УСЛОВИЯ ОБРАБОТКИ ПД

 

УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Настоящий документ регулирует обработку персональных данных, которые ExpertSender обрабатывает от имени Клиента (Оператора данных) и является неотъемлемой частью Договора.

 

 

Компания ExpertSender S.A., основное юридическое лицо которой находится по адресу: Гданьск (80-280), ул. С.К. Норвида, 1, Польша, идентификационный номер плательщика НДС: PL 5862237116, внесена в реестр предпринимателей Национального судебного реестра окружным судом Гданьск-Север в Гданьске, Польша. VIII Коммерческое подразделение NCR (“KRS”) с регистрационным номером: 0000916101, с уставным капиталом в размере 108 760,00 польских злотых,

 

далее именуемый „Обработчик”,

§1 Определенияопределения

Стороны Договора единогласно решили придать нижеприведенным терминам следующее значение:

  1. Основной контракт – форма совместного заказа, заполненная Клиентом вместе с Приложениями и Правилами, которые составляют сервисный контракт, заключенный между Контролером и Обработчиком.
  2. Договор на обработку персональных данных – договор на обработку данных от имени Контролера (далее именуемый “Договор”)
  3. Персональные данные – информация, относящаяся к идентифицированному или поддающемуся идентификации физическому лицу, обрабатываемая Обработчиком в соответствии с Договором об обработке персональных данных;
  4. Нарушение конфиденциальности персональных данных – нарушение безопасности, приводящее к случайному или незаконному уничтожению, потере, изменению, несанкционированному раскрытию или доступу к передаваемым, хранящимся или иным образом обрабатываемым персональным данным;
  5. Форма заказа – отдельный документ, включающий в себя основные характеристики предоставления Услуг от имени Контролера, предоставляемый Контролером Обработчику, который вместе с приложениями и Правилами составляет основу обязательств Сторон, то есть договор об оказании услуг, заключаемый между Клиентом и процессор. Форма заказа может быть подана в письменной форме или в виде документа – посредством обмена электронной почтой между Сторонами.
  6. Подпроцессор – субъект, услуги которого предоставляются Процессору для выполнения конкретной обработки данных, активируется от имени Контроллера;
  7. GDPR– Регламент (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 года о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных и отмене Директивы 95/46/EC (Общий регламент по защите данных);
  8. ЕЭЗ –Европейская экономическая зона.

§2 Предмет договора на обработку данных и заявления сторон

  1. В соответствии с Договором Контролер передает Персональные данные Обработчику для последующей обработки. Субъект и время обработки, объем и цель обработки, виды персональных данных, а также категории субъектов данных, как описано (но не ограничивается) ниже:
  2. Персональные данные состоят из следующего:

<ул>

  • имя и фамилия;
  • профессия;
  • дата рождения;
  • пол;
  • Адрес интернет-протокола (IP);
  • адрес проживания: улица, номер дома, номер квартиры, почтовый индекс, населенный пункт;
  • адрес для переписки: улица, номер дома, номер квартиры, почтовый индекс, населенный пункт;
  • зарегистрированное место жительства: улица, номер дома, номер квартиры, почтовый индекс, населенный пункт;
  • адрес электронной почты;
  • Номер телефона;
  • Идентификатор мобильного устройства;
  • Веб-идентификатор пользователя;
  • Идентификационный номер налогоплательщика (ИНН) или любой иностранный аналог такого идентификатора;
  • Идентификационный номер работодателя (EIN) или любой его иностранный аналог;
  • регистрационный номер предприятия (если относится к субъекту данных);
  • удостоверение личности;
  • номер и серия удостоверения личности;
  • паспорт/вид на жительство/документ, удостоверяющий личность (в случае иностранца);
  • банковский счет;
  • имя и фамилия владельца банковского счета;
  • адрес владельца банковского счета: улица, номер дома, номер квартиры, почтовый индекс, населенный пункт;
  • сведения о задолженности;
  • история просмотра веб-страниц и онлайн-событий;
  • история анонимных посетителей, которая добавляется к персональным данным после получения согласия Контролера;
  • история взаимодействий и событий с мобильными приложениями
  • данные о покупках (продукты, цена, количество, стоимость)
  • данные, вычисляемые Обработчиком на основе данных, предоставленных Контролером, таких как Средняя стоимость заказа или стоимость жизни Клиента и другие.

