Дополнение к договору об обработке данных (DPA)
Защита персональных данных физических лиц является основным правом в соответствии с законодательством ЕС и на данный момент регулируется Общим регламентом по защите данных (Регламент (ЕС) 2016⁄679) (далее — “GDPR”). GDPR уточняет, что обработка персональных данных обработчиком от имени контролера должна регулироваться письменным соглашением, которое устанавливает среди прочего обстоятельства и условия, при которых такая обработка может иметь место.
Это Дополнение к обработке данных (далее — “Дополнение” или “DPA”) является частью Условий предоставления услуг Worksection, доступных на worksection.com/en/agreement.html (далее — “Условия предоставления услуг”, обновляемые время от времени), или другого соглашения, регулирующего использование услуг Worksection (далее — “Соглашение”), заключенного между вами, Заказчиком (как указано в Соглашении — в совокупности “вы”, “ваш”, “Заказчик”) и Worksection LLC (“Worksection”, “мы”, “наш”), чтобы отразить соглашение сторон относительно обработки персональных данных Worksection исключительно от имени Заказчика. Обе стороны будут именоваться “Сторонами”, а каждая — “Стороной”.
Стороны согласовали, что Worksection предоставит Заказчику облачный инструмент управления проектами (далее — “Услуги”), в рамках которого Worksection будет обрабатывать определенные персональные данные от имени Заказчика в качестве обработчика. Таким образом, Стороны признают необходимость заключения этого отдельного Дополнения для регулирования обработки персональных данных Worksection от имени Заказчика. Используя Услуги, Заказчик принимает это DPA, и каждый, кто заключает Условия предоставления услуг от имени компании или другого юридического лица, заявляет о наличии полномочий связывать такое лицо и его аффилированные лица с этими условиями и положениями, в этом случае термины “вы” и “ваш” здесь будут относиться к такому лицу. Если вы не можете или не согласны соблюдать и быть связанными этим DPA, или не имеете полномочий связывать Заказчика или любое другое юридическое лицо, пожалуйста, не предоставляйте нам Персональные данные.
В случае любого конфликта между определенными положениями этого DPA и положениями Соглашения, положения этого DPA будут иметь преимущественную силу над противоречащими положениями Соглашения исключительно в отношении обработки персональных данных.
1. ОПРЕДЕЛЕНИЯ
Капитализированные термины, не определенные здесь, будут иметь значения, присвоенные таким терминам в Соглашении.
(a) “Аффилированное лицо” означает любое юридическое лицо, которое прямо или косвенно контролирует, контролируется или находится под общим контролем с предметным юридическим лицом. “Контроль”, для целей этого определения, означает прямую или косвенную собственность или контроль более чем 50% голосующих интересов предметного юридического лица.
(b) “Уполномоченное аффилированное лицо” означает любое из аффилированных лиц Заказчика, которому явно разрешено использовать Услуги в соответствии с Соглашением между Заказчиком и Worksection, но которое не подписало свое собственное соглашение с Worksection и не является “Заказчиком”, как указано в Соглашении.
© “CCPA” означает Закон Калифорнии о защите прав потребителей 2018 года. Раздел 1798.100.
(d) Термины “Контролер“, “Государство-член“, “Обработчик“, “Обработка” и “Контрольный орган” будут иметь то же значение, что и в GDPR. Термины “Бизнес”, “Бизнес-цель”, “Потребитель” и “Поставщик услуг” будут иметь то же значение, что и в CCPA.
В целях ясности, в рамках этого DPA “Контролер” также будет означать “Бизнес”, а “Обработчик” также будет означать “Поставщика услуг”, поскольку это применимо в соответствии с CCPA. Аналогичным образом, Подобработчик Обработчика также будет относиться к концепции Поставщика услуг.
(e) “Законодательство о защите данных” означает все применимые и обязательные законы и нормативные акты о конфиденциальности и защите данных, включая такие законы и нормативные акты Европейского Союза, Европейской экономической области и их государств-членов, Швейцарии, Великобритании, Канады и Соединенных Штатов Америки, применимые к обработке персональных данных согласно Соглашению, включая (без ограничения) GDPR, UK GDPR и CCPA, применимые к обработке персональных данных в рамках данного соглашения и действующие на момент выполнения Обработчиком обязательств в рамках данного соглашения.
