Соглашение об обработке персональных данных

Условия


Эти условия обработки персональных данных являются Соглашением между юридическим лицом, PEOPLEFORCE LTD, зарегистрированным и действующим в соответствии с законодательством Англии и Уэльса, регистрационный номер компании 12537808, с местонахождением по адресу: 10 John Street, Лондон, WC1N 2EB, Великобритания (которая осуществляет обработку Персональных Данных от имени Контролера данных) (далее — "Процессор данных") и любым физическим или юридическим лицом (которое определяет цели и способы обработки) (далее — "Контролер данных"), которые вместе именуются — Стороны.
Это Соглашение об обработке данных устанавливает технические требования для Контролера данных и Процессора данных, которые они должны соблюдать при обработке данных. Оно включает в себя определение условий хранения, защиты, обработки, доступа и использования данных.

Учитывается:

  1. Процессор данных как Поставщик услуг, предоставляет Контролеру данных доступ к Виртуальной платформе PeopleForce, в соответствии с Договором о предоставлении услуг по использованию Виртуальной платформы PeopleForce (далее — "Договор о предоставлении услуг"), подписанным Сторонами.
  2. При использовании Услуг Процессора данных Контролер данных должен будет загружать персональные данные в системы Процессора данных, в отношении которых Контролер данных выступает в качестве Контролера данных, а Процессор данных выступает в качестве Процессора данных.
  3. Законодательство о защите данных означает все действующее законодательство, действующее время от времени в Соединенном Королевстве, которое применяется к защите данных и конфиденциальности, включая, но не ограничиваясь этим, Общеевропейский регламент о защите данных, Закон о защите данных 2018 года (и подзаконные акты, принятые в соответствии с ним) и Положение о конфиденциальности и электронных коммуникациях 2003 года с изменениями и дополнениями;
  4. Стороны стремятся имплементировать соглашение об обработке данных, которое соответствует законодательству о защите персональных данных;
  5. Стороны желают изложить свои права и обязанности.

Согласовано следующее:

Определение и толкование терминов

  1. Если в настоящем Соглашении не определено иное, термины и выражения с большой буквы, используемые в настоящем Соглашении, имеют следующее значение:
  • "Соглашение" — означает это Соглашение на обработку данных и все приложения к нему (при наличии);
  • "Персональные данные Контроллера" — любые Персональные данные, обрабатываемые Процессором данных от имени Контроллера на основании или в связи с Договором об оказании услуг и настоящим Соглашением;
  • "Обработка" означает любую операцию или набор операций, выполняемых с Персональными данными или наборами Персональных данных, независимо от того, автоматизированными средствами или нет, такие как сбор, запись, организация, структурирование, хранение, адаптация или изменение, поиск, консультация, использование, раскрытие путем передачи, распространения или иного предоставления, выравнивание или комбинирование, ограничение, удаление или уничтожение;
  • "Процессор по контракту" означает Субпроцессор;
  • "Законы о защите данных" означает GDPR и, насколько это применимо, законы о защите данных или конфиденциальности любой страны;
  • "ЕЭП" означает Европейское экономическое пространство;
  • "GDPR" означает Общий регламент ЕС о защите данных 2016/679, GDPR Великобритании;
  • "Передача данных" означает:
- передачу Персональных данных Контроллера данных от Контроллера данных к Процессору данных; или
- дальнейшую передачу Персональных данных Контроллера данных Контрактному процессору или между двумя Контрактными процессорами;
  • "Основное соглашение" означает соглашение между Сторонами, указанное в пункте (А) выше;
  • "Услуги" означает услуги, предоставляемые Процессором данных Контроллеру данных в соответствии с Основным соглашением;
  • "Субпроцессор" означает любое лицо, назначенное Процессором данных или от имени Процессора данных для обработки Персональных данных от имени Контроллера данных в связи с настоящим Соглашением.
  • Другие термины, в том числе, но не ограничиваясь ими: "Комиссия", "Контролер", "Субъект данных", "Государство-член", "Персональные данные", "Нарушение персональных данных", "Обработка" и "Надзорный орган", имеют то же значение, что и в GDPR, а их родственные термины толкуются соответственно.

