Соглашение об обработке данных (Соответствует требованиям Регламента ЕС GDPR)

Вступает в силу с 1 мая 2018 г.

1. Предмет настоящего соглашения

Настоящее Соглашение об обработке данных (DPA) регулирует процесс получения и обработки личных данных, и является частью Условий предоставления услуг компании IBANCOM (TOS). Соглашение DPA является неотъемлемой частью TOS, и вступает в силу в момент официальной публикации Условий предоставления услуг компании, а также в момент внесения официальных изменений в TOS. Начиная с момента официальной публикации настоящего документа, он является неотъемлемой частью Условий предоставления услуг компании.

2. Ключевые определения

В рамках настоящего соглашения используются следующие термины и определения:

1) Услуги - весь комплекс услуг, которые клиент получает в рамках настоящего соглашения;
2) Личные данные - любая информация, которая позволяет идентифицировать пользователя или клиента, который является владельцем личных данных;
3) Клиент, пользователь или вы - физическое или юридическое лицо, орган государственной власти, агентство или другое лицо, которое, совместно с другими лицами или самостоятельно, определяет цели и инструменты для обработки личных данных;
4) Оператор личный данных, IBANCOM или мы - физическое или юридическое лицо, орган государственной власти, агентство или другое лицо, действующее от имени пользователя;
5) Обработка данных - процесс направленный на работу с личными данными или массивом личных данных, как в ручном, так и в автоматическом режиме: сбор, запись, упорядочивание, структурирование, хранение, изменение, оптимизация, получение, использование, раскрытие путем передачи, уничтожение, ограничение доступа, удаление и уничтожение;
6) Подрядчик - третье лицо вовлеченное в процесс работы с личными данными по поручению оператора для предоставления услуг и обработки личных данных пользователей;
7) Технические и административные меры в сфере безопасности - комплекс мер, направленных на сохранение максимально высокого уровня безопасности, включая анонимизацию личных данных, шифрование личных данных, а также другие меры, позволяющие гарантировать конфиденциальность, целостность, доступность и сохранность личных данных во время обработку, а также возможность получения доступа к личным данным в разумные сроки при возникновении технических и технологических проблем, возможность регулярного тестирования и оценки эффективности таких мер для обеспечения стабильно высокого уровня защиты и безопасности.
8) Законодательство в сфере защиты личных данных - правовые нормы и законодательство в сфере защиты личных данных, действующие на территории Европейского Союза, Европейской Экономической Зоны и странах ЕС, затрагивающие настоящее Соглашение.

3. Условия действия настоящего Соглашения

Настоящее Соглашение затрагивает следующие данные:
1) все данные, отправленные пользователем в адрес IBANCOM с момента вступления настоящего Соглашения в силу;
2) все данные, к которым IBANCOM имеет доступ с разрешения клиента с момента вступления настоящего Соглашения в силу;
3) все остальные данные, полученные IBANCOM для обработки с согласия клиента;
Все данные, регулируемые настоящим Соглашением, используются исключительно в рамках предоставления услуг.

4. Категории личных данных и цели обработки личных данных

Для исполнения условий настоящего Соглашения и предоставления услуг для клиента, клиент предоставляет компании IBANCOM право на получение и обработку следующих категорий личных данных: информация о клиенте - т.е. информация, которую компания IBANCOM собирает во время использования сайта и взаимодействия клиента с компанией в режиме оффлайн. К такой информации относится:

• Контактная информация: имя, домашний адрес, номер телефона, номер мобильного телефона, электронный адрес и пароли.
• Финансовая информация: номер кредитной карты и платежные реквизиты (номер налогоплательщика, платежный адрес, электронный адрес для отправки счетов). Номера банковских карт обрабатываются компаниями Avangate (платежный шлюз) и Paypal, а также другими финансовыми организациями. IBANCOM использует данные вашей банковской карты только для получения оплаты за услуги.
• Контактная информация для трудоустройства: наименование работодателя, должность, контактные данные. IBANCOM использует полученные личные данные согласно условиям общей Политики Конфиденциальности.

Данные об услугах: данные, которые предоставлены IBANCOM, клиенту или третьим лицам, доступ к которым требуется для предоставления услуг в рамках настоящего Соглашения.