(f) “Субъект данных” означает идентифицированное или идентифицируемое лицо, к которому относятся персональные данные.
(g) “GDPR” означает Регламент (ЕС) 2016⁄679 Европейского парламента и Совета от 27 апреля 2016 года о защите физических лиц в отношении обработки персональных данных и о свободном передвижении таких данных, а также отменяющий Директиву 95/46/EC (Общий регламент по защите данных).
(h) “Персональные данные” или “Личная информация” означает любую информацию, которая идентифицирует, относится к, описывает, может быть ассоциирована с или разумно может быть связана прямо или косвенно с идентифицированным или идентифицируемым физическим лицом или Потребителем, которая обрабатывается Worksection исключительно от имени Заказчика, в рамках этого DPA и Соглашения между Заказчиком и Worksection.
(i) “Услуги” означают облачную платформу операционной системы для работы (“Платформа”) и любые другие услуги, предоставляемые Заказчику Worksection по Соглашению.
(j) “Документация по безопасности” означает документацию по безопасности, непосредственно применимую к обработке персональных данных Worksection в рамках Соглашения и этого DPA, обновляемую время от времени и имеющуюся по адресу worksection.com/en/agreement.html, или в других местах, разумно предоставляемых Worksection.
(k) “Чувствительные данные” означают персональные данные, которые защищены специальным законодательством и требуют особого обращения, такие как “особые категории данных”, “чувствительные данные” или другие материально схожие термины в соответствии с применимыми законами о защите данных, которые могут включать любое из следующего: (a) номер социального обеспечения, номер налогового файла, номер паспорта, номер водительских прав или аналогичный идентификатор (или любую его часть); (b) номер кредитной или дебетовой карты; © финансовая, кредитная, генетическая, биометрическая или медицинская информация; (d) информация, раскрывающая расовое или этническое происхождение, политические мнения, религиозные или философские убеждения или членство в профсоюзе, генетические данные или биометрические данные для уникальной идентификации физического лица, данные о состоянии здоровья или сексуальной жизни лица или сексуальной ориентации, или данные, относящиеся к уголовным срокам и правонарушениям; и/или (e) пароли аккаунта в нешифрованной форме.
(l) “Подобработчик” означает любую третью сторону, которая обрабатывает персональные данные по инструкции или под контролем Worksection.
(m) “UK GDPR” означает Закон о защите данных 2018 года, а также GDPR, в той мере, в какой он является частью законодательства Англии и Уэльса, Шотландии и Северной Ирландии в соответствии с разделом 3 Закона о выходе из Европейского Союза 2018 года и как он изменялся Законом о защите данных, конфиденциальности и электронных коммуникациях (Изменения и т. д.) (Выход из ЕС) Положения 2019 (SI 2019⁄419).
2. ПРОЦЕССИНГ ДАННЫХ
2.1. Объем и роли. Это Дополнение применяется, когда Данные Заказчика обрабатываются Worksection от имени Заказчика в рамках предоставления Услуг.
2.2. Соблюдение законов. Каждая сторона будет соблюдать все законы, правила и постановления, применимые к ней и обязательные для нее в рамках выполнения этого Дополнения, включая все обязательные требования, касающиеся защиты данных.
2.3. Характер и цель обработки данных. Пока Заказчик использует Услуги, и в результате использования Заказчиком Услуг, Worksection будет обрабатывать Данные Заказчика от имени Заказчика. Данные Заказчика включают, но не ограничиваются, именами, адресами и контактной информацией приглашенных пользователей Заказчика, а также другими видами персональных данных, которые Заказчик загрузит в Услуги в различных проектах, коллекциях и досках. Данные Заказчика также могут относиться к сотрудникам, директорам, должностным лицам, клиентам и подрядчикам Заказчика, а также к третьим лицам, которые каким-либо образом являются частью или связаны с проектом, управляемым Заказчиком при использовании Услуг. Данные Заказчика также могут включать технические данные, данные о использовании, статистику качества и аналогичную информацию (включая, но не ограничиваясь, показатели, связанные с устройством, и данные о местоположении), относящуюся к доступу Заказчика к Услугам и их использованию.
