Угода про обробку персональних даних

DPA
icon

Умови

Ці умови обробки персональних даних є Угодою між юридичною особою, PEOPLEFORCE LTD, яка зареєстрована та діє відповідно до законодавства Англії та Уельсу, реєстраційний номер компанії 12537808, з місцезнаходженням за адресою: 10 John Street, Лондон, WC1N 2EB, Великобританія (яка здійснює обробку Персональних Даних від імені Контролера даних) (далі - "Процесор даних") та будь-якою фізичною або юридичною особою (яка визначає цілі та способи обробки) (далі - "Контролер даних"), які разом іменуються - Сторони.

Ця Угода про обробку даних встановлює вимоги для Контролера даних та Процесора даних, яких вони повинні дотримуватися при обробці даних. Це включає в себе визначення умов зберігання, захисту, обробки, доступу та використання даних.

Враховуючи

  1. (A) Процесор даних, як Постачальник послуг, надає Контролеру даних доступ до Віртуальної платформи PeopleForce, відповідно до Договору про надання послуг з використання Віртуальної платформи PeopleForce (надалі - "Договір про надання послуг"), підписаної Сторонами.
  2. (B) При використанні Послуг Процесора даних, Контролер даних повинен буде завантажувати персональні дані в системи Процесора даних, щодо яких Контролер даних виступає в якості Контролера даних, а Процесор даних виступає в якості Процесора даних.
  3. (C) Законодавство про захист даних означає все чинне законодавство, що діє у Сполученому Королівстві, яке застосовується до захисту даних та конфіденційності, включаючи, але не обмежуючись цим, Загальноєвропейський регламент про захист даних, Закон про захист даних 2018 року (та підзаконні акти, прийняті відповідно до нього) та Положення про конфіденційність та електронні комунікації 2003 року із змінами та доповненнями;
  4. (D) Сторони прагнуть імплементувати угоду про обробку даних, яка відповідає законодавству про захист персональних даних;
  5. (E) Сторони бажають викласти свої права та обов'язки.

Погоджено наступне:

Визначення та тлумачення термінів

  1. Якщо в цій Угоді не визначено інше, терміни та вирази з великої літери, що використовуються в цій Угоді, мають наступне значення:
  • "Угода" означає цю Угоду на обробку даних та всі додатки до нього (за наявності);
  • "Персональні дані Контролера" - будь-які Персональні дані, що обробляються Процесором даних від імені Контролера на підставі або у зв'язку з Договором про надання послуг та цією Угодою;
  • "Обробка" означає будь-яку операцію або набір операцій, які виконуються з Персональними даними або наборами Персональних даних, незалежно від того, автоматизованими засобами чи ні, такі як збір, запис, організація, структурування, зберігання, адаптація або зміна, пошук, консультація, використання, розкриття шляхом передачі, розповсюдження або іншого надання, вирівнювання або комбінування, обмеження, видалення або знищення;
  • "Процесор за контрактом" означає Субпроцесор;
  • "Закони про захист даних" означає GDPR і, наскільки це застосовно, закони про захист даних або конфіденційність будь-якої країни;
  • "ЄЕП" означає Європейський економічний простір;
  • "GDPR" означає Загальний регламент ЄС про захист даних 2016/679, GDPR Великобританії;
  • "Передача даних" означає:

-передачу Персональних даних Контролера даних від Контролера даних до Процесора даних; або

-подальшу передачу Персональних даних Контролера даних Контрактному процесору або між двома Контрактними процесорами;

  • "Основна угода" означає угоду між Сторонами, зазначену в пункті (А) вище;
  • "Послуги" означає послуги, що надаються Процесором даних Контролеру даних відповідно до Основної угоди;
  • "Субпроцесор" означає будь-яку особу, призначену Процесором даних або від імені Процесора даних для обробки Персональних даних від імені Контролера даних у зв'язку з цією Угодою.
  • Інші терміни, в тому числі, але не обмежуючись ними: "Комісія", "Контролер", "Суб'єкт даних", "Держава-член", "Персональні дані", "Порушення персональних даних", "Обробка" та "Наглядовий орган", мають те саме значення, що й у GDPR, а їхні споріднені терміни тлумачаться відповідно.

