Угода про обробку даних

між

Клієнт відповідно до ОУК як Контролер (надалі "Контролер"),

і

Spreadly GmbH, Forstenrieder Weg 1G, 82065 Baierbrunn, Deutschland в якості Обробника даних (далі "Обробник даних", Контролер та Обробник даних разом "Сторони")

Преамбула

Контролер уклав з Обробником даних Договір про надання послуг (далі - "Основний договір") для надання зазначених у ньому послуг. Частиною виконання договору є обробка персональних даних. Зокрема, ст. 28 GDPR висуває конкретні вимоги до такої обробки на замовлення. З метою дотримання цих вимог Сторони укладають наступну Угоду про обробку даних (далі - "Угода"), виконання якої не підлягає окремій винагороді, якщо це прямо не погоджено.

§ 1 Визначення

(1) Відповідно до ст. 4 (7) GDPR, Контролер - це особа, яка самостійно або спільно з іншими Контролерами визначає цілі та засоби обробки персональних даних.

(2) Відповідно до ст. 4 (8) GDPR, обробник даних - це фізична або юридична особа, орган, установа або інший орган, який обробляє персональні дані від імені Контролера.

(3) Відповідно до ст. 4 (1) GDPR, персональні дані означають будь-яку інформацію, що стосується ідентифікованої або ідентифікованої фізичної особи (далі - "Суб'єкт даних"); фізична особа, яку можна ідентифікувати, прямо чи опосередковано, зокрема, за допомогою ідентифікатора, такого як ім'я, ідентифікаційний номер, дані про місцезнаходження, онлайн-ідентифікатор або за допомогою одного чи більше факторів, характерних для фізичної, фізіологічної, генетичної, психічної, економічної, культурної чи соціальної ідентичності цієї фізичної особи.

(4) Персональні дані, які потребують особливого захисту, - це персональні дані відповідно до ст. 9 GDPR, що розкривають расове або етнічне походження, політичні погляди, релігійні або філософські переконання або членство в профспілках Суб'єктів даних, персональні дані відповідно до ст. 10 GDPR про судимості та кримінальні правопорушення або пов'язані з ними заходи безпеки, а також генетичні дані відповідно до ст. 4 (13) GDPR, біографічні дані відповідно до ст. 4 (13) GDPR, біометричні дані відповідно до ст. 4 (14) GDPR, дані про стан здоров'я відповідно до ст. 4 (14) GDPR, дані про стан здоров'я відповідно до ст. 4 (15) GDPR, а також дані про статеве життя або сексуальну орієнтацію фізичної особи.

(5) Згідно зі статтею 4 (2) GDPR, обробка - це будь-яка операція або набір операцій, які виконуються над персональними даними, незалежно від того, чи здійснюються вони автоматизовано, наприклад, збір, запис, організація, подання, зберігання, адаптація або зміна, витяг, консультація, використання, розкриття шляхом передачі, розповсюдження або іншого надання, узгодження або комбінування, обмеження, видалення або знищення.

(6) Відповідно до статті 4 (21) GDPR, наглядовий орган є незалежним державним органом, створеним державою-членом відповідно до статті 51 GDPR.

§ 2 Предмет договору

(1) Обробник даних надає Контролеру послуги, визначені в Основному договорі. При цьому Обробник даних отримує доступ до персональних даних, які обробляє для Контролера виключно від імені та відповідно до інструкцій Контролера. Обсяг і мета обробки даних Обробником даних викладені в Основному договорі та будь-яких пов'язаних з ним описах послуг. Контролер несе відповідальність за оцінку допустимості обробки даних.

(2) Сторони укладають цю Угоду з метою визначення взаємних прав та обов'язків відповідно до законодавства про захист даних. У разі виникнення суперечностей, положення цієї Угоди мають переважну силу над положеннями Основного договору.

(3) Положення цього договору застосовуються до всіх видів діяльності, пов'язаних з Основним договором, в яких Обробник даних та його працівники або уповноважені ним особи контактують з персональними даними, що походять від Контролера або зібрані для Контролера.

(4) Строк дії цієї Угоди регулюється строком дії Основного договору, за винятком випадків, коли наведені нижче положення призводять до виникнення додаткових зобов'язань або права на розірвання.

§ 3 Право на інструктаж

(1) Обробник даних може збирати, обробляти або використовувати дані лише в межах Основного договору та відповідно до інструкцій Контролера. Якщо обробник даних зобов'язаний здійснювати подальшу обробку відповідно до законодавства Європейського Союзу або держав-членів, яким він підпорядковується, він повинен повідомити Контролера про ці правові вимоги перед початком обробки.

