Политика конфиденциальности
Соглашение об обработке персональных данных
1. Введение
Настоящее соглашение об обработке персональных данных («Приложение») является неотъемлемой частью соглашения между V-Center OY («Поставщик услуг») и клиентом («Заказчик») и Общих положений и условий («Соглашение») в соответствии с ним.
Целью настоящего Приложения является согласование защиты данных и информационной безопасности Персональных данных Заказчика в сервисах Исполнителя. Настоящее Приложение представляет собой письменное соглашение между сторонами об обработке персональных данных в соответствии с Общим регламентом ЕС по защите данных (679/2016). Обязательства и права, непосредственно основанные на Регламенте ЕС о защите данных, вступят в силу только после начала применения Регламента ЕС о защите данных 25 мая 2018 года.
В случае если условия настоящего Приложения и Соглашения об обработке персональных данных противоречат друг другу, стороны в первую очередь применяют условия настоящего Приложения.
2. Определения
В данном Приложении, в соответствии с регламентом ЕС о защите данных,«Регистратор» означает лицо, которое определяет цели и средства Обработки Персональных данных и которое может быть Клиентом или принципалом Клиента, как определено в этом Приложении.«Обработчик» означает Поставщика услуг, который обрабатывает Персональные данные от имени Контролера на основании Соглашения.«Обработка» и «Действия по обработке» означают действие или действия, которые применяются к Персональным данным или наборам данных, содержащим Персональные данные, либо с использованием автоматической обработки данных, либо вручную, например, сбор, хранение, организация, структурирование, хранение, изменение или изменение, поиск, запрос, использование, передачу данных, распространение или иное предоставление их, сопоставление или объединение, ограничение, удаление или уничтожение информации.«Персональные данные» означают всю информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу, именуемому в дальнейшем «Зарегистрированное лицо»; идентифицируемым физическим лицом считается физическое лицо, которое может быть прямо или косвенно идентифицировано, особенно на основе идентификационной информации, такой как имя, номер социального страхования, информация о местонахождении, онлайн-идентификационная информация или один или несколько физических, физиологических, генетических, психологических , экономические, культурные или социальные факторы, характерные для него.«Нарушение безопасности персональных данных» означает нарушение безопасности, повлекшее за собой случайное или незаконное уничтожение, потерю, изменение, несанкционированное раскрытие или доступ к переданным, хранимым или иным образом Обрабатываемым Персональным данным.3. Защита данных и обработка персональных данных
3.1 Ответственность Поставщика услуг и Заказчика
Поставщик услуг обрабатывает Персональные данные Контроллера данных от имени Контролера данных и от его имени на основании Соглашения. В сервисе заказчик или его клиент является регистратором обрабатываемых персональных данных, а поставщик услуг — обработчиком. Стороны обязуются соблюдать законодательство об обработке персональных данных, указы и постановления и инструкции органов власти, действующие в любой момент времени в Финляндии и Европейском Союзе, и при необходимости изменять условия настоящего Приложения в соответствии с ними.
Контроллер несет ответственность за наличие необходимых прав и согласий на Обработку Персональных данных в соответствии с Соглашением. Контроллер данных несет ответственность за подготовку заявления о защите данных и его доступность, а также за информирование субъектов данных и направление уведомлений органам по защите данных. Клиент несет ответственность за правильность Персональных данных, которые он предоставил Поставщику услуг.
Контролер имеет право и обязанность определять цель и средства обработки Персональных данных. Поставщик услуг не указывает тип персональных данных, хранящихся в Сервисе Заказчика, и группы зарегистрированных пользователей. Типичными личными данными, хранящимися в Сервисе, являются имя, адрес электронной почты, информация о почтовом адресе, номер телефона и IP-адрес. Клиент обязан уведомить Поставщика услуг, если в Сервисе хранятся другие типы или группы персональных данных.
Поставщик услуг имеет право Обрабатывать Персональные данные Контроллера данных и другие данные Контролера данных только в соответствии с Соглашением и настоящим Приложением и только в объеме и в порядке, необходимых для оказания услуг.