Обработка персональных данных Контроллера данных

1. Процессор данных должен:
  • соблюдать все применимые законы о защите данных при обработке персональных данных Контроллера данных; и
  • не обрабатывать Персональные данные Контроллера данных, кроме как на основании задокументированных инструкций Контроллера данных.
2. Если обработка касается Персональных данных, раскрывающих расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, членство в профсоюзах, генетические данные или биометрические данные с целью однозначной идентификации физического лица, данные, касающиеся здоровья, половой жизни или сексуальной ориентации лица, или данные, касающиеся судимости и правонарушений, то Контроллер данных применяет конкретные ограничения и / или дополнительные меры безопасности.
3. Контроллер данных поручает Процессору данных обрабатывать Персональные данные Контроллера данных с конкретной целью предоставления Услуг.
4. Поскольку при использовании Услуг Процессора данных Контроллер самостоятельно загружает Персональные данные в системы Процессора данных, в отношении которых Поставщик услуг выступает в качестве Процессора данных, стороны договорились, в частности, об определенных ограничениях ответственности Процессора данных, а именно:
- Контроллер передает свои Персональные данные, а Процессор собирает Персональные данные Контроллера как субъекта персональных данных исключительно с целью предоставления доступа к Платформе (ее модулям), в частности, такие данные, как полное имя пользователя или полное название компании, регистрационные данные, адрес электронной почты, другие данные, необходимые для регистрации;
- После предоставления Контроллеру доступа к Платформе, Контроллер самостоятельно и по своему усмотрению собирает и загружает Персональные данные своих работников, рекрутеров, третьих лиц в системы Процессора данных; при этом, Процессор данных не собирает такие Персональные данные, а только хранит их, а потому не несет ответственности за их достоверность, точность, законность, правомерность, законный способ их сбора и тому подобное;
- Контроллер данных несет полную ответственность перед Субъектами персональных данных, данные которых Контроллер данных самостоятельно собирает и загружает в системы Процессора данных, включая Персональные данные, полученные из систем, интегрируемых с Платформой, а именно за их законность, точность, достоверность, законный способ их сбора и тому подобное. 

Субобработка

5. Процессор данных имеет общее разрешение Контроллера данных на привлечение Субпроцессоров (также именуемых в этом документе как Уполномоченные процессоры). 
6. Персональные данные Контроллера данных могут быть переданы Уполномоченным процессорам только в том случае, если между Процессором данных и Уполномоченным процессором заключен Договор об обработке данных с условиями, идентичными настоящему Соглашению.
7. Процессор данных принимает необходимые меры для обеспечения надежности любого работника, агента или подрядчика Процессора данных или любого Подрядного Процессора, который может иметь доступ к Персональным данным Контроллера данных, гарантируя в каждом случае, что доступ строго ограничен теми лицами, которые должны знать / иметь доступ к соответствующим Персональным данным Контроллера данных, как это строго необходимо для целей Основного соглашения, и для соблюдения действующего законодательства в контексте обязанностей этого лица перед Процессором данных, гарантируя, обеспечение того, чтобы на всех таких лиц распространялись обязательства по сохранению конфиденциальности или профессиональные или установленные законом обязательства по сохранению конфиденциальности.
8. Процессор данных остается полностью ответственным перед Контролером данных за выполнение обязательств Процессора по договору в соответствии с его договором с Процессором данных. Процессор данных должен уведомить Контролера данных о любом невыполнении Контрактным процессором своих договорных обязательств.
9. Соглашение об обработке данных между Процессором данных и Уполномоченным процессором (упомянутое в подразделе 7 выше) должно содержать положение о третьей стороне-бенефициаре, на основании которого в случае, если Процессор данных фактически исчез, прекратил свое юридическое существование или стал неплатежеспособным — Контроллер данных имеет право расторгнуть договор с Уполномоченным процессором и поручить Уполномоченному процессору удалить или вернуть Контроллеру данных Персональные данные.

