Угода про обробку даних

Угода про обробку даних Forward Email

Ключові терміни

Термін Значення
Угода Ця Угода про обробку даних доповнює Умови обслуговування
Затверджені субобробники Cloudflare (США; провайдер DNS, мережевих та безпекових послуг), DataPacket (США/Великобританія; хостинг-провайдер), Digital Ocean (США; хостинг-провайдер), GitHub (США; хостинг вихідного коду, CI/CD та управління проектами), Vultr (США; хостинг-провайдер), Stripe (США; платіжний процесор), PayPal (США; платіжний процесор)
Контакт безпеки Провайдера security@forwardemail.net
Політика безпеки Перегляньте нашу Політику безпеки на GitHub
Регулюючий штат Штат Делавер, Сполучені Штати Америки

Зміни до Угоди

Цей документ є похідним від Common Paper DPA Standard Terms (Версія 1.0) і внесено такі зміни:

  1. Законодавство та обрані суди включено як розділ нижче з визначеним Governing State вище.
  2. Відносини з Постачальником послуг включено як розділ нижче.

1. Відносини між Обробником та Субобробником

1. Постачальник як Обробник

У випадках, коли Клієнт є Контролером Персональних Даних Клієнта, Постачальник вважається Обробником, який обробляє Персональні Дані від імені Клієнта.

2. Постачальник як Субобробник

У випадках, коли Клієнт є Обробником Персональних Даних Клієнта, Постачальник вважається Субобробником Персональних Даних Клієнта.

2. Обробка

1. Деталі обробки

Додаток I(B) на Титульній сторінці описує предмет, характер, мету та тривалість цієї Обробки, а також Категорії Персональних Даних, що збираються, та Категорії Суб’єктів Даних.

2. Інструкції з обробки

Клієнт дає вказівки Постачальнику обробляти Персональні Дані Клієнта: (a) для надання та підтримки Сервісу; (b) як може бути додатково визначено через використання Сервісу Клієнтом; (c) як задокументовано в Угоді; та (d) як задокументовано в будь-яких інших письмових інструкціях, наданих Клієнтом і підтверджених Постачальником щодо обробки Персональних Даних Клієнта за цією DPA. Постачальник дотримуватиметься цих інструкцій, якщо це не заборонено чинним законодавством. Постачальник негайно повідомить Клієнта, якщо не зможе виконати інструкції з обробки. Клієнт надає і надаватиме лише інструкції, що відповідають чинному законодавству.

3. Обробка Постачальником

Постачальник оброблятиме Персональні Дані Клієнта лише відповідно до цієї DPA, включно з деталями на Титульній сторінці. Якщо Постачальник оновлює Сервіс для оновлення існуючих або додавання нових продуктів, функцій чи можливостей, Постачальник може змінити Категорії Суб’єктів Даних, Категорії Персональних Даних, Особливі Категорії Даних, Обмеження або Захист Особливих Категорій Даних, Частоту Передачі, Характер та Мету Обробки та Тривалість Обробки за потреби для відображення оновлень, повідомивши Клієнта про оновлення та зміни.

4. Обробка Клієнтом

Якщо Клієнт є Обробником, а Постачальник — Субобробником, Клієнт дотримуватиметься всього чинного законодавства, що застосовується до обробки Персональних Даних Клієнта. Угода Клієнта з його Контролером також вимагатиме від Клієнта дотримання всього чинного законодавства, що застосовується до Клієнта як Обробника. Крім того, Клієнт дотримуватиметься вимог до Субобробника, визначених в угоді Клієнта з його Контролером.

Клієнт дотримувався і надалі дотримуватиметься всього чинного законодавства про захист даних щодо надання Персональних Даних Клієнта Постачальнику та/або Сервісу, включно з усіма розкриттями, отриманням усіх згод, наданням адекватного вибору та впровадженням відповідних заходів захисту, які вимагаються чинним законодавством про захист даних.

