Угода про обробку персональних даних
Дата набрання чинності: 25.04.2022
Ця Угода про обробку персональних даних (далі «DPA» або «Угода») є частиною угоди між Клієнтом і ECOMZ HOLDING LIMITED, компанією, заснованою та діючою відповідно до законодавства Кіпру, реєстраційний номер 309897, офіційно зареєстрованою як юридична особа за адресою: Georgiou Karyou, 6B, office/flat 6B, Dasoupoli, Strovolos, 2014 (далі «Selzy» або «Компанія”) »), з метою відображення угоди сторін про надання Послуг (у чинній редакції) та обробку Персональних даних Клієнта відповідно до вимог Законодавства про захист персональних даних.
Ця Угода про обробку персональних даних набуває чинності з Дати набуття чинності.
Якщо ви приймаєте цю Угоду про обробку персональних даних від імені Клієнта, ви гарантуєте, що а) ви маєте повні юридичні повноваження укласти цю Угоду про обробку персональних даних від імені Клієнта; б) ви прочитали та зрозуміли цю Угоду про обробку персональних даних; і в) ви погоджуєтеся від імені Клієнта з цією Угодою про обробку персональних даних. Якщо ви не маєте юридичних повноважень укладати угоди від імені Клієнта, не приймайте цю Угоду про обробку персональних даних.
ПРЕДМЕТ DPA
Ця DPA застосовуватиметься лише в тій мірі, у якій Законодавство про захист персональних даних застосовується до обробки Персональних даних Клієнта, зокрема, якщо:
- обробка здійснюється в контексті діяльності, пов’язаної з Клієнтами, зареєстрованими через доменні імена selzy.com, cp.selzy.com або unione.io. Для отримання додаткової інформації щодо зміни місця обробки даних зверніться до нашої служби підтримки.
- обробка здійснюється в контексті діяльності підприємства Клієнта в ЄЕЗ; і/або
- Клієнт пропонує послуги суб’єктам даних, які знаходяться в ЄЕЗ.
Якщо організація Клієнта, яка підписує цю DPA, є стороною Умов надання послуг Selzy, ця DPA є доповненням до Умов надання послуг і є їхньою частиною.
Ця DPA не замінює жодних раніше застосовних угод, що стосуються їхнього предмета (включно з будь-якими додатковими угодами щодо обробки даних або доповненнями щодо обробки даних, які стосуються Послуг).
У разі виникнення конфлікту або невідповідності між умовами цієї DPA та Умовами надання послуг (https://www.selzy.com/en/terms/) переважну силу мають умови, викладені в цій DPA. За винятком поправок до цієї DPA, Умови надання послуг залишаються чинними та без змін.
ПОРЯДОК ВИКОНАННЯ ЦІЄЇ DPA:
- Ця DPA була попередньо підписана від імені Selzy.
- Для заповнення цієї DPA Клієнт повинен:
(a) заповнити інформацію в підписному блоці та підписати її на сторінці 8, і
(b) надіслати підписану DPA компанії Selzy електронною поштою на адресу [email protected] із зазначенням, якщо застосовно, ідентифікаційної інформації Клієнта (як зазначено у відповідній Формі замовлення або рахунку-фактурі).
Після отримання компанією Selzy на цю електронну адресу належним чином заповненої DPA, ця DPA стає юридично обов’язковим документом.
СТОРОНИ ЦИМ ДІЙШЛИ ВЗАЄМНОЇ ЗГОДИ ПРО НАСТУПНЕ:
1. ВСТУП
Ця DPA демонструє угоду сторін щодо умов, які регулюють обробку та безпеку Персональних даних Клієнта у зв’язку із Законодавством про захист персональних даних.
1.1 ТЕРМІНИ ТА ЇХ ТЛУМАЧЕННЯ
«Афілійовані особи» означає будь-яку організацію, яка контролюється, контролює або перебуває під єдиним контролем з боку Selzy.
Selzy означає ECOMZ HOLDING LIMITED та її афілійовані особи, які займаються Обробкою персональних даних.
«Персональні дані Клієнта» – це персональні дані, які обробляються Selzy від імені Клієнта в рамках надання Послуг Selzy.
«Інцидент із даними» означає порушення безпеки Selzy, що призвело до випадкового або незаконного знищення, втрати, зміни, несанкціонованого розкриття або доступу до Персональних даних Клієнта в системах, якими керує або контролює іншим чином Selzy. «Інциденти з даними» не включатимуть невдалі спроби або дії, які не ставлять під загрозу безпеку Персональних даних Клієнта, зокрема невдалі спроби входу в систему, пінги, сканування портів, атаки типу «відмова в обслуговуванні» та інші мережеві атаки на міжмережеві екрани або мережеві системи.
«Законодавство про захист персональних даних» означає, залежно від обставин: а) GDPR; і/або б) Федеральний закон про захист персональних даних від 19 червня 1992 року (Швейцарія).
«Дата набуття чинності» означає, залежно від обставин:
дату, коли Клієнт надав Selzy належним чином підписану DPA, як зазначено в розділі «ПОРЯДОК ВИКОНАННЯ ЦІЄЇ DPA» вище.
«GDPR» означає Регламент (ЄС) 2016/679 Європейського Парламенту та Ради від 27 квітня 2016 року про захист фізичних осіб щодо обробки персональних даних і про вільне переміщення таких даних, а також про скасування Директиви 95/46/EC.
