ДОГОВОР ЗА ОБРАБОТКА НА ПОДАТОЦИ
ДПА
Стандардна DPA · Верзија 1.0 · EvaluationsHub од Вокам САС
Кликнете тука за да го потпишете вашиот копирате
| СТРАНИ НА ОВОЈ ДОГОВОР | |
| Контролер | [Име на клиентскиот субјект], основано во [Јурисдикција], регистрирано седиште на [Адреса] („Контролорот“) |
| процесор | Vockam SAS, француски Société par Actions Simplifiée (SAS), регистрација бр. 899272736 RCS Meaux, 1 Boulevard du huit mai 1945, 77260 La Ferté-sous-Jouarre, Франција, оперативен EvaluationsHub („Процесорот“) |
| Ефективна дата | [ДАТУМ] |
| Важечки закон | Француско право и GDPR на ЕУ |
| Јурисдикција | Судови во Париз, Франција |
Овој Договор за обработка на податоци („DPA“) е стандарден договор за обработка на податоци издаден од Vockam SAS (оперативен EvaluationsHub) до своите клиенти. Тој е дел од Главниот договор за услуги или Условите за користење на услугите („Главен договор“) помеѓу горенаведените страни и ги утврдува условите според кои Обработувачот ќе обработува Лични податоци во име на Контролорот во врска со EvaluationsHub услуга. Со потпишувањето подолу, Контролорот ги прифаќа условите на овој DPA.
- Дефиниции
Во овој DPA, следните термини ги имаат значењата дадени подолу:
| Закони за заштита на податоците | Целото важечко законодавство поврзано со заштитата на податоците и приватноста, вклучувајќи ја Општата регулатива на ЕУ за заштита на податоците 2016/679 („GDPR“), Францускиот закон за заштита на податоците (Loi Informatique et Libertés) и секое важечко национално законодавство за спроведување, како што е изменето или заменето од време на време. |
| На личните податоци | Има значење дадено во Член 4(1) од GDPR: секоја информација што се однесува на идентификувано или препознатливо физичко лице. |
| Обработка | Има значење дадено во Член 4(2) од GDPR: секоја операција извршена врз Лични податоци. |
| Предмет на податоци | Идентификуваното или препознатливо физичко лице на кое се однесуваат Личните податоци. |
| Прекршување на лични податоци | Има значење дадено во Член 4(12) од GDPR: нарушување на безбедноста што доведува до случајно или незаконско уништување, губење, менување, неовластено откривање или пристап до Лични податоци. |
| Под-процесор | Секоја трета страна ангажирана од Обработувачот за обработка на Лични податоци во име на Контролорот. |
| Стандардни договорни клаузули (SCCs) | Одлуката за спроведување (ЕУ) 2021/914 на Комисијата на ЕУ од 4 јуни 2021 година за стандардни договорни клаузули за пренос на лични податоци во трети земји, како што се ажурира од време на време. |
| ЕЕО | Европскиот економски простор. |
| ТОМ | Технички и организациски мерки како што е опишано во Прилог 2. |
- Опсег и времетраење
2.1 Предмет. Обработувачот обезбедува платформа за управување со односи со добавувачи (SRM) и евалуација на искуството на клиентите („EvaluationsHub„). Обработувачот ќе обработува Лични податоци исклучиво до степен потребен за обезбедување на овие услуги согласно Главниот договор.
2.2 Времетраење. Овој ДПА останува во сила сè додека Обработувачот ги обработува Личните податоци согласно Главниот договор. Тој автоматски престанува со раскинување или истекување на Главниот договор, во зависност од времетраењето на обврските согласно Член 8 (Бришење или враќање на податоци).
- Обработка само по упатства
3.1 Документирани упатства. Обработувачот ќе обработува Лични податоци само врз основа на документирани упатства од Контролорот, како што е наведено во овој DPA или Главниот договор, освен ако тоа не е потребно според законот на Унијата или законот на земјата-членка. Во таков случај, Обработувачот ќе го информира Контролорот за тој законски услов пред обработката, освен ако не е забрането со закон врз основа на јавен интерес.
3.2 Известување за конфликти. Доколку Обработувачот смета дека која било инструкција од Контролорот би ги прекршила законите за заштита на податоци, веднаш ќе го извести Контролорот и може да ја суспендира соодветната обработка додека проблемот не се реши.