6. Субпідрядники

a. Постачальник не надаватиме, не передаватиме і не передаватиме будь-які Персональні Дані Клієнта субпідряднику, якщо Клієнт не схвалив субпідрядника. Поточний список Схвалених субпідрядників включає ідентичність субпідрядників, їх країну розташування та передбачувані завдання з обробки. Постачальник повідомить Клієнта щонайменше за 10 робочих днів письмово про будь-які заплановані зміни до Схвалених субпідрядників, чи то шляхом додавання, чи заміни субпідрядника, що дозволяє Клієнту мати достатньо часу для заперечення проти змін до того, як Постачальник почне використовувати нового(их) субпідрядника(ів). Постачальник надасть Клієнту необхідну інформацію, щоб Клієнт міг реалізувати своє право заперечувати проти зміни Схвалених субпідрядників. Клієнт має 30 днів після повідомлення про зміну Схвалених субпідрядників для заперечення, інакше вважатиметься, що Клієнт приймає зміни. Якщо Клієнт заперечує проти зміни протягом 30 днів після повідомлення, Клієнт і Постачальник співпрацюватимуть добросовісно для вирішення заперечення або занепокоєння Клієнта.

b. При залученні субпідрядника Постачальник матиме письмову угоду із субпідрядником, яка гарантує, що субпідрядник отримує доступ і використовує Персональні Дані Клієнта (i) лише в обсязі, необхідному для виконання зобов’язань, переданих йому на субпідряд, та (ii) відповідно до умов Угоди.

c. Якщо GDPR застосовується до обробки Персональних Даних Клієнта, (i) зобов’язання щодо захисту даних, описані в цьому DPA (як зазначено в статті 28(3) GDPR, якщо застосовно), також накладаються на субпідрядника, і (ii) угода Постачальника із субпідрядником включатиме ці зобов’язання, зокрема деталі про те, як Постачальник і його субпідрядник координуватимуться для реагування на запити або звернення щодо обробки Персональних Даних Клієнта. Крім того, Постачальник надасть, за запитом Клієнта, копію своїх угод (включно з будь-якими змінами) із субпідрядниками. У разі необхідності захисту комерційної таємниці або іншої конфіденційної інформації, включно з персональними даними, Постачальник може редагувати текст своєї угоди із субпідрядником перед наданням копії.

d. Постачальник залишається повністю відповідальним за всі зобов’язання, передані своїм субпідрядникам, включно з діями та бездіяльністю субпідрядників у обробці Персональних Даних Клієнта. Постачальник повідомить Клієнта про будь-яке невиконання субпідрядниками суттєвого зобов’язання щодо Персональних Даних Клієнта за угодою між Постачальником і субпідрядником.

3. Обмежені передачі

1. Авторизація

Клієнт погоджується, що Постачальник може передавати Персональні Дані Клієнта за межі ЄЕЗ, Сполученого Королівства або іншої відповідної географічної території, якщо це необхідно для надання Послуги. Якщо Постачальник передає Персональні Дані Клієнта до території, для якої Європейська Комісія або інший відповідний наглядовий орган не ухвалив рішення про адекватність, Постачальник впровадить відповідні гарантії для передачі Персональних Даних Клієнта до цієї території відповідно до Застосовних Законів про Захист Даних.

2. Передачі поза межі ЄЕЗ

Клієнт і Постачальник погоджуються, що якщо GDPR захищає передачу Персональних Даних Клієнта, передача від Клієнта з меж ЄЕЗ до Постачальника за межами ЄЕЗ і ця передача не регулюється рішенням про адекватність, ухваленим Європейською Комісією, тоді, укладаючи цей DPA, Клієнт і Постачальник вважаються такими, що підписали SCC ЄЕЗ та їхні Додатки, які включені за посиланням. Будь-яка така передача здійснюється відповідно до SCC ЄЕЗ, які заповнюються таким чином: a. Модуль Другий (Від Контролера до Обробника) EEA SCC застосовується, коли Клієнт є Контролером, а Провайдер обробляє Персональні Дані Клієнта для Клієнта як Обробник.

