Соглашение об обработке данных (DPA)

Последнее обновление:

Настоящее Соглашение об обработке данных («DPA») является частью основного соглашения об оказании услуг («Соглашение») между earum-in.com («Обработчик» или «мы») и клиентом, пользующимся нашими услугами («Контролер» или «вы»). Настоящее DPA применяется в тех случаях, когда earum-in.com обрабатывает Персональные данные от имени Контролера в ходе предоставления услуг.

1. Определения

• «Персональные данные» означают любую информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу.
• «Субъект данных» означает идентифицированное или идентифицируемое физическое лицо, к которому относятся Персональные данные.
• «Обработка» означает любую операцию или совокупность операций, которые совершаются с Персональными данными, независимо от того, совершаются ли они автоматизированными средствами.
• «Применимое законодательство о защите данных» означает все применимые законы о защите данных и конфиденциальности, включая Общий регламент по защите данных Естонии (UK GDPR) и Закон о защите данных 2018 года.

2. Предмет и срок действия

Предмет: Обработчик будет обрабатывать Персональные данные по мере необходимости для выполнения консалтинговых услуг, как описано в Соглашении.

Срок действия: Настоящее DPA будет оставаться в силе до тех пор, пока Обработчик обрабатывает Персональные данные от имени Контролера в соответствии с Соглашением.

3. Характер и цель обработки

Обработчик будет обрабатывать Персональные данные для целей предоставления маркетинговых исследований, стратегических консультаций, поддержки в развитии бизнеса, руководства по цифровой трансформации и других консалтинговых услуг, согласованных с Контролером. Действия по обработке могут включать сбор, запись, организацию, структурирование, хранение, адаптацию, извлечение, консультацию, использование, раскрытие путем передачи, распространения или иного предоставления доступа, выравнивание или объединение, ограничение, стирание или уничтожение Персональных данных.

4. Тип Персональных данных и категории Субъектов данных

Типы Персональных данных: Могут включать имена, контактные данные (электронная почта, телефон, адрес), профессиональную информацию (должность, компания), данные, связанные с бизнесом, и любые другие Персональные данные, предоставленные Контролером или собранные Обработчиком от имени Контролера для выполнения услуг.

Категории Субъектов данных: Могут включать сотрудников, подрядчиков, клиентов, потенциальных клиентов, деловых партнеров и других лиц, имеющих отношение к хозяйственной деятельности Контролера и предоставляемым услугам.

5. Обязательства Обработчика (earum-in.com)

Обработчик обязуется:

• Обрабатывать Персональные данные только по документированным инструкциям Контролера, в том числе в отношении передачи Персональных данных в третью страну или международную организацию, если иное не требуется законодательством Союза или государства-члена, которому подчиняется Обработчик.
• Обеспечить, чтобы лица, уполномоченные обрабатывать Персональные данные, взяли на себя обязательство о конфиденциальности или находились под соответствующим установленным законом обязательством о конфиденциальности.
• Применять соответствующие технические и организационные меры для обеспечения уровня безопасности, соответствующего риску, в соответствии с Применимым законодательством о защите данных.
• С учетом характера обработки, оказывать содействие Контролеру путем применения соответствующих технических и организационных мер, насколько это возможно, для выполнения обязательства Контролера по реагированию на запросы об осуществлении прав Субъекта данных.
• Оказывать содействие Контролеру в обеспечении соблюдения обязательств в соответствии со статьями 32-36 GDPR (Безопасность, Уведомление о нарушении, DPIA) с учетом характера обработки и информации, доступной Обработчику.
• По выбору Контролера, удалить или вернуть все Персональные данные Контролеру после окончания предоставления услуг, связанных с обработкой, и удалить существующие копии, если законодательство Союза или государства-члена не требует хранения Персональных данных.
• Предоставлять Контролеру всю информацию, необходимую для демонстрации соблюдения обязательств, изложенных в настоящем DPA, и разрешать и способствовать проведению аудитов, включая инспекции, проводимые Контролером или другим аудитором, уполномоченным Контролером.

6. Обязательства Контролера (Клиента)

Контролер гарантирует, что:

• Он соблюдал и будет продолжать соблюдать все Применимые законы о защите данных в отношении обработки им Персональных данных и любых инструкций по обработке, которые он выдает Обработчику.
• Он имеет законное основание для обработки Персональных данных Обработчиком в соответствии с настоящим DPA.
• Он будет предоставлять Обработчику четкие и законные инструкции относительно обработки Персональных данных.

7. Субобработчики

Обработчик не должен привлекать другого обработчика (Субобработчика) без предварительного специального или общего письменного разрешения Контролера. В случае общего письменного разрешения Обработчик должен информировать Контролера о любых предполагаемых изменениях, касающихся добавления или замены других обработчиков, тем самым давая Контролеру возможность возразить против таких изменений.

В случае привлечения Обработчиком Субобработчика, он должен сделать это посредством письменного договора, который налагает на Субобработчика те же обязательства по защите данных, что и на Обработчика в соответствии с настоящим DPA.

8. Права Субъекта данных

Обработчик должен, насколько это разрешено законом, незамедлительно уведомить Контролера, если он получит запрос от Субъекта данных на осуществление его прав в соответствии с Применимым законодательством о защите данных. Обработчик должен оказывать содействие Контролеру в выполнении его обязательств по реагированию на запросы Субъектов данных.

9. Меры безопасности

Обработчик будет внедрять и поддерживать соответствующие технические и организационные меры безопасности для защиты Персональных данных от случайного или незаконного уничтожения, потери, изменения, несанкционированного раскрытия или доступа.

10. Уведомление о нарушении данных

Обработчик должен уведомить Контролера без неоправданной задержки после того, как ему станет известно о Нарушении Персональных данных, затрагивающем Персональные данные, обрабатываемые от имени Контролера. Уведомление будет содержать информацию, позволяющую Контролеру выполнить свои собственные обязательства по уведомлению о нарушении в соответствии с Применимым законодательством о защите данных.

11. Передача данных

Обработчик не должен передавать Персональные данные за пределы Естонии или Европейской экономической зоны (ЕЭЗ) без предварительного письменного согласия Контролера и обеспечения наличия соответствующих гарантий, требуемых Применимым законодательством о защите данных.

12. Срок действия и прекращение

Настоящее DPA остается в силе до тех пор, пока Обработчик обрабатывает Персональные данные от имени Контролера. После прекращения действия Соглашения Обработчик, по выбору Контролера, удаляет или возвращает все Персональные данные.

13. Применимое право

Настоящее DPA регулируется и толкуется в соответствии с законодательством Соединенного Королевства.

14. Свяжитесь с нами

По любым вопросам, касающимся настоящего DPA, пожалуйста, свяжитесь с нами: