Trust Hub

Юридические ресурсы в PeopleForce

Соглашение об обработке персональных данных
icon

Соглашение об обработке персональных данных

Последнее обновление: 1 июня 2025 года

Добро пожаловать на платформу PeopleForce. Настоящее Соглашение об обработке персональных данных (далее — «Соглашение») заключается между:

соответствующим юридическим лицом PeopleForce, указанным в основном договоре (Соглашении о предоставлении услуг), с которым Клиент оформил договорные отношения на получение Услуг и в пользу которого оформляется подписка на Услуги (далее — «PeopleForce», «Мы» или «Обработчик»),

и

вами (далее — «Контролёр данных», «Вы» или «Клиент»),

вместе именуемыми «Стороны».

В рамках настоящего Соглашения под «PeopleForce» понимается то конкретное юридическое лицо из группы компаний PeopleForce, которое заключило Соглашение об оказании услуг с Клиентом. Это может быть одно из следующих юридических лиц, включая, но не ограничиваясь:

  • PEOPLEFORCE LTD (Великобритания)
  • PEOPLE FORCE Sp. z o.o. (Польша)
  • PEOPLEFORCE LLC (Украина)
  • PeopleApps OÜ (Эстония)

Юридическое лицо, выступающее Обработчиком персональных данных по настоящему Соглашению, всегда является тем же юридическим лицом, которое указано в Соглашении о предоставлении услуг с Клиентом и которому, соответственно, осуществляется оплата за Услуги.

Настоящее Соглашение об обработке персональных данных является неотъемлемой частью Соглашения о предоставлении услуг и определяет роли и обязанности Сторон в соответствии с действующим законодательством о защите персональных данных в контексте обработки персональных данных в рамках платформы PeopleForce.

Принимая во внимание, что

  1. (A) Процессор, как Поставщик услуг, предоставляет платформу PeopleForce в распоряжение Контроллера данных в соответствии с Соглашением о предоставлении услуг (далее – "Основное соглашение"), подписанного Сторонами.
  2. (B) Пользуясь услугами Процессора, Контроллер данных должен будет загружать персональные данные в системы Процессора, в отношении которых Контроллер данных выступает в качестве Контроллера данных, а Процессор данных – в качестве Процессора данных.
  3. (C) Законодательство о защите данных, означает: Регламент (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 года — Общий регламент по защите данных (GDPR); Общий регламент Великобритании по защите данных (UK GDPR) и Закон о защите данных 2018 года (с поправками), применимый в Великобритании; Закон Украины «О защите персональных данных» № 2297-VI от 1 июня 2010 года (с изменениями).
  4. (D) Стороны стремятся выполнять соглашение об обработке данных, которое соответствует законодательству о защите данных;
  5. (E) Стороны желают изложить свои права и обязанности.

ДОГОВОРИЛИСЬ О СЛЕДУЮЩЕМ:

1. Определение и толкование

  1. Если в настоящем Соглашении не определено иное, термины и выражения с большой буквы, используемые в настоящем Соглашении, имеют следующее значение:

a. "DPA" означает это Соглашение об обработке данных и все приложения (при наличии);

b. "Персональные данные Контроллера данных" – это Персональные данные, которые обрабатываются Процессором данных от имени Контроллера данных в соответствии с Договором о предоставлении услуг или в связи с ним и настоящим Соглашением, указанные в Приложении 1 к настоящему Соглашению;

c. "Обработка" означает любую операцию или набор операций, выполняемых над Персональными данными или наборами Персональных данных, как автоматизированными, так и неавтоматизированными средствами, такие как сбор, запись, организация, структурирование, хранение, адаптация или изменение, поиск, консультация, использование, раскрытие путем передачи, распространения или иного предоставления, согласование или комбинирование, ограничение, удаление или уничтожение;

d. "Законодательство о защите данных" означает GDPR и, насколько это применимо, законы о защите данных или конфиденциальности любой страны, в частности Британский закон о защите данных от 2018 года;

e. "ЕЭП" означает Европейское экономическое пространство;

f. "GDPR" означает Общий регламент ЕС о защите данных 2016/679

g. "Передача данных" означает:

