Соглашение об обработке данных

Соглашение об обработке данных Forward Email

Ключевые термины

Термин Значение
Соглашение Это DPA дополняет Условия обслуживания
Утверждённые субобработчики Cloudflare (США; провайдер DNS, сетевых и защитных услуг), DataPacket (США/Великобритания; хостинг-провайдер), Digital Ocean (США; хостинг-провайдер), GitHub (США; хостинг исходного кода, CI/CD и управление проектами), Vultr (США; хостинг-провайдер), Stripe (США; платёжный процессор), PayPal (США; платёжный процессор)
Контакт по безопасности провайдера security@forwardemail.net
Политика безопасности Просмотреть нашу Политику безопасности на GitHub
Юрисдикция Штат Делавэр, США

Изменения в Соглашении

Этот документ является производным от Common Paper DPA Standard Terms (Версия 1.0), и в него внесены следующие изменения:

  1. Раздел Применимое право и выбранные суды включён ниже с указанием Государства управления выше.
  2. Раздел Отношения с поставщиком услуг включён ниже.

1. Отношения между обработчиком и субобработчиком

1. Поставщик как обработчик

В случаях, когда Заказчик является контролёром Персональных данных Заказчика, Поставщик считается обработчиком, который обрабатывает Персональные данные от имени Заказчика.

2. Поставщик как субобработчик

В случаях, когда Заказчик является обработчиком Персональных данных Заказчика, Поставщик считается субобработчиком Персональных данных Заказчика.

2. Обработка

1. Детали обработки

Приложение I(B) на титульной странице описывает предмет, характер, цель и продолжительность этой обработки, а также Категории персональных данных, собираемых и Категории субъектов данных.

2. Инструкции по обработке

Заказчик поручает Поставщику обрабатывать Персональные данные Заказчика: (a) для предоставления и поддержки Сервиса; (b) как может быть дополнительно указано через использование Сервиса Заказчиком; (c) как задокументировано в Соглашении; и (d) как задокументировано в любых других письменных инструкциях, данных Заказчиком и подтверждённых Поставщиком относительно обработки Персональных данных Заказчика в рамках этого DPA. Поставщик будет соблюдать эти инструкции, если это не запрещено применимым законодательством. Поставщик немедленно уведомит Заказчика, если не сможет следовать инструкциям по обработке. Заказчик дал и будет давать только инструкции, соответствующие применимому законодательству.

3. Обработка Поставщиком

Поставщик будет обрабатывать Персональные данные Заказчика только в соответствии с этим DPA, включая детали на титульной странице. Если Поставщик обновляет Сервис для обновления существующих или включения новых продуктов, функций или возможностей, Поставщик может изменить Категории субъектов данных, Категории персональных данных, Особые категории данных, Ограничения или меры защиты для особых категорий данных, Частоту передачи, Характер и цель обработки и Продолжительность обработки по мере необходимости для отражения обновлений, уведомив Заказчика об обновлениях и изменениях.

4. Обработка Заказчиком

Если Заказчик является обработчиком, а Поставщик — субобработчиком, Заказчик будет соблюдать все применимые законы, которые относятся к обработке Персональных данных Заказчика. Соглашение Заказчика с его контролёром также потребует от Заказчика соблюдать все применимые законы, которые относятся к нему как к обработчику. Кроме того, Заказчик будет соблюдать требования к субобработчикам, указанные в соглашении Заказчика с его контролёром.

Заказчик соблюдал и будет продолжать соблюдать все применимые законы о защите данных в отношении предоставления Персональных данных Заказчика Поставщику и/или Сервису, включая все раскрытия, получение всех согласий, предоставление адекватного выбора и внедрение соответствующих мер защиты, требуемых применимым законодательством о защите данных.

6. Субподрядчики

a. Поставщик не будет предоставлять, передавать или передавать какие-либо Персональные данные Клиента субподрядчику, если Клиент не одобрил субподрядчика. Текущий список Одобренных субподрядчиков включает идентичности субподрядчиков, их страну расположения и предполагаемые задачи по обработке. Поставщик уведомит Клиента не менее чем за 10 рабочих дней и в письменной форме о любых планируемых изменениях в списке Одобренных субподрядчиков, будь то добавление или замена субподрядчика, что позволит Клиенту иметь достаточно времени для возражений против изменений до того, как Поставщик начнет использовать нового(ых) субподрядчика(ов). Поставщик предоставит Клиенту необходимую информацию, чтобы Клиент мог реализовать свое право возражать против изменений в списке Одобренных субподрядчиков. Клиент имеет 30 дней после уведомления об изменении в списке Одобренных субподрядчиков для подачи возражения, в противном случае Клиент считается принявшим изменения. Если Клиент возражает против изменений в течение 30 дней после уведомления, Клиент и Поставщик будут добросовестно сотрудничать для разрешения возражения или обеспокоенности Клиента.