Обробка персональних даних Контролера даних

2. Процесор даних повинен:

  • дотримуватися всіх застосовних законів про захист даних при обробці персональних даних Контролера даних; і
  • не обробляти Персональні дані Контролера даних, окрім як на підставі задокументованих інструкцій Контролера даних.

3. Якщо Обробка стосується Персональних даних, що розкривають расове або етнічне походження, політичні погляди, релігійні або філософські переконання, членство в профспілках, генетичні дані або біометричні дані з метою однозначної ідентифікації фізичної особи, дані, що стосуються здоров'я, статевого життя або сексуальної орієнтації особи, або дані, що стосуються судимості та правопорушень, то Контролер даних застосовує конкретні обмеження та/або додаткові заходи безпеки.

4. Контролер даних доручає Процесору даних обробляти Персональні дані Контролера даних з конкретною метою надання Послуг.

5. Оскільки при використанні Послуг Процесора даних Контролер самостійно завантажує Персональні дані в системи Процесора даних, по відношенню до яких Постачальник послуг виступає в якості Процесора даних, сторони домовилися, зокрема, про певні обмеження відповідальності Процесора даних, а саме:

- Контролер передає свої Персональні дані, а Процесор збирає Персональні дані Контролера як суб'єкта персональних даних виключно з метою надання доступу до Платформи (її модулів), зокрема, такі дані, як повне ім'я користувача або повна назва компанії, реєстраційні дані, адреса електронної пошти, інші дані, необхідні для реєстрації;

- Після надання Контролеру доступу до Платформи, Контролер самостійно та на власний розсуд збирає та завантажує Персональні дані своїх працівників, рекрутерів, третіх осіб до систем Процесора даних; при цьому, Процесор даних не збирає такі Персональні дані, а лише зберігає їх, а тому не несе відповідальності за їх достовірність, точність, законність, правомірність, законний спосіб їх збору тощо;

- Контролер даних несе повну відповідальність перед Суб'єктами персональних даних, дані яких Контролер даних самостійно збирає та завантажує в системи Процесора даних, включаючи Персональні дані, отримані із систем, що інтегруються з Платформою, а саме за їх законність, точність, достовірність, законний спосіб їх збору тощо.

Субобробка

6. Процесор даних має загальний дозвіл Контролера даних на залучення Субпроцесорів (також іменованих в цьому документі як Уповноважені процесори/Контрактні процесори). Контролер має право запросити список Субпроцесорів, залучених Процесором даних, тим самим надаючи Контролеру можливість заперечити проти залучення відповідного Субпроцесора (Субпроцесорів).

7. Персональні дані Контролера даних можуть бути передані Уповноваженим процесорам тільки в тому випадку, якщо між Процесором даних і Уповноваженим процесором укладено Договір про обробку даних з умовами, ідентичними цій Угоді. На обгрунтовану вимогу Контролера, Процесор даних може надати Контролеру копію такої угоди з субпроцесором та будь-яких наступних змін до неї. В обсязі, необхідному для захисту комерційної таємниці або іншої конфіденційної інформації, включаючи персональні дані, Процесор може редагувати частини тексту угоди перед наданням копії (за винятком випадків, коли таке редагування зробить надану Контролеру копію такою, що вводить в оману, або такою, що не є або не є повністю зрозумілою).

8. Процесор даних вживає необхідних заходів для забезпечення надійності будь-якого працівника, агента або підрядника Процесора даних або будь-якого Підрядного Процесора, який може мати доступ до Персональних даних Контролера даних, гарантуючи в кожному випадку, що доступ строго обмежений тими особами, які повинні знати / мати доступ до відповідних Персональних даних Контролера даних, як це строго необхідно для цілей Основної угоди, і для дотримання чинного законодавства в контексті обов'язків цієї особи перед Процесором даних, гарантуючи, що на всіх таких осіб поширюються зобов'язання щодо дотримання конфіденційності або професійні чи статутні зобов'язання щодо конфіденційності.

9. Процесор даних несе повну відповідальність перед Контролером за виконання зобов'язань Контрактного процесора відповідно до його договору з Процесором даних. Процесор даних зобов'язаний повідомити Контролера про будь-яке невиконання Контрактним процесором своїх договірних зобов'язань.

10. Угода про обробку даних між Процесором даних та Уповноваженим процесором (згадана в підрозділі 7 вище) повинна містити положення про третю сторону-бенефіціара, на підставі якого  у випадку, якщо Процесор даних фактично зник, припинив своє юридичне існування або став неплатоспроможним - Контролер даних має право розірвати договір з Уповноваженим процесором та доручити Уповноваженому процесору видалити або повернути Контролеру даних Персональні дані.

Захист

11. Беручи до уваги сучасний технічний рівень, витрати на реалізацію та характер, обсяг, контекст і цілі Обробки, а також ризик різної ймовірності та серйозності для прав і свобод фізичних осіб, Процесор даних повинен по відношенню до Персональних даних Контролера даних впроваджувати відповідні технічні та організаційні заходи для забезпечення рівня безпеки, що відповідає цьому ризику, включаючи, у відповідних випадках, заходи, зазначені в статті 32(1) GDPR.

12. При оцінці належного рівня безпеки Процесор даних повинен враховувати, зокрема, ризики, які представляє Обробка, зокрема, від Порушення персональних даних.

Права суб'єктів даних

13. Беручи до уваги характер Обробки, Процесор повинен допомагати Контролеру даних шляхом здійснення відповідних технічних та організаційних заходів, наскільки це можливо, для виконання зобов'язань Контролера даних, в розумному розумінні Контролера даних, відповідати на запити щодо реалізації прав Суб'єкта даних, передбачених Законами про захист даних.

14. Процесор даних зобов'язаний:

  • негайно (але в жодному разі не пізніше, ніж протягом 48 годин з моменту отримання такого запиту) повідомити Контролера даних, якщо він отримає запит від Суб'єкта даних відповідно до будь-якого Закону про захист даних щодо Персональних даних Контролера даних; та
  • забезпечити, щоб він не відповідав на цей запит, окрім як за задокументованими інструкціями Контролера даних або відповідно до вимог чинного законодавства про захист даних, на яке поширюється дія Процесора даних, і в цьому випадку Процесор даних повинен, наскільки це дозволено чинним законодавством, повідомити Контролера даних про цю юридичну вимогу до надсилання відповіді на запит.

15. На додаток до зобов'язання Процесора даних допомагати Контролеру даних відповідно до вищезазначених підрозділів, Процесор даних також повинен допомагати Контролеру даних у забезпеченні дотримання наступних зобов'язань, беручи до уваги характер Обробки даних та інформацію, доступну для Процесора даних:

  • обов'язок проводити оцінку впливу передбачуваних операцій з обробки на захист персональних даних ("оцінка впливу на захист даних"), якщо тип обробки може призвести до високого ризику для прав і свобод фізичних осіб;
  • обов'язок консультуватися з компетентним наглядовим органом/ами до початку обробки, якщо оцінка впливу на захист даних вказує на те, що Обробка може призвести до високого ризику за відсутності заходів, вжитих Контролером даних для зменшення ризику;
  • зобов'язання забезпечувати точність та актуальність персональних даних шляхом невідкладного інформування Контролера даних, якщо Процесору даних стане відомо, що персональні дані, які він обробляє, є неточними або застарілими.

Порушення персональних даних

16. Процесор даних повідомляє Контролера даних без невиправданої затримки (але в жодному разі не пізніше, ніж протягом 24 годин з моменту виникнення такого Порушення персональних даних), коли Процесору стає відомо про Порушення персональних даних, що стосується персональних даних Контролера даних, надаючи Контролеру даних достатню інформацію, щоб дозволити Контролеру даних виконати будь-які зобов'язання щодо повідомлення або інформування Суб'єктів даних та Наглядового органу/ів про Порушення персональних даних відповідно до Законів про захист даних.