– передача Персональных данных Контроллера данных от Контроллера данных к Процессору данных; или

– дальнейшая передача персональных данных Контроллера данных СубПроцессору или между двумя СубПроцессорами;

h. "Основное соглашение" означает Договор о предоставлении услуг (использование платформы PeopleForce) указанное в пункте (А) выше;

i. "Услуги" означает услуги, предоставляемые Процессором данных Контролеру данных в соответствии с Основным соглашением;

j. "Субпроцессор" означает любое лицо, назначенное Процессором данных или от его имени для обработки Персональных данных от имени Контроллера данных в связи с этим DPA.

k. Другие термины, включая, но не ограничиваясь ими: "Комиссия", "Контролер", "Субъект данных", "Государство-член", "Персональные данные", "Нарушение персональных данных", "Обработка" и "Наблюдательный орган", имеют то же значение, что и в GDPR, а их родственные термины толкуются соответственно.

2. Субъект соглашения и объем, цель и характер обработки и персональных данных

  1. На основании ст. 28 раздела 3 GDPR Контроллер данных поручает Процессору персональные данные для обработки, а Процессор обязуется обрабатывать их в соответствии с Соглашением. 
  2. Целью обработки Персональных данных является выполнение Основного соглашения, в частности предоставление Услуг, таких как сбор, запись, организация, структурирование, хранение, поиск, комбинирование и удаление Персональных данных в рамках Процессора Платформы PeopleForce.
  3. Персональные данные будут обрабатываться Процессором в электронной форме в информационных системах. Стороны заявляют, что с целью выполнения своих обязательств по Основному договору они будут предоставлять друг другу персональные данные только в объеме, необходимом для этой цели, а именно:

    a. персональные данные представителей каждой Стороны, такие как: имя, фамилия и должность,
    b. персональные данные работников Контроллера данных, участвующих в выполнении Договора, такие как: имя, фамилия, должность, адрес электронной почты и номер рабочего телефона.
  4. Каждая Сторона обрабатывает данные лиц, указанных в Основном договоре, в целях исполнения и урегулирования Основного договора, а также для целей, вытекающих из законных интересов, связанных с установлением, утверждением или защитой правовых требований, вытекающих из Основного договора или в связи с ним.
  5. Во избежание каких-либо сомнений, Стороны подтверждают, что когда Персональные данные передаются другой стороне, другая сторона становится отдельным контроллером этих Персональных данных в значении статьи 4 (7) GDPR, то есть она обрабатывает их для различных целей и самостоятельно и независимо принимает решение о способах их обработки.
  6. Процессор обязуется выполнять от имени Контроллера данных обязательства по информированию указанных им лиц, указанных в вышеупомянутом DPA, включая информирование их о предоставлении их данных Контроллеру данных в объеме и для целей, описанных выше, в частности, указывая информацию, которая требуется в соответствии со статьями 13 и 14 GDPR. 

3. Принципы обработки персональных данных

  1. Процессор может обрабатывать Персональные данные только в объеме и для целей, предусмотренных DPA и Основным соглашением. Контроллер данных поручает Процессору обрабатывать Персональные данные для конкретной цели предоставления Услуг. Поскольку, пользуясь Услугами Процессора, Контроллер данных самостоятельно загружает Персональные данные в системы Процессора, в отношении которых Поставщик услуг выступает в качестве Процессора данных, стороны договорились, в частности, об определенных ограничениях ответственности Процессора данных, а именно:
    a. Контроллер передает свои Персональные данные, а Процессор собирает Персональные данные Контроллера как субъекта персональных данных исключительно с целью предоставления доступа к Платформе (ее модулей), в частности, такие данные, как ФИО пользователя или полное название компании, регистрационные данные, адрес электронной почты, другие данные, необходимые для регистрации;
    b. После предоставления Контроллеру доступа к Платформе, Контроллер самостоятельно и по своему усмотрению собирает и загружает Персональные данные своих работников, рекрутеров, третьих лиц в системы Процессора; таким образом, Процессор не собирает такие Персональные данные, а только хранит их, а потому не несет ответственности за их достоверность, точность, законность, правомерность, законный способ их сбора и тому подобное;
    c. Контроллер данных несет полную ответственность перед Субъектами данных, данные которых Контроллер данных самостоятельно собирает и загружает в системы Процессора данных, включая Персональные данные, полученные из систем, которые интегрируются с Платформой, а именно за их законность, точность, достоверность, законный способ их сбора и тому подобное.
    d. Отмечается, что хотя модули платформы PeopleForce предоставляют пользователям возможность добавлять дополнительные поля и вводить в них любые данные, Процессор данных не способствует вводу или хранению "чувствительной" информации пользователями платформы. Это включает, но не ограничивается, личную информацию о детях, данные, связанные со здоровьем, и медицинские записи, банковские реквизиты пользователей и т.д.
    Если Контроллер данных (или любой Субъект данных) загружает такую "чувствительную" информацию, Процессор данных не несет ответственности за законность сбора и загрузки таких данных в систему Процессора данных.

  2. При обработке персональных данных Процессор обязуется соблюдать положения о защите персональных данных, в частности GDPR.
  3. Если Обработка касается Персональных данных, раскрывающих расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, членство в профсоюзах, генетические данные или биометрические данные с целью однозначной идентификации физического лица, данные, касающиеся здоровья, половой жизни или сексуальной ориентации лица, или данные, касающиеся судимости и правонарушений, Процессор применяет конкретные ограничения, запреты и/или дополнительные меры безопасности в соответствии с требованиями действующего законодательства.
  4. Процессор заявляет, что он имеет ресурсы, опыт, знания и квалифицированный персонал, которые позволяют ему должным образом выполнять настоящее Соглашение и внедрять соответствующие технические и организационные меры для обеспечения того, чтобы обработка соответствовала требованиям законодательства.
  5. Процессор заявляет, что он принял эффективные технические и организационные меры для защиты Персональных данных от разглашения неуполномоченным лицам, удаления неуполномоченным лицом, обработки с нарушением закона и повреждения, уничтожения, потери или незаконного изменения. Процессор заявляет, что используемые им средства остаются в соответствии с положениями GDPR в отношении безопасности обработки, включая ст. 32.
  6. Процессор обязуется сохранять конфиденциальность Персональных данных и принимать меры по их защите, включая также период после прекращения действия настоящего Соглашения, а также обязуется обеспечить, чтобы его работники и другие лица, уполномоченные обрабатывать доверенные Персональные данные, обязывались сохранять в тайне Персональные данные и меры по их защите, в том числе после прекращения действия DPA.
  7. Процессор обязуется, принимая во внимание характер обработки и имеющуюся у него информацию, помогать Контролеру данных в выполнении обязательств, изложенных в ст. ст. 32-36 GDPR; в частности, Процессор обязуется предоставлять Контролеру достаточную информацию и выполнять его указания относительно средств защиты доверенных персональных данных, нарушений персональных данных, являющихся предметом DPA, и уведомления надзорного органа или лиц, которых касаются персональные данные, помогать в проведении оценки воздействия на защиту данных, а также в предварительной консультации с надзорным органом и выполнении рекомендаций органа.
  8. Процессор обязуется незамедлительно предоставить Контролеру данных информацию о нарушениях персональных данных, доверенных Процессору, включая информацию, необходимую для того, чтобы Контролер данных мог уведомить о нарушении надзорный орган, указанный в ст. 33 п. 3 GDPR.
  9. Процессор обязуется помогать Контролеру данных, насколько это возможно, с помощью соответствующих технических и организационных мер и на основе отдельных договоренностей, в выполнении обязательства отвечать на запросы субъектов данных при осуществлении их прав, изложенных в Главе III GDPR.
  10. Процессор обязуется незамедлительно информировать Контролера данных, если, по мнению Процессора, выданные ему инструкции составляют нарушение GDPR или других положений законодательства о защите данных.
  11. Процессор обязуется незамедлительно уведомить Контролера данных о:

a. инициирование проверки надзорным органом, занимающимся защитой персональных данных, в связи с поручением Процессору обработки персональных данных, а также любые административные решения, принятые в отношении Процессора в связи с вышеупомянутым;

b. начатые или продолжающиеся административные, судебные или подготовительные производства, связанные с поручением Процессору обработки Персональных данных, а также о любых решениях, распоряжениях или постановлениях, вынесенных против Процессора в связи с вышеупомянутым;

c. любые инциденты, касающиеся Персональных данных, доверенных для обработки Процессору, в том числе случайный или несанкционированный доступ к доверенным Персональным данным, случаи изменения, утраты, повреждения или уничтожения доверенных Персональных данных.

4. Персонал процессора

  1. Процессор принимает необходимые меры для обеспечения надежности любого работника, агента или подрядчика Процессора или любого Субпроцессора, который может иметь доступ к Персональным данным, гарантируя в каждом случае, что доступ строго ограничен теми лицами, которым необходимо знать / иметь доступ к соответствующим Персональным данным, как это строго необходимо для целей Основного соглашения, а также для соблюдения действующего законодательства в контексте обязанностей этого лица перед Процессором, гарантируя, что на всех таких лиц распространяются обязательства по соблюдению.

5. Безопасность

  1. Принимая во внимание современные условия, затраты на внедрение и характер, объем, контекст и цели обработки, а также риск различной вероятности и серьезности для прав и свобод физических лиц, Процессор обязан принимать в отношении Персональных данных соответствующие технические и организационные меры для обеспечения уровня безопасности, соответствующего этому риску, включая, в соответствующих случаях, меры, указанные в статье 32(1) GDPR. 
  2. Оценивая надлежащий уровень безопасности, Процессор должен учитывать, в частности, риски, связанные с обработкой, в частности, с Нарушением персональных данных.

6. Права субъекта данных

  1. Учитывая характер обработки, Процессор должен помогать Контролеру данных путем принятия соответствующих технических и организационных мер, насколько это возможно, для выполнения обязательств Контролера данных, как это разумно понимает Контролер данных, отвечать на запросы о реализации данных в соответствии с законодательством о защите персональных данных. Права субъекта в соответствии с законами о защите данных. 
  2. Процессор должен:

a. немедленно (но не позднее чем в течение 3 дней с момента получения такого запроса) сообщать Контролеру данных о получении запроса от Субъекта данных в соответствии с любым законодательством о защите персональных данных; и

b. гарантировать, что он не будет отвечать на этот запрос, за исключением задокументированных инструкций Контроллера данных или в соответствии с требованиями действующего законодательства о защите данных, на которое распространяется действие Процессора, и в этом случае Процессор должен, насколько это разрешено действующим законодательством, информировать Контроллера данных об этом юридическом требовании перед отправкой ответа на запрос.

7. Обязанности контролера данных

  1. Контроллер данных с момента получения Персональных данных соглашается выполнять обязанности, возложенные на него соответствующими положениями законодательства GDPR.
  2. В частности, Контроллер данных обязуется самостоятельно получить соответствующую правовую основу для обработки Персональных данных, предоставленных Процессору.

