Соглашение об обработке данных

1. Введение и область применения

Настоящее Соглашение об обработке данных ("DPA") является неотъемлемой частью Условий использования ("Соглашение") между Strion Inc. ("Компания") и клиентом ("Клиент") для использования SaaS-платформы Adrow ("Сервис"). Настоящее DPA применяется в той мере, в которой мы обрабатываем Персональные данные Клиента от его имени в качестве Процессора при предоставлении Сервиса.

2. Определения

Термины с заглавной буквы, используемые, но не определённые в настоящем DPA, имеют значения, установленные в Соглашении. В настоящем DPA следующие термины имеют указанные значения:

• "Применимое законодательство о защите данных" означает все законы и нормативные акты, применимые к обработке Персональных данных, включая Общий регламент по защите данных (ЕС) 2016/679 ("GDPR").
• "Контролёр" имеет значение, определённое в GDPR.
• "Персональные данные Клиента" означает любые Персональные данные, которые Компания обрабатывает от имени Клиента в качестве Процессора.
• "Субъект данных" имеет значение, определённое в GDPR.
• "Персональные данные" имеют значение, определённое в GDPR.
• "Процессор" имеет значение, определённое в GDPR.
• "Инцидент безопасности" означает нарушение безопасности, ведущее к случайному или незаконному уничтожению, потере, изменению, несанкционированному раскрытию или доступу к Персональным данным Клиента.
• "Стандартные договорные условия" или "SCC" означают стандартные договорные условия для передачи персональных данных в третьи страны в соответствии с Регламентом (ЕС) 2016/679.
• "Субпроцессор" означает любую третью сторону, привлечённую Компанией для обработки Персональных данных Клиента.

3. Роли и обязанности

Стороны признают, что в отношении обработки Персональных данных Клиента, Клиент является Контролёром, а Strion Inc. — Процессором. Клиент несёт единоличную ответственность за соблюдение своих обязательств как Контролёра. Компания обрабатывает Персональные данные Клиента только от его имени и в соответствии с документированными инструкциями Клиента.

4. Область и цели обработки

Компания обрабатывает Персональные данные Клиента исключительно с целью предоставления, поддержки и улучшения Сервиса. Предмет, продолжительность, характер и цели обработки, а также типы Персональных данных и категории Субъектов данных определяются использованием Сервиса Клиентом.

5. Субобработка

Клиент предоставляет общее разрешение Компании на привлечение Субпроцессоров. Компания ведёт список текущих Субпроцессоров и предоставляет его Клиенту по запросу. Компания уведомляет Клиента о любых изменениях. Компания обязывает Субпроцессоров соблюдать обязательства по защите данных не менее строгие, чем в настоящем DPA.

6. Права субъектов данных

В той мере, в которой Клиент не может самостоятельно получить доступ к Персональным данным в Сервисе, Компания оказывает разумное содействие для ответа на запросы Субъектов данных в соответствии с Применимым законодательством. Такое содействие оказывается за счёт Клиента.

7. Меры безопасности

Компания применяет и поддерживает соответствующие технические и организационные меры безопасности для защиты Персональных данных Клиента. Клиент признаёт, что эти меры могут обновляться при условии, что обновления не приводят к существенному снижению общего уровня безопасности Сервиса.

8. Уведомление об инцидентах безопасности

При обнаружении Инцидента безопасности Компания уведомляет Клиента без неоправданной задержки. Уведомление описывает характер инцидента, категории и приблизительное количество затронутых Субъектов данных, вероятные последствия и принятые меры.

9. Международная передача данных

Компания может передавать и обрабатывать Персональные данные Клиента за пределами ЕЭЗ. Для таких передач применяются Стандартные договорные условия, которые считаются включёнными в настоящее DPA.

10. Аудиты

Клиент может по обоснованному запросу и за свой счёт провести аудит соблюдения Компанией обязательств по настоящему DPA. Компания предоставляет необходимую информацию, включая результаты последних аудитов третьих сторон. Прямые аудиты объектов и систем Компании не допускаются.

11. Ограничение ответственности

Ответственность каждой стороны по настоящему DPA подчиняется ограничениям ответственности, установленным в Соглашении. Совокупная ответственность Компании не превышает общей суммы вознаграждения, уплаченного Клиентом за 12 месяцев до возникновения основания для претензии.

12. Срок действия, прекращение и возврат данных

Настоящее DPA действует до тех пор, пока Компания обрабатывает Персональные данные Клиента. При прекращении Соглашения Компания по выбору Клиента удаляет или возвращает все Персональные данные, за исключением случаев, когда законодательство требует их хранения. Клиент может экспортировать данные из Сервиса в любое время.