Защита персональных данных физических лиц является основным правом в соответствии с законодательством ЕС и на данный момент регулируется Общим регламентом по защите данных (Регламент (ЕС) ²⁰¹⁶⁄₆₇₉) (далее — ​“GDPR”). GDPR уточняет, что обработка персональных данных обработчиком от имени контролера должна регулироваться письменным соглашением, которое устанавливает среди прочего обстоятельства и условия, при которых такая обработка может иметь место.

Это Дополнение к обработке данных (далее — ​“Дополнение” или ​“DPA”) является частью Условий предоставления услуг Work­sec­tion, доступных на work​sec​tion​.com/​e​n​/​a​g​r​e​e​m​e​n​t​.html (далее — ​“Условия предоставления услуг”, обновляемые время от времени), или другого соглашения, регулирующего использование услуг Work­sec­tion (далее — ​“Соглашение”), заключенного между вами, Заказчиком (как указано в Соглашении — в совокупности ​“вы”, ​“ваш”, ​“Заказчик”) и Work­sec­tion LLC (“Work­sec­tion”, ​“мы”, ​“наш”), чтобы отразить соглашение сторон относительно обработки персональных данных Work­sec­tion исключительно от имени Заказчика. Обе стороны будут именоваться ​“Сторонами”, а каждая — ​“Стороной”.

Стороны согласовали, что Work­sec­tion предоставит Заказчику облачный инструмент управления проектами (далее — ​“Услуги”), в рамках которого Work­sec­tion будет обрабатывать определенные персональные данные от имени Заказчика в качестве обработчика. Таким образом, Стороны признают необходимость заключения этого отдельного Дополнения для регулирования обработки персональных данных Work­sec­tion от имени Заказчика. Используя Услуги, Заказчик принимает это DPA, и каждый, кто заключает Условия предоставления услуг от имени компании или другого юридического лица, заявляет о наличии полномочий связывать такое лицо и его аффилированные лица с этими условиями и положениями, в этом случае термины ​“вы” и ​“ваш” здесь будут относиться к такому лицу. Если вы не можете или не согласны соблюдать и быть связанными этим DPA, или не имеете полномочий связывать Заказчика или любое другое юридическое лицо, пожалуйста, не предоставляйте нам Персональные данные.

В случае любого конфликта между определенными положениями этого DPA и положениями Соглашения, положения этого DPA будут иметь преимущественную силу над противоречащими положениями Соглашения исключительно в отношении обработки персональных данных.

Капитализированные термины, не определенные здесь, будут иметь значения, присвоенные таким терминам в Соглашении.

(a) ​“Аффилированное лицо” означает любое юридическое лицо, которое прямо или косвенно контролирует, контролируется или находится под общим контролем с предметным юридическим лицом. ​“Контроль”, для целей этого определения, означает прямую или косвенную собственность или контроль более чем 50% голосующих интересов предметного юридического лица.

(b) ​“Уполномоченное аффилированное лицо” означает любое из аффилированных лиц Заказчика, которому явно разрешено использовать Услуги в соответствии с Соглашением между Заказчиком и Work­sec­tion, но которое не подписало свое собственное соглашение с Work­sec­tion и не является ​“Заказчиком”, как указано в Соглашении.

© ​“CCPA” означает Закон Калифорнии о защите прав потребителей 2018 года. Раздел 1798.100.

(d) Термины ​“Контролер“, ​“Государство-член“, ​“Обработчик“, ​“Обработка” и ​“Контрольный орган” будут иметь то же значение, что и в GDPR. Термины ​“Бизнес”, ​“Бизнес-цель”, ​“Потребитель” и ​“Поставщик услуг” будут иметь то же значение, что и в CCPA.

В целях ясности, в рамках этого DPA ​“Контролер” также будет означать ​“Бизнес”, а ​“Обработчик” также будет означать ​“Поставщика услуг”, поскольку это применимо в соответствии с CCPA. Аналогичным образом, Подобработчик Обработчика также будет относиться к концепции Поставщика услуг.