Защита

10. Принимая во внимание современное состояние, затраты на реализацию и характер, объем, контекст и цели Обработки, а также риск различной вероятности и серьезности для прав и свобод физических лиц, Процессор данных должен по отношению к Персональным данным Контроллера данных внедрять соответствующие технические и организационные меры для обеспечения уровня безопасности, соответствующего этому риску, включая, в соответствующих случаях, меры, указанные в статье 32(1) GDPR.
11. При оценке надлежащего уровня безопасности Процессор данных должен учитывать, в частности, риски, которые представляет Обработка, в частности, от Нарушения персональных данных.

Права субъектов данных

12. Принимая во внимание характер Обработки, Процессор должен помогать Контролеру данных путем принятия соответствующих технических и организационных мер, насколько это возможно, для выполнения обязательств Контролера данных, в разумном понимании Контролера данных, отвечать на запросы о реализации прав Субъекта данных, предусмотренных Законами о защите данных.
13. Процессор данных обязан:
  • незамедлительно (но ни в коем случае не позднее чем в течение 3 дней с момента получения такого запроса) уведомить Контролера данных, если он получает запрос от Субъекта данных в соответствии с любым Законом о защите данных в отношении Персональных данных Контролера данных; и
  • обеспечить, чтобы он не отвечал на этот запрос, кроме как по задокументированным инструкциям Контроллера данных или в соответствии с требованиями действующего
  • законодательства о защите данных, на которое распространяется действие Процессора данных, и в этом случае Процессор данных должен, насколько это разрешено действующим законодательством, уведомить Контроллера данных об этом юридическом требовании до отправки ответа на запрос.
14. В дополнение к обязанности Процессора данных помогать Контролеру данных в соответствии с вышеупомянутыми разделами, Процессор данных также должен помогать Контролеру данных в обеспечении соблюдения следующих обязательств, принимая во внимание характер Обработки данных и информацию, доступную для Процессора данных:
  • обязанность проводить оценку влияния предполагаемых операций по Обработке на защиту персональных данных ("оценка влияния на защиту данных"), если тип обработки может привести к высокому риску для прав и свобод физических лиц;
  • обязанность консультироваться с компетентным надзорным органом/ами до начала обработки, если оценка влияния на защиту данных указывает на то, что обработка может привести к высокому риску при отсутствии мер, принятых Контролером данных для уменьшения риска;
  • обязательство обеспечивать точность и актуальность персональных данных путем безотлагательного информирования Контролера данных, если Процессору данных станет известно, что персональные данные, которые он обрабатывает, являются неточными или устаревшими.

Нарушение персональных данных

15. Процессор данных уведомляет Контролера данных без неоправданной задержки (но ни в коем случае не позднее, чем в течение 24 часов с момента возникновения такого Нарушения персональных данных), когда Процессору становится известно о Нарушении персональных данных, касающихся персональных данных Контролера данных, предоставляя Контролеру данных достаточную информацию, чтобы позволить Контролеру данных выполнить любые обязательства по уведомлению или информированию Субъектов данных и Надзорного органа/ов о Нарушении персональных данных в соответствии с Законами о защите данных.
16. В случае Нарушения персональных данных, касающегося персональных данных Контроллера данных, Процессор данных оказывает помощь Контроллеру данных:
  • (по конкретному письменному запросу Контролера) в сообщении о нарушении персональных данных компетентному(ым) Надзорному(ым) органу(ам) без неоправданной задержки после того, как Контролеру стало известно об этом, где это уместно/(кроме случаев, когда нарушение персональных данных маловероятно приведет к риску для прав и свобод физических лиц); 
  • в получении следующей информации, которая, в соответствии со статьей 33(3) GDPR, должна быть изложена в уведомлении, и должна включать, как минимум, следующее: 
  • характер Персональных данных, включая, где это возможно, категории и приблизительное количество соответствующих Субъектов данных, а также категории и приблизительное количество соответствующих записей Персональных данных;
  • вероятные последствия Нарушения персональных данных;
  • меры, принятые или предложенные для устранения Нарушения персональных данных, включая, где это уместно, меры по смягчению его возможных негативных последствий.
Если и в той мере, в какой невозможно предоставить всю эту информацию одновременно, первичное сообщение должно содержать имеющуюся на тот момент информацию, а дальнейшая информация, по мере ее поступления, будет предоставляться без неоправданной задержки.
17. Процессор данных должен сотрудничать с Контролером данных и принимать все необходимые меры по указанию Контролера данных для оказания помощи в расследовании, смягчении и исправлении каждого такого Нарушения персональных данных.