2.4. Инструкции по обработке данных. Worksection будет обрабатывать Данные Заказчика в соответствии с документированными инструкциями Заказчика, включая относительно передачи персональных данных в третью страну или международную организацию, если только это не требуется делать иначе в соответствии с применимым законодательством. Любые дополнительные расходы, возникшие в результате таких ограничений, несет Заказчик. Стороны согласны, что это Дополнение является полными и окончательными инструкциями Заказчика к Worksection относительно обработки Данных Заказчика. Обработка за пределами объема этого Дополнения (если таковое имеется) требует предварительного письменного согласия между Worksection и Заказчиком на дополнительные инструкции по обработке, включая согласие по любым дополнительным сборам, которые Заказчик будет платить Worksection за выполнение таких инструкций. Заказчик может расторгнуть это Дополнение, если Worksection откажется следовать инструкциям, запрашиваемым Заказчиком, которые выходят за пределы объема этого Дополнения.
2.5. Доступ или использование. Worksection не будет получать доступ или использовать Данные Заказчика, за исключением случаев, когда это необходимо для поддержания, улучшения и предоставления Услуг, запрошенных Заказчиком.
2.6. Детали обработки. Длительность обработки, характер и цель обработки, типы Данных Заказчика и категории субъектов данных, обрабатываемых в рамках этого DPA, дополнительно указаны в Приложении 1 (Детали обработки) к этому DPA.
2.7. Содействие. Учитывая характер обработки, Worksection будет содействовать Заказчику с помощью соответствующих технических и организационных мер, насколько это возможно, для выполнения обязательств Заказчика по ответу на запросы об осуществлении прав субъектов данных.
2.8. Раскрытие. Worksection не будет раскрывать Данные Заказчика ни одному правительству, кроме случаев, когда это необходимо для соблюдения закона или действительного и обязательного приказа правоохранительных органов (например, повестки или судебного приказа). Если правоохранительные органы направляют Worksection запрос на получение Данных Заказчика, Worksection попытается перенаправить правоохранительные органы с просьбой запрашивать эти данные непосредственно у Заказчика. В рамках этих усилий Worksection может предоставить основную контактную информацию Заказчика правоохранительным органам. Если Worksection будет вынужден раскрыть Данные Заказчика правоохранительным органам, то Worksection предоставит Заказчику разумное уведомление о запросе, чтобы дать возможность Заказчику предпринять защитные меры или другое соответствующее средство, если только Worksection не запрещено делать это юридически.
2.9. Персонал Worksection. Worksection ограничивает своих сотрудников от обработки Данных Заказчика без разрешения Worksection. Worksection возложит соответствующие контрактные обязательства на своих сотрудников, включая соответствующие обязательства по конфиденциальности, защите данных и безопасности данных.
2.10. Контроль Заказчика. Worksection предоставляет ряд функций и возможностей безопасности, которые Заказчик может выбрать для использования. Заказчик отвечает за правильную (a) настройку Услуг, (b) использование доступных в связи с Услугами контролей (включая средства безопасности) и © принятие таких мер, которые Заказчик считает достаточными для поддержания соответствующей безопасности, защиты, удаления и резервного копирования Данных Заказчика, что может включать использование технологии шифрования для защиты Данных Заказчика от несанкционированного доступа и регулярно проводимое архивирование Данных Заказчика.
3. ТРАНСФЕР ДАННЫХ ЗА ГРАНИЦУ
3.1. Передачи из ЕЭП и Швейцарии в страны, которые предлагают адекватный уровень защиты данных. Персональные данные могут быть переданы из государств-членов ЕС, Норвегии, Лихтенштейна и Исландии (совокупно — “ЕЭП”) и Швейцарии в страны, предлагающие адекватный уровень защиты данных в соответствии с решениями о соответствии, опубликованными соответствующими органами по защите данных ЕЭП, Европейским Союзом, государствами-членами или Европейской Комиссией, или Швейцарией, если применимо (далее — “Решения о соответствии”), без необходимости дополнительных мер защиты.