(e) ​“Законодательство о защите данных” означает все применимые и обязательные законы и нормативные акты о конфиденциальности и защите данных, включая такие законы и нормативные акты Европейского Союза, Европейской экономической области и их государств-членов, Швейцарии, Великобритании, Канады и Соединенных Штатов Америки, применимые к обработке персональных данных согласно Соглашению, включая (без ограничения) GDPR, UK GDPR и CCPA, применимые к обработке персональных данных в рамках данного соглашения и действующие на момент выполнения Обработчиком обязательств в рамках данного соглашения.

(f) ​“Субъект данных” означает идентифицированное или идентифицируемое лицо, к которому относятся персональные данные.

(g) ​“GDPR” означает Регламент (ЕС) ²⁰¹⁶⁄₆₇₉ Европейского парламента и Совета от 27 апреля 2016 года о защите физических лиц в отношении обработки персональных данных и о свободном передвижении таких данных, а также отменяющий Директиву 95/46/EC (Общий регламент по защите данных).

(h) ​“Персональные данные” или ​“Личная информация” означает любую информацию, которая идентифицирует, относится к, описывает, может быть ассоциирована с или разумно может быть связана прямо или косвенно с идентифицированным или идентифицируемым физическим лицом или Потребителем, которая обрабатывается Work­sec­tion исключительно от имени Заказчика, в рамках этого DPA и Соглашения между Заказчиком и Worksection.

(i) ​“Услуги” означают облачную платформу операционной системы для работы (“Платформа”) и любые другие услуги, предоставляемые Заказчику Work­sec­tion по Соглашению.

(j) ​“Документация по безопасности” означает документацию по безопасности, непосредственно применимую к обработке персональных данных Work­sec­tion в рамках Соглашения и этого DPA, обновляемую время от времени и имеющуюся по адресу work​sec​tion​.com/​e​n​/​a​g​r​e​e​m​e​n​t​.html, или в других местах, разумно предоставляемых Worksection.

(k) ​“Чувствительные данные” означают персональные данные, которые защищены специальным законодательством и требуют особого обращения, такие как ​“особые категории данных”, ​“чувствительные данные” или другие материально схожие термины в соответствии с применимыми законами о защите данных, которые могут включать любое из следующего: (a) номер социального обеспечения, номер налогового файла, номер паспорта, номер водительских прав или аналогичный идентификатор (или любую его часть); (b) номер кредитной или дебетовой карты; © финансовая, кредитная, генетическая, биометрическая или медицинская информация; (d) информация, раскрывающая расовое или этническое происхождение, политические мнения, религиозные или философские убеждения или членство в профсоюзе, генетические данные или биометрические данные для уникальной идентификации физического лица, данные о состоянии здоровья или сексуальной жизни лица или сексуальной ориентации, или данные, относящиеся к уголовным срокам и правонарушениям; и/​или (e) пароли аккаунта в нешифрованной форме.

(l) ​“Подобработчик” означает любую третью сторону, которая обрабатывает персональные данные по инструкции или под контролем Worksection.

(m) ​“UK GDPR” означает Закон о защите данных 2018 года, а также GDPR, в той мере, в какой он является частью законодательства Англии и Уэльса, Шотландии и Северной Ирландии в соответствии с разделом 3 Закона о выходе из Европейского Союза 2018 года и как он изменялся Законом о защите данных, конфиденциальности и электронных коммуникациях (Изменения и т. д.) (Выход из ЕС) Положения 2019 (SI ²⁰¹⁹⁄₄₁₉).

2.1. Объем и роли. Это Дополнение применяется, когда Данные Заказчика обрабатываются Work­sec­tion от имени Заказчика в рамках предоставления Услуг.

2.2. Соблюдение законов. Каждая сторона будет соблюдать все законы, правила и постановления, применимые к ней и обязательные для нее в рамках выполнения этого Дополнения, включая все обязательные требования, касающиеся защиты данных.

