Обробка даних Угода

УГОДА ПРО ОБРОБКУ ДАНИХ (далі – «Угода»), між

1. Будь-яка третя сторона (далі – «Контролер»); та

1. Fresh Labs FlexCo, Praterstrasse 17/1/2, 1020 Відень, Австрія (далі – «Обробник», а разом з Контролером – «Сторони»), як постачальник SaaS-платформи mypaperwork.

Преамбула

1. Обробник. Обробник керує хмарним додатком, який дозволяє користувачам завантажувати, керувати та обробляти документи та пов'язану інформацію. Дані передаються на сервери Обробника, де вони безпечно зберігаються та обробляються для надання Послуг, які включають автоматизовану допомогу, управління документами та функції на основі штучного інтелекту, адаптовані до випадку використання Контролера (далі – «Послуги»).

2. Основний договір. Сторони уклали угоду про використання Послуг (далі – «Основний договір»). Цей договір вносить зміни до Основного договору.

3. Предмет. На виконання Основного договору Обробник обробляє персональні дані Контролера та клієнтів, співробітників, фрілансерів та подібних постачальників контенту Контролера, у кожному випадку за замовленням Контролера. Ця Угода регулює права та обов'язки Сторін щодо виконання Основного договору.

4. Обробник. Ця Угода є договором відповідно до ст. 28 GDPR. Крім того, ця Угода відповідає вимогам Закону Каліфорнії про конфіденційність споживачів (CCPA) щодо обробки персональної інформації мешканців Каліфорнії. Обробник погоджується дотримуватися всіх застосовних зобов'язань згідно з CCPA та допомагати Контролеру у виконанні його зобов'язань згідно з CCPA щодо персональної інформації, обробленої від імені Контролера.

• Визначення

1. У цій Угоді, за винятком випадків, коли в контексті необхідна інша інтерпретація, терміни, написані з великої літери, мають значення, присвоєні їм у розділі «Визначення», викладеному в Додатку § 1.1.

• Деталі обробки

1. Предмет. Предметом цієї Угоди є надання Послуг.

2. Категорії даних. Для надання Послуг обробляються категорії даних, перелічені в Додатку § 2.2 (далі – «Дані»).

3. Тип та мета. Обробка здійснюється способом та для цілей, описаних у Додатку § 2.3.

4. Категорії суб'єктів даних. Обробка стосується категорій суб'єктів даних, викладених у Додатку § 2.4.

5. Тривалість. Ця Угода є обов'язковою протягом дії Основного договору. Протягом дії Основного договору ця Угода може бути розірвана лише за наявності вагомих причин. Якщо Основний договір розривається Стороною, ця Угода припиняється автоматично. Зобов'язання згідно з § V.2 продовжує діяти навіть у разі розірвання.

• Місце обробки

1. Обробка даних відбувається, частково, за межами ЄС та ЄЕЗ. Країни, в яких відбувається обробка, та підстави для належного рівня безпеки даних перелічені в Додатку § 3.1.

• Права та обов'язки Контролера

1. Призначення. Контролер є Контролером у значенні ст. 4 п. 7 GDPR і доручив Обробнику обробку даних.

2. Право на інформацію. Контролер має право отримувати всю інформацію, необхідну для підтвердження дотримання Обробником зобов'язань, перелічених у ст. V, та проводити перевірки, включаючи інспекції, самостійно або через призначеного інспектора.

• Права та обов'язки Обробника

1. Обробка.

   1. Обробник оброблятиме Дані виключно відповідно до Основного договору та додаткових письмових інструкцій Контролера, якщо такі є. Це також стосується передачі Даних до третьої країни або міжнародної організації.

   2. § 5.1(a) не застосовується до обробки даних, якщо Обробник юридично зобов'язаний обробляти дані певним чином. У цих випадках Обробник інформує Контролера про своє зобов'язання до обробки, якщо жоден важливий суспільний інтерес не забороняє таку інформацію.

2. Конфіденційність даних. Обробник та його співробітники зобов'язані дотримуватися конфіденційності даних відповідно до ст. 6 Закону Австрії про захист даних у редакції від 25 травня 2018 року. Обробник повинен договірно зобов'язати своїх співробітників дотримуватися конфіденційності даних, якщо вони вже не зобов'язані це робити за законом. Це зобов'язання має залишатися чинним навіть після припинення трудових відносин. Обробник заявляє про дотримання цих зобов'язань.

3. Технічні та організаційні заходи.

   1. Обробник прямо заявляє, що вжив необхідних заходів для забезпечення безпеки обробки даних відповідно до ст. 32 GDPR. Повний перелік цих заходів можна знайти в Додатку § 5.3(a) (далі – «Заходи»).

   2. Якщо будь-яка зміна Заходів зменшить стандарт безпеки щодо обробки даних, Обробник узгодить ці зміни з Контролером.

   3. Контролер має право бути поінформованим про актуальність Заходів та отримати копію поточної версії цих Заходів від Обробника.

4. Підтримка Контролера.

   1. Обробник максимально підтримуватиме Контролера, вживаючи відповідних технічних та організаційних заходів, для виконання зобов'язання Контролера щодо реагування на запити суб'єктів даних відповідно до ст. 3 GDPR. Якщо такий запит був випадково надісланий Обробнику замість Контролера, Обробник негайно перешле його Контролеру та повідомить заявника про цю процедуру.

   2. Обробник, враховуючи характер обробки та доступну інформацію, підтримуватиме Контролера у виконанні його зобов'язань згідно зі статтями 32-36 GDPR (гарантування безпеки обробки, повідомлення або комунікації з наглядовим органом або суб'єктами даних, оцінка впливу на захист даних, включаючи попередню консультацію).

