Настоящее Положение о обработке персональных данных ("Соглашение") является частью Условий предоставления услуг ("Основное соглашение") между Контрагентом и Fornex Hosting S.L., Fornexcloud Ltd., FORNEX INC ("Операторы данных"), далее совместно именуемые "Стороны".
ПРЕАМБУЛА
- (A) Контрагент выступает в качестве Контролера данных.
- (B) Контрагент желает передать часть услуг, предполагающих обработку персональных данных, Оператору данных.
- (C) Стороны стремятся заключить соглашение об обработке данных, которое соответствует требованиям текущего правового регулирования в отношении обработки данных, а также Регламенту (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 года о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных, и отменяющему Директиву 95/46/EC (Общий регламент по защите данных).
- (D) Стороны желают установить свои права и обязанности.
1. Определения и толкование
Если иное не определено в настоящем документе, термины с заглавной буквы и выражения, используемые в настоящем Соглашении, имеют следующее значение:
- "Соглашение" означает настоящее Положение о обработке данных и все Приложения;
- "Персональные данные Контрагента" означают любые Персональные данные, обрабатываемые Договаривающимся Оператором от имени Контрагента в соответствии с Основным соглашением или в связи с ним;
- "Договаривающийся Оператор" означает субподрядчика;
- "Законы о защите данных" означают законы ЕС о защите данных и, в той мере, в которой они применимы, законы о защите данных или конфиденциальности любой другой страны;
- "ЕЭЗ" означает Европейское экономическое пространство;
- "Законы ЕС о защите данных" означают Директиву ЕС 95/46/EC, транспонированную в национальное законодательство каждого государства-члена и изменяемую, заменяемую или отменяемую со временем, включая GDPR и законы, реализующие или дополняющие GDPR;
- "GDPR" означает Общий регламент ЕС по защите данных 2016/679;
- "Передача данных" означает:
- передачу Персональных данных Контрагента от Контрагента Договаривающемуся Оператору; или
- последующую передачу Персональных данных Контрагента от Договаривающегося Оператора к Субподрядчику, или между двумя подразделениями Договаривающегося Оператора, если такая передача была бы запрещена Законами о защите данных (или условиями соглашений о передаче данных, заключенных для преодоления ограничений на передачу данных, установленных Законами о защите данных);
- "Услуги" означают услуги хостинга, предоставляемые Оператором данных;
- "Субподрядчик" означает любое лицо, назначенное Оператором или от имени Оператора для обработки Персональных данных от имени Контрагента в рамках Соглашения.
Термины "Комиссия", "Контролер", "Субъект данных", "Государство-член", "Персональные данные", "Нарушение персональных данных", "Обработка" и "Надзорный орган" должны иметь то же значение, что и в GDPR, а их производные термины должны толковаться соответствующим образом.
2. Обработка персональных данных Контрагента
- Оператор данных обязуется:
- соблюдать все применимые Законы о защите данных при Обработке Персональных данных Контрагента; и
- не Обрабатывать Персональные данные Контрагента, кроме как по документированным инструкциям Контрагента.
- Контрагент дает Оператору данные указания на обработку Персональных данных Контрагента.
3. Персонал Оператора
- Оператор должен предпринять разумные меры для обеспечения надежности любого сотрудника, агента или подрядчика любого Договаривающегося Оператора, который может иметь доступ к Персональным данным Контрагента, гарантируя при этом, что доступ строго ограничен теми лицами, которые нуждаются в доступе к соответствующим Персональным данным Контрагента, строго в целях Основного соглашения, и для соблюдения применимых законов в контексте обязанностей этих лиц перед Договаривающимся Оператором, гарантируя, что все такие лица подлежат обязательствам по конфиденциальности или профессиональным или законодательным обязательствам конфиденциальности.
4. Безопасность
- Учитывая достижения техники, затраты на внедрение и характер, объем, контекст и цели Обработки, а также риски различной вероятности и тяжести для прав и свобод физических лиц, Оператор данных должен в отношении Персональных данных Контрагента внедрить соответствующие технические и организационные меры для обеспечения уровня безопасности, соответствующего этим рискам, включая, при необходимости, меры, указанные в статье 32(1) GDPR.
- При оценке соответствующего уровня безопасности Оператор данных должен учитывать, в частности, риски, которые могут возникнуть в результате Обработки, в частности, в случае Нарушения персональных данных.
5. Субподряд
- Оператор данных не вправе назначать (или раскрывать любые Персональные данные Контрагента) никакого Субподрядчика, если это не требуется или не разрешено Контрагентом.
6. Права субъектов данных
- Учитывая характер Обработки, Оператор данных обязан оказать Контрагенту помощь путем внедрения соответствующих технических и организационных мер, насколько это возможно, для выполнения обязательств Контрагента по запросам Субъектов данных на реализацию их прав в соответствии с Законами о защите данных.