«Адреса електронної пошти для сповіщень» означає адресу електронної пошти (за наявності), указану Клієнтом через користувацький інтерфейс Послуг або іншими засобами, наданими Selzy, для отримання певних сповіщень від Selzy щодо цієї DPA.
«Персональні дані» означає будь-яку інформацію, що стосується ідентифікованої фізичної особи або особи, яку можна ідентифікувати («суб’єкт даних»); особа, яку можна ідентифікувати, – це особа, яка піддається впізнанню, прямо чи опосередковано, зокрема, за ідентифікаційним номером або за одним чи кількома факторами, характерними для її фізичної, фізіологічної, психічної, економічної, культурної чи соціальної ідентичності;
«Обробка персональних даних» означає будь-яку операцію або набір операцій, які виконуються з Персональними даними, як автоматизовано, так і ні, як-от збір, запис, упорядкування, зберігання, адаптація або зміна, витяг, консультація, використання, розкриття шляхом передачі, розповсюдження або іншого способу надання, узгодження або комбінування, блокування, видалення або знищення («Процес», «Процеси» та «Оброблені» мають однакове значення).
«Заходи безпеки» означає заходи щодо захисту персональних даних від випадкового або незаконного знищення або випадкової втрати, зміни, несанкціонованого розкриття або доступу, а також від усіх інших незаконних форм обробки, як описано в цьому документі (або застосовній частині, залежно від того, які Послуги Клієнт купує у Selzy), зі змінами, що вносяться в той чи інший момент часу, а також як описано в Додатку 2 до цієї DPA.
«Послуги» означає надання ліцензії на використання програмного забезпечення Selzy або UniOne, а також послуги з технічного обслуговування та підтримки, консультаційні або професійні послуги та надання програмного забезпечення як послуги або будь-які інші послуги, що надаються в рамках Угоди, за якою Selzy Обробляє Персональні дані Клієнта.
«Субпідрядники з обробки даних» – це треті особи, уповноважені Selzy мати логічний доступ до Персональних даних Клієнта та обробляти їх з метою надання частини Послуг і будь-якої пов’язаної з ними технічної підтримки.
«Термін дії» означає період з Дати набуття чинності до закінчення надання Selzy Послуг Клієнту згідно з Угодою.
Терміни «Оператор персональних даних», «Суб’єкт даних», «Персональні дані», «Обробка», «Обробник персональних даних» і «Наглядовий орган», що використовуються в цій DPA, мають значення, наведені в GDPR.
2. ОБРОБКА ПЕРСОНАЛЬНИХ ДАНИХ
2.1 Ролі та дотримання нормативних вимог; Санкціонування.
2.1.1 Обов’язки Обробника та Оператора.
Сторони підтверджують і визнають те, що:
- Додаток 1 до Стандартних договірних умов описує предмет і деталі обробки персональних даних Клієнта;
- Selzy виступає обробником Персональних даних Клієнта відповідно до Законодавства про захист персональних даних;
- Клієнт, залежно від обставин, виступає оператором або обробником Персональних даних Клієнта відповідно до Законодавства про захист персональних даних; і
- кожна сторона дотримуватиметься зобов’язань, що застосовуються до неї, відповідно до Законодавства про захист персональних даних щодо обробки Персональних даних Клієнта;
- Клієнт зобов’язується при використанні або отриманні Послуг Обробляти Персональні дані відповідно до вимог Законодавства про захист персональних даних, і Клієнт забезпечить, щоб його інструкції щодо Обробки Персональних даних відповідали вимогам Законодавства про захист персональних даних.
- Клієнт несе повну відповідальність за точність, якість і законність Персональних даних, а також за засоби, за допомогою яких Клієнт отримав Персональні дані.
2.2 Санкціонування стороннім Оператором.
Якщо Клієнт виступає обробником, то Клієнт гарантує Selzy, що інструкції та дії Клієнта щодо Персональних даних Клієнта, включаючи призначення Selzy іншим обробником, були санкціоновані відповідним оператором.
2.3 Сторони погоджуються, що для Обробки Персональних даних Selzy або її Афілійовані особи залучатимуть Субпідрядників із обробки даних згідно з вимогами, викладеними в Розділі 7 «Субпідрядники з обробки даних» нижче.
2.4 Укладаючи цю Угоду про обробку персональних даних, Клієнт доручає Selzy обробляти Персональні дані Клієнта тільки відповідно до чинного законодавства:
а) з метою надання Послуг і будь-якої пов’язаної з ними технічної підтримки; б) як зазначено далі під час використання Клієнтом Послуг (у тому числі в налаштуваннях та інших функціональних можливостях Послуг) і будь-якої пов’язаної з ними технічної підтримки; в) як зазначено в цій Угоді про обробку персональних даних; і г) а також як зазначено в будь-яких інших письмових інструкціях, наданих Клієнтом і визнаних Selzy як такі, що слугують цілям цієї Угоди про обробку персональних даних.
2.5 Видалення після закінчення терміну дії.
Після закінчення Терміну дії Клієнт доручає Selzy видалити всі Персональні дані Клієнта (включаючи наявні копії) із систем Selzy відповідно до чинного законодавства. Selzy виконає цю інструкцію в найкоротший розумно обґрунтований і практично досяжний термін, але не пізніше 30 днів, якщо тільки законодавство США, ЄС або країн-членів ЄС не вимагає зберігання.