3.3 Доверливост на персоналот. Обработувачот ќе обезбеди сите лица овластени за обработка на Лични податоци да се обврзат на договорни или законски обврски за доверливост.
- Безбедност
4.1 Соодветни мерки. Обработувачот ги спроведува и одржува техничките и организациските мерки наведени во Анекс 2 (ТОМ). Овие мерки треба да обезбедат ниво на безбедност соодветно на ризикот, земајќи ги предвид природата, обемот, контекстот и целите на обработката, како и ризикот за правата и слободите на субјектите на податоци.
4.2 Ажурирања на ТОМ. Обработувачот може повремено да ги ажурира или менува ТОМ, под услов таквото ажурирање да не го намалува материјално целокупното ниво на обезбедена безбедност. Обработувачот ќе го извести Контролорот за какво било материјално намалување на безбедносните мерки најмалку 30 дена однапред.
4.3 Обука на персоналот. Обработувачот треба да обезбеди сите вработени со пристап до Лични податоци да добијат соодветна и редовна обука за обврските за заштита на податоците и безбедносните практики.
- Подобработка
5.1 Општо овластување. Контролорот му дава на Обработувачот општо писмено овластување да ги ангажира под-обработувачите наведени во Анекс 3, согласно условите во оваа клаузула 5.
5.2 Обврски на под-обработувачот. Пред да ангажира кој било под-обработувач, Обработувачот ќе му наметне обврски за заштита на податоците на тој под-обработувач кои се еквивалентни на оние во овој ДПА, особено обезбедување на доволни гаранции за спроведување на соодветни ТОМ. Обработувачот останува целосно одговорен пред Контролорот за дејствијата и пропустите на неговите под-обработувачи.
5.3 Промени кај под-обработувачите. Обработувачот треба да му достави на Контролорот писмено известување најмалку 30 дена однапред за какви било планирани промени на списокот на под-обработувачи (дополнувања или замени). Контролорот може да се спротивстави на таквите промени од основани причини во рок од 15 дена од приемот на известувањето. Доколку Контролорот се спротивстави, а Обработувачот не може да го прифати приговорот, Контролорот може да ги прекине релевантните услуги без казна со писмено известување.
5.4 Подобработувачи надвор од ЕЕА. Кога подобработувачот се наоѓа надвор од ЕЕА во земја која не е признаена од Европската комисија како земја која обезбедува соодветно ниво на заштита на податоците, Обработувачот треба да обезбеди дека е воспоставен соодветен механизам за пренос (на пр. SCC) пред да се пренесат какви било Лични податоци до тој подобработувач. Потврдените механизми за пренос за тековните подобработувачи надвор од ЕЕА се детално опишани во Анекс 3.
- Меѓународни трансфери на податоци
6.1 Примарно складирање. Личните податоци првенствено се складираат и обработуваат во рамките на ЕЕА, користејќи ја инфраструктурата на AWS во ЕУ (региони Ирска и Франкфурт).
6.2 Трансфери надвор од ЕЕА. Кога Личните податоци се пренесуваат во земја надвор од ЕЕА што не е предмет на одлука за соодветност, Обработувачот ќе обезбеди дека пред преносот е воспоставена една од следниве заштитни мерки: (а) Стандардните договорни клаузули на ЕУ (2021/914) се извршени со соодветниот под-обработувач; или (б) се применува друг законски механизам за пренос признаен согласно член 46 од GDPR. Деталите за применливите заштитни мерки за секој под-обработувач се наведени во Анекс 3.
6.3 Известување. Обработувачот веднаш ќе го извести Контролорот доколку која било од заштитните мерки наведени во точка 6.2 престане да важи или е материјално изменета.
- Помош со правата на субјектите на податоци
7.1 Барања од субјектите на податоци. Земајќи ја предвид природата на обработката, Обработувачот ќе му помогне на Контролорот со спроведување соодветни технички и организациски мерки во исполнувањето на својата обврска да одговори на барањата од субјектите на податоци кои ги остваруваат своите права согласно Поглавје III од GDPR (вклучувајќи права на пристап, исправка, бришење, ограничување, преносливост и приговор).
7.2 Препраќање на барања. Доколку Обработувачот добие барање директно од субјектот на податоци, тој треба да го препрати до Контролорот во рок од 5 работни дена и нема самиот да одговори на барањето без претходно писмено овластување од Контролорот, освен ако тоа не е пропишано со закон.
