Обработка персональных данных (GDPR)
Настоящее Соглашение об обработке персональных данных ("Соглашение") является частью Условий предоставления услуг ("Основное соглашение") между Клиентом и ИП Лавков Олег Александрович ("Оператор данных"), совместно именуемыми "Стороны".
ПРЕАМБУЛА
- (A) Клиент выступает в качестве Контролёра данных.
- (B) Клиент желает передать Оператору данных часть Услуг, которые предполагают обработку персональных данных.
- (C) Стороны намерены заключить соглашение об обработке данных, соответствующее требованиям действующего правового регулирования в области обработки данных, а также Регламенту (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 года о защите физических лиц при обработке персональных данных и о свободном перемещении таких данных, отменяющему Директиву 95/46/EC (Общий регламент по защите данных).
- (D) Стороны желают определить свои соответствующие права и обязанности.
1. Определения и толкование
- "Соглашение" означает настоящее Соглашение об обработке персональных данных и все Приложения;
- "Применимое законодательство" означает все законы, нормативные акты и иные правовые требования, применимые к Стороне в связи с Соглашением;
- "Персональные данные Клиента" означают любые Персональные данные, обрабатываемые Договаривающимся оператором от имени Клиента в соответствии с Основным соглашением или в связи с ним;
- "Договаривающийся оператор" означает Оператора данных или Субподрядчика;
- "Законы о защите данных" означают Законы ЕС о защите данных и, в применимой части, законы о защите данных или о конфиденциальности любой иной страны;
- "ЕЭЗ" означает Европейское экономическое пространство;
- "Законы ЕС о защите данных" означают GDPR и любые иные применимые в соответствующий момент законы ЕС о защите данных, включая любые национальные законы государств-членов, реализующие или дополняющие GDPR, в каждом случае с учётом вносимых в них изменений, замен или отмен;
- "GDPR" означает Общий регламент ЕС по защите данных 2016/679;
- "Передача данных" означает:
- передачу Персональных данных Клиента от Клиента Договаривающемуся оператору; или
- последующую передачу Персональных данных Клиента от Договаривающегося оператора Субподрядчику либо между двумя подразделениями Договаривающегося оператора, в каждом случае, когда такая передача была бы запрещена Законами о защите данных (или условиями соглашений о передаче данных, заключённых для устранения ограничений на передачу данных, предусмотренных Законами о защите данных);
- "Оператор данных" означает ИП Лавков Олег Александрович;
- "Услуги" означают услуги хостинга, предоставляемые Оператором данных;
- "Субподрядчик" означает любое лицо, назначенное Оператором данных или от его имени для Обработки Персональных данных от имени Клиента в связи с Соглашением.
Термины "Комиссия", "Контролёр", "Субъект данных", "государство-член", "Персональные данные", "Нарушение персональных данных", "Обработка" и "Надзорный орган" имеют то же значение, что и в GDPR, а производные от них термины толкуются соответствующим образом.
2. Обработка Персональных данных Клиента
- Оператор данных обязан:
- соблюдать все применимые Законы о защите данных при Обработке Персональных данных Клиента; и
- не Обрабатывать Персональные данные Клиента иначе как по документированным инструкциям Клиента.
- Клиент поручает Оператору данных Обрабатывать Персональные данные Клиента.
3. Персонал Оператора данных
- Оператор данных обязан предпринять разумные меры для обеспечения надёжности любого работника, агента или подрядчика любого Договаривающегося оператора, который может иметь доступ к Персональным данным Клиента, обеспечивая в каждом случае, что доступ строго ограничен теми лицами, которым необходимо знать соответствующие Персональные данные Клиента или иметь к ним доступ, строго в той мере, в какой это необходимо для целей Основного соглашения и для соблюдения Применимого законодательства в контексте обязанностей такого лица перед Договаривающимся оператором, а также обеспечивая, что все такие лица связаны обязательствами о конфиденциальности либо профессиональными или законодательными обязанностями по соблюдению конфиденциальности.
4. Безопасность
- Принимая во внимание современный уровень развития техники, затраты на внедрение, а также характер, объём, контекст и цели Обработки и риски различной вероятности и тяжести для прав и свобод физических лиц, Оператор данных обязан в отношении Персональных данных Клиента внедрить надлежащие технические и организационные меры для обеспечения уровня безопасности, соответствующего такому риску, включая, при необходимости, меры, указанные в статье 32(1) GDPR.
- При оценке надлежащего уровня безопасности Оператор данных учитывает, в частности, риски, связанные с Обработкой, в особенности вследствие Нарушения персональных данных.
5. Привлечение субподрядчиков
- Оператор данных не вправе привлекать какого-либо Субподрядчика (или раскрывать ему какие-либо Персональные данные Клиента), если это не требуется или не разрешено Клиентом.
6. Права субъектов данных
- Принимая во внимание характер Обработки, Оператор данных обязан содействовать Клиенту путём внедрения надлежащих технических и организационных мер, насколько это возможно, в выполнении обязанностей Клиента, как они разумно понимаются Клиентом, по реагированию на запросы об осуществлении прав Субъектов данных в соответствии с Законами о защите данных.