3.2. Передачи в другие страны. Если обработка Персональных данных Worksection включает передачу (либо напрямую, либо через последующую передачу) из ЕЭП или Швейцарии в другие страны, которые не подпадают под соответствующее Решение о соответствии, и такие передачи не осуществляются через механизм соблюдения, признанный Worksection для законной передачи персональных данных (как определено в GDPR) за пределы ЕЭП или Швейцарии, если это применимо, то применяются “Стандартные договорные положения 2021 года” (как утверждено Европейской Комиссией в решении о Вводе в действие (ЕС) 2021⁄914) и связанные приложения и приложения.
4. ОТВЕТСТВЕННОСТИ ПО БЕЗОПАСНОСТИ
Worksection реализует такие технические и организационные меры для защиты Данных Заказчика от случайного или незаконного уничтожения или случайной утраты, изменения, несанкционированной обработки, раскрытия и доступа, которые требуются применимым законодательством. Worksection поддерживает программу информационной безопасности (включая принятие и исполнение внутренних политик и процедур), предназначенную для (a) помощи Заказчику в обеспечении безопасности Данных Заказчика от случайной или незаконной утраты, доступа или раскрытия, (b) идентификации разумно предсказуемых внутренних рисков для безопасности и несанкционированного доступа к Worksection и © минимизации рисков безопасности, включая оценку рисков и регулярные испытания. Worksection назначит одного или нескольких сотрудников для координации и подотчетности за программу информационной безопасности. Программа информационной безопасности будет включать меры, относящиеся как к сетевой, так и к физической безопасности, и будет периодически пересматриваться Worksection для определения необходимости дополнительных или иных мер безопасности в ответ на новые риски безопасности или выводы, полученные в результате периодических проверок. Если Заказчик желает, чтобы Worksection предпринял какие-либо дальнейшие меры, Worksection сделает это в разумных пределах, но любые дополнительные расходы должны нести Заказчик. Заказчик подтверждает, что считает меры, изложенные в Приложении 2, подходящими техническими и организационными средствами защиты в отношении обработки Персональных данных.
5. ОТВЕТСТВЕННОСТЬ ЗАКАЗЧИКА
Заказчик несет единоличную ответственность за обзор информации, предоставленной Worksection в отношении безопасности данных, и за независимое определение того, соответствуют ли Услуги требованиям Заказчика, и за обеспечение того, чтобы сотрудники и консультанты Заказчика следовали предоставленным им рекомендациям относительно безопасности данных.
6. АУДИТ
По запросу Заказчика и в течение обычных рабочих часов Worksection предоставит свои объекты обработки данных для аудита деятельности, охватываемой Дополнением, который будет проводиться Заказчиком за счет Заказчика.
7. БЕЗОПАСНОСТЬ
7.1. Если Worksection станет известно о (a) любом незаконном доступе к любым Данных Заказчика, хранящимся на оборудовании Worksection или в помещениях Worksection; или (b) любом несанкционированном доступе к такому оборудованию или помещениям, когда в любом из случаев такой доступ приводит к утрате, раскрытию или изменению Данных Заказчика (каждый “Инцидент безопасности”), Worksection немедленно: (a) уведомит Заказчика о Инциденте безопасности; и (b) предпримет разумные шаги для смягчения последствий и минимизации любого ущерба, возникающего в результате Инцидента безопасности.
7.2. Заказчик согласен с тем, что:
(i) неуспешный Инцидент безопасности не будет подлежать этому Разделу. Неуспешный Инцидент безопасности — это инцидент, который не приводит к несанкционированному доступу к Данные Заказчика или к какому-либо оборудованию или помещениям Worksection, хранящим Данные Заказчика, и может включать, но не ограничиваться, пингами и другими атаками на брандмауэры или крайние серверы, сканированием портов, неуспешными попытками входа, атаками отказа в обслуживании, захватом пакетов (или несанкционированным доступом к данным о трафике, который не приводит к доступу сверх IP-адресов или заголовков) или подобными инцидентами; и
(ii) Обязанность Worksection сообщить или отреагировать на Инцидент безопасности в соответствии с этим Разделом не является и не будет интерпретироваться как признание Worksection какой-либо вины или ответственности Worksection в отношении Инцидента безопасности.
7.3. Уведомление об Инцидентах безопасности, если таковые имеются, будет направлено одному или нескольким администраторам Заказчика любыми средствами, которые выберет Worksection, включая электронную почту. Единоличная ответственность Заказчика — обеспечивать, чтобы администраторы Заказчика поддерживали актуальную контактную информацию в системе Worksection в любое время.