b. Модуль Третій (Від Обробника до Субобробника) EEA SCC застосовується, коли Клієнт є Обробником, а Провайдер обробляє Персональні Дані Клієнта від імені Клієнта як Субобробник.

c. Для кожного модуля застосовується наступне (коли це доречно):

  1. Опціональна умова приєднання в Пункті 7 не застосовується;

  2. У Пункті 9 застосовується Варіант 2 (загальний письмовий дозвіл), а мінімальний термін попереднього повідомлення про зміни Субобробника становить 10 робочих днів;

  3. У Пункті 11 опціональна мова не застосовується;

  4. Всі квадратні дужки в Пункті 13 видаляються;

  5. У Пункті 17 (Варіант 1) EEA SCC регулюються законами Країни-члена, що регулює;

  6. У Пункті 18(b) спори вирішуються в судах Країни-члена, що регулює; та

  7. Титульна сторінка цього DPA містить інформацію, необхідну в Додатку I, Додатку II та Додатку III EEA SCC.

3. Передачі з Великої Британії

Клієнт та Провайдер погоджуються, що якщо UK GDPR захищає передачу Персональних Даних Клієнта, передача відбувається від Клієнта з території Сполученого Королівства до Провайдера за межами Сполученого Королівства, і передача не регулюється рішенням про адекватність, прийнятим Секретарем Держави Сполученого Королівства, тоді, укладаючи цей DPA, Клієнт та Провайдер вважаються такими, що підписали UK Додаток та їхні Додатки, які включені за посиланням. Будь-яка така передача здійснюється відповідно до UK Додатку, який заповнюється таким чином:

a. Розділ 3.2 цього DPA містить інформацію, необхідну в Таблиці 2 UK Додатку.

b. Таблиця 4 UK Додатку змінюється таким чином: жодна зі сторін не може припинити UK Додаток, як це передбачено в Розділі 19 UK Додатку; у разі, якщо ICO видасть переглянутий Затверджений Додаток відповідно до Розділу ‎18 UK Додатку, сторони працюватимуть добросовісно для відповідної зміни цього DPA.

c. Титульна сторінка містить інформацію, необхідну за Додатком 1A, Додатком 1B, Додатком II та Додатком III UK Додатку.

4. Інші міжнародні передачі

Для передач Персональних Даних, де застосовується швейцарське законодавство (а не закон будь-якої країни-члена EEA або Сполученого Королівства) щодо міжнародного характеру передачі, посилання на GDPR у Пункті 4 EEA SCC, у межах, необхідних за законом, змінюються на посилання на Федеральний закон Швейцарії про захист даних або його наступника, а поняття наглядового органу включатиме Федерального комісара з питань захисту даних та інформації Швейцарії.

4. Реагування на інциденти безпеки

  1. Після виявлення будь-якого Інциденту Безпеки Провайдер буде: (a) повідомляти Клієнта без необґрунтованої затримки, коли це можливо, але не пізніше ніж через 72 години після виявлення Інциденту Безпеки; (b) надавати своєчасну інформацію про Інцидент Безпеки у міру її надходження або за розумним запитом Клієнта; та (c) оперативно вживати розумних заходів для локалізації та розслідування Інциденту Безпеки. Повідомлення або реагування Провайдера на Інцидент Безпеки відповідно до цього DPA не буде тлумачитися як визнання Провайдером будь-якої вини або відповідальності за Інцидент Безпеки.