2.6 Видалення та архівування облікового запису.
Загальний термін зберігання Персональних даних становить 30 днів, за винятком даних про загальну доставку та відкритої статистики, які зберігаються щонайменше 180 днів із дати відправлення. Selzy залишає за собою право видалити або заархівувати будь-який неактивний обліковий запис (і пов’язані з ним Персональні дані Клієнта), тобто обліковий запис, який не надсилав жодного електронного листа протягом періоду, що перевищує 12 місяців.
3. ПРАВА СУБ’ЄКТІВ ПЕРСОНАЛЬНИХ ДАНИХ
3.1 Якщо Клієнт під час використання або отримання Послуг не має можливості виправити, змінити, заблокувати або видалити Персональні дані, як того вимагає Законодавство про захист персональних даних, Selzy (з урахуванням характеру обробки Персональних даних Клієнта та, якщо застосовно, статті 11 GDPR) допоможе Клієнту у виконанні будь-якого зобов’язання Клієнта відповідати на запити суб’єктів персональних даних, зокрема (якщо застосовно) зобов’язання Клієнта відповідати на запити щодо реалізації прав суб’єкта персональних даних, викладених у Главі III GDPR, шляхом надання функціональних можливостей Послуг;
3.2 Selzy зобов’язується, наскільки це дозволено законом, негайно повідомити Клієнта, якщо отримає запит від Суб’єкта персональних даних на доступ, виправлення, зміну, обмеження, видалення або реалізацію будь-яких інших прав, передбачених GDPR щодо Персональних даних цієї особи. Selzy зобов’язується не відповідати на жоден такий запит Суб’єкта персональних даних без попередньої письмової згоди Клієнта, за винятком випадків підтвердження того, що запит стосується Клієнта. Selzy зобов’язується співпрацювати з Клієнтом і надавати Клієнтові допомогу щодо обробки запиту Суб’єкта персональних даних про доступ до його Персональних даних або здійснення будь-яких інших прав, передбачених GDPR, у межах, дозволених законодавством, і в тій мірі, в якій Клієнт не має доступу до таких Персональних даних у зв’язку з використанням або отриманням ним Послуг.
4. ПЕРСОНАЛ
4.1 Selzy несе відповідальність за те, щоб її персонал і підрядники, які беруть участь в обробці Персональних даних, були поінформовані про конфіденційний характер Персональних даних, пройшли відповідне навчання щодо своїх обов’язків і були зобов’язані дотримуватися конфіденційності, як описано в Додатку 2 до цієї DPA, і такі зобов’язання залишаються в силі після припинення співпраці цих осіб із Selzy.
5. ЗАХИСТ ДАНИХ
5.1 Selzy зобов’язується підтримувати адміністративні, фізичні та технічні засоби захисту для забезпечення безпеки, конфіденційності та цілісності Персональних даних, такі заходи описані в Додатку 2 до цієї DPA.
5.2 Заходи безпеки від Selzy. Selzy впроваджує та підтримує технічні, фізичні та організаційні заходи для захисту конфіденційності та цілісності Персональних даних Клієнта від випадкового або незаконного знищення, втрати, зміни, несанкціонованого розкриття або доступу, як описано в Додатку 2 до цієї DPA («Заходи безпеки»). Як описано в Додатку 2 до цієї DPA, Заходи безпеки включають заходи: а) для забезпечення постійної конфіденційності, цілісності, доступності та стійкості систем і послуг Selzy до інцидентів; б) для своєчасного відновлення доступу до персональних даних після інциденту; і в) для регулярного тестування ефективності. Selzy може час від часу оновлювати або змінювати Заходи безпеки за умови, що такі оновлення та зміни не призведуть до погіршення загальної безпеки Послуг.
5.3 Дотримання вимог безпеки персоналом Selzy. Selzy вживатиме відповідних кроків для забезпечення дотримання Заходів безпеки своїми працівниками, підрядниками та субпідрядниками з обробки даних в обсязі, застосовному до сфери їхньої діяльності, включаючи забезпечення того, щоб усі особи, уповноважені обробляти Персональні дані Клієнта, взяли на себе зобов’язання щодо дотримання конфіденційності або відповідного правового зобов’язання щодо дотримання конфіденційності, як описано в Додатку 2 до цієї DPA.
5.4 Допомога від Selzy в забезпеченні безпеки. Клієнт погоджується з тим, що Selzy буде допомагати Клієнту в дотриманні будь-яких зобов’язань Клієнта щодо безпеки персональних даних і у випадках витоків персональних даних, зокрема (якщо застосовно) зобов’язань Клієнта відповідно до статей 32-34 (включно) GDPR, шляхом:
- впровадження та підтримки Заходів безпеки відповідно до Додатку 2 до цієї DPA; а також
- дотримання умов Розділу 7 (Інциденти з даними).
6. СУБПІДРЯДНИКИ З ОБРОБКИ ДАНИХ
6.1 Згода на залучення Субпідрядника з обробки даних. Клієнт дає згоду компанії Selzy на залучення сторонніх Субпідрядників з обробки даних щодо надання Послуг, із якими також можна ознайомитися в Політиці конфіденційності Selzy.
Із кожним Субпідрядником з обробки даних компанія Selzy уклала угоду, що містить не менш суворі зобов’язання щодо захисту даних, ніж ті, що містяться в цій угоді про обробку персональних даних (DPA), щодо захисту Даних Клієнтів у тій мірі, у якій це застосовно до характеру Послуг, що надаються таким Субпідрядником.