2.3. Характер и цель обработки данных. Пока Заказчик использует Услуги, и в результате использования Заказчиком Услуг, Work­sec­tion будет обрабатывать Данные Заказчика от имени Заказчика. Данные Заказчика включают, но не ограничиваются, именами, адресами и контактной информацией приглашенных пользователей Заказчика, а также другими видами персональных данных, которые Заказчик загрузит в Услуги в различных проектах, коллекциях и досках. Данные Заказчика также могут относиться к сотрудникам, директорам, должностным лицам, клиентам и подрядчикам Заказчика, а также к третьим лицам, которые каким-либо образом являются частью или связаны с проектом, управляемым Заказчиком при использовании Услуг. Данные Заказчика также могут включать технические данные, данные о использовании, статистику качества и аналогичную информацию (включая, но не ограничиваясь, показатели, связанные с устройством, и данные о местоположении), относящуюся к доступу Заказчика к Услугам и их использованию.

2.4. Инструкции по обработке данных. Work­sec­tion будет обрабатывать Данные Заказчика в соответствии с документированными инструкциями Заказчика, включая относительно передачи персональных данных в третью страну или международную организацию, если только это не требуется делать иначе в соответствии с применимым законодательством. Любые дополнительные расходы, возникшие в результате таких ограничений, несет Заказчик. Стороны согласны, что это Дополнение является полными и окончательными инструкциями Заказчика к Work­sec­tion относительно обработки Данных Заказчика. Обработка за пределами объема этого Дополнения (если таковое имеется) требует предварительного письменного согласия между Work­sec­tion и Заказчиком на дополнительные инструкции по обработке, включая согласие по любым дополнительным сборам, которые Заказчик будет платить Work­sec­tion за выполнение таких инструкций. Заказчик может расторгнуть это Дополнение, если Work­sec­tion откажется следовать инструкциям, запрашиваемым Заказчиком, которые выходят за пределы объема этого Дополнения.

2.5. Доступ или использование. Work­sec­tion не будет получать доступ или использовать Данные Заказчика, за исключением случаев, когда это необходимо для поддержания, улучшения и предоставления Услуг, запрошенных Заказчиком.

2.6. Детали обработки. Длительность обработки, характер и цель обработки, типы Данных Заказчика и категории субъектов данных, обрабатываемых в рамках этого DPA, дополнительно указаны в Приложении 1 (Детали обработки) к этому DPA.

2.7. Содействие. Учитывая характер обработки, Work­sec­tion будет содействовать Заказчику с помощью соответствующих технических и организационных мер, насколько это возможно, для выполнения обязательств Заказчика по ответу на запросы об осуществлении прав субъектов данных.

2.8. Раскрытие. Work­sec­tion не будет раскрывать Данные Заказчика ни одному правительству, кроме случаев, когда это необходимо для соблюдения закона или действительного и обязательного приказа правоохранительных органов (например, повестки или судебного приказа). Если правоохранительные органы направляют Work­sec­tion запрос на получение Данных Заказчика, Work­sec­tion попытается перенаправить правоохранительные органы с просьбой запрашивать эти данные непосредственно у Заказчика. В рамках этих усилий Work­sec­tion может предоставить основную контактную информацию Заказчика правоохранительным органам. Если Work­sec­tion будет вынужден раскрыть Данные Заказчика правоохранительным органам, то Work­sec­tion предоставит Заказчику разумное уведомление о запросе, чтобы дать возможность Заказчику предпринять защитные меры или другое соответствующее средство, если только Work­sec­tion не запрещено делать это юридически.

2.9. Персонал Work­sec­tion. Work­sec­tion ограничивает своих сотрудников от обработки Данных Заказчика без разрешения Work­sec­tion. Work­sec­tion возложит соответствующие контрактные обязательства на своих сотрудников, включая соответствующие обязательства по конфиденциальности, защите данных и безопасности данных.

2.10. Контроль Заказчика. Work­sec­tion предоставляет ряд функций и возможностей безопасности, которые Заказчик может выбрать для использования. Заказчик отвечает за правильную (a) настройку Услуг, (b) использование доступных в связи с Услугами контролей (включая средства безопасности) и © принятие таких мер, которые Заказчик считает достаточными для поддержания соответствующей безопасности, защиты, удаления и резервного копирования Данных Заказчика, что может включать использование технологии шифрования для защиты Данных Заказчика от несанкционированного доступа и регулярно проводимое архивирование Данных Заказчика.