5. Аудит та звіти

1. Права на аудит

Провайдер надасть Клієнту всю інформацію, розумно необхідну для підтвердження відповідності цьому DPA, і Провайдер дозволить та сприятиме аудитам, включно з перевірками з боку Клієнта, для оцінки відповідності Провайдера цьому DPA. Однак Провайдер може обмежити доступ до даних або інформації, якщо доступ Клієнта до цієї інформації негативно вплине на права інтелектуальної власності Провайдера, зобов’язання щодо конфіденційності або інші зобов’язання відповідно до Застосовних Законів. Клієнт визнає та погоджується, що він буде реалізовувати свої права на аудит відповідно до цього DPA та будь-яких прав на аудит, наданих Застосовними Законами про захист даних, лише шляхом надання Провайдеру інструкцій щодо дотримання вимог звітності та належної перевірки, наведених нижче. Провайдер зберігатиме записи про свою відповідність цьому DPA протягом 3 років після припинення дії DPA.

2. Звіти з безпеки

Клієнт визнає, що Постачальник регулярно проходить аудит відповідно до стандартів, визначених у Політиці безпеки, незалежними сторонніми аудиторами. За письмовим запитом Постачальник надасть Клієнту на конфіденційній основі копію резюме свого чинного Звіту, щоб Клієнт міг перевірити відповідність Постачальника стандартам, визначеним у Політиці безпеки.

3. Належна перевірка безпеки

Окрім Звіту, Постачальник надасть відповіді на розумні запити інформації від Клієнта для підтвердження відповідності Постачальника цьому ДПА, включно з відповідями на анкети з інформаційної безпеки, належної перевірки та аудиту, або надаючи додаткову інформацію про свою програму інформаційної безпеки. Всі такі запити мають бути письмовими та адресовані Контакту з безпеки Постачальника і можуть бути зроблені лише один раз на рік.

6. Координація та співпраця

1. Відповідь на запити

Якщо Постачальник отримує будь-який запит або звернення від будь-кого іншого щодо Обробки Персональних Даних Клієнта, Постачальник повідомить Клієнта про цей запит і не відповідатиме на нього без попередньої згоди Клієнта. Прикладами таких запитів є судовий, адміністративний або регуляторний наказ щодо Персональних Даних Клієнта, якщо повідомлення Клієнта не заборонено чинним законодавством, або запит від суб’єкта даних. Якщо це дозволено чинним законодавством, Постачальник виконуватиме розумні інструкції Клієнта щодо цих запитів, включно з наданням оновлень статусу та іншої інформації, розумно запитаної Клієнтом. Якщо суб’єкт даних робить дійсний запит відповідно до чинних законів про захист даних на видалення або відмову від передачі Персональних Даних Клієнта Постачальнику, Постачальник допоможе Клієнту виконати цей запит відповідно до чинного законодавства про захист даних. Постачальник співпрацюватиме та надаватиме розумну допомогу Клієнту, за рахунок Клієнта, у будь-якій юридичній відповіді або іншій процедурній дії, яку Клієнт здійснює у відповідь на запит третьої сторони щодо Обробки Персональних Даних Клієнта Постачальником за цим ДПА.

2. DPIA та DTIA

Якщо це вимагається чинним законодавством про захист даних, Постачальник розумно допомагатиме Клієнту у проведенні будь-яких обов’язкових оцінок впливу на захист даних або оцінок впливу на передачу даних та консультацій з відповідними органами захисту даних, враховуючи характер Обробки та Персональних Даних Клієнта.

7. Видалення Персональних Даних Клієнта

1. Видалення Клієнтом

Постачальник надасть Клієнту можливість видаляти Персональні Дані Клієнта у спосіб, що відповідає функціональності Сервісів. Постачальник виконає цю інструкцію якнайшвидше, наскільки це розумно можливо, за винятком випадків, коли подальше зберігання Персональних Даних Клієнта вимагається чинним законодавством.