6.2 Список Поточних субпідрядників із обробки даних і Сповіщення про нових Субпідрядників із обробки даних. Selzy надає Клієнту поточний список Субпідрядників із обробки даних. Такий список Субпідрядників із обробки даних включає ідентифікаційні дані цих Субпідрядників, доступні для Клієнта на сайті Selzy, а також доступні в Політиці конфіденційності Selzy. У Selzy не зобов’язані повідомляти Клієнта про залучення нових Субпідрядників із обробки даних і покладаються на здатність Клієнта перевіряти оновлення Політики конфіденційності Selzy.
6.3 Вимоги до залучення Субпідрядників із обробки даних. При залученні будь-якого Субпідрядника з обробки даних Selzy гарантує за допомогою договору, що:
- Субпідрядник із обробки даних отримує доступ до Персональних даних Клієнта та використовує їх лише в обсязі, необхідному для виконання зобов’язань, переданих йому за субпідрядом, і здійснює це відповідно до Угоди (включаючи цю DPA); і
- якщо GDPR застосовується до обробки Персональних даних Клієнта, на Субпідрядника з обробки даних покладаються зобов’язання щодо захисту даних, викладені в статті 28(3) GDPR.
6.4 Право на заперечення щодо Нових субпідрядників із обробки даних.
Клієнт може заперечити проти будь-якого нового Субпідрядника з обробки даних, повідомивши про це Selzy в письмовій формі. Якщо Клієнт заперечує проти нового Субпідрядника з обробки даних, Selzy докладе розумних зусиль, щоб зробити доступними для Клієнта зміни в Послугах або порекомендувати комерційно обґрунтовану зміну конфігурації Клієнта або використання Послуг, щоб уникнути Обробки Персональних даних новим Субпідрядником, проти якого заперечує Клієнт, без необґрунтованого обтяження для Клієнта. Якщо Selzy не може внести такі зміни протягом розумного терміну, який не повинен перевищувати 30 (тридцяти) днів, Клієнт може припинити дію відповідного Замовлення лише щодо Послуг, які Selzy не може надати без залучення нового Субпідрядника з обробки даних, проти якого є заперечення, надіславши письмове повідомлення до Selzy.
7. ІНЦИДЕНТИ З ДАНИМИ
7.1 Сповіщення про Інцидент. Якщо Selzy стане відомо про Інцидент із даними, Selzy: а) повідомить Клієнта про Інцидент із даними негайно й без зайвого зволікання (протягом 72 годин із моменту отримання інформації про інцидент); і б) негайно зробить усе можливе для мінімізації шкоди та захисту Персональних даних Клієнта.
7.2 Докладна інформація про інцидент із даними. У сповіщеннях буде докладно, наскільки це можливо, описано інформацію щодо витоку даних, зокрема про заходи, вжиті для зменшення потенційних ризиків, і заходи, які Selzy рекомендує Клієнту вжити для усунення Інциденту з даними.
7.3 Надсилання Сповіщення. Selzy надсилає сповіщення про будь-який Інцидент із даними на Адресу електронної пошти для сповіщень або, на розсуд компанії Selzy (зокрема, якщо Клієнт не надав адресу електронної пошти для сповіщень), за допомогою інших засобів прямого зв’язку (наприклад, телефонного дзвінка або особистої зустрічі). Клієнт несе повну відповідальність за надання адреси електронної пошти для повідомлень та забезпечення того, щоб ця адреса була актуальною та дійсною.
7.4 Сповіщення третіх осіб. Клієнт несе повну відповідальність за дотримання законодавства щодо сповіщення про виток, що застосовується до Клієнта, і за виконання будь-яких зобов’язань щодо сповіщення третіх осіб, пов’язаних із будь-яким Інцидентом із даними.
8. ПЕРЕВІРКИ НА ДОТРИМАННЯ ВИМОГ
8.1 Щоб продемонструвати дотримання своїх зобов’язань за цією DPA, а також на вимогу Клієнта Selzy надасть докладнішу інформацію щодо заходів безпеки, описаних у Додатку 2 до цієї DPA.
8.2 На вимогу Клієнта та з урахуванням зобов’язань щодо конфіденційності, викладених у цій DPA, Selzy надає Клієнту, який не є конкурентом Selzy (або незалежному сторонньому аудитору Клієнта, який не є конкурентом Selzy), інформацію про дотримання Selzy зобов’язань, викладених у цій DPA, і заходів безпеки, як описано в Додатку 2 до цієї DPA.
9. ОЦІНКА ВПЛИВУ НА ЗАХИСТ ДАНИХ
На вимогу Клієнта, Selzy допомагатиме Клієнту в забезпеченні дотримання будь-яких зобов’язань Клієнта щодо оцінки впливу на захист даних та попередніх консультацій, включаючи (якщо застосовно) зобов’язання Клієнта відповідно до статей 35 і 36 GDPR, якщо Клієнт не має доступу до відповідної інформації іншим чином і якщо така інформація доступна для Selzy. Selzy надаватиме Клієнту належну допомогу щодо співпраці або попередніх консультацій із Наглядовим органом при виконанні його завдань.