3.1. Передачи из ЕЭП и Швейцарии в страны, которые предлагают адекватный уровень защиты данных. Персональные данные могут быть переданы из государств-членов ЕС, Норвегии, Лихтенштейна и Исландии (совокупно — ​“ЕЭП”) и Швейцарии в страны, предлагающие адекватный уровень защиты данных в соответствии с решениями о соответствии, опубликованными соответствующими органами по защите данных ЕЭП, Европейским Союзом, государствами-членами или Европейской Комиссией, или Швейцарией, если применимо (далее — ​“Решения о соответствии”), без необходимости дополнительных мер защиты.

3.2. Передачи в другие страны. Если обработка Персональных данных Work­sec­tion включает передачу (либо напрямую, либо через последующую передачу) из ЕЭП или Швейцарии в другие страны, которые не подпадают под соответствующее Решение о соответствии, и такие передачи не осуществляются через механизм соблюдения, признанный Work­sec­tion для законной передачи персональных данных (как определено в GDPR) за пределы ЕЭП или Швейцарии, если это применимо, то применяются ​“Стандартные договорные положения 2021 года” (как утверждено Европейской Комиссией в решении о Вводе в действие (ЕС) ²⁰²¹⁄₉₁₄) и связанные приложения и приложения.

Work­sec­tion реализует такие технические и организационные меры для защиты Данных Заказчика от случайного или незаконного уничтожения или случайной утраты, изменения, несанкционированной обработки, раскрытия и доступа, которые требуются применимым законодательством. Work­sec­tion поддерживает программу информационной безопасности (включая принятие и исполнение внутренних политик и процедур), предназначенную для (a) помощи Заказчику в обеспечении безопасности Данных Заказчика от случайной или незаконной утраты, доступа или раскрытия, (b) идентификации разумно предсказуемых внутренних рисков для безопасности и несанкционированного доступа к Work­sec­tion и © минимизации рисков безопасности, включая оценку рисков и регулярные испытания. Work­sec­tion назначит одного или нескольких сотрудников для координации и подотчетности за программу информационной безопасности. Программа информационной безопасности будет включать меры, относящиеся как к сетевой, так и к физической безопасности, и будет периодически пересматриваться Work­sec­tion для определения необходимости дополнительных или иных мер безопасности в ответ на новые риски безопасности или выводы, полученные в результате периодических проверок. Если Заказчик желает, чтобы Work­sec­tion предпринял какие-либо дальнейшие меры, Work­sec­tion сделает это в разумных пределах, но любые дополнительные расходы должны нести Заказчик. Заказчик подтверждает, что считает меры, изложенные в Приложении 2, подходящими техническими и организационными средствами защиты в отношении обработки Персональных данных.

Заказчик несет единоличную ответственность за обзор информации, предоставленной Work­sec­tion в отношении безопасности данных, и за независимое определение того, соответствуют ли Услуги требованиям Заказчика, и за обеспечение того, чтобы сотрудники и консультанты Заказчика следовали предоставленным им рекомендациям относительно безопасности данных.

По запросу Заказчика и в течение обычных рабочих часов Work­sec­tion предоставит свои объекты обработки данных для аудита деятельности, охватываемой Дополнением, который будет проводиться Заказчиком за счет Заказчика.

7.1. Если Work­sec­tion станет известно о (a) любом незаконном доступе к любым Данных Заказчика, хранящимся на оборудовании Work­sec­tion или в помещениях Work­sec­tion; или (b) любом несанкционированном доступе к такому оборудованию или помещениям, когда в любом из случаев такой доступ приводит к утрате, раскрытию или изменению Данных Заказчика (каждый ​“Инцидент безопасности”), Work­sec­tion немедленно: (a) уведомит Заказчика о Инциденте безопасности; и (b) предпримет разумные шаги для смягчения последствий и минимизации любого ущерба, возникающего в результате Инцидента безопасности.

