Соглашение об Обработке Данных (DPA)

Последнее обновление:

Настоящее Соглашение об Обработке Данных ("DPA") является частью Условий Использования ("Основное Соглашение") между quisquam-eum ("Обработчик" или "мы") и вами ("Контролер" или "вы"), пользователем наших услуг.

Настоящее DPA применяется там и в той мере, в какой Обработчик обрабатывает Персональные Данные от имени Контролера в ходе предоставления Услуг. Настоящее DPA предназначено для удовлетворения требований статьи 28(3) Общего регламента по защите данных (ЕС) 2016/679 ("GDPR") и Общего регламента по защите данных Великобритании ("UK GDPR").

1. Определения

Термины, такие как "Персональные Данные", "Субъект Данных", "Обработка", "Контролер", "Обработчик" и "Надзорный Орган", имеют значения, присвоенные им в GDPR или UK GDPR, в зависимости от обстоятельств.

  • "Услуги" означают курсы финансовой грамотности и сопутствующие услуги, предоставляемые Обработчиком Контролеру, как описано в Основном Соглашении.
  • "Персональные Данные" означают любую информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу, обрабатываемую Обработчиком от имени Контролера в соответствии с или в связи с Основным Соглашением.

2. Обработка Персональных Данных

2.1. Роли Сторон: Стороны признают и соглашаются, что в отношении Обработки Персональных Данных Контролер является Контролером, а Обработчик — Обработчиком.

2.2. Инструкции Контролера: Обработчик должен обрабатывать Персональные Данные только от имени и в соответствии с документированными инструкциями Контролера, в том числе в отношении передачи Персональных Данных в третью страну или международную организацию, если это не требуется законодательством Союза или государства-члена, которому подчиняется Обработчик; в таком случае Обработчик должен проинформировать Контролера об этом юридическом требовании перед Обработкой, если только это законодательство не запрещает такую информацию по важным соображениям общественного интереса. Основное Соглашение и настоящее DPA представляют собой документированные инструкции Контролера Обработчику относительно Обработки Персональных Данных.

2.3. Детали Обработки:

  • Предмет Обработки: Предоставление курсов финансовой грамотности и сопутствующих услуг.
  • Продолжительность Обработки: На срок действия Основного Соглашения и до тех пор, пока все Персональные Данные не будут удалены или возвращены в соответствии с настоящим DPA.
  • Характер и Цель Обработки: Предоставление Контролеру возможности доступа и использования Услуг, включая запись на курс, отслеживание прогресса, коммуникацию, обработку платежей и поддержку клиентов.
  • Типы Персональных Данных: Имя, адрес электронной почты, платежная информация, прогресс курса, записи коммуникаций, IP-адрес, информация об устройстве и любые другие данные, предоставленные Контролером или его пользователями.
  • Категории Субъектов Данных: Пользователи Услуг, включая лиц, которые регистрируют учетные записи, записываются на курсы или взаимодействуют с Веб-сайтом.

3. Обязательства Обработчика

Обработчик обязуется:

3.1. Конфиденциальность: Обеспечить, чтобы лица, уполномоченные на Обработку Персональных Данных, взяли на себя обязательство о конфиденциальности или находились под соответствующим законодательным обязательством о конфиденциальности.

3.2. Безопасность: Внедрить соответствующие технические и организационные меры для обеспечения уровня безопасности, соответствующего риску, как того требует статья 32 GDPR/UK GDPR. Это включает меры по защите Персональных Данных от случайного или незаконного уничтожения, потери, изменения, несанкционированного раскрытия или доступа.

3.3. Субобработчики:

  • Контролер предоставляет общее письменное разрешение Обработчику на привлечение субобработчиков. Обработчик должен вести список субобработчиков и информировать Контролера о любых предполагаемых изменениях, касающихся добавления или замены других субобработчиков, тем самым предоставляя Контролеру возможность возразить против таких изменений.
  • В случае привлечения Обработчиком субобработчика, он должен сделать это посредством письменного договора, который налагает на субобработчика те же обязательства по защите данных, что и изложенные в настоящем DPA. Обработчик остается полностью ответственным перед Контролером за выполнение обязательств субобработчика.

3.4. Права Субъекта Данных: Принимая во внимание характер Обработки, оказывать содействие Контролеру посредством соответствующих технических и организационных мер, насколько это возможно, для выполнения обязательства Контролера по реагированию на запросы об осуществлении прав Субъекта Данных, изложенных в Главе III GDPR/UK GDPR.

3.5. Содействие Контролеру: Оказывать содействие Контролеру в обеспечении соблюдения обязательств в соответствии со статьями 32–36 GDPR/UK GDPR, принимая во внимание характер Обработки и информацию, доступную Обработчику.

3.6. Удаление или Возврат Данных: По выбору Контролера удалить или вернуть все Персональные Данные Контролеру после прекращения предоставления Услуг, связанных с Обработкой, и удалить существующие копии, если законодательство Союза или государства-члена не требует хранения Персональных Данных.

3.7. Аудиты и Инспекции: Предоставлять Контролеру всю информацию, необходимую для демонстрации соблюдения обязательств, изложенных в статье 28 GDPR/UK GDPR, и разрешать и способствовать проведению аудитов, включая инспекции, проводимые Контролером или другим аудитором, уполномоченным Контролером. Обработчик может взимать разумную плату за такие аудиты.

3.8. Уведомление о Нарушении Данных: Уведомлять Контролера без неоправданной задержки после того, как стало известно о Нарушении Персональных Данных.

4. Обязательства Контролера

Контролер обязуется:

  • Обеспечить, чтобы его инструкции Обработчику по Обработке Персональных Данных соответствовали применимым законам о защите данных.
  • Нести ответственность за законность Обработки Персональных Данных и за получение любых необходимых согласий от Субъектов Данных.
  • Информировать Обработчика о любых соответствующих конкретных требованиях относительно Обработки Персональных Данных.

5. Международные Передачи

Обработчик не должен передавать Персональные Данные в третью страну или международную организацию за пределами Европейской экономической зоны (ЕЭЗ) или Великобритании без обеспечения надлежащих гарантий, таких как Стандартные договорные условия (SCC) или решение об адекватности, если иное не разрешено применимыми законами о защите данных.

6. Ответственность и Возмещение Убытков

Ответственность каждой стороны по настоящему DPA регулируется ограничениями и исключениями ответственности, изложенными в Основном Соглашении. Контролер обязуется возмещать убытки и ограждать Обработчика от всех претензий, исков, претензий третьих лиц, убытков, ущерба и расходов, понесенных Обработчиком в результате любого нарушения настоящего DPA или применимых законов о защите данных Контролером.

7. Срок Действия и Прекращение

Настоящее DPA остается в силе до тех пор, пока Обработчик обрабатывает Персональные Данные от имени Контролера в соответствии с Основным Соглашением. Прекращение Основного Соглашения автоматически прекращает настоящее DPA.

8. Применимое Право и Юрисдикция

Настоящее DPA регулируется и толкуется в соответствии с законодательством Соединенного Королевства. Любой спор, возникающий из или в связи с настоящим DPA, подлежит исключительной юрисдикции судов Соединенного Королевства.

9. Контактная Информация

По любым вопросам или опасениям относительно настоящего DPA, пожалуйста, свяжитесь:

quisquam-eum
Вниманию: Специалиста по защите данных
56 Mill Lane, Cossington, TA7 7HD
United Kingdom
Email: [email protected]