10. ПЕРЕДАЧА ДАНИХ
10.1 У більшості випадків Дані клієнтів обробляються компанією ECOMZ HOLDING LIMITED, зареєстрованою в Республіці Кіпр в Економічній зоні Європейського Союзу, і розміщуються на території Європейського Союзу в Німеччині або Латвії в центрах обробки даних Amazon Web Services або TET (Lattelecom), які повністю відповідають вимогам GDPR.
10.2 Транскордонна передача даних. Selzy може обробляти Персональні дані Клієнта в Сполучених Штатах Америки або Російській Федерації за умови дотримання відповідних гарантій, передбачених статтею 46 GDPR (див. п. 10.3).
10.3 Якщо Клієнт знаходиться в Сполучених Штатах Америки, Персональні дані Клієнта можуть розміщуватися компанією Selzy в Сполучених Штатах Америки за допомогою Amazon Web Services в центрах обробки даних, які повністю відповідають вимогам GDPR. Якщо Клієнт знаходиться в Російській Федерації, Персональні дані Клієнта можуть бути передані для обробки компанією Selzy в захищений центр обробки даних на території Російської Федерації. Діяльність із обробки даних в Російській Федерації захищена відповідними гарантіями, передбаченими статтею 46 GDPR, зокрема, стандартними положеннями про захист даних, прийнятими Європейською комісією відповідно до процедури розгляду. Для передачі даних від операторів у ЄС до обробників, розташованих за межами ЄС, заходи безпеки описані в Додатку 2 до цієї DPA. Європейська комісія вирішила, що стандартні договірні положення забезпечують достатні гарантії захисту даних для їх транскордонної передачі. Ви маєте право вимагати інформацію про ці договірні гарантії (зверніться до нашого відповідального за захист даних).
11. ТЕРМІН ДІЇ ЦІЄЇ DPA
11.1 Ця DPA набуває чинності з Дати набуття чинності й, незважаючи на закінчення Терміну дії, залишається чинною, доки Selzy не видалить усі Персональні дані Клієнта, як описано в цій DPA, і автоматично втрачає чинність після видалення.
12. РЕГУЛЮВАЛЬНЕ ЗАКОНОДАВСТВО
12.1 Ця DPA (включаючи будь-які позадоговірні питання та зобов’язання, що випливають з неї або пов’язані з нею) регулюється та тлумачиться відповідно до законодавства Республіки Кіпр.
12.2 Будь-який спір, розбіжність, розгляд або вимога між Сторонами щодо цієї Угоди (включаючи будь-які позадоговірні питання та зобов’язання, що випливають із неї або пов’язані з нею) належать до юрисдикції судів Республіки Кіпр.
12.3 Для передачі даних за межі ЄЕЗ, перелічених у пункті 10.3, захищених відповідними гарантіями згідно зі статтею 46 GDPR, зокрема стандартними положеннями про захист даних, прийнятими Комісією відповідно до процедури розгляду, від операторів у ЄС до обробників, заснованих за межами ЄС, і Клієнтів, коли обробка здійснюється в контексті діяльності організації в країнах ЄЕЗ окрім Республіки Кіпр, і/або Клієнтів, що надають послуги суб’єктам персональних даних, які перебувають у країнах ЄЕЗ окрім Республіки Кіпр, провідним наглядовим органом є Республіка Кіпр відповідно до статті 56 GDPR.
Наглядовий орган Республіки Кіпр у межах ЄЕЗ компетентний діяти як провідний наглядовий орган для транскордонної обробки, що здійснюється цим обробником, відповідно до процедури, передбаченої статтею 60 GDPR у рамках цієї DPA.
13. ЗМІНИ ДО ЦІЄЇ DPA
13.1 Selzy може змінювати цю DPA, якщо:
- це прямо дозволено цією DPA;
- демонструє зміну назви або форми юридичної особи;
- необхідно для дотримання чинного законодавства, чинних нормативних актів, судового рішення або вказівок, виданих державним регулятором або агенцією; або
- не: i) призводить до погіршення загальної безпеки Послуг; ii) розширює обсяг або знімає будь-які обмеження на обробку Selzy Персональних даних Клієнта; і iii) іншим чином має суттєвий несприятливий вплив на права Клієнта згідно з цією DPA, як це обґрунтовано визначено Selzy.
13.2 Сповіщення про зміни. Якщо Selzy має намір змінити цю DPA, Selzy повідомить Клієнта принаймні за 30 днів (або за коротший період, який може знадобитися для дотримання чинного законодавства, застосовних норм, судового рішення або вказівок, виданих державним регулятором або агенцією), перш ніж зміни набудуть чинності, шляхом: а) надсилання електронного листа на Адресу електронної пошти для сповіщень; або б) попередження Клієнта через користувацький інтерфейс для Послуг. Якщо Клієнт заперечує проти будь-якої подібної зміни, Клієнт може припинити дію Угоди, надіславши письмове сповіщення до Selzy протягом 30 днів з моменту отримання повідомлення від Selzy про таку зміну.
Додаток 1
ПРЕДМЕТ І ДЕТАЛІ ОБРОБКИ ДАНИХ
1. Характер і мета обробки
Selzy оброблятиме Персональні дані Клієнта в міру необхідності для надання Послуг відповідно до Угоди, а також відповідно до подальших інструкцій Клієнта щодо використання Послуг.
2. Тривалість процесу обробки
Відповідно до Розділу 11 DPA, Selzy Оброблятиме Персональні дані протягом усього терміну дії Угоди, якщо інше не буде узгоджено в письмовій формі.
