Соглашение об обработке данных

Версия 2.1.0

Стороны:

  • Зарегистрированная организация, которая подписалась на PowerDMARC, далее в этом документе называется "Контроллер".

И

  •  MENAINFOSEC, Inc с его зарегистрированным офисом и основным местом ведения бизнеса в Делавэре, Соединенные Штаты Америки, здесь называется "Процессор";

Преамбула:

  1. Контроллер заключил одно или несколько соглашений с Процессором на предоставление различных услуг Контроллеру или заключит такое соглашение. Это соглашение или эти соглашения совместно называются далее "Основным соглашением".
  2. При выполнении Основного Соглашения Процессор будет обрабатывать данные, за которые Контроллер несет и продолжает нести ответственность. К этим данным относятся персональные данные в смысле Общего положения о защите данных (EU 2016/679), далее в тексте "GDPR".
  3. Принимая во внимание положения ст.28 ч.(3) GDPRСтороны хотят закрепить в настоящем Соглашении условия, на которых будут обрабатываться эти персональные данные.

Соглашение:

  • Область применения
    1. Настоящее Соглашение применяется в той мере, в какой при предоставлении услуг по Основному Соглашению осуществляется одна или несколько технологических операций, включенных в Приложение 1.
    2. Перерабатывающие операции Приложения 1, которыеосуществляются при предоставлении услуг, далее называются "Перерабатывающие операции". Персональными данными, обрабатываемыми в этой связи, являются: "Персональные данные".
    3. Все понятия в этом Соглашении имеют значение, придаваемое им в GDPR.
    4. Если больше и другие персональные данные обрабатываются по инструкциям Контроллера или если они обрабатываются не так, как описано в данном пункте, то данное Соглашение в максимально возможной степени распространяется и на эти Обрабатывающие Операции.
    5. Приложения являются частью настоящего Соглашения. Они состоят из:

Приложение 1 - Операции по обработке, Персональные данные и сроки хранения;