- Оператор данных обязан:
- незамедлительно уведомить Клиента в случае получения запроса от Субъекта данных в рамках любого Закона о защите данных в отношении Персональных данных Клиента; и
- обеспечить, что он не ответит на такой запрос иначе как по документированным инструкциям Клиента или если этого требует Применимое законодательство, которому подчиняется Оператор данных; в последнем случае Оператор данных, насколько это допускается Применимым законодательством, информирует Клиента о таком правовом требовании до того, как Договаривающийся оператор ответит на запрос.
7. Нарушение персональных данных
- Оператор данных обязан без необоснованной задержки уведомить Клиента после того, как Оператору данных станет известно о Нарушении персональных данных, затрагивающем Персональные данные Клиента, предоставив Клиенту достаточную информацию для выполнения Клиентом любых обязанностей по уведомлению о Нарушении персональных данных или информированию о нём Субъектов данных в соответствии с Законами о защите данных.
- Оператор данных обязан сотрудничать с Клиентом и предпринимать такие разумные коммерческие меры по указанию Клиента, которые необходимы для содействия в расследовании, минимизации последствий и устранении каждого такого Нарушения персональных данных.
8. Оценка воздействия на защиту данных и предварительная консультация
- Оператор данных обязан оказывать разумное содействие Клиенту в проведении любых оценок воздействия на защиту данных и предварительных консультаций с Надзорными органами или иными компетентными органами по защите данных, которые Клиент разумно считает необходимыми в соответствии со статьёй 35 или 36 GDPR либо эквивалентными положениями любого иного Закона о защите данных, в каждом случае исключительно в отношении Обработки Персональных данных Клиента Договаривающимися операторами и с учётом характера Обработки и информации, доступной Договаривающимся операторам.
9. Удаление или возврат Персональных данных Клиента
- С учётом положений настоящего раздела 9 Оператор данных обязан незамедлительно и в любом случае в течение 10 рабочих дней с даты прекращения любых Услуг, связанных с Обработкой Персональных данных Клиента ("Дата прекращения"), удалить и обеспечить удаление всех копий таких Персональных данных Клиента.
- Оператор данных обязан предоставить Клиенту письменное подтверждение того, что он полностью выполнил требования настоящего раздела 9, в течение 10 рабочих дней с Даты прекращения.
10. Инструкции по полному удалению Персональных данных Клиента
- Для полного удаления своих Персональных данных Клиент должен войти в свою учётную запись на сайте Оператора данных (https://fornex.com/), нажать "Тикеты" (или вставить https://fornex.com/my/tickets/ в адресную строку браузера и нажать Enter), затем нажать "Создать тикет", после чего появится форма.
- Клиент должен ввести "Удалить персональные данные" в поле "Тема", пропустить поле "Относится к", выбрать "Высокий" в поле "Приоритет", ввести "Удалите мои персональные данные" в последнем поле формы и нажать "Создать".
- Запрос будет обработан в течение 1–2 часов, и Персональные данные Клиента будут полностью удалены из баз данных Оператора данных.
11. Права на проведение аудита
- С учётом положений настоящего раздела 11 Оператор данных обязан по запросу предоставлять Клиенту всю информацию, необходимую для подтверждения соблюдения настоящего Соглашения, а также допускать и содействовать проведению аудитов, включая инспекции, осуществляемых Клиентом или аудитором, уполномоченным Клиентом, в отношении Обработки Персональных данных Клиента Договаривающимися операторами.
- Права Клиента на получение информации и проведение аудита возникают согласно пункту 11.1 только в той мере, в какой Соглашение не предоставляет ему иным образом права на получение информации и проведение аудита, отвечающие соответствующим требованиям Законов о защите данных.
12. Передача данных
- Оператор данных не вправе передавать или разрешать передачу Персональных данных в страны за пределами ЕС и/или Европейского экономического пространства (ЕЭЗ) без предварительного письменного согласия Клиента. Если персональные данные, Обрабатываемые в рамках настоящего Соглашения, передаются из страны в пределах Европейского экономического пространства в страну за его пределами, Стороны обязаны обеспечить надлежащую защиту таких персональных данных. Для этого Стороны, если не согласовано иное, используют утверждённые ЕС стандартные договорные положения о передаче персональных данных.
13. Общие условия
- Конфиденциальность. Каждая Сторона обязана сохранять конфиденциальность настоящего Соглашения и любой информации, которую она получает о другой Стороне и её деятельности в связи с настоящим Соглашением ("Конфиденциальная информация"), и не вправе использовать или раскрывать такую Конфиденциальную информацию без предварительного письменного согласия другой Стороны, за исключением случаев, когда:
- (a) раскрытие требуется по закону;
- (b) соответствующая информация уже является общедоступной.
- Уведомления. Все уведомления и сообщения, направляемые по настоящему Соглашению, должны совершаться в письменной форме и доставляться лично, по почте или по электронной почте на адрес или адрес электронной почты, указанный в заголовке настоящего Соглашения, либо на иной адрес, о котором время от времени сообщает Сторона, изменившая адрес.
14. Применимое право и юрисдикция
- Настоящее Соглашение регулируется законодательством Европейского Союза.
- Любой спор, возникающий в связи с настоящим Соглашением, который Стороны не смогут разрешить мирным путём, передаётся на исключительное рассмотрение судов того государства-члена ЕС, в котором учреждён соответствующий Оператор данных.