8. ПОДОБРОБНЫЕ ОБРАБОТЧИКИ
8.1. Уполномоченные Подобработчики. Заказчик соглашается с тем, что Worksection может использовать подобработчиков для выполнения своих контрактных обязательств по этому Дополнению или для предоставления определенных услуг от своего имени, таких как предоставление услуг поддержки. Worksection поддерживает список подобработчиков на своем веб-сайте worksection.com/en/agreement.html. Worksection уведомит Заказчика о любых планируемых изменениях, касающихся добавления или замены подобработчиков, против которой Заказчик может возразить. Заказчик уведомляется, когда Worksection обновляет список подобработчиков на своем веб-сайте. Если Заказчик не возразил в течение тридцати (30) дней с даты получения уведомления/дат обновления на веб-сайте, считается, что Заказчик не возразил. В случае возражения со стороны Заказчика, Worksection имеет право устранить возражение Заказчика по собственному усмотрению. Если (i) разумная корректирующая опция недоступна; или (ii) стороны не смогли найти взаимовыгодное решение, и (iii) возражение не было устранено в течение тридцати (30) дней после получения Worksection возражения, любая Сторона может немедленно расторгнуть Условия предоставления услуг.
8.2. Обязанности Подобробочика. Когда Worksection уполномочивает любого подобробочика, как описано в этом Разделе:
(i) Worksection ограничит доступ подобробочика к Данных Заказчика только к тому, что необходимо для поддержания Услуг или предоставления Услуг Заказчику в соответствии с Условиями предоставления услуг, и Worksection запретит подобробочику доступ к Данных Заказчика для любой другой цели.
(ii) Worksection наложит соответствующие контрактные обязательства в письменном виде на подобробочика, которые не менее защищают, чем это Дополнение, включая соответствующие контрактные обязательства относительно конфиденциальности, защиты данных, безопасности данных и прав на аудит; и
(iii) Worksection останется ответственным за соблюдение своих обязательств в соответствии с этим Дополнением и за любые действия или бездействия подобробочика, которые приводят к нарушению Worksection каких-либо обязательств Worksection по этому Дополнению.
9. ОБЯЗАТЕЛЬСТВА ПО ИНФОРМИРОВАНИЮ
Если Данные Заказчика становятся предметом конфискации в ходе банкротства или процедур неплатежеспособности, или аналогичных мер со стороны третьих лиц, в то время как они обрабатываются Worksection, Worksection уведомит Заказчика без неоправданной задержки. Worksection, без неоправданной задержки, уведомит всех соответствующих участников такого действия (например, кредиторов, финансового управляющего), что любые Данные Заказчика, подвергшиеся этим процедурам, являются собственностью и зоной ответственности Заказчика и что Данные Заказчика находятся под единоличным распоряжением Заказчика.
10. ВОЗВРАТ И УДАЛЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
После прекращения действия Соглашения и прекращения Услуг, по выбору Заказчика (указанному через Платформу или в письменном уведомлении Обработчику), Обработчик должен удалить или вернуть Заказчику все Персональные данные, которые он Обрабатывает исключительно от имени Заказчика, таким образом, как это описано в Соглашении, и Обработчик должен удалить существующие копии таких Персональных данных, если Законы о защите данных не требуют иного. В той мере, в какой это разрешено или требуется применимым законодательством, Обработчик также может сохранить одну копию Персональных данных исключительно для доказательственных целей и/или для установления, осуществления или защиты юридических требований и/или для соблюдения юридических обязательств.
ПРИЛОЖЕНИЕ 1 — ДЕТАЛИ ОБРАБОТКИ
Категории субъектов данных.
Заказчик может предоставлять Персональные данные в Сервис, которые могут включать, но не ограничиваются, Персональными данными, относящимися к следующим категориям субъектов данных:
● Приглашенные пользователи Заказчика
● Сотрудники Заказчика
● Консультанты Заказчика
● Агенты Заказчика
● Советники Заказчика
● Бизнес-партнеры и поставщики Заказчика (которые являются физическими лицами)
Любое другое третье лицо, с которым Заказчик решит взаимодействовать через Сервис.