  • Тема
    1. Контроллер имеет и сохраняет полный контроль над Личными данными. Если Контроллер не обрабатывает Персональные данные самостоятельно, используя системы Обработчика, Обработчик будет обрабатывать исключительно на основе письменных инструкций Контроллера, например, в отношении любых Персональных данных, передаваемых третьим лицам за пределами Европейского Союза. Основное соглашение рассматривается в этой связи как общая инструкция.
    2. Перерабатывающие операции осуществляются только в связи с Основным соглашением. Процессор не вправе обрабатывать Персональные данные иначе, чем предусмотрено Основным соглашением. В частности, Обработчик не должен использовать Персональные данные для собственных целей.
    3. Процессор будет выполнять операции по обработке надлежащим образом и с должной тщательностью.
  • Меры безопасности
    1. Процессор принимает все технические и организационные меры безопасности, которые требуются от него в соответствии с GDPR и, в частности, в соответствии со статьей 32 GDPR.
    2. Обработчик обеспечивает соблюдение конфиденциальности в отношении Персональных данных лицами, не ограничивающимися сотрудниками, участвующими в Операциях по обработке у Обработчика.
  • Нарушения данных и оценка воздействия на конфиденциальность
    1. Обработчик должен уведомить Контролера о любом "нарушении персональных данных", как указано в статье 4 в разделе 12 GDPR.Такое нарушение в дальнейшем называется "Нарушение данных".
    2. Процессор в надлежащее время предоставит Контролеру всю имеющуюся у него информацию, которая необходима для выполнения обязательств по статье 33 GDPR.Для этого Обработчик должен предоставить соответствующую информацию как можно скорее в стандартной форме, которая будет определена Обработчиком. Это означает, что Обработчик как можно скорее информирует Контролера о Нарушении данных, если очевидно, что Нарушение данных может привести к возникновению риска для прав и свобод физических лиц. Если очевидно, что Нарушение данных вряд ли повлечет за собой риск для прав и свобод физических лиц, Процессор имеет право уведомить об этом Контролера позднее, при условии, что уведомление происходит без неоправданной задержки. Если есть основания сомневаться, что Нарушение данных может повлечь за собой риск для прав и свобод физических лиц, Обработчик должен как можно скорее уведомить Контролера о Нарушении данных.
    3. Исключительно Контролер определяет, должна ли информация о нарушениях, установленных в процессе обработки данных, быть доведена до сведения нидерландских властей по личным данным и/или до субъекта данных.
  • Вовлечение субпроцессоров
    1. При выполнении Обрабатывающих операций Процессор не имеет права привлекать в качестве субпроцессора третью сторону без предварительного согласия Контроллера. Согласие Контроллера может также относиться к определенной категории подпроцессоров.
    2. Если Контролер дает свое согласие, то Процессор должен обеспечить, чтобы соответствующая третья сторона заключила соглашение, в котором он, по крайней мере, соблюдает те же юридические обязательства и любые дополнительные обязательства, которые имеет Переработчик по настоящему Соглашению.
    3. В случае, если согласие относится к определенному типу третьих лиц, Процессор информирует Контроллер о задействованных им субпроцессорах. После этого Контроллер может возразить против добавления или замены в отношении подпроцессоров Обработчика.
  • Обязательство о конфиденциальности
    1. Обработчик будет сохранять конфиденциальность личных данных. Обработчик гарантирует, что Персональные данные не будут прямо или косвенно доступны третьим лицам. Под третьими лицами понимается также персонал Обработчика, если они не обязаны принимать к сведению Персональные данные. Этот запрет не действует, если в настоящем Соглашении установлены положения об обратном и/или в той мере, в какой это предписывается законом или постановлением суда.
    2. Обработчик информирует Контролера о любом запросе стороны, не являющейся субъектом данных, на доступ, предоставление или другую форму запроса и передачи Персональных данных, противоречащую обязательству о конфиденциальности, включенному в данную статью, за исключением случаев, когда Обработчику запрещено это делать по закону. В случае запроса субъекта данных, Обработчик направляет эти запросы Контролеру или передает данные, подлежащие обработке Контролером.
  • Сроки хранения и удаление
    1. Контролер несет ответственность за определение сроков хранения в отношении Персональных данных. Если Персональные данные находятся под контролем Контроллера (например, в случае предоставления услуг хостинга), он удалит их сам в надлежащее время.
    2. В случае прекращения действия Главного соглашения или, по усмотрению Контролера, Обработчик удаляет Персональные данные по истечении периода хранения, упомянутого в приложении 1, передает их ему, за исключением случаев, когда Персональные данные должны сохраняться дольше, например, в связи с (уставными) обязательствами Обработчика, или если Контролер просит, чтобы Персональные данные сохранялись дольше, а Обработчик и Контролер достигают согласия в отношении расходов и других условий такого более длительного хранения, последний, несмотря на ответственность Контролера за соблюдение уставных сроков хранения. Любая передача Контролеру осуществляется за счет Контролера.
    3. В случае, если Контролер запрашивает Учетную запись и удаление данных посредством защищенного логина, Обработчик удаляет Персональные данные в течение тридцати дней после запроса на Учетную запись и удаление данных, по усмотрению Контролера, передает их ему, за исключением случаев, когда Персональные данные должны храниться дольше, например, в связи с (законными) обязанностями Обработчика, или если Контролер запрашивает, чтобы Персональные данные хранились дольше, а Обработчик и Контролер достигают соглашения о расходах и других условиях такого более длительного хранения, последний, несмотря на ответственность Контролера за соблюдение установленных законом сроков хранения. Любая передача Контролеру осуществляется за счет Контролера.
    4. По просьбе Контролера Процессор заявляет, что имело место удаление, о котором шла речь в предыдущем пункте. Контролер может за свой счет проверить, действительно ли это произошло. Пункт 10настоящего Соглашения применяется к такой проверке. В той мере, в какой это необходимо, Обработчик информирует всех подпроцессоров, участвующих в обработке Персональных данных, о любом прекращении действия Основного Соглашения и дает им указание действовать в соответствии с его положениями.
    5. Если стороны не договорятся об ином, Контролер сам позаботится о резервном копировании Персональных данных.
  • Права субъекта данных 
    1. Если Контролер сам имеет доступ к Личным данным, то он обязан выполнить все запросы субъекта, касающиеся Личных данных. Обработчик немедленно передает Контролеру любые запросы, полученные им.
    2. Только в том случае, если то, что было задумано в предыдущем пункте, невозможно, Процессор будет сотрудничать с Контролером в полном объеме и в надлежащее время, чтобы это сделать:
    3. предоставить субъекту доступ к своим персональным данным после получения разрешения от и по инструкциям Контроллера,
    4. удалять или исправлять Личные данные,
    5. продемонстрировать, что Персональные данные были удалены или исправлены, если они неверны (или, в случае, если Контролер не согласен с тем, что Персональные данные неверны, записать тот факт, что субъект данных считает, что его Персональные данные неверны)
    6. предоставить Контролеру или третьей стороне, назначенной Контролером, соответствующие Персональные данные в структурированной, обычной и машиночитаемой форме и
    7. позволяют Контролеру иным образом выполнять свои обязательства в соответствии с GDPR или другим применимым законодательством в области обработки Персональных данных.
    8. Расходы и потребности, связанные с сотрудничеством, упомянутым в предыдущем пункте, совместно определяются сторонами. Без каких-либо соглашений в этой связи расходы будут покрываться Контролером.
  • Ответственность
    1. Контроллер, например, несет ответственность, и в этом случае он несет полную ответственность за (предусмотренную цель) Операции по обработке, использование и содержание Персональных данных, предоставление их третьим лицам, продолжительность хранения Персональных данных, способ обработки и средства, применяемые для этой цели.
    2. Процессор несет ответственность перед Контроллером, как это предусмотрено Основным соглашением. Проверка
      1. Контролер имеет право один раз в год за свой счет проверять соблюдение положений настоящего Соглашения или поручать их проверку независимому зарегистрированному аудитору или зарегистрированному специалисту в области информатики.
      2. Процессор предоставляет Контролеру всю информацию, необходимую для того, чтобы продемонстрировать, что обязательства по статье 28 GDPRhaveбыли выполнены. Если третья сторона, нанятая Контролером, дает указание, которое, по мнению Переработчика, представляет собой нарушение GDPR, то Переработчик немедленно информирует об этом Контролера.
      3. Исследование контроллера всегда будет ограничено системами процессора, используемыми для операций обработки. Информация, полученная в ходе проверки, обрабатывается Контролером конфиденциально и используется только для проверки соблюдения Переработчиком обязательств по настоящему Соглашению, и информация или ее части будут удалены в кратчайшие возможные сроки. Контролер гарантирует, что любые привлеченные третьи стороны также возьмут на себя эти обязательства.
    3. Прочие условия
      1. Любые поправки к настоящему Соглашению действительны только в том случае, если они были согласованы сторонами в письменной форме.
      2. Стороны согласовывают настоящее Соглашение с любыми измененными или дополненными положениями, дополнительными инструкциями соответствующих органов и все более глубоким пониманием применения GDPR (например, путем, но не ограничиваясь, прецедентным правом или отчетами), введением стандартных положений и/или других событий или представлений, требующих такой корректировки.
      3. Настоящее Соглашение действует до тех пор, пока действует Основное Соглашение. Положения настоящего Соглашения остаются в силе в той мере, в какой это необходимо для урегулирования данного Соглашения, и в той мере, в какой они предназначены для того, чтобы пережить прекращение действия настоящего Соглашения. Последняя категория положений включает, но не ограничивается положениями о конфиденциальности и спорах.
      4. Настоящее Соглашение имеет преимущественную силу по отношению ко всем другим соглашениям между Контроллером и Процессором.
      5. Данное соглашение регулируется исключительно голландским законодательством.
      6. Стороны будут передавать свои споры в связи с настоящим Соглашением исключительно в Окружной суд Амстердама.