b. При привлечении субподрядчика Поставщик заключит с субподрядчиком письменное соглашение, которое гарантирует, что субподрядчик будет иметь доступ и использовать Персональные данные Клиента (i) только в той мере, которая необходима для выполнения возложенных на него обязательств, и (ii) в соответствии с условиями Соглашения.

c. Если к обработке Персональных данных Клиента применяется GDPR, (i) обязательства по защите данных, описанные в этом DPA (как указано в статье 28(3) GDPR, если применимо), также налагаются на субподрядчика, и (ii) соглашение Поставщика с субподрядчиком будет включать эти обязательства, включая детали о том, как Поставщик и его субподрядчик будут координироваться для ответа на запросы или обращения, касающиеся обработки Персональных данных Клиента. Кроме того, Поставщик по запросу Клиента предоставит копию своих соглашений (включая любые изменения) с субподрядчиками. В той мере, в какой это необходимо для защиты коммерческой тайны или другой конфиденциальной информации, включая персональные данные, Поставщик может зачернить текст своего соглашения с субподрядчиком перед предоставлением копии.

d. Поставщик остается полностью ответственным за все обязательства, переданные своим субподрядчикам, включая действия и упущения субподрядчиков при обработке Персональных данных Клиента. Поставщик уведомит Клиента о любом несоблюдении субподрядчиками существенного обязательства, связанного с Персональными данными Клиента, согласно соглашению между Поставщиком и субподрядчиком.

3. Ограниченные передачи

1. Авторизация

Клиент соглашается, что Поставщик может передавать Персональные данные Клиента за пределы ЕЭЗ, Великобритании или другой соответствующей географической территории, если это необходимо для предоставления Сервиса. Если Поставщик передает Персональные данные Клиента в территорию, для которой Европейская комиссия или другой соответствующий надзорный орган не вынесли решение о соответствии, Поставщик реализует соответствующие меры защиты для передачи Персональных данных Клиента в эту территорию в соответствии с применимыми законами о защите данных.

2. Передачи за пределы ЕЭЗ

Клиент и Поставщик соглашаются, что если GDPR защищает передачу Персональных данных Клиента, передача осуществляется от Клиента из ЕЭЗ в адрес Поставщика за пределами ЕЭЗ, и передача не регулируется решением о соответствии, принятым Европейской комиссией, то, заключая этот DPA, Клиент и Поставщик считаются подписавшими Стандартные договорные положения ЕЭЗ (EEA SCCs) и их приложения, которые включены по ссылке. Любая такая передача осуществляется в соответствии со Стандартными договорными положениями ЕЭЗ, которые заполняются следующим образом: a. Модуль второй (от Контролера к Обработчику) EEA SCC применяется, когда Заказчик является Контролером, а Поставщик обрабатывает персональные данные Заказчика от имени Заказчика в качестве Обработчика.

b. Модуль третий (от Обработчика к Субобработчику) EEA SCC применяется, когда Заказчик является Обработчиком, а Поставщик обрабатывает персональные данные Заказчика от имени Заказчика в качестве Субобработчика.

c. Для каждого модуля применяются следующие положения (если применимо):

  1. Опциональное положение о присоединении в пункте 7 не применяется;

  2. В пункте 9 применяется Вариант 2 (общее письменное разрешение), а минимальный срок предварительного уведомления об изменениях Субобработчика составляет 10 рабочих дней;

  3. В пункте 11 опциональный текст не применяется;

  4. Все квадратные скобки в пункте 13 удаляются;

  5. В пункте 17 (Вариант 1) EEA SCC регулируются законодательством Государства-члена, регулирующего договор;

  6. В пункте 18(b) споры разрешаются в судах Государства-члена, регулирующего договор; и

  7. Титульная страница данного DPA содержит информацию, требуемую в Приложениях I, II и III EEA SCC.

