Деталі передачі

Деталі передачі, включаючи, за необхідності, особливі категорії персональних даних, визначені у Додатку 1, що є невід’ємною частиною цих Положень.

Пункт 3

Положення про третю сторону

1. Суб’єкт даних може застосовувати цю Положення, Пункт 4(б) до (і), Пункт 5(а) до (е) і (г) до (ж), Пункт 6 (1) і (2), Пункт 7, Пункт 8(2) і Положення 9–12 як третя сторона, що має право вимагати виконання.

2. Суб’єкт даних може застосовувати цю Положення, Пункт 5(а) до (е) і (г), Пункт 6, Пункт 7, Пункт 8(2) і Положення 9–12 до Імпортера даних, якщо Експортер даних фактично зник або припинив існувати юридично, якщо всі його юридичні зобов’язання не були передані, за договором або за законом, правонаступнику, до якого переходять права і обов’язки Експортера даних, і проти якого суб’єкт даних може застосовувати ці положення.

Зазначена відповідальність Імпортера даних обмежується його власною обробкою відповідно до цих Положень.