3. Категорії суб’єктів персональних даних
Клієнт може передавати Персональні дані до Сервісів, обсяг яких визначається та контролюється Клієнтом на власний розсуд, і які можуть включати, серед іншого, Персональні дані, що стосуються наступних категорій суб’єктів персональних даних:
- Потенційні клієнти, клієнти, ділові партнери та постачальники Клієнта (які є фізичними особами)
- Працівники або контактні особи потенційних клієнтів, клієнтів, ділових партнерів та постачальників Клієнта
- Працівники, агенти, радники, фрілансери Клієнта (які є фізичними особами)
- Користувачі Клієнта, уповноважені Клієнтом користуватися Послугами
4. Типи Персональних даних
Клієнт може передавати Персональні дані до Сервісів, обсяг яких визначається та контролюється Клієнтом на власний розсуд, і які можуть включати, серед іншого, наступні категорії Персональних даних:
- Ім’я та прізвище
- Посада
- Країна
- Адреса електронної пошти
- Номер телефону
- Поштова адреса
- Посада
- Роботодавець
- Контактна інформація (компанія, адреса електронної пошти, телефон, фізична адреса компанії)
- Ідентифікаційні дані
- IP-адреса(-и) та доменне ім’я
- Дані щодо локалізації
5. Спеціальні категорії даних (за потреби):
НЕ ВИЗНАЧЕНО
6. Процедури обробки
Персональні дані піддаватимуться наступним основним процедурам обробки (зазначити):
- ІТ, цифрові, технологічні або телекомунікаційні послуги, включаючи надання технологічних продуктів або послуг, телекомунікаційні та мережеві послуги, цифрові послуги, розміщення, хмарні послуги та послуги з підтримки або ліцензування програмного забезпечення. Включаючи, серед іншого, таке:
- збір, запис, упорядкування, структурування, зберігання, пошук, використання, розкриття, видалення та знищення Персональних даних Клієнта з метою надання Послуг і будь-якої пов’язаної з ними технічної підтримки Клієнту відповідно до цієї Угоди про обробку персональних даних. Послуги включають наступне: Маркетингові SaaS-сервіси електронної пошти/SMS/Viber, Транзакційні листи, Послуги з Email-маркетингу тощо.
Додаток 2
ЗАХОДИ БЕЗПЕКИ
Selzy впроваджуватиме та підтримуватиме Заходи безпеки, викладені в цьому Додатку 2. Selzy може час від часу оновлювати або змінювати такі Заходи безпеки за умови, що такі оновлення та зміни не призведуть до погіршення загальної безпеки Послуг.
1. КЛЮЧОВІ ПРИНЦИПИ SELZY ЩОДО ЗАХИСТУ ДАНИХ
1.1 Усі ІТ-системи Selzy захищені від несанкціонованого доступу.
1.2 Усі ІТ-системи Selzy використовуються лише згідно з відповідними Політиками компанії.
1.3 Усі працівники Selzy та будь-які треті особи, уповноважені використовувати ІТ-системи, включаючи, серед іншого, субпідрядників із обробки даних, повинні переконатися, що вони ознайомлені з цими Політиками, а також зобов’язані завжди дотримуватися та виконувати їх.
1.4 Усі безпосередні керівники забезпечують, щоб усі працівники та субпідрядники з обробки даних, які перебувають під їхнім контролем і керівництвом, постійно дотримувалися та виконували ці Політики, як того вимагає пункт 2.3.
1.5 Усі дані, що зберігаються в ІТ-системах, надійно захищені відповідно до всіх відповідних частин Регламенту ЄС 2016/679 «Загальний регламент про захист персональних даних» (GDPR) і всіх інших законів, що регулюють захист персональних даних, які діють зараз або будуть діяти в майбутньому.
1.6 Усі дані, що зберігаються в ІТ-системах, класифікуються належним чином. Усі класифіковані таким чином дані обробляються належним чином відповідно до їхньої класифікації.
1.7 Усі дані, що зберігаються в ІТ-системах, доступні лише тим Користувачам, які мають законну потребу в доступі.
1.8 Усі дані, що зберігаються в ІТ-системах, захищені від несанкціонованого доступу та обробки.
1.9 Усі дані, що зберігаються в ІТ-системах, захищені від втрати та пошкодження.
1.10 Про всі випадки порушення безпеки, що стосуються ІТ-систем або будь-яких даних, що зберігаються в них, повідомляється та згодом розслідується ІТ-відділом.
2. ЗАХОДИ БЕЗПЕКИ ЩОДО ПРОГРАМНОГО ЗАБЕЗПЕЧЕННЯ
2.1 Усе програмне забезпечення, що використовується в ІТ-системах (включаючи, серед іншого, операційні системи, окремі додатки програмного забезпечення та вбудоване програмне забезпечення), підтримується в актуальному стані, а також застосовуються всі відповідні оновлення, патчі, виправлення та інші проміжні версії програмного забезпечення.
2.2 Якщо в будь-якому програмному забезпеченні виявлено будь-яку вразливість безпеки, цю вразливість має бути негайно усунено, або програмне забезпечення може бути вилучено з ІТ-систем, доки недолік у безпеці не буде ефективно виправлено.