(2) Інструкції Контролера спочатку визначаються цим Договором. У подальшому вони можуть бути змінені, доповнені або замінені Контролером у письмовій або текстовій формі індивідуальними інструкціями (Індивідуальні інструкції). Контролер має право видавати такі інструкції в будь-який час. Це включає в себе інструкції щодо виправлення, видалення та блокування даних.

(3) Усі видані інструкції повинні бути задокументовані Контролером. Інструкції, які виходять за межі послуг, узгоджених в Основному договорі, розглядаються як запит на зміну послуг.

(4) Якщо Обробник даних вважає, що вказівка Контролера порушує положення про захист даних, він повинен повідомити про це Контролера без невиправданої затримки. Обробник даних має право призупинити виконання відповідної інструкції до її підтвердження або зміни Контролером. Обробник даних може відмовитися від виконання явно незаконного розпорядження.

§ 4 Типи оброблюваних даних, групи суб'єктів даних, треті країни

(1) В рамках виконання Основного договору Обробник даних має доступ до персональних даних, більш детально зазначених у Додатку 1..

(2) Група Суб'єктів даних, на яких впливає обробка даних, перерахована в Додатку 1..

(3) Передача персональних даних до третьої країни може відбуватися на умовах ст. 44 та наступних. GDPR.

§ 5 Захисні заходи Обробника даних

(1) Обробник даних зобов'язаний дотримуватися встановлених законом положень про захист даних і не розголошувати інформацію, отриману з домену Контролера, третім особам або надавати їм доступ до неї. Документи та дані повинні бути захищені від розголошення неуповноваженим особам з урахуванням сучасного стану.

(2) Обробник даних повинен організувати внутрішню організацію в межах своєї сфери відповідальності таким чином, щоб вона відповідала спеціальним вимогам захисту даних. Він повинен вжити технічних та організаційних заходів, зазначених у Додатку 2, для належного захисту даних Контролера відповідно до ст. 32 GDPR, які Контролер визнає достатніми. Обробник даних залишає за собою право змінювати вжиті заходи безпеки, гарантуючи при цьому, що узгоджений за договором рівень захисту не буде знижений.

(3) Особам, залученим до обробки даних Обробником даних, забороняється збирати, обробляти або використовувати персональні дані без дозволу. Обробник даних зобов'язує всіх осіб, яким він доручив обробку та виконання цього договору (далі "Працівники"), відповідно (зобов'язання про конфіденційність, ст. 28 (3) літ. b GDPR) і забезпечить дотримання цього зобов'язання з належною ретельністю.

(4) Обробник даних призначив відповідального за захист даних. Уповноваженим із захисту даних Обробника даних є heyData GmbH, Schützenstr. 5, 10117 Berlin, datenschutz@heydata.eu, www.heydata.eu.

§ 6 Інформаційні зобов'язання Обробника даних

(1) У разі збоїв, підозри на порушення захисту даних або порушення договірних зобов'язань Обробника даних, підозри на інциденти, пов'язані з безпекою, або інші порушення в обробці персональних даних Обробником даних, особами, які працюють з ним в рамках договору, або третіми особами, Обробник даних зобов'язаний невідкладно поінформувати Контролера. Те саме стосується перевірок Обробника даних органом нагляду за захистом даних. Повідомлення про порушення персональних даних повинно містити щонайменше наступну інформацію:

(a) опис характеру порушення персональних даних, включаючи, наскільки це можливо, категорії та кількість суб'єктів даних, яких це стосується, категорії та кількість порушених записів персональних даних;

(b) опис заходів, вжитих або запропонованих Обробником даних для усунення порушення, і, де це застосовно, заходів для пом'якшення його можливих негативних наслідків;

(c) опис ймовірних наслідків порушення персональних даних.

(2) Обробник даних повинен негайно вжити необхідних заходів для захисту даних та пом'якшення будь-яких можливих негативних наслідків для Суб'єктів даних, повідомити про це Контролера та запросити подальші інструкції.

(3) Крім того, Обробник даних зобов'язаний надавати Контролеру інформацію в будь-який час, якщо на дані Контролера впливає порушення відповідно до пункту 1.

(4) Обробник даних повинен інформувати Контролера про будь-які суттєві зміни в заходах безпеки відповідно до пункту 2 розділу 5.