7.3 Понатамошна помош. Обработувачот, исто така, ќе му помогне на Контролорот во обезбедувањето усогласеност со неговите обврски во врска со: (а) безбедноста на обработката (член 32 од GDPR); (б) известување за повреди на лични податоци до надзорните органи и субјектите на податоци (членови 33–34 од GDPR); и (в) Проценки на влијанието врз заштитата на податоците и претходни консултации (членови 35–36 од GDPR).
- Известување за повреда на лични податоци
8.1 Известување до Контролорот. Обработувачот ќе го извести Контролорот без непотребно одложување, а во секој случај без непотребно одложување и во секој случај во рок од 72 часа, откако ќе дознае за повреда на лични податоци што влијае на Личните податоци обработени согласно овој DPA.
8.2 Содржина на известувањето. Таквото известување треба да вклучува, до степен до кој е познато: (а) опис на природата на прекршувањето, вклучувајќи категории и приближен број на засегнати субјекти на податоци и записи за Лични податоци; (б) име и контакт информации на лицето за контакт за заштита на податоци на Обработувачот (тим@evaluationshub.com); (в) опис на веројатните последици од прекршувањето; и (г) опис на преземените или предложените мерки за справување со прекршувањето, вклучувајќи ги и мерките за ублажување.
8.3 Дополнителни информации. Доколку не се достапни сите информации во моментот на првичното известување, Обработувачот ќе обезбеди дополнителни информации постепено, како што ќе станат достапни, без непотребно одложување.
8.4 Водење евиденција. Обработувачот ќе ги документира сите повреди на лични податоци, вклучувајќи ги фактите, последиците и преземените корективни мерки, и ќе ги стави таквите евиденции на располагање на Контролорот по барање.
- Задржување податоци
9.1 Периоди на чување. Обработувачот нема да ги чува Личните податоци подолго од потребното за целите наведени во Анекс 1. Освен ако не е поинаку договорено во писмена форма, се применуваат следните максимални периоди на чување:
| Категорија на податоци | Период на задржување |
| Податоци за активна корисничка сметка | Времетраење на Главниот договор |
| Проценки и евалуации на перформансите | 3 години од создавањето, освен ако бришењето не се побара порано |
| Акредитиви за најавување (логови за пристап) | 12 месеци од создавањето |
| Резервни копии | 90 дена од раскинувањето на Главниот договор |
| Дневници за ревизија | 3 години од создавањето (законска обврска) |
- Бришење или враќање на податоци
10.1 По раскинување. По раскинување или истекување на Главниот договор, Обработувачот, по избор на Контролорот и во рок од 30 дена од приемот на писмено барање: (а) безбедно да ги врати сите Лични податоци на Контролорот во најчесто користен машински читлив формат; или (б) безбедно да ги избрише и уништи сите Лични податоци (и сите нивни копии), освен ако законот на Унијата или земјата-членка не бара континуирано складирање.
10.2 Потврда. Обработувачот ќе му достави на Контролорот писмена потврда за бришење или враќање во рок од 30 дена од завршувањето на дејството.
10.3 Преостанати копии. Обработувачот ќе вложи комерцијално разумни напори за да осигури дека подобработувачите исто така ги бришат или враќаат Личните податоци во согласност со оваа клаузула 10.
- Права на ревизија
11.1 Информации. Обработувачот ќе му ги стави на располагање на Контролорот сите информации што се разумно потребни за да се докаже усогласеноста со обврските во овој DPA и член 28 од GDPR.
11.2 Ревизии. Обработувачот ќе дозволи и ќе придонесе кон ревизии, вклучително и инспекции, спроведени од Контролорот или ревизор овластен од Контролорот, под услов: (а) Контролорот да даде писмено известување најмалку 30 дена однапред; (б) ревизии да се спроведуваат не повеќе од еднаш годишно (освен по сомневање за повреда на лични податоци); (в) ревизијата да се спроведува во текот на редовното работно време и на начин што ги минимизира нарушувањата; и (г) трошоците за ревизијата да ги сноси Контролорот, освен ако ревизијата не открие суштинско непочитување, во кој случај трошоците ќе ги сноси Обработувачот.