2.3 Жоден працівник Selzy не має права встановлювати будь-яке власне програмне забезпечення без дозволу ІТ-менеджера, незалежно від того, чи постачається воно на фізичному носії, чи завантажується. Будь-яке програмне забезпечення має бути схвалене ІТ-менеджером і може бути встановлене лише там, де воно не становить загрози безпеці ІТ-систем і де воно не порушує жодних ліцензійних угод, на які може поширюватися це програмне забезпечення.
3. АНТИВІРУСНІ ЗАХОДИ БЕЗПЕКИ
3.1 ІТ-системи Selzy (включаючи всі комп’ютери та сервери) захищені відповідним антивірусом, міжмережевим екраном та іншим відповідним програмним забезпеченням для забезпечення безпеки в Інтернеті. Усе подібне програмне забезпечення підтримується в актуальному стані з урахуванням останніх оновлень і визначень.
3.2 Усі ІТ-системи Selzy, захищені антивірусним програмним забезпеченням, підлягають повному системному скануванню щонайменше раз на тиждень.
3.3 Усі фізичні носії (наприклад, USB-накопичувачі або диски будь-якого типу), що використовуються працівниками для передачі файлів, необхідно перевірити на наявність вірусів, перш ніж передавати будь-які файли. Такі перевірки на наявність вірусів виконує Менеджер ІТ-персоналу.
3.4 Працівникам Selzy дозволяється передавати файли за допомогою хмарних систем зберігання даних лише з дозволу ІТ-менеджера. Усі файли, завантажені з будь-якої хмарної системи зберігання даних, перевіряються на наявність вірусів під час процесу завантаження.
3.5 Будь-які файли, що надсилаються третім особам за межами Компанії електронною поштою, на фізичних носіях або в інший спосіб (наприклад, у хмарному сховищі), перевіряються на наявність вірусів перед надсиланням або під час надсилання.
4. ЗАХОДИ БЕЗПЕКИ ЩОДО АПАРАТНОГО ЗАБЕЗПЕЧЕННЯ
4.1 Локальні ІТ-системи Selzy розташовані в приміщеннях, які надійно замикаються (доступ до них отримують авторизовані Користувачі за допомогою смарт-картки).
4.2 Усі локальні ІТ-системи, не призначені для звичайного використання Користувачами (включаючи, серед іншого, сервери, мережеве обладнання та мережеву інфраструктуру), розташовані в захищених приміщеннях з контрольованою атмосферою в замкнених шафах, доступ до яких мають лише призначені співробітники ІТ-відділу.
4.3 Усі мобільні пристрої (включаючи, серед іншого, ноутбуки, планшети та смартфони), надані Компанією, завжди транспортуються безпечно і з ними дбайливо поводяться.
5. БЕЗПЕКА ДОСТУПУ
5.1 Привілеї доступу до всіх ІТ-систем визначаються на основі рівнів повноважень працівників в організаційній структурі Selzy та вимог, що висуваються до їхніх посадових обов’язків. Працівникам не надається доступ до будь-яких ІТ-систем або електронних даних, які не є обґрунтовано необхідними для виконання їхніх посадових обов’язків.
5.2 Усі ІТ-системи (і, зокрема, мобільні пристрої, включаючи, серед іншого, ноутбуки, планшети та смартфони) захищені надійним паролем чи кодом, або такою іншою формою безпечного входу в систему, застосування якої ІТ-відділ може вважати доцільним і схвалити.
5.3 Усі паролі захищені наступними заходами безпеки:
- мають довжину щонайменше 8 символів;
- містять комбінацію великих і малих літер, цифр, символів;
- змінюються щонайменше кожні 90 днів;
- відрізняються від попереднього пароля;
- не є очевидними або такими, що легко вгадуються (наприклад, дні народження або інші пам’ятні дати, пам’ятні імена, події або місця тощо); і
- створені окремими Користувачами.
5.4 Усі ІТ-системи з дисплеями та користувацькими пристроями введення (наприклад, миша, клавіатура, сенсорний екран тощо) захищені екранною заставкою, яку захищено паролем, і яка активується через 5 хвилин бездіяльності.
6. БЕЗПЕКА ЗБЕРІГАННЯ ДАНИХ
6.1 Усі дані, зокрема персональні, надійно зберігаються з використанням паролів.
6.2 Персональні дані не зберігаються на будь-яких мобільних пристроях (включаючи, серед іншого, ноутбуки, планшети та смартфони), незалежно від того, чи належить такий пристрій компанії Selzy, чи ні.
6.3 Жодні дані, зокрема персональні, не передаються на будь-який комп’ютер або пристрій, що особисто належить працівнику, за винятком випадків, коли цей працівник є субпідрядником із обробки даних, який працює від імені Selzy, і цей працівник погодився повністю дотримуватися Політики захисту даних Компанії та GDPR.
7. ЗАХИСТ ДАНИХ
7.1 Усі персональні дані (як визначено в GDPR), які збирає, зберігає та обробляє Selzy, збираються, зберігаються та обробляються суворо відповідно до принципів GDPR, положень GDPR і Політики захисту даних Компанії.
7.2 Усі Користувачі, які обробляють дані на користь і від імені Selzy, підпадають під дію та повинні завжди дотримуватися положень Політики захисту даних Компанії. Зокрема, застосовуються такі положення:
- Усі електронні листи, що містять конфіденційні або чутливі персональні дані, шифруються за допомогою протоколу TLS SSL;
- Усі електронні листи, що містять конфіденційні або чутливі персональні дані, позначаються написом «конфіденційно»;
- Конфіденційні та чутливі персональні дані можуть передаватися лише через захищені мережі; передачу через незахищені мережі заборонено;
- Усі конфіденційні та чутливі персональні дані, що підлягають фізичній передачі, зокрема на знімних електронних носіях, передаються у відповідному контейнері з позначкою «конфіденційно».