7.2. Заказчик согласен с тем, что:

(i) неуспешный Инцидент безопасности не будет подлежать этому Разделу. Неуспешный Инцидент безопасности — это инцидент, который не приводит к несанкционированному доступу к Данные Заказчика или к какому-либо оборудованию или помещениям Work­sec­tion, хранящим Данные Заказчика, и может включать, но не ограничиваться, пингами и другими атаками на брандмауэры или крайние серверы, сканированием портов, неуспешными попытками входа, атаками отказа в обслуживании, захватом пакетов (или несанкционированным доступом к данным о трафике, который не приводит к доступу сверх IP-адресов или заголовков) или подобными инцидентами; и

(ii) Обязанность Work­sec­tion сообщить или отреагировать на Инцидент безопасности в соответствии с этим Разделом не является и не будет интерпретироваться как признание Work­sec­tion какой-либо вины или ответственности Work­sec­tion в отношении Инцидента безопасности.

7.3. Уведомление об Инцидентах безопасности, если таковые имеются, будет направлено одному или нескольким администраторам Заказчика любыми средствами, которые выберет Work­sec­tion, включая электронную почту. Единоличная ответственность Заказчика — обеспечивать, чтобы администраторы Заказчика поддерживали актуальную контактную информацию в системе Work­sec­tion в любое время.

8.1. Уполномоченные Подобработчики. Заказчик соглашается с тем, что Work­sec­tion может использовать подобработчиков для выполнения своих контрактных обязательств по этому Дополнению или для предоставления определенных услуг от своего имени, таких как предоставление услуг поддержки. Work­sec­tion поддерживает список подобработчиков на своем веб-сайте work​sec​tion​.com/​e​n​/​a​g​r​e​e​m​e​n​t​.html. Work­sec­tion уведомит Заказчика о любых планируемых изменениях, касающихся добавления или замены подобработчиков, против которой Заказчик может возразить. Заказчик уведомляется, когда Work­sec­tion обновляет список подобработчиков на своем веб-сайте. Если Заказчик не возразил в течение тридцати (30) дней с даты получения уведомления/​дат обновления на веб-сайте, считается, что Заказчик не возразил. В случае возражения со стороны Заказчика, Work­sec­tion имеет право устранить возражение Заказчика по собственному усмотрению. Если (i) разумная корректирующая опция недоступна; или (ii) стороны не смогли найти взаимовыгодное решение, и (iii) возражение не было устранено в течение тридцати (30) дней после получения Work­sec­tion возражения, любая Сторона может немедленно расторгнуть Условия предоставления услуг.

8.2. Обязанности Подобробочика. Когда Work­sec­tion уполномочивает любого подобробочика, как описано в этом Разделе:

(i) Work­sec­tion ограничит доступ подобробочика к Данных Заказчика только к тому, что необходимо для поддержания Услуг или предоставления Услуг Заказчику в соответствии с Условиями предоставления услуг, и Work­sec­tion запретит подобробочику доступ к Данных Заказчика для любой другой цели.

(ii) Work­sec­tion наложит соответствующие контрактные обязательства в письменном виде на подобробочика, которые не менее защищают, чем это Дополнение, включая соответствующие контрактные обязательства относительно конфиденциальности, защиты данных, безопасности данных и прав на аудит; и

(iii) Work­sec­tion останется ответственным за соблюдение своих обязательств в соответствии с этим Дополнением и за любые действия или бездействия подобробочика, которые приводят к нарушению Work­sec­tion каких-либо обязательств Work­sec­tion по этому Дополнению.

Если Данные Заказчика становятся предметом конфискации в ходе банкротства или процедур неплатежеспособности, или аналогичных мер со стороны третьих лиц, в то время как они обрабатываются Work­sec­tion, Work­sec­tion уведомит Заказчика без неоправданной задержки. Work­sec­tion, без неоправданной задержки, уведомит всех соответствующих участников такого действия (например, кредиторов, финансового управляющего), что любые Данные Заказчика, подвергшиеся этим процедурам, являются собственностью и зоной ответственности Заказчика и что Данные Заказчика находятся под единоличным распоряжением Заказчика.

После прекращения действия Соглашения и прекращения Услуг, по выбору Заказчика (указанному через Платформу или в письменном уведомлении Обработчику), Обработчик должен удалить или вернуть Заказчику все Персональные данные, которые он Обрабатывает исключительно от имени Заказчика, таким образом, как это описано в Соглашении, и Обработчик должен удалить существующие копии таких Персональных данных, если Законы о защите данных не требуют иного. В той мере, в какой это разрешено или требуется применимым законодательством, Обработчик также может сохранить одну копию Персональных данных исключительно для доказательственных целей и/​или для установления, осуществления или защиты юридических требований и/​или для соблюдения юридических обязательств.