11.3 Сертификати. На барање на Контролорот, Обработувачот ќе обезбеди копии од релевантни сертификати од трети страни (на пр. ISO 27001, откако ќе бидат добиени) или резимеа од безбедносните проценки наместо или покрај ревизијата на лице место, каде што е применливо. Обработувачот моментално е во процес на добивање сертификација за ISO 27001.
- Проценки на влијанието врз заштитата на податоците
12.1 Обработувачот разумно ќе му помага на Контролорот во спроведувањето на која било Проценка на влијанието врз заштитата на податоците (DPIA) потребна согласно член 35 од GDPR, преку: (а) обезбедување релевантни информации за операциите на обработка, ризиците и ТОМ што се во сила; (б) учество на консултативни состаноци со разумно известување; и (в) брзо одговарање на писмени прашања поврзани со активностите на обработка опишани во Анекс 1.
- Одговорност
13.1 Ограничување на одговорност. До максималниот степен дозволен со важечкиот закон, вкупната вкупна одговорност на Обработувачот кон Контролорот според или во врска со овој DPA (без разлика дали е по договор, деликт, небрежност или на друг начин) нема да ги надмине вкупните надоместоци платени или платливи од Контролорот на Обработувачот во текот на 12-месечниот период непосредно пред настанот што довел до побарувањето („Ограничување на одговорност“). Доколку Главниот договор опфаќа период помал од 12 месеци во времето на побарувањето, Ограничувањето на одговорност ќе биде вкупниот износ на надоместоци платени или платливи според Главниот договор до денес.
13.2 Исклучоци од ограничувањето. Ограничувањето на одговорноста нема да се применува на: (а) одговорност на која било од страните за смрт или телесна повреда предизвикана од нејзина небрежност; (б) одговорност на која било од страните за измама или лажно претставување; или (в) каква било одговорност што не може да се исклучи или ограничи со важечкиот закон.
13.3 Заемна одговорност. Кога обете страни се одговорни за штета предизвикана од прекршување на GDPR, секоја страна е одговорна за својот дел од штетата во согласност со член 82 од GDPR. Ограничувањето на одговорноста во точка 13.1 се однесува на уделот на Обработувачот во секоја таква одговорност.
13.4 Ублажување. Секоја страна ќе преземе разумни чекори за ублажување на каква било загуба или штета што ја претрпела како резултат на прекршувањето на овој ДПА од страна на другата страна.
- Владејачко право и надлежност
14.1 Овој ДПА е регулиран и толкуван во согласност со француското право и важечкото право на ЕУ, вклучително и GDPR.
14.2 Секој спор што произлегува од или е во врска со овој DPA ќе биде предмет на исклучива надлежност на судовите во Париз, Франција, освен ако не е поинаку предвидено со важечкиот закон.
- Потписи
Со потпишувањето подолу, страните се согласуваат со условите на овој Договор за обработка на податоци.
| За и во име на Контролорот (Клиентот) | За и во име на Vockam SAS (Обработувач) |
| Целосно име: _______________________________ | Целосно име: Bert Песбруге |
| Наслов: ____________________________________ | Титула: Основач и извршен директор, Vockam SAS |
| Компанија: __________________________________ | Компанија: Вокам САС |
| Потпис: | Потпис: |
АНЕКС 1 — Опис на активностите за обработка
| Категории на субјекти на податоци | • Вработени кај клиентите и овластени корисници на платформата • Претставници на добавувачите и продавачите на клиентот |
| Видови лични податоци | • Имиња и работни места • Професионални е-адреси • Деловни контакт информации (телефон, адреса) • Имиња на добавувачи и клиенти • Податоци за евалуација на перформансите • Акредитиви за најавување на платформата (складирани само како еднонасочни хеширани вредности; акредитивите во обичен текст никогаш не се задржуваат) • Дневници за однесување на корисниците и користење |
| Природата на обработката | Собирање, складирање, пребарување, употреба, откривање (до овластени корисници) и бришење на Лични податоци. |
| Цел на обработка | За да се олеснат евалуациите на добавувачите и клиентите, проценките на ризикот и управувањето со платформата SRM во рамките на EvaluationsHub услуги. |