8. Обязанности процессора

  1. Если Процессор действует от имени Контроллера данных, он обязан выполнять обязанности, возложенные на Контроллера данных GDPR, в том числе, но не ограничиваясь этим, выполнять обязанности, возложенные на Контроллера данных:
    a. предоставление субъекту данных информации об обработке персональных данных в соответствии со ст. ст. 13 и 14 GDPR;
    b. заключение договоров, для выполнения которых необходимо обрабатывать персональные данные.
  2. В дополнение к обязательству Процессора помогать Контролеру данных в соответствии с вышеупомянутыми разделами, Процессор данных также должен помогать Контролеру данных в обеспечении соблюдения следующих обязательств, принимая во внимание характер обработки данных и информацию, доступную Процессору:
    a. обязанность проводить оценку влияния запланированных операций по обработке на защиту персональных данных ("оценка влияния на защиту данных") в случаях, когда тип обработки может привести к высокому риску для прав и свобод физических лиц;
    b. обязанность консультироваться с компетентным надзорным органом/ами перед обработкой, если оценка влияния на защиту данных указывает на то, что обработка может привести к высокому риску при отсутствии мер, принятых Контролером данных для уменьшения риска;
    c. обязательства обеспечивать точность и актуальность персональных данных путем немедленного информирования Контроллера данных, если Процессору станет известно, что персональные данные, которые он обрабатывает, являются неточными или устаревшими.
  3. Процессор должен иметь возможность продемонстрировать соблюдение обязательств, изложенных в этом пункте, по требованию Контролера данных.

9. Субобработка

  1. Процессор имеет право в дальнейшем поручать обработку Персональных данных другим Субпроцессорам, в той мере, в которой это необходимо для оказания услуг в соответствии с Основным договором. Это согласие распространяется на субъектов, о привлечении которых Процессор уведомит Контроллера данных (в письменной или электронной форме), и против которых Контроллер данных не будет возражать в течение 7 дней с момента получения уведомления (в письменной или электронной форме).
  2. В случае возражения, Процессор приложит усилия для изменения привлечения последующего субъекта в соответствии с выдвинутым возражением. Контроллер данных не должен возражать против назначения Субпроцессора, если обработка Персональных данных с помощью указанного Субпроцессора будет возможна без нарушения закона или повлечет значительный риск для прав или свобод лиц, чьи данные будут переданы на обработку. 
  3. Процессор гарантирует, что с каждым Субпроцессором будет заключено соответствующее соглашение об обмене данными или другой документ, и что такое соглашение или документ будет включать соответствующие меры по защите Персональных данных на уровне, который является не менее строгим, чем тот, что следует из настоящего Соглашения.
  4. Процессор может передавать Персональные данные, доверенные ему для обработки, субъектам, расположенным в странах, не входящих в Европейское экономическое пространство. Процессор гарантирует, что каждый раз, когда решение Европейской Комиссии об отсутствии адекватного уровня защиты для такого государства не было принято, применяется соответствующий механизм, позволяющий законную передачу данных, а также соответствующие меры безопасности, если это необходимо.
    Опциональное использование технологий искусственного интеллекта (ИИ)
  5. PeopleForce может предоставлять дополнительный функционал, основанный на технологиях искусственного интеллекта (ИИ), включая инструменты генерации документов, семантического поиска, распознавания речи (voice-to-text) и извлечения структурированных данных. Указанные функции реализованы посредством интеграции с проверенными сторонними поставщиками.
  6. Функции ИИ по умолчанию отключены и активируются исключительно по инициативе Клиента через настройки платформы. В случае активации обработка персональных данных осуществляется исключительно от имени Клиента, в соответствии с положениями настоящего Соглашения об обработке персональных данных и применимым законодательством о защите персональных данных.
  7. PeopleForce не использует Данные Клиента для обучения, дообучения или улучшения базовых моделей ИИ. Более того, поставщики ИИ не получают никаких прав на использование Данных Клиента в целях обучения моделей.
  8. Дополнительную информацию, включая перечень субпроцессоров ИИ и применяемые меры защиты, можно найти в Приложении об использовании ИИ от PeopleForce, которое является неотъемлемой частью нашего Соглашения о предоставлении услуг.