§ 7 Контрольні права Контролера

(1) Контролер може перевірити технічні та організаційні заходи Обробника даних перед початком обробки даних, а потім регулярно на щорічній основі. З цією метою Контролер може, наприклад, отримати інформацію від Обробника даних, отримати наявні свідоцтва від експертів, сертифікати або результати внутрішнього аудиту або, після своєчасного узгодження, особисто перевірити технічні та організаційні заходи Обробника даних у звичайний робочий час або доручити їх перевірку компетентній третій стороні, за умови, що ця третя сторона не перебуває в конкурентних відносинах з Обробником даних. Контролер здійснює перевірки тільки в необхідному обсязі і не повинен непропорційно порушувати діяльність Обробника даних в процесі перевірки.

(2) Обробник даних зобов'язується надати Контролеру, на його усний або письмовий запит і в розумні терміни, всю інформацію та докази, необхідні для проведення перевірки технічних та організаційних заходів Обробника даних.

(3) Контролер документує результати перевірки та повідомляє про них Обробника даних. У разі виявлення помилок або порушень, які Контролер виявить, зокрема, під час перевірки результатів перевірки, Контролер без зайвих зволікань інформує про це Обробника даних. Якщо під час контролю будуть виявлені факти, уникнення яких у майбутньому вимагає внесення змін до замовленої процедури, Контролер невідкладно повідомить Обробника даних про необхідні процедурні зміни.

§ 8 Використання постачальників послуг

(1) Узгоджені за договором послуги надаються із залученням постачальників послуг, зазначених у Додатку 3 (далі - "Субпроцесори"). Контролер надає Обробнику даних свій загальний дозвіл у значенні статті 28 (2) п. 1 GDPR на залучення додаткових Субпроцесорів в рамках своїх договірних зобов'язань або на заміну вже залучених Субпроцесорів.

(2) Обробник даних зобов'язаний повідомити Контролера перед будь-якими запланованими змінами, пов'язаними із залученням або заміною Субпроцесора. Контролер може заперечити проти запланованого залучення або заміни Субпроцесора з вагомих причин, передбачених законодавством про захист даних.

(3) Заперечення проти запланованого залучення або заміни Субпроцесора повинно бути висловлене протягом 2 тижнів з моменту отримання інформації про зміну. Якщо заперечень не надходить, залучення або заміна вважається схваленою. Якщо існує важлива причина, передбачена законодавством про захист даних, і мирне рішення між Контролером та Обробником неможливе, Контролер має спеціальне право розірвати договір наприкінці місяця, що настає після отримання заперечення.

(4) Залучаючи Субпроцесорів, Обробник даних зобов'язує їх діяти відповідно до положень цієї Угоди.

(5) Відносини субпідрядника в розумінні цих положень не існують, якщо обробник даних доручає третім особам надання послуг, які вважаються суто допоміжними послугами. До них відносяться, наприклад, поштові, транспортні та експедиторські послуги, послуги з прибирання, телекомунікаційні послуги без будь-якого конкретного посилання на послуги, що надаються Обробником даних Контролеру, а також послуги з охорони. Послуги з технічного обслуговування та тестування є відносинами Субпроцесора, що вимагають згоди, оскільки вони надаються для ІТ-систем, які також використовуються у зв'язку з наданням послуг для Контролера.

§ 9 Запити та права суб'єктів даних

(1) Обробник даних повинен підтримувати Контролера відповідними технічними та організаційними заходами у виконанні зобов'язань Контролера відповідно до статей 12-22 та 32-36 GDPR.

(2) Якщо Суб'єкт даних заявляє про свої права, такі як право на доступ, виправлення або видалення своїх даних, безпосередньо проти Обробника даних, останній не повинен реагувати самостійно, а повинен направити Суб'єкта даних до Контролера і чекати інструкцій від Контролера.

§ 10 Відповідальність

(1) У внутрішніх відносинах з Обробником даних тільки Контролер несе відповідальність перед Суб'єктом даних за відшкодування шкоди, завданої Суб'єкту даних внаслідок неприпустимої або неправильної обробки даних відповідно до законодавства про захист даних або використання в рамках дорученої обробки.

(2) Обробник даних несе необмежену відповідальність за шкоду, якщо причиною шкоди є умисне або грубе необережне порушення обов'язків обробником даних, його законним представником або довіреною особою.