Оценка влияния на защиту данных, предварительные консультации и право на аудит

18. Процессор данных оказывает помощь Контролеру данных в проведении любых оценок влияния на защиту данных и предварительных консультаций с Надзорным органом/ами или другими компетентными органами по защите данных, которые Контролер данных обоснованно считает необходимыми в соответствии со статьей 35 или 36 GDPR или аналогичными положениями любого Закона о защите данных, в связи с обработкой Процессором данных Персональных данных Контролера данных, а также с учетом характера обработки и информации, доступной для Процессора данных и Подрядных процессоров данных.
19. Процессор данных должен предоставить Контролеру данных всю информацию, необходимую для демонстрации соблюдения обязательств, изложенных в настоящем Соглашении и/или непосредственно вытекающих из GDPR или других применимых Законов о защите данных. По требованию Контролера данных, Процессор данных также должен разрешить и способствовать проведению аудитов деятельности по обработке данных, охватываемой настоящим Соглашением, через разумные промежутки времени или при наличии признаков несоответствия. Принимая решение о проверке или аудите, Контролер данных может принимать во внимание соответствующие сертификаты, имеющиеся у Процессора данных. 
20. Контролер данных может решить провести аудит самостоятельно или поручить его независимому аудитору. Аудит может также включать проверки в помещениях или на физических объектах Процессора данных и, где это уместно, проводится с разумным уведомлением. 
21. Контролер данных может предоставлять информацию, указанную в настоящем разделе, включая результаты любых аудитов, компетентному надзорному органу (органам) по запросу.
22. С учетом положений настоящего раздела, Процессор данных должен предоставлять Контролеру данных по запросу всю информацию, необходимую для демонстрации соответствия настоящему Соглашению и действующему законодательству о защите данных, а также разрешать и способствовать проведению аудитов, включая проверки, Контролером данных или аудитором, уполномоченным Контролером данных, в связи с обработкой Персональных данных Контролера данных Контрактными Процессорами.

Удаление или возврат персональных данных контроллера персональных данных

23. Процессор данных должен немедленно и в любом случае в течение 3 дней с даты прекращения любых Услуг, связанных с обработкой Персональных данных Контроллера данных (включая, без ограничений, удаление учетной записи Контроллера данных, в соответствии с пунктом Основного соглашения или прекращения действия настоящего Соглашения), по выбору Контроллера данных, удалить все Персональные данные, обработанные от имени Контроллера данных, и засвидетельствовать Контроллеру данных, что он это сделал, или вернуть все Персональные данные Контроллеру данных и удалить существующие копии, за исключением случаев, когда законодательство Союза или государства-члена не требует хранения персональных данных до тех пор, пока данные не будут удалены или возвращены, Процессор данных должен продолжать обеспечивать соблюдение настоящего Соглашения.

Передача данных

24. Процессор данных не должен передавать или предоставлять разрешение на передачу персональных данных Контроллера данных в страны, не входящие в состав ЕС и/или Европейского экономического пространства (ЕЭП), без предварительного отдельного письменного согласия Контроллера данных. Если персональные данные, обрабатываемые по этому Соглашению, передаются из страны в пределах Европейского экономического пространства в страну за пределами Европейского экономического пространства, Стороны обязуются обеспечить надлежащую защиту персональных данных. Для достижения этой цели Стороны, если не согласовано иное, полагаются на утвержденные ЕС стандартные договорные положения о передаче персональных данных.