10. Нарушение персональных данных

  1. Процессор обязан уведомить Контролера данных без неоправданной задержки (но ни в коем случае не позднее чем в течение 72 часов с момента возникновения такого Нарушения персональных данных), когда ему станет известно о Нарушении персональных данных, касающихся персональных данных, предоставив Контролеру данных достаточную информацию, чтобы позволить Контролеру данных выполнить любые обязательства по уведомлению или информированию Субъектов данных и надзорных органов о Нарушении персональных данных в соответствии с законами о защите данных.
  2. В случае Нарушения персональных данных, касающегося персональных данных, и по конкретному письменному запросу Контролера данных, Процессор должен оказать помощь Контролеру данных:
    a. сообщать о нарушении персональных данных компетентному(ым) надзорному(ым) органу(ам) без неоправданной задержки после того, как об этом стало известно Контролеру данных, если это уместно/(если только нарушение персональных данных вряд ли приведет к риску для прав и свобод физических лиц);
    b. в получении следующей информации, которая, согласно статье 33(3) GDPR, должна быть указана в уведомлении и, как минимум, включать следующее:

    i. характер Персональных данных, включая, по возможности, категории и приблизительное количество соответствующих Субъектов данных, а также категории и приблизительное количество соответствующих записей Персональных данных;
    ii. вероятные последствия утечки персональных данных;
    iii. меры, которые были приняты или предложено принять для устранения Нарушения персональных данных, включая, при необходимости, меры для смягчения его возможных негативных последствий.

    Если и в той мере, в какой невозможно предоставить всю эту информацию одновременно, первичное сообщение должно содержать имеющуюся на тот момент информацию, а дальнейшая информация, по мере ее поступления, предоставляется без неоправданной задержки.
  3. Процессор должен сотрудничать с Контролером данных и принимать все необходимые меры по указанию Контролера данных, чтобы помочь в расследовании, смягчении и исправлении каждого такого Нарушения персональных данных.

11. Оценка влияния на защиту данных, предварительные консультации и права на аудит

  1. Процессор должен оказывать помощь Контролеру данных в проведении любых оценок влияния на защиту данных и предварительных консультаций с Надзорным органом/ами или другими компетентными органами по вопросам защиты данных, которые Контролер данных обоснованно считает необходимыми в соответствии со статьей 35 или 36 GDPR или аналогичных положений любого Закона о защите данных, в связи с обработкой персональных данных Процессором, а также с учетом характера обработки и информации, доступной для Процессора и СубПроцессоров.
  2. Процессор должен предоставить Контролеру данных всю информацию, необходимую для демонстрации соблюдения обязательств, изложенных в настоящем Соглашении и/или непосредственно вытекающих из GDPR или другого применимого законодательства о защите данных. По требованию Контролера данных, Процессор также должен разрешить и способствовать проведению аудитов деятельности по обработке данных, охватываемой настоящим Соглашением, через разумные промежутки времени или при наличии признаков несоответствия. Принимая решение о проверке или аудите, Контролер данных может принять во внимание соответствующие сертификаты, имеющиеся у Процессора.
  3. Контроллер данных или уполномоченный им внешний аудитор имеет право проверять соблюдение Процессором правил обработки Персональных данных, указанных в Соглашении и в действующем законодательстве, в частности, путем запроса информации об обработке Персональных данных Процессором, необходимой для демонстрации соблюдения конкретных обязательств, предусмотренных ст. 28 GDPR, технических и организационных мер, используемых для обеспечения того, чтобы обработка осуществлялась в соответствии с законом, или проверять Процессора, после предварительной договоренности Сторон за 10 дней до начала обработки Персональных данных. Процессор предпримет необходимые действия, чтобы позволить Контролеру данных реализовать это право.
  4. Контролер данных может предоставлять информацию, указанную в этом разделе, включая результаты любых проверок, компетентным надзорным органам по запросу.