Заказчик может предоставлять Персональные данные в Сервис, которые могут включать, но не ограничиваются, Персональными данными, относящимися к следующим категориям субъектов данных:

● Приглашенные пользователи Заказчика

● Сотрудники Заказчика

● Консультанты Заказчика

● Агенты Заказчика

● Советники Заказчика

● Бизнес-партнеры и поставщики Заказчика (которые являются физическими лицами)

Любое другое третье лицо, с которым Заказчик решит взаимодействовать через Сервис.

Любые персональные данные, содержащиеся в Данных Заказчика, т.е. Персональные данные, которые Заказчик загружает в Услуги под своими учетными записями Work­sec­tion или иным образом обрабатываются Work­sec­tion от имени Заказчика, в связи с использованием Заказчиком Услуг.

Заказчик признает и понимает, что Услуги используются для сотрудничества и планирования, и что они не предназначены для обработки особых категорий персональных данных.

С учетом любого Раздела DPA и/​или Соглашения, касающегося длительности обработки и последствий истечения срока или прекращения такового, Work­sec­tion будет обрабатывать Персональные данные в соответствии с DPA и Соглашением на протяжении срока действия Соглашения, если иное не согласовано в письменном виде. Заказчик самостоятельно удалит Персональные данные, загруженные в Услуги, в соответствии со своей собственной политикой хранения.

Обработка происходит постоянно, поскольку Заказчик пользуется Услугами.

Персональные данные могут подлежать следующим операциям обработки:

● хранение и другие операции обработки, необходимые для предоставления, поддержания и улучшения Услуг, предоставляемых Экспортером данных;

● предоставление клиентской и технической поддержки Экспортеру данных;

● раскрытия в соответствии с Соглашением, как требует закон.

Подобработчики привлекаются Work­sec­tion для веб-аналитики, ERP, аналитики клиентских данных, клиентской поддержки, серверов и хостинга, а также функций электронной почты.

Work­sec­tion поддерживает шифрование клиентских данных в состоянии покоя с помощью шифра, эквивалентного 256-битному симметричному шифрованию или лучше. Данные шифруются при передаче с использованием TLS 1.2 или более поздней версии.

Инфраструктура для услуг Work­sec­tion охватывает несколько центров обработки данных в различных странах ЕС и на Украине.

Work­sec­tion регулярно создает резервные копии клиентских данных в реальном времени. Резервные копии хранятся избыточно в нескольких центрах обработки данных и шифруются в процессе передачи и в состоянии покоя с использованием общепринятых шифров с шифровальной силой, эквивалентной 256-битному симметричному шифрованию.

Work­sec­tion поддерживает программу безопасности, основанную на стандартах ISO 27001. Это включает в себя административные, организационные, технические и физические средства защиты, предназначенные для защиты конфиденциальности, целостности и доступности клиентских данных. Work­sec­tion проводит ежегодные тесты на проникновение сторонних приложений и сетей.

Сотрудники Work­sec­tion обязаны использовать уникальные учетные данные и пароли для аутентификации.

Данные Заказчика шифруются с использованием шифрования TLS 1.2 или более поздней версии во время передачи между клиентом и Work­sec­tion, а также внутри системы Worksection.

Данные Заказчика хранятся в зашифрованном виде с использованием стандартных промышленных 256-битных симметричных шифров.

Work­sec­tion применяет стандарты безопасной разработки программного обеспечения (Secure SDLC), чтобы выполнять множество операций, связанных с безопасностью, для Услуг на различных этапах жизненного цикла создания продукта — от сбора требований и проектирования продукта до развертывания продукта. Эти мероприятия включают, но не ограничиваются, проведением (a) внутренних проверок безопасности до развертывания новых услуг; (b) ежегодного тестирования на проникновение независимыми третьими сторонами; и © моделей угроз для новых услуг для обнаружения возможных проблем безопасности.