• Данные, которые хранятся и обрабатываются пользователями: данные, отправленные для обработки, а также история действий пользователя.
• Данные журнала: в системе IBANCOM используется три основных журнала: 1. Журнал подключений, в котором сохраняется информация обо всех запросах, направленных в адрес наших приложений. В данном журнале сохраняется следующая информация: запрос, IP-адрес, тип браузера, страница входа и выходы, количество кликов, доменные имена, лендинговые страницы, просмотренные разделы, а также другая аналогичная информация. 2. Журнал приложений - создается во время работы одного из наших приложений. Такие журналы используются для хранения всех полученных данных, что позволяет обнаружить причину возникновения текущих проблем, и исключить подобные проблемы в будущем.
Компания IBANCOM обрабатывает личные данные пользователей в рамках Условий предоставления услуг и Политики Конфиденциальности, и расценивает все подобные данные, как конфиденциальные, используя надлежащие методики их защиты и хранения.

Категории субъектов данных: субъектами данных могут являться представители клиента и конечные пользователи, включая сотрудников, кандидатов, подрядчиков, коллег, партнеров и клиентов пользователя. К субъектам данных также относятся пользователи, которые связываются с другими пользователями, использующими услуги, предоставляемые в рамках настоящего Соглашения.

5. Ответственность компании IBANCOM

Компания IBANCOM обязуется использовать личные данные исключительно для предоставления услуг в рамках настоящего Соглашения, и обязуется:

• 1) Использовать и обрабатывать полученные личные данные только для выполнения задач в рамках настоящего Соглашения, а также на основании официальных письменных поручений, полученных от клиента;
• 2) Не раскрывать и не передавать личные данные третьим лицам за исключением своих сотрудников, агентов и подрядчиков, который принимают участие в процессе обработке данных, а также в случае наличия законодательных оснований для такой передачи;
• 3) Использовать административные и технические решения направленные на предотвращение передачи личных данных третьим лицами, исключение случаев утраты, уничтожения или поврежднеия информации. Компания обязуется использовать достаточные административные и технические решения, специфика которых позволяет полностью исключить случаи утраты, повреждения или уничтожения личных данных;
• 4) Информировать клиента обо всех тонкостях при реализации прав субъекта в области защиты личных данных, а также оказывать всестороннюю поддержку клиенту для обеспечения соответствия требованиям, полный перечень которых указан в статье 7;
• 5) Не передавать данные за пределы, и не обрабатывать данные за пределами Европейского Союза, за исключением случаев наличия письменного согласия клиента на выполнение таких действий.

6. Ответственность клиента

Клиент, выступая в роли собственника личной информации, несет единоличную ответственность за исполнение норм законодательства в сфере защиты личных данных. Кроме того, клиент обязуется самостоятельно оценить законность процесса обработки личных данных в рамках настоящей платформы.

Клиент соглашается с тем, что он или она обязуется обеспечить полное соответствие требованиям законодательства в области защиты личных данных. В частности, клиент гарантирует, что все личные данные, полученные компанией IBANCOM, были получены с согласия субъекта права. Контроль над личные данные осуществляется совместно клиентом и компанией IBANCOM, при этом клиент всегда остается оператором данных в рамках настоящего Соглашения. Клиент несет ответственность за обеспечение выполнения требований действующего законодательства в области защиты личных данных. В частности, клиент несет ответственность за обеспечение наличия согласия субъекта данных на передачу таких данных компании IBANCOM (включая получение необходимого согласия), а также ответственность за принятие любых решений, касающихся процесса обработки данных.

7. Права субъекта данных

Компания IBANCOM предоставляет клиенту доступ к электронной платформе для хранения личных данных, которая позволяет удалять, передавать, изменять или блокировать доступ к определенным категориям личных данных. Кроме того, при наличии письменных указаний со стороны клиента компания вправе удалять, передавать, изменять или блокировать доступ к личным данным.

Компания IBANCOM передает клиенту любые запросы на измнение, освобождение, удаление или блокировку личных данных, полученных в рамках настоящего Соглашения.

8. Передача данных за границу и дальнейшая обработка

Компания IBANCOM четко выполняет требования законодательства в сфере защиты и обработки личных данных по всему миру, вне зависимости от юрисдикции.