Конфиденциальность

25. Каждая Сторона должна хранить настоящий Договор и информацию, которую она получает о другой Стороне и ее бизнесе в связи с настоящим Договором, а также любые Персональные данные, полученные от другой Стороны ("Конфиденциальная информация"), в тайне и не должна использовать или разглашать эту Конфиденциальную информацию без предварительного письменного согласия другой Стороны, за исключением случаев, когда:
  • раскрытие требуется законом;
  • соответствующая информация уже является публичным достоянием (если только она не стала публичным достоянием вследствие нарушения обязательства о конфиденциальности).


Невыполнение положений и расторжение договора

26. Без ущерба для любых положений GDPR, в случае, если Процессор данных нарушает свои обязательства по этому Соглашению или применимые Законы о защите данных, Контролер данных может поручить Процессору данных приостановить Обработку Персональных данных Контролера данных до тех пор, пока последний не выполнит это Соглашение и Законы о защите данных или пока не будет расторгнуто это Соглашение. Процессор данных должен немедленно уведомить Контроллера данных, если он по какой-либо причине не может выполнить настоящее Соглашение или Законы о защите данных.
27. Контроллер данных имеет право расторгнуть настоящее Соглашение (и Соглашение о предоставлении услуг) без предварительного уведомления:
  • Обработка Персональных данных Контроллера данных Процессором данных была приостановлена Контроллером данных и не возобновлена в соответствии с Законами о защите данных в течение разумного срока и в любом случае не позднее, чем в течение 14 дней после приостановления;
  • Процессор данных существенно или постоянно нарушает настоящее Соглашение или свои обязательства в соответствии с GDPR; 
  • Процессор данных не выполняет обязательное к исполнению решение компетентного суда или компетентного надзорного органа относительно своих обязательств в соответствии с настоящим Соглашением и/или GDPR и/или других законов о защите данных.
Вышеупомянутые причины расторжения не должны толковаться как ограничение любого права на расторжение Основного соглашения, как это предусмотрено в нем.
28. Процессор данных имеет право расторгнуть это Соглашение, если после уведомления Контроллера данных о том, что его инструкции нарушают действующие правовые требования, Контроллер данных настаивает на соблюдении этих инструкций.

Другие положения

29. Стороны соглашаются, что ответственность Процессора данных перед Контролером данных наступает в результате доказанного прямого или косвенного нарушения или невыполнения любого обязательства, указанного в настоящем Соглашении, связанного с защитой данных (включая, без ограничений, положения настоящего Соглашения или GDPR) со стороны Процессора данных. 
30. Стороны соглашаются, что Процессор данных не несет ответственности за действия Контроллера данных, указанные в п. 5, а именно за сбор Контроллером данных и загрузки в системы Процессора данных, Персональных данных работников, рекрутеров, третьих лиц Контроллера данных, в том числе Персональных данных, которые Контроллер данных собирает из систем, интегрируемых с Платформой Процессора данных. 
31. Все сообщения и уведомления, предоставляемые по этому Соглашению, должны быть в письменной форме и будут направлены по электронной почте на адрес указанный на сайте PeopleForce.
32. Настоящее Соглашение должно читаться и толковаться в свете положений GDPR. Это Соглашение не должно толковаться способом, противоречащим правам и обязанностям, предусмотренным GDPR, или способом, наносящим ущерб основополагающим правам или свободам Субъектов данных.
33. Процессор данных незамедлительно информирует Контролера данных, если, по мнению Процессора данных, инструкции, предоставленные Контролером данных, нарушают GDPR или другие применимые законы о защите данных.
34. Стороны должны иметь возможность продемонстрировать соблюдение настоящего Договора.
35. Положения настоящего Соглашения регулируются и толкуются в соответствии с английским правом, и стороны подчиняются исключительной юрисдикции английских судов.