- Якщо на екрані комп’ютера переглядаються будь-які конфіденційні або чутливі персональні дані, і цей комп’ютер має бути залишений без нагляду на певний час, працівник повинен заблокувати комп’ютер та екран, перш ніж залишити його.
7.3 Будь-які питання, пов’язані із захистом даних, слід направляти до нашого працівника, відповідального за захист даних Officer ([email protected]).
8. ЦЕНТРИ ОБРОБКИ ДАНИХ І МЕРЕЖЕВА БЕЗПЕКА ХОСТИНГ-ПРОВАЙДЕРА
Selzy використовує Amazon Web Services для зберігання та аналізу даних, включаючи хмарну інфраструктуру AWS у регіоні Європа (Німеччина) та Європа (Латвія).
9. ДОСТУПНІСТЬ
AWS визначили важливі компоненти системи, необхідні для підтримки доступності нашої системи та відновлення послуг у разі збою. Резервні копії важливих компонентів системи зберігаються в декількох ізольованих місцях, відомих як Зони доступності. Кожна Зона доступності спроектована так, щоб працювати автономно та з високим рівнем надійності. Зони доступності з’єднані між собою, щоб можна було легко створювати програми, які автоматично й безперервно перемикаються між Зонами доступності. Висока стійкість систем до відмов, а отже й доступність послуг, залежать від того, як систему спроектовано. Завдяки використанню Зон доступності та тиражуванню даних, клієнти AWS можуть досягти надзвичайно короткого часу відновлення та цільових точок відновлення, а також найвищого рівня доступності послуг.
10. ОБСЛУГОВУВАННЯ ІНФРАСТРУКТУРИ
Технічне обслуговування обладнання. AWS контролює та виконує профілактичне обслуговування електричного та механічного обладнання для підтримки безперервної працездатності систем у центрах обробки даних AWS. Роботи з технічного обслуговування обладнання виконуються кваліфікованими фахівцями згідно з документованим регламентом технічного обслуговування.
Управління середовищем. AWS здійснює моніторинг електричних і механічних систем та обладнання, що дозволяє негайно виявляти проблеми. Це здійснюється за допомогою інструментів постійного контролю та інформації, що надається через наші автоматизовані системи управління будівлею та електричного моніторингу. Профілактичне обслуговування виконується для підтримки безперервної працездатності обладнання.
11. УПРАВЛІННЯ ТА РИЗИКИ
Управління ризиками в центрах обробки даних. Центр моніторингу інформаційної безпеки AWS здійснює регулярні огляди загроз і вразливостей центрів обробки даних. Постійне оцінювання та зменшення потенційних вразливостей здійснюється за допомогою заходів із оцінювання ризиків у центрі обробки даних. Це оцінювання виконується на додаток до процесу оцінювання ризиків на рівні підприємства, який використовують для виявлення ризиків, що становлять загрозу для бізнесу в цілому, і управління ними. Цей процес також враховує регіональні законодавчі та екологічні ризики.
Атестація безпеки третьою стороною. Тестування центрів обробки даних AWS третьою стороною, задокументоване в наших звітах, гарантує, що AWS належним чином запровадила заходи безпеки відповідно до встановлених правил, необхідних для сертифікації системи безпеки. Залежно від програми, спрямованої на дотримання вимог, зовнішні аудитори можуть провести перевірку утилізації носіїв інформації, переглянути записи камер спостереження, оглянути входи та коридори центру обробки даних, протестувати управління електронним доступом і дослідити обладнання центру обробки даних.
Мережі та передача інформації..
Передача даних. Центри обробки даних Selzy підключені через приватні канали, захищені міжмережевими екранами AWS Network, що гарантує безпечну передачу даних. Це робиться з метою дотримання конфіденційності, цілісності та доступності мережі, а також для запобігання несанкціонованому зчитуванню, копіюванню, зміні або видаленню даних під час електронної передачі.
Реагування на витік даних. Selzy відстежує різноманітні канали зв’язку на предмет порушень безпеки, а працівники служби безпеки Selzy оперативно реагують на відомі інциденти.
Можливі напрямки зовнішньої атаки. Selzy враховує потенційні вектори атак і впроваджує відповідні спеціально розроблені власні технології в зовнішні системи.
Технології шифрування. Selzy використовує шифрування HTTPS (також відоме як SSL або TLS-з’єднання).
12. БЕЗПЕКА СУБПІДРЯДНИКА З ОБРОБКИ ДАНИХ
Перш ніж залучити Субпідрядників із обробки даних, Selzy проводить аудит щодо процедур забезпечення конфіденційності з боку Субпідрядників із обробки даних, щоб переконатися, що Субпідрядники забезпечують рівень безпеки та конфіденційності, що відповідає їх рівню доступу до даних та обсягу послуг, для надання яких їх було залучено. Щойно Selzy оцінить ризики, пов’язані з Субпідрядником із обробки даних, Субпідрядник зобов’язаний укласти з нею відповідні договірні умови про безпеку, конфіденційність і приватність, завжди дотримуючись вимог, викладених у Розділі 6 DPA.