5. Обробка після припинення. Після завершення обробки даних Обробник, залежно від рішення Контролера, або поверне їх, або видалить усі дані. Це не застосовується, якщо Обробник юридично зобов'язаний зберігати дані.

6. Обов'язок інформувати. Контролер забезпечує реалізацію права на інформацію відповідно до § IV.2.

7. Незаконні інструкції. Обробник негайно інформуватиме Контролера, якщо вважатиме інструкцію незаконною згідно із законодавством ЄС про захист даних або застосовним законодавством держав-членів.

8. Запис про діяльність з обробки. Обробник веде запис про діяльність з обробки відповідно до ст. 30 GDPR.

• Субобробник

1. Право залучати субобробників. Обробник має право залучати іншого обробника для експлуатації Продукту (далі – «Субобробник»), включаючи обробку даних, без попередньої згоди Контролера. У разі запланованої зміни щодо Субобробника Обробник своєчасно інформуватиме Контролера.

2. Список субобробників. Список усіх залучених наразі субобробників можна знайти в Додатку § 6.2.

3. Зобов'язання. У разі залучення нового Субобробника Обробник укладає всі необхідні угоди відповідно до ст. 28 п. 4 GDPR з Субобробником. Ці угоди повинні зобов'язувати Субобробників до тих самих зобов'язань щодо безпеки даних, що визначені в цій Угоді, особливо щодо гарантій належних технічних та організаційних заходів.

4. Відповідальність. Якщо Субобробник не дотримується своїх зобов'язань щодо безпеки даних, Обробник несе повну відповідальність за дотримання цих обов'язків перед Контролером.

• Прикінцеві положення

1. Застосовуються положення Додатка § 7.1 щодо застосовного права, форми та інших зазначених у ньому правил.
   

Додаток I

Визначення

Додаток § 2.2

Категорії даних

1. Клієнти: контактні дані, договірні дані, дані для виставлення рахунків, дані для зв'язку

2. Авторизовані користувачі: адреса електронної пошти, пароль, ім'я, адреса (необов'язково), дата народження (необов'язково), номер телефону (необов'язково), дані плану та конфігурації, налаштування користувача, країна входу, останній доступ, анонімізована IP-адреса, інформація про використання системи, будь-які дані, включені в завантажені файли або надані через Послуги, статистичні дані про завантажені файли.

Додаток § 2.3

Тип та мета

1. Типи обробки:

   1. збір та зберігання

   2. організація

   3. передача

   4. знищення

2. Цілі обробки:

   1. Виконання Основного договору

Додаток § 2.4

Категорії суб'єктів даних

1. Клієнти, авторизовані користувачі

Додаток § 3.1

Перелік країн для обробки даних, включаючи основи

1. Європейський Союз

Додаток § 5.3(a)

Заходи

1. Конфіденційність.

   1. Електронний контроль доступу: усі комп'ютери та точки доступу захищені паролем. Доступ до наших постачальників хмарної інфраструктури надається окремим, чітко визначеним співробітникам за принципом необхідності знання. Як тільки користувач залишає компанію, його обліковий запис та всі інші параметри доступу деактивуються.

1. Терміни видалення.

   1. Дані користувачів та клієнтів, завантажені в нашу систему: усі дані автоматично видаляються протягом 30 днів після скасування облікового запису/договору.

   2. Журнали: напівавтоматичне видалення через 90 днів.

   3. Записи клієнтів видаляються через 7 років після останньої транзакції з клієнтом.

2. Тестування, оцінка та аналіз.

   1. Мережева архітектура та проекти завжди підлягають експертній оцінці.

   2. Принцип чотирьох очей застосовується при внесенні мережевих змін середнього та високого впливу.

Додаток § 6.2

Список субобробників

1. AWS

2. Hubspot

3. Google Gemini

4. Google Workspace

5. Calendly

Додаток § 7.1

Прикінцеві положення

1. Конфіденційність. Сторони погоджуються обробляти всю інформацію, отриману у зв'язку з цією Угодою, конфіденційно протягом невизначеного періоду часу та використовувати цю інформацію лише для виконання цієї Угоди. Ця інформація повинна використовуватися лише для зазначених цілей і не повинна розголошуватися третім сторонам. Це не застосовується, якщо (а) зобов'язана Сторона отримує інформацію, що доведено, від третьої сторони, перед якою вона не зобов'язана дотримуватися конфіденційності, (б) якщо інформація була загальнодоступною або (в) розголошення було юридично вимагається або вимагається органами влади.

2. Набрання чинності. Ця Угода набирає чинності з моменту підписання обома Сторонами та є обов'язковою протягом невизначеного періоду часу.

3. Письмова форма. Будь-які коригування, зміни або відкликання договору вимагають письмової форми. Або, якщо ця Угода була укладена електронними засобами, подібної форми до укладення цієї Угоди. Це також стосується будь-якого положення, що має на меті змінити вимогу щодо письмової форми.

4. Подільність. У випадку, якщо окремі положення цієї Угоди будуть або стануть недійсними або такими, що не підлягають виконанню, всі інші умови залишаються в повній силі. Сторони погоджуються замінити недійсну або таку, що не підлягає виконанню, умову дійсною та такою, що підлягає виконанню, яка має той самий економічний зміст. Це правило також застосовується у випадку виникнення регуляторної прогалини.

5. Правова основа. Застосовуються лише положення цієї Угоди та, додатково, правові норми.

6. Застосовне право. Ця Угода та всі пов'язані договірні відносини та судові спори регулюються австрійським правом, за винятком положень про колізію законів Конвенції Організації Об'єднаних Націй про договори міжнародної купівлі-продажу товарів.

7. Суд юрисдикції. Суди Відня, Австрія, мають виключну юрисдикцію для будь-яких правових спорів щодо цієї Угоди, наскільки це дозволено законом.