    •  

    1. Обработка – обработка персональных данных осуществляется в соответствии с Основным контрактом.
    2. Персональные данные могут обрабатываться как в рамках Основного Договора, так и в рамках Контракта

     

    1. Контролер заявляет, что обработка данных осуществляется на основаниях, предусмотренных статьей 6 GDPR.
    2. Обработчик заявляет, что он предоставляет достаточные ресурсы, опыт, профессиональные знания в области защиты персональных данных и квалифицированный персонал, что позволяет Обработчику надлежащим образом выполнять Основной контракт и Контракт на обработку персональных данных, а также реализовывать соответствующие технические и организационные меры, описанные в Приложении nr. 1 таким образом, чтобы обработка соответствовала требованиям, предусмотренным статьей 32 GDPR.
    3. Обработчик обязуется обрабатывать Персональные данные, переданные ему для обработки, только в пределах возможностей, целей и сроков, указанных в пункте 1 выше..
    4. Обработчик заявляет, что обрабатывает Персональные данные в соответствии с настоящим Договором, GDPR и другими правовыми нормами, касающимися безопасности персональных данных.

    §3 Обязанности обработчика

    1. Обработчик обязуется обрабатывать Персональные данные в сроки, установленные Контролером, и обезличивать, возвращать или удалять все указанные Персональные данные только по указанию Контролера, которое должно быть представлено в письменной форме под страхом недействительности или в электронной форме, а также в соответствии с указаниями Контролера. руководящие принципы, в рамках этих руководящих принципов и инструкций.
    2. Настоящим Обработчик обязан обрабатывать Персональные данные только по документированным инструкциям Контролера, за исключением случаев, когда это требуется законодательством Союза или Польши; в таком случае в течение 1 (скажем, одного) дня до начала обработки Обработчик должен проинформировать Контролера об этом юридическом требовании, прежде чем обработку, за исключением случаев, когда закон запрещает такую информацию по важным основаниям, представляющим общественный интерес. Настоящий Контракт представляет собой письменную инструкцию в соответствии с настоящим разделом.
    3. Обработчик гарантирует, что лица, уполномоченные обрабатывать Персональные данные, обязались соблюдать конфиденциальность или находятся под соответствующим законодательным обязательством соблюдать конфиденциальность.
    4. Обработчик, принимая во внимание характер обработки и в пределах своих возможностей, оказывает содействие Контролеру в выполнении обязанности Контролера отвечать на запросы об осуществлении прав субъекта данных, изложенных в главе III, посредством следующего:

      5. Обработчик должен уведомить Контролера о полученном запросе от субъекта данных. Уведомление должно быть отправлено в течение 5 (скажем, пяти) рабочих дней со дня получения запроса Обработчиком. Во избежание сомнений, Стороны единогласно решают, что Обработчик не уполномочен и не обязан выполнять какие-либо задачи по самостоятельному выполнению требований субъекта данных;

    5. в случае, если для выполнения запроса субъекта данных потребуется получить определенную информацию или документы от Обработчика, Обработчик должен передать их Контролеру в течение 7 (скажем, семи) дней со дня получения запроса Контролера в письменной или электронной форме.
    6. Обработчик помогает Контролеру в обеспечении соблюдения обязательств в соответствии со статьями 32-36 посредством следующего:
    7. уведомление Контролера о нарушении персональных данных в соответствии с положениями § 4 Договора;
    8. принятие соответствующих технических и организационных мер, как описано в Приложении № 1 к Контракту.
    9. Обработчик обязан по письменному указанию Контролера исправить, обновить, ограничить обработку или удалить любые Персональные данные, указанные Контролером. Выполнение вышеуказанного обязательства происходит в течение 7 рабочих дней со дня получения инструкции.
    10. В случае, если, по мнению Обработчика, распоряжение Контролера нарушает GDPR или любое другое законодательство Союза или Польши, касающееся безопасности персональных данных, Обработчик должен проинформировать Контролера об этом нарушении в течение 5 (скажем, пяти) рабочих дней с того дня, когда Обработчик получил инструкцию.