(3) Обробник даних несе відповідальність за недбалу поведінку лише у випадку порушення зобов'язання, виконання якого є необхідною умовою належного виконання договору і на дотримання якого Контролер регулярно покладається і може покладатися, але обмежується середньою шкодою, типовою для договору. У всіх інших відношеннях відповідальність Обробника - в тому числі за його довірених осіб - виключається.

(4) Обмеження відповідальності згідно з § 10.3 не поширюється на вимоги про відшкодування збитків, що виникли внаслідок заподіяння шкоди життю, тілу, здоров'ю або внаслідок прийняття гарантії.

§ 11 Розірвання основного договору

(1) Після припинення дії Основного договору Обробник даних зобов'язаний повернути Контролеру всі надані йому документи, дані та носії даних або - на вимогу Контролера, якщо немає зобов'язання зберігати персональні дані відповідно до законодавства Союзу або Федеративної Республіки Німеччина, - видалити їх. Це також стосується будь-яких резервних копій даних у Обробника даних. Обробник даних зобов'язаний на вимогу надати задокументоване підтвердження належного видалення будь-яких даних.

(2) Контролер має право контролювати повне та передбачене договором повернення або видалення даних у Обробника даних відповідним чином.

(3) Обробник даних зобов'язаний зберігати конфіденційність даних, які стали йому відомі у зв'язку з Основним договором, навіть після закінчення терміну дії Основного договору. Цей договір залишається чинним після закінчення терміну дії Основного договору, поки в розпорядженні Обробника даних є персональні дані, які були передані йому Контролером або які він зібрав для Контролера.

§ 12 Прикінцеві положення

(1) Якщо Обробник даних прямо не виконує дії з підтримки за цією Угодою безкоштовно, він може стягувати з Контролера обґрунтовану плату, за винятком випадків, коли такі дії або бездіяльність Обробника даних безпосередньо спричинили необхідність такої підтримки.

(2) Зміни та доповнення до цієї Угоди повинні бути зроблені в письмовій формі. Це також стосується будь-якої відмови від цієї формальної вимоги. Пріоритет окремих договірних угод залишається незмінним.

(3) Якщо окремі положення цієї Угоди є або стають повністю або частково недійсними або такими, що не підлягають примусовому виконанню, це не впливає на дійсність решти положень.

(4) Ця угода підпорядковується німецькому законодавству.

Додаток 2 - Технічні та організаційні заходи Обробника даних

1. Вступ

Цей документ підсумовує технічні та організаційні заходи, вжиті Обробником у значенні ст. 32 para. 1 GDPR. Це заходи, вжиті Обробником для захисту персональних даних. Метою документа є підтримка Контролера у виконанні його зобов'язань щодо підзвітності відповідно до ст. 5 п. 2 GDPR. 5 п. 2 GDPR.

2. Конфіденційність (ст. 32 п. 1 літ. b GDPR)

2.1 Контроль на в'їзді

Наступні впроваджені заходи запобігають доступу сторонніх осіб до систем обробки даних:

• Робота з дому: сторонні особи не мають доступу до житла працівників

• Робота в домашньому офісі: інструкція працівникам працювати в окремому офісі від своїх житлових кімнат, якщо це можливо

2.2 Контроль доступу

Наступні впроваджені заходи запобігають доступу сторонніх осіб до систем обробки даних:

• Автентифікація за допомогою користувача та пароля

• Використання брандмауерів

• Використання управління мобільними пристроями

• Шифрування носіїв інформації

• Автоматичне блокування робочого столу

• Керування дозволами користувачів

• Створення профілів користувачів

• Правила центрального пароля

• Використання 2-факторної автентифікації

• Політика компанії щодо безпечних паролів

• Загальна інструкція з ручного блокування робочого столу, коли ви залишаєте робочу станцію

2.3 Контроль доступу

Наступні впроваджені заходи гарантують, що сторонні особи не матимуть доступу до персональних даних:

• Логування доступу до додатків (зокрема, при введенні, зміні та видаленні даних)

• Кількість адміністраторів мінімальна, наскільки це можливо

• Керування правами користувачів системними адміністраторами

• Інструкція для працівників про те, що дані будуть видалені тільки після консультації

2.4 Контроль сепарації

Наступні заходи гарантують, що персональні дані, зібрані для різних цілей, обробляються окремо:

• Фізично відокремлене зберігання на окремих системах або носіях даних

• Відокремлення виробничої та тестової системи

• Логічне розділення клієнтів (на стороні програмного забезпечення)

• Визначення прав на базу даних

• Внутрішня інструкція щодо анонімізації/псевдонімізації персональних даних у разі розкриття або після закінчення встановленого законом терміну видалення, якщо це можливо.

