Угода про обробку даних (DPA)

1. Вступ

Ця Угода про обробку даних (“Угода“) є невід’ємною частиною Умови та положення між Deskhero AB (“ми,” “нас,” або “наш“) та Клієнта (“ви” або “Клієнт“) і регулює обробку Персональних даних нами від вашого імені у зв’язку з використанням вами нашої платформи Software-as-a-Service (SaaS) (“Сервіс“).

Ця Угода відображає домовленості сторін щодо умов, які регулюють обробку Персональних даних відповідно до застосовних Законів про захист даних, включно із Загальним регламентом ЄС про захист даних (GDPR).

2. Терміни та визначення

• Закони про захист даних: Усі застосовні закони, що стосуються захисту даних, конфіденційності та обробки Персональних даних, включно з GDPR і будь-якими національними законами, що імплементують його.
• GDPR: Загальний регламент ЄС із захисту даних 2016/679.
• Персональні дані: Будь-яка інформація, що стосується ідентифікованої або такої, що може бути ідентифікована, фізичної особи, як визначено в статті 4 GDPR.
• Обробка: Будь-яка операція з Персональними даними, незалежно від того, чи здійснюється вона автоматизованими засобами, як визначено в статті 4 GDPR.
• Контролер: Суб’єкт, що визначає цілі та способи обробки Персональних даних.
• Процесор: Суб’єкт, який обробляє Персональні дані від імені Контролера.
• Субпроцесор: Будь-який Процесор, залучений нами для обробки Персональних даних від імені Клієнта.
• Типові контрактні положення (SCCs): Контрактні положення, ухвалені Європейською Комісією для передачі Персональних даних процесорам, розташованим у третіх країнах.

3. Ролі та обов’язки

3.1 Відносини між сторонами

• Контролер і Процесор: Для цілей цієї Угоди ви є Контролером , а ми є Процесором щодо Персональних даних, які обробляються від вашого імені.

3.2 Мета обробки

• Ми оброблятимемо Персональні дані, наскільки це необхідно для надання Сервісу відповідно до Умов і положень та цієї Угоди.

4. Інструкції

4.1 Інструкції щодо обробки

• Ми оброблятимемо Персональні дані лише на підставі задокументованих інструкцій від вас, зокрема щодо міжнародних передач даних, якщо інше не вимагається законом.

4.2 Обмеження

• Якщо ми вважаємо, що будь-яка інструкція порушує Закони про захист даних, ми негайно повідомимо вас.

5. Деталі обробки

5.1 Предмет

• Обробка Персональних даних у зв’язку з наданням Сервісу.

5.2 Тривалість

• Протягом дії Угоди до видалення всіх Персональних даних, як описано в цій Угоді.

5.3 Характер і мета

• Обробка Персональних даних з метою надання Сервісу, включно зі зберіганням, витягом та іншими операціями, необхідними для функціонування Сервісу.

5.4 Типи Персональних даних

• Персональні дані можуть включати, але не обмежуються:
• Ідентифікаційні дані (наприклад, імена, адреси електронної пошти, номери телефонів).
• Контактна інформація.
• Дані підтримки й комунікації.
• Будь-які інші Персональні дані, подані Користувачами або клієнтами Клієнта через Сервіс.

5.5 Категорії суб’єктів даних

• Користувачі: Співробітники або агенти Клієнта, уповноважені користуватися Сервісом.
• Клієнти Клієнта: Особи, які взаємодіють із Клієнтом через Сервіс.

6. Конфіденційність

6.1 Конфіденційність персоналу

• Ми забезпечимо, щоб персонал, уповноважений на обробку Персональних даних, зобов’язався до конфіденційності або перебував під відповідним законодавчим обов’язком зберігати конфіденційність.

7. Заходи безпеки

7.1 Технічні та організаційні заходи

• Ми впровадимо належні технічні та організаційні заходи, щоб забезпечити рівень безпеки, відповідний ризику, як описано в нашому Технічні та організаційні заходи (TOM).

8. Субобробка

8.1 Уповноважені субпроцесори

• Ви надаєте нам дозвіл залучати субпроцесорів для обробки Персональних даних від вашого імені за умови, що:
• Ми повідомимо вас про будь-які заплановані зміни щодо додавання або заміни субпроцесорів, надаючи вам можливість заперечити протягом десяти (10) днів.
• Ми укладаємо письмові угоди із субпроцесорами, що накладають на них зобов’язання щодо захисту даних, не менш суворі, ніж у цій Угоді.
• Ми несемо повну відповідальність за діяльність субпроцесорів.