    §4 Уведомление о нарушении конфиденциальности персональных данных

    1. Обработчик должен уведомить Контролера в течение 48 часов после того, как ему станет известно о нарушении персональных данных. Уведомление отправляется на следующий адрес электронной почты, указанный Контролером в форме заказа.
    2. Уведомление о нарушении персональных данных содержит описание Нарушения, его причин и возможных последствий, если таковые были установлены в сроки, указанные в разделе 1 выше.

    §5 Аудиторские проверки

    1. Стороны настоящим заявляют, что в соответствии с пунктом 3 статьи 28 настоящего соглашения. h) согласно GDPR, Контролер уполномочен на следующее:
    2. запрашивает у Обработчика информацию об исполнении Контракта, при этом Обработчик сохраняет за собой право предоставить эту информацию по своему усмотрению в письменной или электронной форме в течение 7 (скажем: семи) рабочих дней со дня получения запроса от Контролера;
    3. проведение аудита в соответствии с положениями настоящего параграфа.
    4. Аудит правильности обработки Персональных данных может быть проведен Контролером или другим аудитором, назначенным контролером, по предварительному уведомлению Обработчика. Вышеупомянутое уведомление должно быть отправлено как минимум за 10 (скажем, за десять) рабочих дней до запланированной даты проведения аудита и содержать описание планируемого места проведения аудита, сферы деятельности и лиц, уполномоченных Контролером проводить аудит.

      5. Аудит может проводиться только в рабочие дни, в рабочее время Обработчика и в местах, где обрабатываются данные. Аудит не может проводиться чаще, чем 2 (скажем, два) раза в календарный год, с минимальным перерывом в 3 (скажем, три) месяца между аудиторскими проверками.

    5. Лицам, уполномоченным проводить аудит, разрешается входить в помещения, где обрабатываются данные, предоставляется доступ к записям об обработке данных, а также к ИТ-системам, с помощью которых Обработчик обеспечивал безопасность и корректность обработки персональных данных.

      6. Обработчик не обязан предоставлять Контролеру технические или организационные средства, необходимые для проведения промежуточного аудита. Каждая Сторона несет свои собственные расходы, связанные с проведением аудита.

    6. Обработчик настоящим заявляет, что устранит все нарушения, обнаруженные в ходе аудита, в течение срока, установленного Контролером, но не менее 30 (скажем, тридцати) рабочих дней.

    §6 Подпроцессоры

    1. Настоящим Контроллер предоставляет Обработчику общее разрешение на использование услуг, предоставляемых другими Подпроцессорами в рамках действия настоящего Контракта. Список подпроцессоров, действующих на день подписания Контракта, приведен в Приложении № 2.

      2. Процессор должен информировать Контроллер о любых предполагаемых изменениях, касающихся добавления нового подпроцессора, с указанием их подробной информации. Контролер имеет право обоснованно возразить против такого подпроцессора в течение 3 (скажем, трех) рабочих дней со дня получения информации Контролером.

    2. В случае ретрансляции услуг Подпроцессора Обработчик обеспечил, чтобы на Подпроцессор были возложены те же обязательства по защите данных, которые изложены в настоящем Контракте.
    3. По письменному запросу Контролера Обработчик незамедлительно предоставляет копию такого соглашения с Субпроцессором и любые последующие изменения Контролеру. Обработчик может отредактировать текст соглашения перед передачей копии в объеме, необходимом для защиты коммерческой тайны или другой конфиденциальной информации, включая персональные данные.