2. Видалення після закінчення дії ДПА

a. Після закінчення дії ДПА Постачальник поверне або видалить Персональні Дані Клієнта за інструкцією Клієнта, якщо подальше зберігання Персональних Даних Клієнта не вимагається або не дозволяється чинним законодавством. Якщо повернення або знищення є неможливим або забороненим чинним законодавством, Постачальник докладе розумних зусиль, щоб запобігти подальшій Обробці Персональних Даних Клієнта та продовжить захищати Персональні Дані Клієнта, що залишилися у його володінні, під контролем або опікою. Наприклад, чинне законодавство може вимагати від Постачальника продовжувати хостинг або Обробку Персональних Даних Клієнта. b. Якщо Клієнт та Постачальник уклали EEA SCCs або Додаток Великої Британії як частину цього DPA, Постачальник надасть Клієнту сертифікат видалення Персональних Даних, описаний у пункті 8.1(d) та пункті 8.5 EEA SCCs, лише якщо Клієнт його запросить.

8. Обмеження відповідальності

1. Ліміти відповідальності та відмова від відшкодування збитків

У максимально допустимому обсязі відповідно до Застосовних Законів про захист даних, загальна сукупна відповідальність кожної сторони перед іншою стороною, що виникає з цього DPA або пов’язана з ним, підлягає відмовам, виключенням та обмеженням відповідальності, викладеним у Угоді.

Будь-які позови проти Постачальника або його афілійованих осіб, що виникають з цього DPA або пов’язані з ним, можуть бути подані лише суб’єктом Клієнта, який є стороною Угоди.

3. Винятки

  1. Цей DPA не обмежує жодної відповідальності перед фізичною особою щодо прав цієї особи на захист даних відповідно до Застосовних Законів про захист даних. Крім того, цей DPA не обмежує жодної відповідальності між сторонами за порушення EEA SCCs або Додатку Великої Британії.

9. Конфлікти між документами

  1. Цей DPA є частиною та доповнює Угоду. Якщо існує будь-яка невідповідність між цим DPA, Угодою або будь-якими їх частинами, перевага у вирішенні такої невідповідності належить частині, зазначеній раніше: (1) EEA SCCs або Додаток Великої Британії, (2) цей DPA, та (3) Угода.

10. Термін дії Угоди

Цей DPA починає діяти з моменту, коли Постачальник та Клієнт погоджують Титульну сторінку для DPA та підписують або електронно приймають Угоду, і триватиме до закінчення строку дії або припинення Угоди. Однак Постачальник та Клієнт залишаються зобов’язаними дотримуватися зобов’язань цього DPA та Застосовних Законів про захист даних до тих пір, поки Клієнт припинить передачу Персональних Даних Клієнта Постачальнику, а Постачальник припинить Обробку Персональних Даних Клієнта.

11. Регулююче право та обрані суди

Незважаючи на положення про регулююче право або подібні положення Угоди, усі тлумачення та спори щодо цього DPA регулюються законами Регулюючої Держави без урахування її колізійних норм. Крім того, незважаючи на положення про вибір форуму, юрисдикцію або подібні положення Угоди, сторони погоджуються розглядати будь-які судові позови, дії або провадження щодо цього DPA у судах Регулюючої Держави, і кожна сторона безповоротно підпорядковується виключній юрисдикції цих судів.

12. Відносини з Постачальником послуг

У тій мірі, в якій застосовується Каліфорнійський закон про конфіденційність споживачів, Cal. Civ. Code § 1798.100 та наступні ("CCPA"), сторони визнають і погоджуються, що Постачальник є постачальником послуг і отримує Персональні Дані від Клієнта для надання Послуги відповідно до Угоди, що становить бізнес-мету. Постачальник не продаватиме жодних Персональних Даних, наданих Клієнтом за Угодою. Крім того, Постачальник не зберігатиме, не використовуватиме і не розголошуватиме жодних Персональних Даних, наданих Клієнтом за Угодою, окрім випадків, необхідних для надання Послуги для Клієнта, як зазначено в Угоді, або як дозволено Застосовними Законами про захист даних. Постачальник підтверджує, що розуміє обмеження цього пункту.