- Оператор данных обязуется:
- незамедлительно уведомить Контрагента, если он получит запрос от Субъекта данных в рамках любого Закона о защите данных в отношении Персональных данных Контрагента; и
- гарантировать, что он не ответит на этот запрос, кроме как по документированным инструкциям Контрагента или в соответствии с применимыми законами, которым подчиняется Оператор, при этом Оператор данных должен, насколько это допустимо законами, уведомить Контрагента о данном юридическом требовании до того, как Договаривающийся Оператор ответит на запрос.
7. Нарушение персональных данных
- Оператор данных должен без необоснованной задержки уведомить Контрагента, как только Оператор данных станет осведомлен о Нарушении персональных данных, касающемся Персональных данных Контрагента, предоставив Контрагенту достаточную информацию, чтобы Контрагент мог выполнить свои обязательства по информированию Субъектов данных о Нарушении персональных данных в соответствии с Законами о защите данных.
- Оператор данных обязан сотрудничать с Контрагентом и предпринимать разумные коммерческие меры по указанию Контрагента для оказания содействия в расследовании, минимизации и устранении каждого такого Нарушения персональных данных.
8. Оценка воздействия на защиту данных и предварительная консультация
- Оператор данных обязуется предоставить разумное содействие Контрагенту в любых оценках воздействия на защиту данных и предварительных консультациях с надзорными органами или другими компетентными органами по защите данных, которые Контрагент разумно считает необходимыми в соответствии со статьями 35 или 36 GDPR или эквивалентными положениями любого другого Закона о защите данных, исключительно в отношении Обработки Персональных данных Контрагента и с учетом характера Обработки и имеющейся у Договаривающегося Оператора информации.
9. Удаление или возврат Персональных данных Контрагента
- В соответствии с настоящим разделом 9 Оператор данных обязан незамедлительно и в любом случае в течение 10 рабочих дней с даты прекращения любых Услуг, включающих Обработку Персональных данных Контрагента ("Дата прекращения"), удалить и обеспечить удаление всех копий этих Персональных данных Контрагента.
- Оператор данных обязан предоставить письменное подтверждение Контрагенту, что он полностью выполнил требования данного раздела 9 в течение 10 рабочих дней с Даты прекращения.
10. Инструкции по полному удалению Персональных данных Контрагента
- Для полного удаления своих Персональных данных Контрагент должен войти в свой аккаунт на сайте Оператора (https://fornex.com/), нажать "Тикеты" (или вставить https://fornex.com/my/tickets/ в браузер и нажать Enter), затем нажать "Создать тикет", и после этого появится форма.
- Контрагент должен ввести "Удалить персональные данные" в поле Тема, пропустить поле "Относится к", выбрать "Высокий" в поле Приоритет, ввести "Удалите мои персональные данные" в последнем поле формы и нажать "Создать".
- Запрос будет обработан в течение 1-2 часов, и Персональные данные Контрагента будут полностью удалены из баз данных Оператора.
11. Права на аудит
- В соответствии с данным разделом 10 Оператор данных обязан предоставить Контрагенту по запросу всю необходимую информацию для демонстрации соблюдения настоящего Соглашения, а также предоставить возможность и содействие в проведении аудитов, включая инспекции, Контрагентом или аудитором, назначенным Контрагентом, в отношении Обработки Персональных данных Контрагента Договаривающимися Операторами.
- Права на информацию и аудит Контрагента возникают в рамках раздела 10.1 только в той мере, в которой настоящее Соглашение не предоставляет им права на информацию и аудит, соответствующие применимым требованиям Законов о защите данных.
12. Передача данных
- Оператор данных не вправе передавать или разрешать передачу данных в страны за пределами ЕС и/или Европейской экономической зоны (ЕЭЗ) без предварительного письменного согласия Контрагента. Если персональные данные, обрабатываемые в рамках настоящего Соглашения, передаются из страны в пределах Европейской экономической зоны в страну за пределами Европейской экономической зоны, Стороны обязуются обеспечить надлежащую защиту этих персональных данных. Для достижения этой цели, если не будет согласовано иное, Стороны обязуются полагаться на стандартные договорные положения ЕС, утвержденные для передачи персональных данных.
13. Общие условия
- Конфиденциальность. Каждая Сторона обязана сохранять конфиденциальность настоящего Соглашения и информации, которую она получает о другой Стороне и её деятельности в связи с настоящим Соглашением ("Конфиденциальная информация"), и не может использовать или раскрывать эту Конфиденциальную информацию без предварительного письменного согласия другой Стороны, за исключением случаев:
- (a) когда раскрытие требуется по закону;
- (b) когда соответствующая информация уже находится в общественном достоянии.
- Уведомления. Все уведомления и сообщения, передаваемые по настоящему Соглашению, должны быть изложены в письменной форме и будут доставляться лично, отправляться по почте или по электронной почте на адрес, указанный в заголовке настоящего Соглашения, или на такой другой адрес, как будет время от времени сообщено Сторонами при изменении адреса.
14. Применимое право и юрисдикция
- Настоящее Соглашение регулируется законодательством Европейского Союза.
- Любой спор, возникающий в связи с настоящим Соглашением, который Стороны не смогут разрешить мирным путем, будет передан на исключительное рассмотрение судов Республики Кипр.