12. Передача данных

  1. Если персональные данные, обрабатываемые в соответствии с настоящим Соглашением, передаются из страны, входящей в Европейское экономическое пространство, в страну, не входящую в Европейское экономическое пространство, Стороны должны обеспечить надлежащую защиту персональных данных. Всякий раз, когда решение Европейской Комиссии, определяющее надлежащий уровень защиты, не было выдано для такого государства, применяется соответствующий механизм, позволяющий законную передачу данных, а также соответствующие Меры безопасности, если это необходимо.  Для достижения этой цели Стороны, если не согласовано иное, полагаются на утвержденные ЕС стандартные договорные положения о передаче персональных данных.

13. Конфиденциальность

  1.  Каждая Сторона обязана сохранять конфиденциальность настоящего Соглашения и информации, которую она получает о другой Стороне и ее деятельности в связи с настоящим Соглашением, а также любых Персональных данных, полученных от другой Стороны ("Конфиденциальная информация"), и не должна использовать или разглашать эту Конфиденциальную информацию без предварительного письменного согласия другой Стороны, за исключением случаев, когда это необходимо:
    a. раскрытие информации требуется законом;
    b. соответствующая информация уже является общественным достоянием (если только она не стала общественным достоянием вследствие нарушения обязательства о конфиденциальности);

14. Срок действия соглашения

  1. Соглашение заключается на срок действия Основного договора между Сторонами.
  2. Обработка персональных данных в рамках Соглашения будет происходить в течение периода, необходимого для предоставления услуг Контролеру данных, но не дольше, чем до прекращения действия Соглашения или Основного соглашения. Расторжение любого из договоров, указанных в предыдущем предложении, приводит к автоматическому расторжению обоих договоров.

15. Несоблюдение условий и расторжение соглашения

  1. Без ущерба для любых положений GDPR, если Процессор нарушает свои обязательства по настоящему Соглашению или применимым Законам о защите данных, Контроллер данных может поручить Процессору приостановить обработку Персональных данных до тех пор, пока последний не будет соблюдать настоящее Соглашение и Законы о защите данных или пока не будет прекращено действие настоящего Соглашения. Процессор должен немедленно уведомить Контролера данных, если он по какой-либо причине не может выполнить настоящее Соглашение или Законы о защите данных.
  2. Контроллер данных имеет право расторгнуть настоящее Соглашение (и Основной договор) без предварительного уведомления в случаях, если:
    a. Обработка персональных данных Процессором была приостановлена Контролером данных и не возобновлена в течение разумного срока, но в любом случае не позднее, чем в течение 14 дней после приостановления, в соответствии с Законами о защите данных;
    b. Процессор существенно или постоянно нарушает это Соглашение или свои обязательства по GDPR;
    c. Процессор не выполняет обязательное решение компетентного суда или компетентного надзорного органа относительно своих обязательств в соответствии с настоящим Соглашением и/или GDPR и/или другими законами о защите данных.
    Приведенные выше причины расторжения не должны толковаться как ограничение любого права на расторжение Основного договора, как это предусмотрено в ней.
  3. Процессор имеет право расторгнуть настоящее Соглашение, если после уведомления Контроллера данных о том, что его инструкции нарушают действующие правовые требования, Контроллер данных настаивает на соблюдении инструкций.

16. Удаление или возврат персональных данных

  1. Процессор обязуется немедленно после прекращения предоставления любых Услуг, связанных с обработкой Персональных данных Контроллера данных (включая, без ограничений, удаление учетной записи Контроллера данных в соответствии с Основным соглашением или прекращение действия настоящего Соглашения), по выбору Контроллера данных, удалить все Персональные данные, обработанные от имени Контроллера данных, и удостоверить Контроллеру данных, что он это сделал, или вернуть все Персональные данные Контроллеру данных и удалить имеющиеся копии, если только законодательство Союза или Государства-члена не требует сохранения персональных данных. Пока данные не будут удалены или возвращены, Процессор данных должен продолжать обеспечивать соблюдение настоящего Соглашения.