Категории данных.
Любые персональные данные, содержащиеся в Данных Заказчика, т.е. Персональные данные, которые Заказчик загружает в Услуги под своими учетными записями Worksection или иным образом обрабатываются Worksection от имени Заказчика, в связи с использованием Заказчиком Услуг.
Заказчик признает и понимает, что Услуги используются для сотрудничества и планирования, и что они не предназначены для обработки особых категорий персональных данных.
Длительность обработки.
С учетом любого Раздела DPA и/или Соглашения, касающегося длительности обработки и последствий истечения срока или прекращения такового, Worksection будет обрабатывать Персональные данные в соответствии с DPA и Соглашением на протяжении срока действия Соглашения, если иное не согласовано в письменном виде. Заказчик самостоятельно удалит Персональные данные, загруженные в Услуги, в соответствии со своей собственной политикой хранения.
Операции обработки и частота.
Обработка происходит постоянно, поскольку Заказчик пользуется Услугами.
Персональные данные могут подлежать следующим операциям обработки:
● хранение и другие операции обработки, необходимые для предоставления, поддержания и улучшения Услуг, предоставляемых Экспортером данных;
● предоставление клиентской и технической поддержки Экспортеру данных;
● раскрытия в соответствии с Соглашением, как требует закон.
Операции подобработки.
Подобработчики привлекаются Worksection для веб-аналитики, ERP, аналитики клиентских данных, клиентской поддержки, серверов и хостинга, а также функций электронной почты.
ПРИЛОЖЕНИЕ 2 – ТЕХНИЧЕСКИЕ И ОРГАНИЗАЦИОННЫЕ МЕРЫ БЕЗОПАСНОСТИ
Меры по псевдонимизации и шифрованию персональных данных.
Worksection поддерживает шифрование клиентских данных в состоянии покоя с помощью шифра, эквивалентного 256-битному симметричному шифрованию или лучше. Данные шифруются при передаче с использованием TLS 1.2 или более поздней версии.
Меры по обеспечению постоянной конфиденциальности, целостности, доступности и устойчивости систем обработки и услуг.
Инфраструктура для услуг Worksection охватывает несколько центров обработки данных в различных странах ЕС и на Украине.
Меры по обеспечению возможности восстановить доступность и доступ к Персональным данным в срок в случае физического или технического инцидента.
Worksection регулярно создает резервные копии клиентских данных в реальном времени. Резервные копии хранятся избыточно в нескольких центрах обработки данных и шифруются в процессе передачи и в состоянии покоя с использованием общепринятых шифров с шифровальной силой, эквивалентной 256-битному симметричному шифрованию.
Процессы регулярного тестирования для обеспечения безопасности обработки.
Worksection поддерживает программу безопасности, основанную на стандартах ISO 27001. Это включает в себя административные, организационные, технические и физические средства защиты, предназначенные для защиты конфиденциальности, целостности и доступности клиентских данных. Worksection проводит ежегодные тесты на проникновение сторонних приложений и сетей.
Меры по идентификации и авторизации пользователей.
Сотрудники Worksection обязаны использовать уникальные учетные данные и пароли для аутентификации.
Меры по защите данных при передаче.
Данные Заказчика шифруются с использованием шифрования TLS 1.2 или более поздней версии во время передачи между клиентом и Worksection, а также внутри системы Worksection.
Меры по защите данных при хранении.
Данные Заказчика хранятся в зашифрованном виде с использованием стандартных промышленных 256-битных симметричных шифров.
Меры по обеспечению конфигурации систем, включая конфигурацию по умолчанию.
Worksection применяет стандарты безопасной разработки программного обеспечения (Secure SDLC), чтобы выполнять множество операций, связанных с безопасностью, для Услуг на различных этапах жизненного цикла создания продукта — от сбора требований и проектирования продукта до развертывания продукта. Эти мероприятия включают, но не ограничиваются, проведением (a) внутренних проверок безопасности до развертывания новых услуг; (b) ежегодного тестирования на проникновение независимыми третьими сторонами; и © моделей угроз для новых услуг для обнаружения возможных проблем безопасности.
Последнее обновление: 11 июля 2022 года