Поставщик услуг хранит описание услуги или другое заявление, требуемое регламентом ЕС о защите данных об операциях обработки, выполняемых в рамках услуги, если этого требует действующее законодательство. Поставщик услуг имеет право собирать анонимную и статистическую информацию об использовании услуг в соответствии с Соглашением, которая не идентифицирует Контролера или Зарегистрированных пользователей, и использовать ее для анализа и развития своих услуг.
3.2 Удаление/восстановление данных
При расторжении Соглашения Исполнитель удалит все Персональные данные, хранящиеся в Сервисе Регистратора, не позднее 2 месяцев после расторжения Соглашения, если действующее законодательство не требует сохранения Персональных данных. Контроллер может запросить немедленное удаление данных, хранящихся в Сервисе. Контроллер данных может запросить возврат информации, хранящейся в Сервисе, в течение 7 дней после удаления информации.
3.3 Субподрядчики
Поставщик услуг имеет право использовать субподрядчиков для обработки персональных данных Контролера. Поставщик услуг несет ответственность за действия субподрядчиков как за свои собственные и готовит соответствующие письменные соглашения с субподрядчиками об обработке персональных данных. Поставщик услуг будет уведомлять об изменениях в использовании субподрядчиков и, по запросу, заранее информировать Заказчика о субподрядчиках, которых он намеревается использовать для обработки Персональных данных в соответствии с Соглашением. Заказчик имеет право возражать против использования нового субподрядчика по уважительной причине. Если стороны не могут прийти к соглашению об использовании нового субподрядчика, Заказчик имеет право расторгнуть Соглашение с уведомлением за 30 (тридцать) дней в той мере, в какой смена субподрядчика влияет на Обработку Персональных данных в соответствии с Соглашением.
3.4 Обязанность поставщика услуг оказывать помощь
Исполнитель незамедлительно передает Заказчику все запросы на проверку, исправление, удаление или запрет Обработки Персональных данных, полученные от Зарегистрированных, или иные запросы, полученные от Зарегистрированных, касающиеся реализации прав Зарегистрированных в соответствии с применимым законодательством и ЕС. Общее положение о защите данных. Клиент несет ответственность за заботу о за ответы на запросы. Принимая во внимание характер операции Обработки, Поставщик услуг помогает Клиенту соответствующими техническими и организационными мерами, насколько это возможно, для выполнения обязательства Контроллера данных отвечать на запросы Субъекта данных.
Поставщик услуг обязан, принимая во внимание характер обработки Персональных данных и доступную ему информацию, помочь Контролеру обеспечить выполнение возложенных на него законом обязательств. Эти обязательства могут включать информационную безопасность, уведомление о нарушениях информационной безопасности, оценку воздействия на защиту данных и обязательства по предварительным консультациям. Поставщик услуг обязан помогать Контролеру только в рамках обязательств, возложенных на обработчика персональных данных применимым законодательством о защите данных. Если не оговорено иное, Поставщик услуг имеет право выставить счет на расходы, связанные с деятельностью в соответствии с пунктом 3.4 настоящего договора, в соответствии с его действующим прейскурантом.
Поставщик услуг направляет все запросы от органов по защите данных непосредственно Клиенту, и Поставщик услуг не имеет полномочий представлять Контроллера данных или действовать от имени органов по защите данных с органами по защите данных, контролирующими Контролера данных.
4. Обработка за пределами ЕС/ЕЭЗ
Поставщик услуг и его субподрядчики могут обрабатывать Персональные данные за пределами территории ЕС/ЕЭЗ.
Поскольку Поставщик услуг и/или его субподрядчик обрабатывает персональные данные за пределами зоны ЕС/ЕЭЗ, Поставщик услуг обеспечивает соблюдение положений стандарта ЕС о защите данных 2010/87/ЕС о передаче персональных данных за пределы зоны ЕС/ЕЭЗ или аналогичных Правовая охрана, утвержденная Регламентом, применима к такой передаче или к Обработке. Настоящим Заказчик предоставляет Поставщику услуг доверенность, с тем чтобы Поставщик услуг мог брать на себя обязательства по таким типовым положениям договора от имени Заказчика и от имени Заказчика. Кроме того, Заказчик прямо соглашается с тем, что Поставщик услуг также представляет соответствующего субподрядчика при соблюдении стандартных положений о защите данных.