Приложение 1

Операции по обработке персональных данных и периоды хранения

Настоящее Приложение является частью Процессуального соглашения и должно быть парафировано сторонами.

  • Личные данные, которые стороны ожидают обработать:
    • Имя
    • электронный адрес
    • Данные о теле судебно-медицинской экспертизы DMARC (RUF, электронная почта, не соответствующая DMARC)
  • Использование (= метод(ы) обработки Персональных данных, а также цели и ресурсы для обработки:
    • PowerDMARC обрабатывает входящие отчеты DMARC. В пределах спецификации DMARC существует два типа отчетов:
      • Сводные отчёты
        Эти отчеты содержат данные о количестве сообщений, отправляемых для вашего домена (доменов) на определенный IP-адрес ежедневно, включая результаты SPF и DKIM-проверки этих сообщений. Совокупные отчеты не содержат личных данных.
      • Судебно-медицинские заключения
        Судебно-медицинские заключения посылаются ограниченным числом отправителей отчетов DMARC. Это копии конкретных сообщений, которые не прошли проверку DMARC. Содержимое этих сообщений может содержать Персонально идентифицируемую информацию (PII). PowerDMARC предлагает несколько методов хранения этих сообщений:

        • По умолчанию: По умолчанию тело сообщения удаляется и сохраняются только заголовки.
        • Зашифровано: Клиент может загрузить открытый ключ PGP в программное обеспечение PowerDMARC. Все входящие сообщения будут зашифрованы с помощью этого ключа. Клиент может расшифровать данные, используя свой закрытый ключ и пароль.
        • Нешифрованный: После специального подтверждения и принятия PowerDMARC в качестве процессора данных, клиент сможет хранить полное тело сообщения в незашифрованном виде в программном обеспечении PowerDMARC.

Условия использования и сроки хранения (различных типов) Персональных данных:

  • Лицензия: Все лицензии, кроме основной свободной версии
  • Сохранение данных: 365 дней