8.2 Поточні субпроцесори

• Список наших поточних субпроцесорів наведено у нашому Реєстр операцій обробки (RoPA).

9. Міжнародні передачі даних

9.1 Передачі за межі ЄС/ЄЕЗ

• Персональні дані можуть передаватися до країн за межами Європейського Союзу (ЄС) або Європейської економічної зони (ЄЕЗ) за потреби, за умови, що:
• Такі передачі здійснюються відповідно до Законів про захист даних.
• Запроваджено належні запобіжні заходи, зокрема Типові контрактні положення (SCCs).

9.2 Типові контрактні положення

• Сторони домовилися, що Типові контрактні положення (SCCs) , ухвалені Європейською Комісією, застосовуватимуться до будь-яких передач Персональних даних за межі ЄС/ЄЕЗ до країн, які Європейська Комісія не визнала такими, що забезпечують належний рівень захисту даних.

10. Допомога з дотриманням вимог

10.1 Права суб’єктів даних

• Ми, наскільки це можливо, будемо надавати вам допомогу шляхом належних технічних та організаційних заходів для виконання ваших обов’язків щодо реагування на запити про реалізацію прав суб’єктів даних згідно із Законами про захист даних.

10.2 Оцінки впливу на захист даних

• Ми надамо вам розумну допомогу щодо оцінок впливу на захист даних та попередніх консультацій з наглядовими органами.

11. Повідомлення про порушення безпеки даних

• Ми повідомимо вас без невиправданої затримки, щойно дізнаємося про Порушення безпеки Персональних даних, що стосується даних, оброблюваних від вашого імені. Таке повідомлення міститиме достатньо інформації, щоб ви могли виконати свої обов’язки щодо повідомлення уповноважених органів або суб’єктів даних про порушення.

12. Видалення або повернення Персональних даних

• Після припинення дії Угоди або за вашим запитом ми, на ваш вибір, видалимо або повернемо вам усі Персональні дані та знищимо наявні копії, якщо їх зберігання не вимагається законом.

13. Аудити та інспекції

• Ми надамо вам усю інформацію, необхідну для підтвердження дотримання цієї Угоди, а також дозволимо та сприятимемо проведенню аудитів, зокрема інспекцій, що виконуються вами або уповноваженим вами аудитором.

14. Відповідальність

• Відповідальність кожної сторони за цією Угодою підлягає виключенням і обмеженням, установленим у Умови та положення.

15. Застосовне право та юрисдикція

• Ця Угода регулюється та тлумачиться відповідно до законодавства Швеції. Усі спори, що виникають із цієї Угоди чи у зв’язку з нею, підлягають виключній юрисдикції судів Швеції.

16. Інші положення

• 16.1 Повна угода: Ця Угода становить повну угоду між сторонами щодо обробки Персональних даних та замінює собою всі попередні домовленості.
• 16.2 Подільність: Якщо будь-яке положення цієї Угоди визнається недійсним, решта положень залишаються чинними та повністю зберігають силу.

Додатки

• Додаток 1: Технічні та організаційні заходи (TOM)
• Додаток 2: Реєстр операцій обробки (RoPA)
• Додаток 3: Типові контрактні положення (SCCs)

Додаток 3: Типові контрактні положення (SCCs)

Через обмеження авторського права ми не можемо включити повний текст Типових контрактних положень (SCCs) безпосередньо до цього документа. Втім, ми визнаємо, що SCCs, ухвалені Європейською Комісією, є невід’ємною частиною цієї Угоди з метою регулювання міжнародних передач даних за межі ЄС/ЄЕЗ до країн, які не визнані такими, що забезпечують належний рівень захисту даних.

Необхідна дія:

• Інкорпорація шляхом посилання: Укладаючи цю Угоду, обидві сторони погоджуються, що Типові контрактні положення включаються до неї шляхом посилання та застосовуються до будь-яких міжнародних передач даних.

Керівництво:

• Завантажити SCCs: Ви можете завантажити офіційні SCCs з вебсайт Європейської Комісії.
• Додаток: Ми рекомендуємо долучити SCCs як додаток до цієї Угоди під час фіналізації документа.

Контактна інформація уповноваженого з питань захисту даних (DPO):

Ім’я: Klas Karlsson

Електронна пошта: adpo@deskhero.com

Телефон: +46 70 601 13 22

Контактна інформація:

• Deskhero AB

KIVRA: 559415-4170

106 31, Стокгольм, Швеція

Електронна пошта: support@deskhero.com

Користуючись Сервісом і приймаючи Умови та положення, ви погоджуєтеся з умовами цієї Угоди про обробку даних.