5. Аудит
Заказчик или аудитор, уполномоченный заказчиком (однако не являющийся конкурентом Поставщика услуг) имеет право проводить аудит операций в соответствии с настоящим Приложением. Договаривающиеся стороны согласовывают время проведения аудита и другие детали заблаговременно и не менее чем за 14 рабочих дней до проведения аудита. Аудит должен проводиться таким образом, чтобы не нарушать обязательства Поставщика услуг и его субподрядчиков перед третьими лицами. Представители клиента и аудитор должны подписать обычные обязательства по соблюдению конфиденциальности.
Заказчик несет ответственность за себя и Поставщика услуг за расходы, понесенные в результате аудита.
6. Безопасность данных
Поставщик услуг принимает соответствующие технические и организационные меры для защиты Персональных данных Контролера данных, принимая во внимание риски, присущие Обработке, которые, в частности, представляют собой непреднамеренное или незаконное уничтожение, уничтожение, изменение, несанкционированное раскрытие или доступ к персональным данным переданных , хранящиеся или иным образом обрабатываемые персональные данные. При организации защитных мер учитываются доступные технические варианты и их стоимость в связи с особыми рисками, связанными с обработкой данных и чувствительностью Обрабатываемых Персональных данных.
Заказчик обязан обеспечить информирование Поставщика услуг обо всех вопросах, связанных с Персональными данными, предоставленными Контроллером, таких как оценка рисков и обработка особых групп людей, которые влияют на технические и организационные меры в соответствии с настоящим Приложением. . Поставщик услуг гарантирует, что персонал Поставщика услуг или субподрядчик, используемый Поставщиком услуг, участвующий в Обработке Персональных данных, соблюдает соответствующие обязательства по соблюдению конфиденциальности.
7. Уведомление о нарушении безопасности данных
Поставщик услуг должен уведомлять Клиента обо всех нарушениях безопасности данных, касающихся Персональных данных, без неоправданной задержки после получения информации о нарушении или когда субподрядчик, привлеченный Поставщиком услуг, узнал о нарушении.
По запросу Заказчика Поставщик услуг должен без неоправданной задержки предоставить Заказчику всю соответствующую информацию, связанную с нарушением безопасности данных. В той степени, в которой рассматриваемая информация доступна Поставщику услуг, Поставщик услуг должен описать в уведомлении Клиенту как минимум:
• произошедшее нарушение безопасности данных,
• где возможно, группы и предполагаемое количество зарегистрированных и группы и предполагаемое количество типов персональных данных,
• описание вероятных последствий нарушения безопасности данных, а также
• описание мер по исправлению положения, которые Поставщик услуг предпринял или предпримет для предотвращения нарушений безопасности данных в будущем, а также, при необходимости, мер по минимизации возможных негативных последствий нарушения безопасности данных.
Поставщик услуг документирует и сообщает о результатах расследования и принятых мерах Заказчику.
Контроллер несет ответственность за необходимые уведомления органов по защите данных.
8. Прочие условия
Если лицу причинен материальный или нематериальный ущерб из-за нарушений Регламента ЕС о защите данных или Приложения, Поставщик услуг несет ответственность за ущерб только в той мере, в какой он не выполнил обязательства, прямо возложенные на него Защитой данных ЕС. Регламент или настоящее Приложение.
Каждая сторона обязана выплатить только ту часть установленных убытков и административных штрафов, которая соответствует ответственности за ущерб, подтвержденной в юридически обязывающем решении органа надзора за защитой данных или суда. В любом случае ответственность сторон ограничена, как определено в Соглашении.
Поставщик услуг письменно информирует Заказчика о любых изменениях, которые могут повлиять на его способность или возможности соблюдать настоящее Приложение.
Настоящее Приложение действует (i) в соответствии со сроком действия Соглашения или (ii) стороны имеют обязательства друг перед другом на основании Обработки Персональных данных.
Обязательства, которые по своему характеру должны оставаться в силе независимо от истечения срока действия настоящего Приложения, останутся в силе и после истечения срока действия Приложения.