Угода про обробку даних

Ця Угода про обробку даних (DPA) набуває чинності, якщо Клієнт не є резидентом Сполученого Королівства або Європейської економічної зони.

Ця Угода про обробку даних ("DPA”) є частиною Умови обслуговування клієнтів програми Qela набуває чинності з дня прийняття зазначених Умов надання послуг. DPA укладено на таких умовах:

1. Інформація про Сторони

Контролер даних: Клієнт (Інформація клієнта, зазначена в обліковому записі програми - власник облікового запису організації в програмі Qela), який діє як контролер, з одного боку, і

Процесор даних: Qela Inc., діючи як процесор, з іншого боку,

разом іменовані надалі "Сторони" та окремо "сторона”, – підсумували цю Угоду наступним чином.

Сторони прагнуть запровадити DPA, який відповідає вимогам Закон штату Делавер про конфіденційність персональних даних and Загальний регламент захисту даних (ЄС) 2016/679 (“GDPR”).

2. Визначення та тлумачення

Якщо в цьому документі не зазначено інше, терміни та фрази, написані з великої літери, що використовуються в цьому DPA, мають таке значення:

“Закони про захист даних” означає Закон штату Делавер про конфіденційність персональних даних, GDPR і, у відповідній мірі, закони про захист даних або конфіденційність будь-якої іншої країни;

“Передача даних” означає:

• передача від Контролера даних суб’єкту обробки даних; або
• подальша передача персональних даних від Обробника даних до суб-обробника або між двома установами суб-обробника, у кожному випадку, якщо така передача буде заборонена Законами про захист даних (або умовами угод про передачу даних, укладених для вирішення обмежень щодо передачі даних Законів про захист даних);

“Послуги” означає послуги за Угодою, які надає Обробник даних.

“Підпроцесор” означає будь-яку особу, призначену Обробником даних або від його імені для обробки персональних даних від імені Контролера даних у зв’язку з Угодою.

Терміни «Контролер», «Суб’єкт даних», «Персональні дані», «Порушення персональних даних», «Обробка», «Обробник» і «Наглядовий орган» мають те саме значення, що й у Законі штату Делавер про конфіденційність персональних даних, GDPR, та їхні споріднені терміни мають тлумачитися відповідно.

3. Опис обробки

Контролер даних прийняв Умови обслуговування Обробника даних за посиланням - Qela App's Terms of Service for organization representative (“Угода”), за якими Обробник даних повинен надавати послуги (функціональні можливості Qela App) Контролеру даних.

Сторони гарантують, що обробка Персональних даних буде здійснюватися на законній основі, прийнятній для обох §12D-110(f) розділу 6 Кодексу штату Делавер і Статті 6 GDPR.

4. Суб'єкти даних

Обробник даних у рамках надання послуг за Угодою може обробляти персональні дані:

• Учасник/підписник/учасник спільноти (користувач додатка Qela з боку контролера даних), член команди (адміністратор додатку Qela з боку контролера даних) ("Користувач”).

5. Персональні дані

Обробник даних у межах надання послуг за Угодою може обробляти такі персональні дані («Дані користувачів»):

• Дані учасника/фолловера/учасника спільноти (ім’я та прізвище, email, номер телефону, фото, геолокація), дані учасника команди (ім’я та прізвище, email, номер телефону).

6. Термін зберігання

Обробник даних зберігатиме Дані користувачів, отримані від Контролера даних, до тих пір, поки це не буде необхідно для обробки, але не до закінчення терміну дії Угоди, якщо внутрішні документи Обробника даних або чинне законодавство не передбачають інше («Стандартний період”).

7. Деталі обробки

8. Конфіденційні дані

У разі збору конфіденційної інформації Контролером даних за допомогою функціональних можливостей програми Qela, вона буде доступна та оброблятися Обробником даних із суворим обмеженням цілей (лише для належного функціонування програми Qela для Контролера даних).

9. Характер обробки

Контролер даних забезпечує функціональні можливості Обробника даних програми Qela. Такі послуги потребують, зокрема, обробки Даних користувачів. Дані користувачів оброблятимуться постійно.

10. Обмеження обробки

Обробник даних зобовʼязується:

• дотримуватися всіх відповідних законів про захист даних під час обробки даних користувачів і
• не обробляти Дані користувачів інакше, ніж за вказівками відповідного Контролера даних.

Дані користувачів обробляються лише за необхідності відповідно до цілей і для виконання зобов’язань, викладених в Угоді. Обробник даних не використовує Дані користувачів поза прямими договірними відносинами.

11. Персонал процесора даних

Обробник даних вживає розумних заходів для забезпечення надійності будь-якого співробітника, агента або підрядника, який може мати доступ до Даних користувачів, гарантуючи, що в кожному випадку доступ суворо обмежується тими особами, яким необхідно знати/отримувати доступ до відповідних Даних користувачів, якщо це суворо необхідно для Угоди.

12. Права суб’єктів даних

Беручи до уваги характер обробки, Обробник даних повинен допомогти Контролеру даних шляхом впровадження належних технічних та організаційних заходів, наскільки це можливо, для виконання зобов’язань Контролера даних, як розуміє Контролер даних, щодо відповіді на запити про реалізацію прав суб’єктів даних згідно із Законами про захист даних.