17. У разі Порушення персональних даних, що стосується персональних даних Контролера даних, Процесор даних надає допомогу Контролеру даних:

  • (на конкретний письмовий запит Контролера) у повідомленні про порушення персональних даних компетентному(им) Наглядовому(им) органу(ам) без невиправданої затримки після того, як Контролеру стало відомо про це, де це доречно/(крім випадків, коли порушення персональних даних малоймовірно призведе до ризику для прав і свобод фізичних осіб);
  • в отриманні наступної інформації, яка, відповідно до статті 33(3) GDPR, повинна бути викладена в повідомленні, і повинна включати, як мінімум, наступне:
  • характер Персональних даних, включаючи, де це можливо, категорії та приблизну кількість відповідних Суб'єктів даних, а також категорії та приблизну кількість відповідних записів Персональних даних;
  • ймовірні наслідки Порушення персональних даних;
  • заходи, вжиті або запропоновані для усунення Порушення персональних даних, включаючи, де це доречно, заходи щодо пом'якшення його можливих негативних наслідків.

Якщо і в тій мірі, в якій неможливо надати всю цю інформацію одночасно, первинне повідомлення повинно містити наявну на той момент інформацію, а подальша інформація, в міру її надходження, надаватиметься без невиправданої затримки.

18. Процесор даних повинен співпрацювати з Контролером даних та вживати всіх необхідних заходів за вказівкою Контролера даних для надання допомоги в розслідуванні, пом'якшенні та виправленні кожного такого Порушення персональних даних.

Оцінка впливу на захист даних, попередні консультації та право на аудит

19. Процесор даних надає допомогу Контролеру даних у проведенні будь-яких оцінок впливу на захист даних та попередніх консультацій з Наглядовим органом/ами або іншими компетентними органами з питань захисту даних, які Контролер даних обґрунтовано вважає необхідними відповідно до статті 35 або 36 GDPR або аналогічних положень будь-якого Закону про захист даних, у зв'язку з обробкою Процесором даних Персональних даних Контролера даних, а також з урахуванням характеру обробки та інформації, доступної для Процесора даних та Підрядних процесорів даних.

20. Процесор даних повинен надати Контролеру даних всю інформацію, необхідну для демонстрації дотримання зобов'язань, які викладені в цій Угоді та/або безпосередньо випливають з GDPR або інших застосовних Законів про захист даних. На вимогу Контролера даних, Процесор даних також повинен дозволити та сприяти проведенню аудитів діяльності з обробки даних, що охоплюється цією Угодою, через розумні проміжки часу або за наявності ознак невідповідності. Приймаючи рішення про перевірку або аудит, Контролер даних може брати до уваги відповідні сертифікати, наявні у Процесора даних.

21. Контролер даних може вирішити провести аудит самостійно або доручити його незалежному аудитору. Аудит може також включати перевірки в приміщеннях або на фізичних об'єктах Процесора даних і, де це доречно, проводиться з розумним повідомленням.

22. Контролер даних може надавати інформацію, зазначену в цьому розділі, включаючи результати будь-яких аудитів, компетентному наглядовому органу (органам) за запитом.

23. З урахуванням положень цього розділу, Процесор даних повинен надавати Контролеру даних на запит всю інформацію, необхідну для демонстрації відповідності цій Угоді та чинному законодавству про захист даних, а також дозволяти та сприяти проведенню аудитів, включаючи перевірки, Контролером даних або аудитором, уповноваженим Контролером даних, у зв'язку з обробкою Персональних даних Контролера даних Контрактними Процесорами.

Видалення або повернення персональних даних контролера персональних даних

24. Процесор  даних зобов'язується негайно, але в будь-якому випадку не пізніше ніж через 3 (три) календарні дні після письмового запиту Контролера або не пізніше ніж через 90 (дев'яносто) календарних днів з дати припинення надання будь-яких Послуг, пов'язаних з обробкою Персональних даних Контролера, видалити всі Персональні дані, оброблені від імені Контролера, і засвідчити Контролеру, що він це зробив, або повернути всі Персональні дані Контролеру та видалити наявні копії, якщо тільки законодавство Союзу або держави-члена не вимагає зберігання персональних даних. До моменту видалення або повернення даних Процесор продовжує забезпечувати дотримання цієї Угоди.