    §7 Передача персональных данных третьей стране или международной организации

    1. Обработчик настоящим заявляет, что Персональные данные не передаются и не будут передаваться в третью страну за пределами ЕЭЗ или международной организации.

      2. Исключением из правила, упомянутого в разделе 1 выше, является случай, когда Контролер заранее уполномочивает Обработчика в письменном виде, разрешая передачу Персональных данных за пределы ЕЭЗ или международной организации, в то время как разрешение должно применяться к отдельному юридическому лицу или территории за пределами ЕЭЗ, или если такая передача осуществляется в соответствии с законами, имеющими безусловную силу, и перед выполнением передачи Обработчик уведомит Контролера о таком обязательстве, если только законы, имеющие обязательную силу, явно не запрещают такое уведомление.

    §8 Срок действия Контракта

    1. Контракт действует в течение срока действия Основного контракта.
    2. Расторжение или истечение срока действия Основного Договора означает прекращение действия настоящего Договора, за исключением случая, когда общие положения Основного договора гласят, что предоставляемые услуги в настоящее время выполняются и будут выполняться до их окончания. В таком случае настоящий Контракт остается в силе до тех пор, пока эти услуги не будут выполнены.
    3. Независимо от прав Контролера, указанных в § 3 п. 1 Договора, не позднее, чем в течение 30 дней с даты расторжения Договора, Обработчик вернет все Персональные данные Контролеру и удалит все существующие копии Персональных данных (включая данные в системах процессора).
    4. Обработчик имеет право расторгнуть Договор, проинформировав Контролера о том, что его инструкции нарушают требования действующего законодательства, и если Контролер настаивает на дальнейшем соблюдении инструкций.

    §9 Меры по обеспечению конфиденциальности

    1. Обработчик обязуется хранить в тайне любую информацию, данные, ресурсы, документы и персональные данные, полученные от Контролера, а также от сотрудников Контролера, а также все данные, полученные иным способом, намеренно или нет, в устной, письменной или электронной форме.

      2. Обработчик заявляет, что в связи с обязательствами по сохранению конфиденциальности всей информации, указанной в разделе 1 выше, в тайне, эти данные не будут использоваться, разглашаться или передаваться другим лицам без письменного разрешения Контролера, за исключением случаев, когда такое разглашение продиктовано обязательными правовыми нормами, Основным контрактом и настоящим Контрактом.

    §10 Ответственность

    Стороны единогласно соглашаются с тем, что ответственность Обработчика должна быть ограничена страховой суммой, подтвержденной действующим полисом страхования гражданской ответственности, в той мере, в какой это предусмотрено полисом. Обработчик обязуется на протяжении всего срока действия настоящего Договора обеспечивать страхование ответственности на весь срок действия Договора со страховой суммой не менее 1 000 000 польских злотых (один миллион).

     

    В отношении действий и происшествий, не предусмотренных вышеуказанной политикой, ответственность Обработчика ограничивается суммой, представляющей собой сумму вознаграждения, выплаченного Клиентом за последние шесть (6) месяцев, предшествующих дате обнаружения нарушения.

     

    Настоящим Обработчик заявляет, что на дату заключения Договора у него действует действующий полис страхования ответственности, который также включает страхование от киберрисков и рисков, связанных с GDPR, в дополнение к сертификации ISO/IEC 27001:2022.

     

    §11 Заключительных положений

    1. Настоящий Контракт составлен в двух идентичных экземплярах, по одному для каждой Стороны.
    2. Приложения, упомянутые в Контракте, являются его неотъемлемой частью.
    3. Любые споры, возникающие в связи с настоящим Контрактом или Основным Контрактом, передаются на рассмотрение в суд общей юрисдикции, как указано в Основном контракте.
    4. Любые дополнения или изменения к настоящему Договору остаются недействительными, если они не сделаны в письменной форме.
    5. Настоящий Контракт заменяет любые другие устные или письменные соглашения, договоренности о взаиморасчетах и контракты в сфере, регулируемой положениями Контрактов, которые становятся недействительными со дня подписания Контракта.