Обробник даних повинен без зайвої затримки, але не пізніше ніж через 72 години після отримання інформації, повідомити Контролера даних про будь-який запит органів влади на доступ до отриманих Даних користувачів. Обробник даних повинен виконати такий запит, якщо це дозволено Контролером даних або з відповідним юридичним зобов’язанням.

Відповідно до §12D-104 Розділу 6 Кодексу Делавер і Стаття 12 GDPR, контролер повинен відповісти на запит суб’єкта від суб’єктів даних ЄС протягом 45 днів або одного місяця відповідно.

Сторони розглядають будь-які запити та запити, які вони отримують від суб’єктів даних, що стосуються обробки Персональних даних і реалізації їхніх прав, без невиправданої затримки та не пізніше одного місяця з моменту отримання запиту.

13. Порушення персональних даних

Обробник даних повинен повідомити Контролера даних без невиправданої затримки, але не пізніше ніж через 72 години після того, як йому стало відомо про порушення безпеки персональних даних, що впливає на Дані користувачів, надавши Контролеру даних достатню інформацію, щоб той міг виконати будь-які зобов’язання повідомляти або інформувати суб’єктів даних про порушення персональних даних згідно із Законами про захист даних.

Обробник даних співпрацює з Контролером даних і вживає розумних комерційних заходів за вказівками Контролера даних, щоб допомогти в розслідуванні, пом’якшенні та виправленні кожного такого порушення персональних даних.

14. Заходи захисту даних

Беручи до уваги сучасний рівень техніки, витрати на впровадження, а також характер, обсяг, контекст і цілі обробки, а також ризики різної ймовірності та серйозності для прав і свобод фізичних осіб, обробник даних повинен щодо Даних користувачів контролерів даних впровадити відповідні технічні та організаційні заходи для забезпечення рівня безпеки, відповідного цьому ризику, включаючи, за необхідності, заходи, зазначені в статті 32(1) GDPR.

Зокрема, для захисту Даних Користувачів Обробник даних вживає такі заходи:

Технічні заходи:

• технології шифрування;
• резервні дані.

Організаційні заходи:

• дотримання політики безпеки та конфіденційності Контролера даних;
• впровадження систематичних навчальних програм, зосереджених на обізнаності з кібербезпеки та передових практиках, озброєнні співробітників знаннями та навичками для розпізнавання та пом’якшення загроз безпеці;
• створення вичерпних інструкцій і протоколів, що регулюють внутрішні операції, окреслюють процедури та найкращі практики для сприяння ефективним і відповідним робочим процесам.
• дотримання угоди про нерозголошення (умов) між Обробником даних і Контролером даних.

Обробник даних гарантує, що заходи захисту даних будуть актуальними. Обробник даних інформує Контролера даних про будь-які зміни, якщо не забезпечується той самий рівень безпеки.

15. Субпроцесори та передачі

Контролер даних дає Обробнику даних загальну згоду на незалежну передачу Даних користувачів третім особам, надаючи необхідні гарантії виключно для додаткової обробки Даних користувачів. У цьому випадку суб’єкту обробки даних потрібно буде підписати іншу угоду про обробку даних.

Обробник даних повинен інформувати Контролера даних про будь-які оновлення або зміни існуючих субобробників і надавати Контролеру даних право заперечувати проти таких змін. Контролер даних може заперечити проти зміни протягом 72 годин з моменту повідомлення, якщо такий субобробник не може забезпечити такий самий рівень захисту даних, як це передбачено цим DPA.

16. Одержувачі

Дані користувачів можуть бути розголошені лише таким одержувачам або категоріям одержувачів і лише за наявності відповідних заходів безпеки (включаючи зобов’язання щодо конфіденційності):

• радники, консультанти та інші професійні експерти;
• партнери;
• члени команди;
• треті особи.

Обробник даних повідомить Контролера даних із невиправданою затримкою, якщо йому стане відомо про неточності в Даних користувачів.

17. Видалення або повернення даних

Обробник даних видаляє або повертає всі Дані користувачів Контролеру даних через 4 тижні після закінчення дії Угоди та видаляє наявні копії, якщо відповідне законодавство не вимагає подальшого зберігання Даних користувачів.

Обробнику даних дозволяється зберігати Дані користувачів у системах архівування та резервного копіювання до наступного регулярного видалення.

18. Надання інформації

Обробник даних надає Контролеру даних всю інформацію, необхідну для демонстрації дотримання зобов’язань згідно з застосовним законодавством, а також для проведення аудитів, включаючи перевірки, що проводяться Контролером даних або іншим аудитором, уповноваженим Контролером даних, і сприянням цьому.

19. Компетентний наглядовий орган

Компетентним наглядовим органом є Департамент юстиції штату Делавер.

20. Застосовне право та юрисдикція

DPA регулюється законами штату Делавер, Сполученими Штатами Америки.

Будь-які суперечки, що виникають у зв’язку з DPA, які Сторони не зможуть вирішити мирним шляхом, будуть передані до виключної юрисдикції судів штату Делавер, Сполучені Штати Америки.