Передавання даних

25. Процесор даних не повинен передавати або надавати дозвіл на передачу персональних даних Контролера даних в країни, що не входять до складу ЄС та/або Європейського економічного простору (ЄЕП), без попередньої окремої письмової згоди Контролера даних. Якщо персональні дані, що обробляються за цією Угодою, передаються з країни в межах Європейського економічного простору в країну за межами Європейського економічного простору, Сторони зобов'язуються забезпечити належний захист персональних даних. Для досягнення цієї мети Сторони, якщо не погоджено інше, покладаються на затверджені ЄС стандартні договірні положення щодо передачі персональних даних.

Конфіденційність

26. Кожна Сторона повинна зберігати цей Договір та інформацію, яку вона отримує про іншу Сторону та її бізнес у зв'язку з цим Договором, а також будь-які Персональні дані, отримані від іншої Сторони ("Конфіденційна інформація"), в таємниці і не повинна використовувати або розголошувати цю Конфіденційну інформацію без попередньої письмової згоди іншої Сторони, за винятком випадків, коли:

  • розкриття вимагається законом;
  • відповідна інформація вже є публічним надбанням (якщо тільки вона не стала публічним надбанням внаслідок порушення зобов'язання про конфіденційність).

Невиконання положень та розірвання договору

27. Без шкоди для будь-яких положень GDPR, у випадку, якщо Процесор даних порушує свої зобов'язання за цією Угодою або застосовні Закони про захист даних, Контролер даних може доручити Процесору даних призупинити Обробку Персональних даних Контролера даних до тих пір, поки останній не виконає цю Угоду та Закони про захист даних або поки не буде розірвано цю Угоду. Процесор даних повинен негайно повідомити Контролера даних, якщо він з будь-якої причини не може виконати цю Угоду або Закони про захист даних.

28. Контролер даних має право розірвати цю Угоду (і Основну угоду) без попереднього повідомлення:

  • Обробка Персональних даних Контролера даних Процесором даних була призупинена Контролером даних і не відновлена відповідно до Законів про захист даних протягом розумного терміну і в будь-якому випадку не пізніше, ніж протягом 14 днів після призупинення;
  • Процесор даних суттєво або постійно порушує цю Угоду або свої зобов'язання відповідно до GDPR;
  • Процесор даних не виконує обов'язкове до виконання рішення компетентного суду або компетентного наглядового органу щодо своїх зобов'язань відповідно до цієї Угоди та/або GDPR та/або інших законів про захист даних.

Вищезазначені причини розірвання не повинні тлумачитися як обмеження будь-якого права на розірвання Основної, як це передбачено в ньому.

29. Процесор даних має право розірвати цю Угоду, якщо після повідомлення Контролера даних про те, що його інструкції порушують чинні правові вимоги, Контролер даних наполягає на дотриманні цих інструкцій.

Інші положення

30. Сторони погоджуються, що відповідальність Процесора даних перед Контролером даних настає в результаті доведеного прямого або непрямого порушення або невиконання будь-якого зобов'язання, зазначеного в цій Угоді, пов'язаного із захистом даних (включаючи, без обмежень, положення цієї Угоди або GDPR) з боку Процесора даних.

31. Сторони погоджуються, що Процесор даних не несе відповідальності за дії Контролера даних, зазначені в п. 5, а саме за збір Контролером даних і завантаження в системи Процесора даних, Персональних даних працівників, рекрутерів, будь-яких третіх осіб Контролера даних, в тому числі Персональних даних, які Контролер даних збирає з систем, що інтегруються з Платформою Процесора даних.

32. Всі повідомлення та повідомлення, що надаються за цією Угодою, повинні бути в письмовій формі і будуть надіслані електронною поштою на адресу зазначену на сайті PeopleForce.

33. Ця Угода повинна читатися та тлумачитися у світлі положень GDPR. Ця Угода не повинна тлумачитися у спосіб, що суперечить правам та обов'язкам, передбаченим GDPR, або у спосіб, що завдає шкоди основоположним правам чи свободам Суб'єктів даних.

34. Процесор даних негайно інформує Контролера даних, якщо, на думку Процесор даних, інструкції, надані Контролером даних, порушують GDPR або інші застосовні закони про захист даних.

35. Сторони повинні мати можливість продемонструвати дотримання цього Договору.

36. Положення цієї Угоди регулюються та тлумачаться відповідно до англійського права, і сторони підпорядковуються виключній юрисдикції англійських судів.