3. Передачи из Великобритании

Заказчик и Поставщик соглашаются, что если UK GDPR защищает передачу персональных данных Заказчика, передача осуществляется от Заказчика из Соединённого Королевства к Поставщику за пределами Соединённого Королевства, и передача не регулируется решением о достаточности, принятым Государственным секретарём Соединённого Королевства, то заключая данный DPA, Заказчик и Поставщик считаются подписавшими UK Addendum и их Приложения, которые включены посредством ссылки. Любая такая передача осуществляется в соответствии с UK Addendum, который заполняется следующим образом:

a. Раздел 3.2 данного DPA содержит информацию, требуемую в Таблице 2 UK Addendum.

b. Таблица 4 UK Addendum изменена следующим образом: ни одна из сторон не может прекратить действие UK Addendum, как указано в Разделе 19 UK Addendum; в той мере, в какой ICO выпускает пересмотренное Утверждённое дополнение в соответствии с Разделом ‎18 UK Addendum, стороны будут добросовестно работать над соответствующим пересмотром данного DPA.

c. Титульная страница содержит информацию, требуемую Приложениями 1A, 1B, II и III UK Addendum.

4. Другие международные передачи

Для передач персональных данных, когда к международному характеру передачи применяется швейцарское законодательство (а не законодательство какого-либо государства-члена ЕЭЗ или Соединённого Королевства), ссылки на GDPR в пункте 4 EEA SCC, в той мере, в какой это требуется по закону, изменяются на ссылку на Федеральный закон Швейцарии о защите данных или его преемник, а понятие надзорного органа будет включать Федерального комиссара по защите данных и информационной безопасности Швейцарии.

4. Реагирование на инциденты безопасности

  1. После обнаружения любого инцидента безопасности Поставщик обязуется: (a) уведомить Заказчика без неоправданной задержки, когда это возможно, но не позднее чем через 72 часа после обнаружения инцидента безопасности; (b) своевременно предоставлять информацию об инциденте безопасности по мере её появления или по разумному запросу Заказчика; и (c) незамедлительно предпринять разумные меры для локализации и расследования инцидента безопасности. Уведомление Поставщика об инциденте безопасности или его реакция на него в соответствии с данным DPA не будут рассматриваться как признание Поставщиком какой-либо вины или ответственности за инцидент безопасности.

5. Аудит и отчёты

1. Права на аудит

Поставщик предоставит Заказчику всю информацию, разумно необходимую для демонстрации соответствия данному DPA, и позволит проводить и будет содействовать аудитам, включая проверки со стороны Заказчика, для оценки соответствия Поставщика данному DPA. Однако Поставщик может ограничить доступ к данным или информации, если доступ Заказчика к информации негативно повлияет на права интеллектуальной собственности Поставщика, обязательства по конфиденциальности или иные обязательства в соответствии с применимым законодательством. Заказчик признаёт и соглашается, что будет осуществлять свои права на аудит в рамках данного DPA и любых прав на аудит, предоставленных применимыми законами о защите данных, только путем поручения Поставщику соблюдать требования по отчетности и должной осмотрительности, изложенные ниже. Поставщик будет вести учет своего соответствия данному DPA в течение 3 лет после окончания действия DPA.

2. Отчёты по безопасности

Заказчик признаёт, что Поставщик регулярно проходит аудит на соответствие стандартам, определённым в Политике безопасности, независимыми сторонними аудиторами. По письменному запросу Поставщик предоставит Заказчику на конфиденциальной основе сводную копию своего актуального Отчёта, чтобы Заказчик мог проверить соответствие Поставщика стандартам, определённым в Политике безопасности.

3. Проверка безопасности

В дополнение к Отчёту Поставщик ответит на разумные запросы информации, сделанные Заказчиком, чтобы подтвердить соответствие Поставщика настоящему Соглашению о защите данных (DPA), включая ответы на вопросы по информационной безопасности, проверке благонадёжности и аудиту, либо предоставит дополнительную информацию о своей программе информационной безопасности. Все такие запросы должны быть оформлены письменно и направлены Контакту по безопасности Поставщика и могут быть сделаны не чаще одного раза в год.

6. Координация и сотрудничество

1. Ответ на запросы

Если Поставщик получает какой-либо запрос или обращение от кого-либо относительно обработки персональных данных Заказчика, Поставщик уведомит Заказчика о таком запросе и не будет отвечать на него без предварительного согласия Заказчика. Примерами таких запросов являются судебные, административные или регуляторные распоряжения относительно персональных данных Заказчика, если уведомление Заказчика не запрещено применимым законодательством, или запросы от субъектов данных. Если это разрешено применимым законодательством, Поставщик будет следовать разумным инструкциям Заказчика по таким запросам, включая предоставление обновлений статуса и другой информации, разумно запрашиваемой Заказчиком. Если субъект данных подаёт действительный запрос в соответствии с применимыми законами о защите данных на удаление или отказ от передачи персональных данных Заказчика Поставщику, Поставщик окажет Заказчику помощь в выполнении такого запроса в соответствии с применимым законодательством о защите данных. Поставщик будет сотрудничать и предоставлять разумную помощь Заказчику, за счёт Заказчика, в любых юридических ответах или иных процессуальных действиях, предпринятых Заказчиком в ответ на запрос третьих лиц относительно обработки персональных данных Заказчика Поставщиком в рамках настоящего DPA.