Все данные хранятся на серверах компании IBANCOM, расположенных на территории Германии, которые находятся в управлении компании Hetzner Online GmbH

Industriestr. 25
91710 Gunzenhausen
Германия
Тел.: +49 (0)9831 505-0*
Факс: +49 (0)9831 505-3

Дата-центры расположены по адресу:
Hetzner Online AG
Am Datacenterpark 1
08223 Falkenstein


В части использования личных данных, которые хранятся на серверах компании IBANCOM, все дата-центры должны обеспечивать полное соответствие требованиям законодательства в сфере защиты личных данных:
• 1) Компания IBANCOM заключила соглашения со всеми подрячиками, что гарантирует четкое исполнение требований законодательства в сфере защиты личных данных;
• 2) В том случае, если подрядчик получает личные данные на территории страны, которая не имеет собственного законодательства, компания IBANCOM требует от подрядчика соответствия базовым требованиям, которые указаны в настоящем Соглашении.

9. Обработка данных третьими лицами

Компания IBANCOM обязуется не передавать данные для обработки третьими лицами без получения предварительного письменного согласия со стороны клиента.

При необходимости передачи данных от компании IBANCOM третьим лицам в рамках исполнения настоящего Соглашения, а также при наличии согласия клиента, компания IBANCOM имеет право передать такую информацию только после заключения письменного Соглашения, в котором предусмотрены все положения настоящего Соглашения. При нарушении прав и обязанностей клиента со стороны подрядчика, компания IBANCOM несет единоличную ответственность перед клиентом за выполнение обязанностей подрядчика.

Клиент имеет право запросить у компании IBANCOM проведение аудита или предоставление отчетной документации о проведении такого аудита (а также принимать участие в процессе получения таких документов у подрядчика). Такие документы позволяют убедиться в надлежащем исполнении подрядчиком своих обязанностей. Кроме того, клиент имеет право на получение текстов соглашений, заключенных между компанией IBANCOM и ее подрядчиками, касающие обработки и получения личных данных. При наличии данных, составляющих коммерческую тайну, компания IBANCOM имеет право предоставить урезанную версию таких соглашений.

Положения, касающиеся защиты личных данных, указанные в части 1 настоящего соглашения, регулируются законодательством страны, резидентом которой является клиент.

10. Технические и административные меры

При обработке личных данных от имени клиента, компания IBANCOM гарантирует использование достаточных технических и административных мер, гарантирующих высокий уровень безопасности. Таким образом, компания IBANCOM обязуется реализовать следующие меры:

• 1) Обеспечить предотвращение доступа сторонних лиц к системам для обработки личных данных (контроль физического доступа). Для этого компания IBANCOM должна гарантировать невозможность доступа к техническим помещениям.
• 2) Для предотвращения незаконного использования систем для обработки данных компания обязуется установить систему контроля доступа с использованием паролей и обязательным ведением журнала всех выполненных действий.
В случае в API-интерфейсами, которые находятся на стороне IBANCOM: а) установить защиту с помощью сети VLAN или брандмауэра; 2) установить систему централизованного учета, информирования, а также брандмауэры.
• 3) Для обеспечения доступа только к разрешенной категории личных данных, а также для исключения случаев ознакомления, копирования и изменения личных данных без наличия законных оснований, доступ к таким данным может предоставляться строго ограниченному кругу лиц. Любые прямые запросы к базе данных должны быть запрещены. Использование системы разграничения прав доступа является обязательным для всех сотрудников без исключения.

Помимо использования системы контроля доступа, описанной выше, компания IBANCOM реализует программу разграничения прав доступ для управления доступом пользователей API-интерфейса, а также ограничивает круг сотрудников, имеющих доступ к личной информации.

• 4) Для того чтобы гарантировать невозможность копирования, чтения и изменения личных данных во время передачи информации, а также для четкого учета перечня лиц и компаний, имеющих доступ к такой информации, компания IBANCOM обязуется использовать только защищенное HTTPS-соединение для передачи всех данных без исключения. Содержимое переписки (включая адреса отправителя и получения), полученное по электронной почте или мессенджеры, не может быть зашифровано после получения такой информации. Пользователь данных несет ответственность только за принятие решение о возможности передачи данных в открытом формате.
• 5) Для того чтобы гарантировать возможность получения информации о том, кто и когда добавил информацию в систему для обработки личных данных (включая изменение и удаление информации), компания IBANCOM обязуется использовать защищенную систему передачи данных, позволяющую идентифицировать пользователя и оператора, добавившего информацию в систему.
• 6) Для обеспечения защиты личной информации от случайного уничтожения или удаления, компания обязуется создавать резервные копии на постоянной основе. Такие копии хранятся в защищенном месте в зашифрованном виде.
• 7) Для того чтобы обеспечить возможность независимой обработки данных разных субъектов, компания IBANCOM обязуется обеспечить разделение таких данных внутри своих электронных систем.