13. Визначення

  1. «Застосовні закони» означає закони, правила, нормативні акти, судові рішення та інші обов’язкові вимоги відповідного державного органу, які застосовуються до або регулюють сторону.

  2. «Застосовні закони про захист даних» означає Застосовні закони, які регулюють, як Сервіс може обробляти або використовувати персональну інформацію, персональні дані, персонально ідентифіковану інформацію або інший подібний термін.

  3. «Контролер» матиме значення, визначене в Застосовних законах про захист даних для компанії, яка визначає мету та обсяг обробки персональних даних.

  4. «Титульна сторінка» означає документ, який підписаний або електронно прийнятий сторонами, що включає ці Стандартні умови DPA та ідентифікує Постачальника, Клієнта та предмет і деталі обробки даних.

  5. «Персональні дані Клієнта» означає персональні дані, які Клієнт завантажує або надає Постачальнику в рамках Сервісу і які регулюються цим DPA.

  6. «DPA» означає ці Стандартні умови DPA, Титульну сторінку між Постачальником і Клієнтом, а також політики та документи, на які посилаються або які додаються до Титульної сторінки.

  7. «EEA SCCs» означає стандартні договірні положення, додані до Виконавчого рішення Європейської Комісії 2021/914 від 4 червня 2021 року щодо стандартних договірних положень для передачі персональних даних до третіх країн відповідно до Регламенту (ЄС) 2016/679 Європейського Парламенту та Ради.

  8. «Європейська економічна зона» або «EEA» означає держави-члени Європейського Союзу, Норвегію, Ісландію та Ліхтенштейн.

  9. «GDPR» означає Регламент Європейського Союзу 2016/679, імплементований місцевим законодавством у відповідній країні-члені EEA.

  10. «Персональні дані» матимуть значення, визначене в Застосовних законах про захист даних для персональної інформації, персональних даних або іншого подібного терміну.

  11. «Обробка» або «Обробляти» матимуть значення, визначене в Застосовних законах про захист даних для будь-якого використання або виконання комп’ютерної операції над Персональними даними, включно з автоматичними методами.

  12. «Обробник» матиме значення, визначене в Застосовних законах про захист даних для компанії, яка обробляє Персональні дані від імені Контролера.

  13. «Звіт» означає аудиторські звіти, підготовлені іншою компанією відповідно до стандартів, визначених у Політиці безпеки від імені Постачальника.

  14. «Обмежена передача» означає (a) у випадку застосування GDPR, передачу персональних даних з EEA до країни за межами EEA, яка не підпадає під визначення адекватності Європейською Комісією; та (b) у випадку застосування UK GDPR, передачу персональних даних з Великої Британії до будь-якої іншої країни, яка не підпадає під регулювання адекватності, прийняте відповідно до Розділу 17A Закону Великої Британії про захист даних 2018 року.

  15. «Інцидент безпеки» означає порушення безпеки персональних даних, як визначено в статті 4 GDPR.

  16. «Сервіс» означає продукт і/або послуги, описані в Угоді.

  17. «Особливі категорії даних» матимуть значення, визначене в статті 9 GDPR.

  18. «Субобробник» матиме значення, визначене в Застосовних законах про захист даних для компанії, яка за згодою та прийняттям Контролера допомагає Обробнику в обробці Персональних даних від імені Контролера.

  19. «UK GDPR» означає Регламент Європейського Союзу 2016/679, імплементований розділом 3 Закону Великої Британії про вихід з Європейського Союзу 2018 року у Великій Британії.

  20. «UK Addendum» означає міжнародний додаток до EEA SCCs, виданий Комісаром з інформації для сторін, які здійснюють Обмежені передачі відповідно до S119A(1) Закону про захист даних 2018 року.

Кредити

Цей документ є похідним від Common Paper DPA Standard Terms (Version 1.0) і ліцензований за CC BY 4.0.