17. Другие положения

  1. Стороны соглашаются, что ответственность Процессора перед Контролером данных возникает в результате доказанного прямого или косвенного нарушения или невыполнения любого обязательства, указанного в настоящем Соглашении, связанного с защитой данных (включая, без ограничений, положения настоящего Соглашения или GDPR) со стороны Процессора.
  2. Стороны соглашаются, что Процессор не несет ответственности за действия Контроллера данных, а именно за сбор Контроллером данных и загрузки в системы Процессора Персональных данных работников, рекрутеров, любых третьих лиц Контроллера данных, включая Персональные данные, которые Контроллер данных собирает из систем, интегрируемых с Платформой Процессора.
  3. Все сообщения и коммуникации, предоставляемые в рамках настоящего Соглашения, должны быть в письменной форме и направляться по электронной почте на адрес contact@peopleforce.io или на электронный адрес уполномоченного по вопросам защиты персональных данных security@peopleforce.io
  4. Это Соглашение следует читать и толковать в свете положений GDPR. Это Соглашение не должно толковаться способом, противоречащим правам и обязанностям, предусмотренным GDPR, или способом, наносящим ущерб основополагающим правам и свободам Субъектов данных.

    Приложение № 1

Объем доверенных данных

Категории субъектов данных, чьи данные доверяются

Категории данных

Деятельность по обработке данных

Продолжительность обработки данных

Данные сотрудников, волонтёров, агентов, временных и сезонных работников, кандидатов, акционеров, родственников, попечителей и работников субъекта данных, а также экспертов, консультантов и других профессиональных специалистов.

Все персональные данные, которые Контролёр данных и любые пользователи, получившие от него доступ к платформе PeopleForce, загружают в системы Обработчика, включая, в частности, но не ограничиваясь:

контактные и адресные данные, такие как:

– имя и фамилия пользователя;

– адрес электронной почты;

– почтовый адрес;

– номер телефона;

– почтовый индекс;

– адрес проживания или места работы;

– страна/регион;

– дополнительные контактные данные (например, Skype, Telegram и др.);

– иная информация для связи и адресации.

данные, содержащиеся в документах кандидатов, включая резюме, анкеты, тесты, результаты собеседований, такие как:

– резюме кандидатов;

– анкеты, заполненные кандидатами;

– результаты пройденных тестов;

– результаты собеседований.

цели сотрудников, KPI, достижения, результаты периодических оценок, оценочные листы, отзывы,

результаты опросов удовлетворённости рабочим местом и вовлечённости сотрудников;

данные, предоставленные в заявках, обращениях, жалобах, предложениях, включая:

– показатели производительности;

– результаты периодических оценок;

– оценочные листы;

– отзывы;

– результаты опросов по удовлетворённости и вовлечённости сотрудников;

– данные, содержащиеся в заявках, обращениях, жалобах и предложениях.

данные о посещаемости, отсутствиях, отпусках;

данные о заключении и расторжении трудовых отношений;

данные о заработной плате и других аспектах трудоустройства, такие как:

– посещаемость;

– отсутствия;

– отпуска;

– информация о начале и прекращении трудовых отношений;

– данные о выплате заработной платы.

любые иные данные, связанные с трудоустройством или оказанием услуг Контролёру данных, введённые в платформу PeopleForce;

данные, производные от обработки вышеуказанных сведений.

Все действия, которые могут выполняться с персональными данными, независимо от того, осуществляются ли они автоматически или нет, включая сбор, запись, систематизацию, структурирование, хранение, адаптацию или изменение, извлечение, ознакомление, использование, раскрытие посредством передачи, распространения или иного предоставления доступа, сопоставление или объединение, ограничение, удаление или уничтожение данных.

В течение срока действия основного Соглашения.