2. Оценки воздействия на защиту данных и оценки воздействия на передачу данных

Если это требуется применимым законодательством о защите данных, Поставщик окажет разумную помощь Заказчику в проведении обязательных оценок воздействия на защиту данных или оценок воздействия на передачу данных, а также консультаций с соответствующими органами по защите данных, учитывая характер обработки и персональные данные Заказчика.

7. Удаление персональных данных Заказчика

1. Удаление по инициативе Заказчика

Поставщик предоставит Заказчику возможность удалять персональные данные Заказчика в соответствии с функциональностью Сервисов. Поставщик выполнит эту инструкцию как можно скорее, за исключением случаев, когда дальнейшее хранение персональных данных Заказчика требуется применимым законодательством.

2. Удаление по окончании срока действия DPA

a. После истечения срока действия DPA Поставщик вернёт или удалит персональные данные Заказчика по инструкции Заказчика, если только дальнейшее хранение персональных данных Заказчика не требуется или не разрешено применимым законодательством. Если возврат или уничтожение невозможны или запрещены применимым законодательством, Поставщик приложит разумные усилия для предотвращения дальнейшей обработки персональных данных Заказчика и продолжит защищать персональные данные Заказчика, находящиеся в его распоряжении, хранении или контроле. Например, применимое законодательство может требовать от Поставщика продолжать хранение или обработку персональных данных Заказчика. b. Если Заказчик и Поставщик включили ЕАЭС ССК или Дополнение Великобритании в рамках данного DPA, Поставщик предоставит Заказчику сертификат об удалении Персональных данных, описанный в пункте 8.1(d) и пункте 8.5 ЕАЭС ССК, только если Заказчик запросит его.

8. Ограничение ответственности

1. Лимиты ответственности и отказ от убытков

В максимально допустимой мере, предусмотренной применимыми законами о защите данных, общая совокупная ответственность каждой стороны перед другой стороной, возникающая из или связанная с настоящим DPA, будет подчиняться отказам, исключениям и ограничениям ответственности, указанным в Соглашении.

Любые претензии, предъявленные к Поставщику или его аффилированным лицам, возникающие из или связанные с настоящим DPA, могут быть предъявлены только той сущностью Заказчика, которая является стороной Соглашения.

3. Исключения

  1. Настоящий DPA не ограничивает какую-либо ответственность перед физическим лицом в отношении прав этого лица на защиту данных в соответствии с применимыми законами о защите данных. Кроме того, настоящий DPA не ограничивает какую-либо ответственность между сторонами за нарушения ЕАЭС ССК или Дополнения Великобритании.

9. Конфликты между документами

  1. Настоящий DPA является частью и дополняет Соглашение. В случае любого несоответствия между настоящим DPA, Соглашением или любыми их частями, преимущество в отношении этого несоответствия будет иметь часть, указанная ранее: (1) ЕАЭС ССК или Дополнение Великобритании, (2) настоящий DPA, и затем (3) Соглашение.

10. Срок действия Соглашения

Настоящий DPA вступает в силу с момента согласования Поставщиком и Заказчиком титульного листа для DPA и подписания или электронного принятия Соглашения и действует до истечения срока действия или расторжения Соглашения. Однако Поставщик и Заказчик остаются обязанными соблюдать положения настоящего DPA и применимых законов о защите данных до тех пор, пока Заказчик не прекратит передачу Персональных данных Заказчика Поставщику, а Поставщик не прекратит обработку Персональных данных Заказчика.

11. Применимое право и выбранные суды

Несмотря на положения о применимом праве или аналогичные положения Соглашения, все толкования и споры, касающиеся настоящего DPA, будут регулироваться законами Государства управления без учета его коллизионных норм. Кроме того, и несмотря на положения о выборе форума, юрисдикции или аналогичные положения Соглашения, стороны соглашаются рассматривать любые судебные иски, действия или процедуры, связанные с настоящим DPA, в судах Государства управления, и каждая сторона безотзывно подчиняется исключительной юрисдикции этих судов.