    Приложение номер 1

    Технические и организационные средства обеспечения безопасности

     

    1. Конфиденциальность

     

    1.1. Физический контроль доступа

     

    1.1.1. Здания, входящие в состав предприятий Переработчика или используемые им в качестве составных частей, защищены соответствующими системами сигнализации.

     

    1.1.2. Входные двери в любое здание, как описано в разделе выше, оснащены следующими системами запирания: Системой контроля доступа, которая включает использование карточек-ключей, или системами ручного запирания.

     

    1.1.3.    Разрешение на доступ к вышеуказанным системам оформляется документально с указанием фамилии разрешенного лица.

     

    1.1.4. Вход посторонних лиц на предприятия Обработчика, включая посетителей, в любое из указанных выше зданий оформляется документально с указанием фамилии лица или его присутствия, а пребывание в помещениях разрешается только в сопровождении сотрудников Обработчика.

     
    1.2.       IT resources accessibility control

     

    1.2.1.    The Processor’s network is secured from public network by the implementation of IP security measures.

     

    1.2.2.    Работодатели обязаны соблюдать правила в соответствии с правилами:

    • каждый сотрудник получил индивидуальный пароль для доступа к компьютеру и обязан хранить его в секрете;
    • there are no group passwords;
    • a periodical change of password is enforced.

       

      1.2.3.    Anti-virus system is used throughout the servers.

       

      1.2.4.    Anti-virus system is used on all working stations.

       

      1.2.5.    Система актуализации связана с безопасностью регулярно и автоматически загружена в существующее программное обеспечение.

       

      1.3.       Users ‘ accessibility access to data control

       

      1.3.1.    Documented concept or roles and permission exists.

       

      1.3.2.    The process of granting permissions is documented, with surname of authorized persons submitted.

       

      1.3.3.    If there is a possibility of manual conservation /manual access, it is carried out with upmost care.

       

      1.4.       Data separation control

       

      1.4.1.    Концепция разрешения на перечисление клиентов /сегментов сетей, которые могут быть не связаны с теми сотрудниками процессора, которые не были уполномочены обрабатывать данные контроллера.

       

      1.4.2.    Работодатели обязаны писать не для использования какой-либо информации, поднимающейся из банков данных контроллера для других проектов/для других целей.

       

      1. Integrity

       

      2.1. Data sharing control

       

      2.1.1.    Локальные диски на портативных рабочих станциях кодируются для обеспечения защиты данных контроллера.

       

      2.1.2.    Data carriers with spare copies are safely stored.

       

      2.1.3.    Portable devices are equipped with secure measures..

      2.2.       Data implementation control

       

      2.2.1.    As means of recording The deletion or modification of the controller’s data, for each employee of the Processer separate files are created with the usage of their surname or login.

       

      1. Accessibility

       

      3.1.       Accessibility control

       

      3.1.1.    Данные контролера исполняются регулярно.

       

      1. Personal data processing control

       

      4.1.       Task control

       

      4.1.1.    Сотрудники процессора, которые обрабатывают персональные данные контроллера, разрешают доступ к этим данным и имеют возможность хранить всю информацию в записях для обработки в доверенности и секретности.

       

      4.1.2.    Сотрудники-процессоры обучаются в регардах по персональной безопасности и защите данных.

       

      4.1.3.    Процессорные процедуры регулярной проверки, оценки и оценки технических и организационных показателей безопасности и их эффективности для обеспечения безопасности и корректировки обработки в соответствии со статьей 32 sec. 1 GDPR.

       

      4.2.2.    Внутри Процессорских корпоративных процедур о том, как вести себя в случае разрыва данных, включая личные нарушения данных, они есть в существовании.

      Appendix № 2

      Subproccesors

      1. IQ Ru общество с ограниченной ответственностью with registered office in Гданьск,

      2. Microsoft Ireland Operations Limited