11. Право на аудит

Клиент имеет право на проведение аудита деятельности компании IBANCOM в сфере обеспечения исполнения условий настоящего Соглашения не более одного раза в год.

Клиент имеет право на проведение дополнительного аудита компьютерных систем, которые используются для обработки личных данных в соответствии с действующим законодательством. При наличии третьего лица, которое обязуется провести аудит, такое третье лицо обязуется подписать соглашение с IBANCOM перед началом аудита.

Для отправки запроса на проведение аудита, клиент обязуется предоставить подробный план такого аудита не позднее, чем за 4 недели до запланированной даты проведения аудита, с указанием перечня работ, продолжительности, а также времени начала аудита. Компания IBANCOM обязуется изучить полученную информацию и предоставить клиенту перечень вопросов и проблем (например, наличие мероприятий, который могут оказать негативное воздействие на уровень безопасности, конфиденциальности и правил трудоустройства компании IBANCOM).

Отчеты о результатах аудита являются конфиденциальной информацией, и регулируются нормами настоящего Соглашения. Стоимость аудита полностью оплачивается клиентом.

При наличии запроса в адрес компании IBANCOM с просьбой оказать помощь в проведении аудита, являются отдельной услугой и подразумевают необходимость использования дополнительных ресурсов. Компания IBANCOM обязуется получить письменное согласие клиента на оплату любых дополнительных услуг, связанных с оказанием помощи в проведении аудита.

12. Решение проблем и уведомление о нарушении положений

Компания IBANCOM внимательно следит за всеми случаями и происшествиями, который могут привести к получению неправомерного доступа к личной информации.

Клиент получает уведомление о каждом нарушении, и принимает на себя обязанность по корректировке действий, которые привели к его возникновению. Компания IBANCOM гарантирует всестороннее сотрудничество с клиентом без применения сторонних мер юридического воздействия. Основная задача такого информирования - восстановление целостности, конфиденциальности и доступности информации и услуг, а также устранение причин, которые привели к возникновению такой проблемы.

Сотрудники компании IBANCOM прошли обучение основам работы со всеми случаями нарушений при обработке личных данных.

Компания IBANCOM обязуется уведомить клиента сразу же после того, как стало известно о нарушении. Компания IBANCOM обязуется провести всестороннее расследование нарушения, а также принять все меры к устранению причин. При наличии информации, компания обязуется предоставить клиенту подробную информацию о причинах, которые привели к такому нарушению, действуя в рамках законодательства. Стороны обязуются сотрудничать, и исключить любые публичные заявления, касающиеся возникшей ситуации, которые могут выставить компанию в негативном свете.

13. Раскрытие информации в рамках действующего законодательства

В рамках действующего законодательства компания IBANCOM обязуется уведомить клиента о наличии государственных, судебных, юридических и других запросов (требований), полученных в связи с использованием и обработкой личных данных от имени клиента. При поступлении запроса со стороны клиента, компания IBANCOM обязуется предоставить необходимую информацию, а также оказать всестороннюю помощь в решении возникшей ситуации. Клиент понимает, что компания IBANCOM не несет обязанности по взаимодействию с органом, направившим требование.

14. Обязанности после прекращения обработки личных данных

Стороны соглашаются с тем, что в момент прекращения обработки личных данных, компания IBANCOM предоставляет возможность получения информации, сохраненной в рамках платформы, за исключением случаев наличия законодательных ограничений, не позволяющих передать такую информацию, или уничтожить все или отдельные данные. При возникновении такой ситуации компания IBANCOM гарантирует сохранение конфиденциальности таких данных, а также обязуется прекратить их обработку.

15. Применимое законодательство

Данное Соглашение регулируется законодательством, действующем на территории страны регистрации клиента.