Соглашение об обработке данных

1. Сфера применения, действие и правовая база

Это соглашение об обработке данных («DPA») применяется, когда выполняются следующие условия:

• Клиент выступает в качестве контролера данных, имеющего юридические полномочия определять цели и средства деятельности по обработке персональных данных
• Trackr обрабатывает персональные данные исключительно от имени и в соответствии с документально зафиксированными инструкциями контролера в пределах наших технических и операционных возможностей
• Обработка данных подпадает под действие британского GDPR, европейского GDPR или других правил защиты данных
• Обработка включает персональные данные, как это определено в применимых законах о защите данных
• Клиент создал подходящую законную основу для обработки и выполняет все обязательства контролера

2. Определения и юридическое толкование

• «Контролер» — это клиент, который решает, как и зачем обрабатывать личные данные через наши услуги мониторинга и несет ответственность за выполнение обязательств контролера по закону о защите данных.
• «Обработчик» — это Trackr, который обрабатывает персональные данные от имени и по документально зафиксированным инструкциям Контролера в рамках наших сервисных возможностей и операционных параметров.
• «Персональные данные» — это любая информация, связанная с идентифицированным или идентифицируемым физическим лицом, которая содержится в отслеживаемом контенте, получена из него или случайно собрана через него.
• «Обработка» — это любые действия с персональными данными, включая сбор, запись, организацию, структурирование, хранение, адаптацию, извлечение, консультацию, использование, раскрытие, распространение, ограничение, удаление или уничтожение.
• «Субъект данных» — это идентифицированное или идентифицируемое физическое лицо, чьи персональные данные обрабатываются через наши услуги
• «Субпроцессор» — это любая третья сторона, которую обрабатывающий привлекает для помощи в предоставлении услуг, связанных с обработкой персональных данных, с соответствующими договорными гарантиями.
• «Применимое законодательство» — это GDPR Великобритании, GDPR ЕС и все другие законы о защите данных, конфиденциальности и кибербезопасности, которые применимы к обработке данных

3. Обязанности контролера и требования к соблюдению

3.1 Правовая основа и требования законности

Контролер заявляет, гарантирует и обязуется, что:

• Все инструкции по обработке, предоставленные Обработчику, имеют надлежащую и действительную правовую основу в соответствии со статьей 6 GDPR Великобритании с соответствующей документацией.
• Если речь идет о данных особой категории, то дополнительные условия в соответствии со статьей 9 GDPR Великобритании выполняются с соответствующими доказательствами
• Все нужные согласия, разрешения и законные полномочия для мониторинга деятельности получены
• Обработка соответствует принципам минимизации данных, ограничения цели, точности, ограничения хранения и другим принципам защиты данных
• Всем заинтересованным лицам были предоставлены соответствующие уведомления о конфиденциальности с необходимой информацией
• Оценки воздействия на защиту данных были проведены, где это требуется законом, с соответствующими мерами по снижению рисков.
• Контролер имеет соответствующие ресурсы и возможности для выполнения нормативных обязательств и потенциальной ответственности.

3.2 Разрешение на мониторинг и права третьих лиц

Контролер также заявляет и гарантирует:

• Он имеет все нужные права, разрешения и законные полномочия для мониторинга определенных веб-сайтов и контента.
• Соблюдение всех применимых условий обслуживания, директив robots.txt, технических ограничений и отраслевых стандартов
• Он не нарушает права интеллектуальной собственности, права на неприкосновенность частной жизни, обязательства по конфиденциальности или другие права третьих лиц
• Соблюдение всех правил, профессиональных стандартов и этических норм
• Использует нужные меры безопасности для перемещения данных между странами, если это нужно
• Ведение полной документации, подтверждающей все правовые основания и разрешения

3.3 Система управления правами субъектов данных

Контролер признает, что он несет полную ответственность за:

• Прием, оценку и ответ на все запросы субъектов данных в установленные законом сроки
• Определение действительности, объема и надлежащего ответа на запросы о правах в соответствии с применимым законодательством
• Предоставление четких инструкций обработчику для технической реализации подтвержденных запросов в рамках наших возможностей
• Управление всей прямой коммуникацией с субъектами данных в отношении их персональных данных и прав
• Ведение полных записей о запросах и ответах для соблюдения нормативных требований
• Покрытие всех затрат, расходов и обязательств, связанных с соблюдением запросов о правах

4. Обязательства обработчика и структура услуг

4.1 Инструкции по обработке и технические ограничения

Обработчик обязуется обрабатывать личные данные в соответствии с:

• Документированным инструкциям, предоставленным через наш интерфейс обслуживания, настройкам конфигурации и авторизованным каналам связи
• Параметрами конфигурации, указанными в панелях управления учетной записи клиента и элементах управления услугами
• Письменным инструкциям, отправленным через официальные каналы поддержки с соответствующей аутентификацией
• Техническими спецификациями и операционными ограничениями, присущими возможностям нашей сервисной платформы
• Применимым юридическим обязательствам, требующим обработки для целей соблюдения нормативных требований, безопасности или эксплуатации

4.2 Авторизация персонала и система конфиденциальности

Обработчик данных следит за тем, чтобы все сотрудники, уполномоченные обрабатывать личные данные:

• обязан соблюдать все правила конфиденциальности даже после увольнения
• проходит соответствующее обучение по принципам защиты данных, требованиям безопасности и операционным процедурам
• прошел необходимую проверку и, если нужно, получил допуск к секретной информации
• работает по строгим принципам доступа по необходимости с контролем авторизации на основе ролей
• подвергается дисциплинарным процедурам и потенциальным судебным искам за нарушения в области защиты данных
• Проходят постоянное обучение и повышают свою осведомленность в вопросах безопасности в рамках непрерывного профессионального развития

4.3 Технические и организационные меры безопасности

Обработчик использует комплексные меры безопасности, включая:

• Усовершенствованные протоколы шифрования для передачи данных (TLS 1.3) и хранения (AES-256) с управлением ключами
• Многоуровневый контроль доступа, системы аутентификации и механизмы авторизации с аудиторскими следами
• Постоянный мониторинг безопасности, обнаружение вторжений, автоматическое реагирование на угрозы и управление инцидентами
• Регулярные проверки безопасности, тестирование уязвимостей, тестирование на проникновение и аудиты третьих сторон
• Комплексные системы резервного копирования с шифрованием, географической избыточностью и проверенными процедурами восстановления
• Усовершенствованные протоколы реагирования на инциденты, процедуры уведомления о нарушениях безопасности и возможности проведения экспертизы

5. Система помощи по правам субъектов данных

5.1 Возможности и объем технической помощи

Обработчик данных будет оказывать разумную техническую помощь в реализации прав субъектов данных в рамках наших технических возможностей:

• Доступ к данным: создание структурированных экспортов данных в стандартных форматах (JSON, CSV, XML) в течение тридцати (30) дней с момента подтверждения запроса с соответствующей аутентификацией
• Исправление данных: исправление персональных данных по указанию контролера, если это технически возможно в рамках существующих системных возможностей
• Удаление данных: удаление указанных персональных данных по указанию Контролера с учетом циклов хранения резервных копий и юридических обязательств
• Переносимость данных: предоставление структурированных, машиночитаемых форматов данных, где это применимо к автоматизированным операциям обработки
• Ограничение обработки: ограничение обработки, если это технически возможно в рамках существующей системы

5.2 Ограничения помощи и коммерческие ограничения

• Техническая помощь ограничена возможностями нашей существующей сервисной платформы без индивидуальной разработки
• Сложные или нестандартные запросы могут потребовать более длительного времени обработки и дополнительных затрат
• Обработчик данных не может давать юридические советы по поводу действительности, объема или соответствия запросов субъектов данных
• Контролер остается единственным ответственным за соблюдение законодательства, адекватность ответов и взаимодействие с регулирующими органами
• Время ответа может увеличиться для технически сложных запросов, требующих специального расследования
• Вся техническая помощь предоставляется в зависимости от наших операционных приоритетов и наличия ресурсов

6. Управление субпроцессорами и система авторизации

6.1 Текущее разрешение субпроцессоров

Контролер дает общее письменное разрешение на привлечение субпроцессоров, указанных в нашем Списке субпроцессоров. Все субпроцессоры обязаны соблюдать соглашения об обработке данных, которые обеспечивают эквивалентные стандарты защиты и обязательства по безопасности с соответствующим надзором.