3. Доброчесність (ст. 32 п. 1 літ. b GDPR)

3.1 Контроль за переказом

Забезпечується неможливість зчитування, копіювання, зміни або видалення персональних даних без дозволу під час передачі або зберігання на носіях даних, а також можливість перевірити, які особи або органи отримали персональні дані. Для забезпечення цього було вжито наступних заходів:

• Шифрування бездротової мережі (WPA2 з надійним паролем)

• Журналювання доступів та витягів

• Надання даних через зашифровані з'єднання, такі як SFTP або HTTPS

• Заборона на завантаження даних компанії на зовнішні сервери

3.2 Керування входом

Наступні заходи забезпечують можливість перевірити, хто і в який час обробляв персональні дані в системах обробки даних:

• Журналізація введення, зміни та видалення даних

• Ручне або автоматичне керування журналами

• Відстеження введення, модифікації та видалення даних через індивідуальні імена користувачів (не групи користувачів)

• Чіткий розподіл відповідальності за видалення

legal.dpa.latest.annexes.2.3.2.text.6

4. Доступність та стійкість (ст. 32 п. 1 літ. b GDPR)

Наступні заходи гарантують, що персональні дані захищені від випадкового знищення або втрати і завжди доступні для клієнта:

• Вогнегасники в серверних приміщеннях

• Пристрої для контролю температури та вологості в серверних приміщеннях

• Кондиціонування повітря в серверних приміщеннях

• Захисні стрічки для розеток у серверних приміщеннях

• Джерело безперебійного живлення (ДБЖ)

• Відеоспостереження в серверних кімнатах

• Тривожне повідомлення про несанкціонований доступ до серверних приміщень

• Регулярне резервне копіювання

• Перевірка процесу резервного копіювання

• Зберігання резервних копій даних у безпечному місці за межами офісу

• Регулярне тестування відновлення даних і протоколювання результатів

• Відсутність санітарних умов у серверній кімнаті або над нею

• Хостинг (принаймні найважливіших даних) у професійного хостера

5. Процедури регулярного перегляду, аналізу та оцінки (ст. 32 п. 1 літ. d GDPR; ст. 25 п. 1 GDPR)

5.1 Управління захистом даних

Наступні заходи покликані забезпечити дотримання організацією основних вимог законодавства про захист даних:

• Використання платформи heyData для управління захистом даних

• Призначення відповідального за захист даних heyData

• Зобов'язання працівників зберігати конфіденційність даних

• Регулярні тренінги із захисту даних для працівників

• Здійснення огляду діяльності з обробки даних (ст. 30 GDPR)

5.2 Управління реагуванням на інциденти

Наступні заходи покликані забезпечити запуск процесів звітування в разі порушення захисту даних:

• Процес повідомлення про порушення захисту даних відповідно до ст. 4 ч. 12 GDPR до наглядових органів (ст. 33 GDPR)

• Процес повідомлення про порушення даних відповідно до ст. 4 ч. 12 GDPR суб'єктам даних (ст. 34 GDPR)

• Залучення відповідального за захист даних до інцидентів, пов'язаних з безпекою, та витоків даних

• Використання брандмауерів

5.3 Налаштування за замовчуванням, що сприяють захисту даних (ст. 25, п. 2 GDPR)

Наступні заходи покликані забезпечити запуск процесів звітування в разі порушення захисту даних:

• Процес повідомлення про порушення захисту даних відповідно до ст. 4 ч. 12 GDPR до наглядових органів (ст. 33 GDPR)

• Процес повідомлення про порушення даних відповідно до ст. 4 ч. 12 GDPR суб'єктам даних (ст. 34 GDPR)

5.4 Контроль замовлень

Наступні заходи гарантують, що персональні дані можуть оброблятися тільки відповідно до інструкцій:

• Письмові інструкції підряднику або інструкції в текстовій формі (наприклад, через угоду про обробку даних)

• Забезпечення знищення даних після виконання замовлення, наприклад, шляхом запиту відповідних підтверджень

• Підтвердження від підрядників, що вони зобов'язують своїх працівників зберігати таємницю даних (як правило, в угоді про обробку даних)

• Ретельний відбір підрядників (особливо щодо безпеки даних)

• Постійний аналіз підрядників та їхньої діяльності

• Забезпечення знищення даних після виконання замовлення, наприклад, шляхом запиту відповідних підтверджень

Версія 1.4, набула чинності 17 грудня 2024 року