12. Отношения с поставщиком услуг

В той мере, в какой применяется Калифорнийский закон о защите прав потребителей, Cal. Civ. Code § 1798.100 и далее ("CCPA"), стороны признают и соглашаются, что Поставщик является поставщиком услуг и получает Персональные данные от Заказчика для предоставления Услуги в соответствии с Соглашением, что составляет деловую цель. Поставщик не будет продавать какие-либо Персональные данные, предоставленные Заказчиком в рамках Соглашения. Кроме того, Поставщик не будет хранить, использовать или раскрывать какие-либо Персональные данные, предоставленные Заказчиком в рамках Соглашения, за исключением случаев, необходимых для предоставления Услуги для Заказчика, как указано в Соглашении, или как разрешено применимыми законами о защите данных. Поставщик подтверждает, что понимает ограничения, изложенные в этом пункте.

13. Определения

  1. «Применимые законы» означают законы, правила, нормативные акты, судебные постановления и другие обязательные требования соответствующего государственного органа, которые применяются к стороне или регулируют её деятельность.

  2. «Применимые законы о защите данных» означают Применимые законы, регулирующие способы обработки или использования Сервисом личной информации, персональных данных, идентифицируемой информации или другого аналогичного термина.

  3. «Контролёр» имеет значение(я), указанное в Применимых законах о защите данных для компании, которая определяет цель и объем обработки персональных данных.

  4. «Титульный лист» означает документ, подписанный или электронно принятой сторонами, который включает в себя настоящие Стандартные условия DPA и идентифицирует Поставщика, Заказчика, а также предмет и детали обработки данных.

  5. «Персональные данные Заказчика» означают персональные данные, которые Заказчик загружает или предоставляет Поставщику в рамках Сервиса и которые регулируются настоящим DPA.

  6. «DPA» означает настоящие Стандартные условия DPA, Титульный лист между Поставщиком и Заказчиком, а также политики и документы, на которые ссылаются или которые приложены к Титульному листу.

  7. «EEA SCCs» означают стандартные договорные положения, приложенные к Решению Исполнительного органа Европейской комиссии 2021/914 от 4 июня 2021 года о стандартных договорных положениях для передачи персональных данных в третьи страны в соответствии с Регламентом (ЕС) 2016/679 Европейского парламента и Совета.

  8. «Европейская экономическая зона» или «EEA» означает государства-члены Европейского союза, Норвегию, Исландию и Лихтенштейн.

  9. «GDPR» означает Регламент Европейского союза 2016/679, реализованный местным законодательством соответствующего государства-члена EEA.

  10. «Персональные данные» имеют значение(я), указанное в Применимых законах о защите данных для личной информации, персональных данных или другого аналогичного термина.

  11. «Обработка» или «Обрабатывать» имеют значение(я), указанное в Применимых законах о защите данных для любого использования или выполнения компьютерной операции с Персональными данными, включая автоматические методы.

  12. «Обработчик» имеет значение(я), указанное в Применимых законах о защите данных для компании, которая обрабатывает Персональные данные от имени Контролёра.

  13. «Отчёт» означает аудиторские отчёты, подготовленные другой компанией в соответствии со стандартами, определёнными в Политике безопасности от имени Поставщика.

  14. «Ограниченная передача» означает (a) в случае применения GDPR — передачу персональных данных из EEA в страну за пределами EEA, которая не подпадает под решение Европейской комиссии о достаточности; и (b) в случае применения UK GDPR — передачу персональных данных из Великобритании в любую другую страну, которая не подпадает под правила о достаточности, принятые в соответствии с разделом 17A Закона Великобритании о защите данных 2018 года.

  15. «Инцидент безопасности» означает нарушение безопасности персональных данных, как определено в статье 4 GDPR.

  16. «Сервис» означает продукт и/или услуги, описанные в Соглашении.

  17. «Особые категории данных» имеют значение, указанное в статье 9 GDPR.

  18. «Субобработчик» имеет значение(я), указанное в Применимых законах о защите данных для компании, которая с одобрения и согласия Контролёра помогает Обработчику в обработке Персональных данных от имени Контролёра.

  19. «UK GDPR» означает Регламент Европейского союза 2016/679, реализованный разделом 3 Закона Великобритании о выходе из Европейского союза 2018 года в Великобритании.

  20. «UK Addendum» означает международное дополнение к EEA SCCs, выпущенное Информационным комиссаром для сторон, осуществляющих Ограниченные передачи в соответствии с S119A(1) Закона о защите данных 2018 года.

Credits

Этот документ является производным от Common Paper DPA Standard Terms (Version 1.0) и лицензирован по CC BY 4.0.