6.2 Управление изменениями и уведомления о смене субпроцессоров

Для добавления или изменения субпроцессоров:

• За 30 дней нужно написать письмо на адрес электронной почты, который указан в учетной записи Контролера.
• Полная информация об услугах субпроцессора, деятельности по обработке данных и мерах безопасности
• Возможность для Контролера возразить против предлагаемых изменений в течение периода уведомления с разумным обоснованием
• Право прекратить услуги, если законные возражения не могут быть устранены с помощью альтернативных мер
• В экстренных случаях, связанных с критическими инцидентами безопасности, можно привлечь субпроцессора с ускоренным уведомлением
• Все изменения субпроцессоров зависят от наших бизнес-требований и операционных нужд

6.3 Соответствие и контроль субпроцессоров

Обработчик данных гарантирует, что все субпроцессоры:

• Выполняют комплексные соглашения об обработке данных, соответствующие требованиям статьи 28 GDPR Великобритании, с усиленными положениями о безопасности
• Применяют соответствующие технические и организационные меры, соразмерные рискам обработки
• Проходят регулярные проверки безопасности и соответствия через признанные системы аудита
• Имеют актуальные сертификаты по защите и безопасности данных (ISO 27001, SOC 2 и т. д.)
• дают договорные обязательства по удалению или возврату данных после прекращения оказания услуг
• Проходить постоянный мониторинг эффективности и процедуры проверки соответствия

7. Меры безопасности при международной передаче данных

7.1 Внедрение механизма передачи

Для передачи персональных данных за пределы Великобритании и Европейской экономической зоны:

• Решения об адекватности: передача в страны, в отношении которых Европейская комиссия или правительство Великобритании приняли решения об адекватности
• Стандартные договорные условия: использование текущих стандартных договорных условий ЕС и приложения Великобритании по международной передаче данных
• Сертификационные программы: использование сертификатов EU-US Data Privacy Framework, где это применимо
• Дополнительные меры: дополнительные технические и договорные меры безопасности на основе оценки воздействия передачи

7.2 Оценка и мониторинг влияния передачи

Обработчик проводит оценку международных соглашений о передаче данных, включая:

• Регулярный пересмотр законодательства страны назначения, влияющего на защиту и безопасность данных
• Мониторинг изменений в законодательстве, которые могут повлиять на эффективность механизмов передачи
• Внедрение дополнительных мер, если оценка рисков показывает, что это нужно
• Документирование мер безопасности передачи данных и оценки воздействия для проверки регулирующими органами

8. Система хранения и удаления данных

8.1 Управление сроками хранения

• Персональные данные хранятся в соответствии с периодами хранения, указанными Контролером и настроенными в параметрах сервиса
• Максимальный срок хранения — двадцать четыре (24) месяца, если только закон не требует хранить их дольше
• Автоматические процедуры удаления, которые работают по настроенному графику и правилам хранения
• Резервные копии данных хранятся до девяноста (90) дней для технического восстановления
• Процедуры анонимизации применяются к данным, хранящимся для законных деловых целей после истечения первоначальных сроков хранения

8.2 Процедуры удаления данных и проверка

• Безопасное удаление с помощью стандартных методов уничтожения данных и техник перезаписи
• Полное удаление во всех системах, резервных копиях и средах субпроцессоров в рамках технических ограничений
• Сертификат об удалении предоставляется по запросу контролера с разумным предварительным уведомлением
• Увеличенные сроки удаления для географически распределенных систем и инфраструктур резервного копирования
• Юридические обязательства могут помешать или задержать удаление, если данные должны быть сохранены для целей соблюдения нормативных требований

9. Управление утечкой персональных данных

9.1 Обязательства обработчика по уведомлению

Как только станет известно о нарушении безопасности персональных данных, которые касаются данных Контролера:

• Уведомление контролера без неоправданной задержки и в течение семидесяти двух (72) часов, если это возможно с операционной точки зрения
• Нужно предоставить полную информацию о нарушении, включая его характер, масштаб, затронутые категории данных и оценку воздействия.
• Подробное описание принятых мер по локализации утечки и текущих действий по реагированию
• Оценка возможных последствий и рекомендации по мерам реагирования контролера
• Постоянное обновление информации по мере поступления новых сведений в ходе расследования и устранения последствий
• Сотрудничество в расследовании, не забывая про рабочие требования

9.2 Обязанности контролера по реагированию

Контролер берет на себя полную ответственность за:

• Оценку требований по уведомлению о нарушении в соответствии с применимым законодательством и нормативными обязательствами
• Уведомление надзорных органов в установленные законом сроки, если это требуется по закону
• Общение с затронутыми субъектами данных по поводу нарушений с высоким риском, как это определено законом
• Координацию с регулирующими органами и предоставление необходимой документации о нарушении
• Соблюдение правовых и нормативных требований при всех действиях и коммуникациях, связанных с реагированием на нарушения
• Все расходы, затраты и обязательства, связанные с инцидентами нарушения, включая действия регулирующих органов

10. Права на аудит и проверка соответствия

10.1 Предоставление информации и документации

Обработчик предоставит информацию, необходимую для подтверждения соблюдения статьи 28, включая:

• Текущие политики безопасности, процедуры и техническую документацию, связанные с обработкой персональных данных
• Резюме соглашений с субпроцессорами и отчеты об оценке безопасности, подтверждающие адекватную защиту
• Записи об обучении персонала и подтверждения соглашений о конфиденциальности для сотрудников, имеющих доступ к данным
• Отчеты о сертификации безопасности и результаты аудита от известных сторонних организаций
• Процедуры реагирования на инциденты и протоколы уведомления о нарушениях с документально подтвержденными возможностями
• Документы о соответствии, которые должны быть конфиденциальными и учитывать требования бизнеса

10.2 Процедуры проверки и аудита

• Контролер может запросить дополнительную информацию о соответствии требованиям с разумным предварительным уведомлением и обоснованием
• Физические аудиты могут быть организованы с учетом требований безопасности, предварительного планирования и договоренностей о стоимости
• Отчеты сторонних аудиторов из признанных сертификационных органов принимаются вместо прямых аудитов Контролера
• Аудит только на то, что касается обработки персональных данных Контролера
• Обязательства по конфиденциальности распространяются на всю информацию и результаты аудита для защиты бизнес-операций
• Аудиторские мероприятия проводятся с учетом наших операционных требований и соображений непрерывности бизнеса.

11. Система ответственности и распределение рисков

11.1 Обязательства Контролера по возмещению убытков

Контролер соглашается компенсировать Обработчику претензии, убытки, затраты и расходы, возникающие в результате:

• несоблюдения Контролером законов, правил или требований надзорных органов по защите данных
• неавторизованных действий по мониторингу или нарушений условий обслуживания третьих лиц и правовых ограничений
• Недостаточных законных оснований, недостаточного согласия или несоблюдения принципов защиты данных
• непредоставления контролером надлежащих уведомлений о конфиденциальности или неполучения необходимых разрешений
• Штрафов, взысканий или санкций, связанных с тем, что Контролер не соблюдал правила защиты данных
• Требования третьих лиц, связанные с мониторингом или сбором данных контролером
• Нарушение контролером заявлений, гарантий или обязательств в соответствии с настоящим DPA

12. Расторжение соглашения и обработка данных

12.1 Причины и процедуры расторжения

Это Соглашение об обработке данных автоматически заканчивается, если:

• расторжения или истечения срока действия основного соглашения об оказании услуг между сторонами
• Прекращения обработки персональных данных Контролером с помощью услуг Обработчика
• Существенного нарушения любой из сторон после тридцати (30) дней с момента письменного уведомления и возможности исправить ситуацию
• законодательных или нормативных требований, запрещающих продолжение отношений по обработке
• бизнес-операционные требования или коммерческие соображения любой из сторон

12.2 Обработка данных после прекращения действия договора

После прекращения действия DPA:

• Обработчик прекращает всю обработку персональных данных, кроме тех, которые нужны для возврата данных или выполнения юридических обязательств
• Возврат данных или их безопасное удаление будут осуществляться в соответствии с инструкциями Контролера и нашими техническими возможностями
• Резервные копии данных могут храниться до девяноста (90) дней после первичного удаления для технического восстановления
• Сертификат об удалении предоставляется по запросу с разумным предварительным уведомлением и административным сбором
• Остаются в силе обязательства по конфиденциальности, ограничению ответственности и возмещению убытков
• Данные могут храниться, если это нужно по закону или для законных бизнес-целей.

13. Применимое право и разрешение споров

13.1 Правовая база и юрисдикция

• Настоящее Соглашение о обработке данных регулируется и толкуется в соответствии с законодательством Англии и Уэльса.
• Споры подлежат обязательному арбитражу в соответствии с правилами Лондонского международного арбитражного суда (LCIA), если это разрешено законом.
• Надзорные органы сохраняют полную регулятивную юрисдикцию, независимо от договорного разрешения споров.
• В случае нарушения защиты данных можно обратиться в английские суды за экстренной судебной защитой.
• Потребители сохраняют законные права на судебное разбирательство в случаях, когда арбитраж запрещен.

13.2 Соблюдение нормативных требований и признание полномочий

Обе стороны признают, что надзорные органы имеют:

• Независимую юрисдикцию в отношении соблюдения требований по защите данных, независимо от договорных соглашений
• Правом налагать штрафы, взыскания и принимать корректирующие меры в соответствии с применимым законодательством о защите данных
• Право проводить расследования и требовать сотрудничества, независимо от того, что написано в контракте
• Право приостанавливать или запрещать обработку данных, если не соблюдаются правила
• право отменять договорные положения, если они не соответствуют нормативным требованиям

14. Контактная информация и юридическая переписка