| Правна основа (основа на контролорот) | Контролорот е одговорен за идентификување и документирање на сопствената правна основа за обработка согласно член 6 од GDPR (на пр. член 6(1)(б) - извршување на договор; или член 6(1)(ѓ) - легитимни интереси). EvaluationsHub обработува Лични податоци исклучиво врз основа на упатствата на Контролорот и не ја утврдува правната основа. |
АНЕКС 2 — Технички и организациски мерки (ТОМ)
| Мерка | Имплементација |
| Шифрирање во мирување | AES-256 енкрипција за сите лични податоци складирани во базите на податоци AWS S3 и RDS. |
| Шифрирање во транзит | TLS 1.2 или понова верзија за сите преноси на податоци. TLS 1.0 и 1.1 се оневозможени. |
| Контрола на пристап | Строга контрола на пристап базирана на улоги (RBAC). Пристапот до лични податоци се одобрува само врз основа на потреба за знаење. |
| Проверка | Двофакторската автентикација (2FA) е задолжителна за сите сметки на персоналот и администрацијата со пристап до Лични податоци. |
| Ракување со акредитиви | Корисничките лозинки се складираат исклучиво како еднонасочни солени хашови (bcrypt или еквивалент). Лозинките во обичен текст никогаш не се складираат или евидентираат. |
| Резиденција на податоци | Сите лични податоци се чуваат во регионите на AWS во ЕУ (Ирска / Франкфурт). Ниту еден Личен податок не се реплицира надвор од ЕЕА освен ако не е воспоставен валиден механизам за пренос (видете Анекс 3). |
| Резервни копии и отпорност | Автоматизирани дневни резервни копии складирани во зоните на достапност на AWS во рамките на ЕУ. RPO: 24 часа. RTO: 8 часа. |
| Дневник на ревизија | За сите настани за пристап, модификација и бришење на податоци се чуваат непроменливи логови. Логовите се чуваат 3 години. |
| Управување со ранливост | Редовно безбедносно тестирање спроведено во согласност со безбедносната програма на Обработувачот. Обработувачот активно се стреми кон сертификација ISO 27001. Критичните ранливости се санираат врз основа на приоритет на ризик. |
| Одговор на инциденти | Годишно се одржува и тестира документиран план за одговор на инциденти. Обработувачот се обврзува да го извести Контролорот во рок од 72 часа од потврденото кршење на лични податоци (видете ја точката 8). |
| Управување со снабдувачот | Подобрувачите подлежат на должно внимание за заштита на податоците и договорни обврски за заштита на податоците пред ангажирањето. |
АНЕКС 3 — Одобрени под-обработувачи
Следните под-обработувачи се овластени на Датумот на стапување во сила. Обработувачот ќе даде 30 дена претходно известување за какви било промени во согласност со точка 5.3.
| Под-процесор | цел | Држава | Механизам за пренос | Категории на податоци |
| Амазон Веб Услуги (AWS) | Облачна инфраструктура и хостирање | ЕЕА (Ирска / Франкфурт) | Соодветност — базирана на ЕЕА; воспоставена е AWS DPA | Сите лични податоци |
| Лента | Обработка на плаќање (доколку е применливо) | САД | Извршени SCC (Модул 2: Контролер-до-процесор) | Име на контакт за наплата, е-пошта, само метаподатоци за плаќање |
| Корпорејшн Зохо | CRM, е-мејл кампањи, разговор за поддршка | САД / Индија | Извршени SCC (Модул 2); Овозможена е опција за престој на податоци во ЕУ на Zoho. Забелешка: опсегот на податоци обработени од сите функции на вештачката интелигенција во рамките на Zoho е регулиран со сопствениот DPA и документацијата за приватност на Zoho, достапна на zoho.com/privacy.html | Имиња, е-пошта, детали за контакт на бизнисот |
| Питангент Технолоџис | Развој и одржување на софтвер | Индија | Извршени SCC (Модул 2: Од контролор до обработувач); пристапот е ограничен само на анонимизирани/тест податоци; нема пристап до лични податоци за производство без согласност од контролорот | Анонимизирани/псевдонимизирани податоци само во нормален тек |
| Mixpanel | Аналитика за користење на платформата | САД | Извршени SCC (Модул 2); овозможен е престој на податоци во ЕУ | Само псевдонимизирани логови за однесување и користење на корисниците |
* EvaluationsHub (Vockam SAS) гарантира дека се воспоставени SCC и/или еквивалентни механизми за пренос со сите под-обработувачи надвор од ЕЕА наведени погоре. Копии од релевантните SCC се достапни на Контролорот по писмено барање до team@evaluationshub. Ком.
