Запросить демо

Trust Hub

Юридические ресурсы в PeopleForce

icon

Соглашение об обработке персональных данных

Последнее обновление: 22 сентября 2025 года

Добро пожаловать на платформу PeopleForce. Настоящее Соглашение об обработке персональных данных (далее — «Соглашение») заключается между:

соответствующим юридическим лицом PeopleForce, указанным в основном договоре (Соглашении о предоставлении услуг), с которым Клиент оформил договорные отношения на получение Услуг и в пользу которого оформляется подписка на Услуги (далее — «PeopleForce», «Мы» или «Обработчик»),

и

вами (далее — «Контролёр данных», «Вы» или «Клиент»),

вместе именуемыми «Стороны».

В рамках настоящего Соглашения под «PeopleForce» понимается то конкретное юридическое лицо из группы компаний PeopleForce, которое заключило Соглашение об оказании услуг с Клиентом. Это может быть одно из следующих юридических лиц, включая, но не ограничиваясь:

  • PEOPLEFORCE LTD (Великобритания)
  • PEOPLE FORCE Sp. z o.o. (Польша)
  • PEOPLEFORCE LLC (Украина)
  • PeopleApps OÜ (Эстония)

Юридическое лицо, выступающее Обработчиком персональных данных по настоящему Соглашению, всегда является тем же юридическим лицом, которое указано в Соглашении о предоставлении услуг с Клиентом и которому, соответственно, осуществляется оплата за Услуги.

Настоящее Соглашение об обработке персональных данных является неотъемлемой частью Соглашения о предоставлении услуг и определяет роли и обязанности Сторон в соответствии с действующим законодательством о защите персональных данных в контексте обработки персональных данных в рамках платформы PeopleForce.

Принимая во внимание, что

  1. (A) Обработчик, как Поставщик услуг, предоставляет платформу PeopleForce в распоряжение Контроллера данных в соответствии с Соглашением о предоставлении услуг (далее – "Основное соглашение"), подписанного Сторонами.
  2. (B) Пользуясь услугами Обработчика, Контроллер данных должен будет загружать персональные данные в системы Обработчика, в отношении которых Контроллер данных выступает в качестве Контроллера данных, а Обработчик данных – в качестве Обработчика данных.
  3. (C) Законодательство о защите данных, означает: Регламент (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 года — Общий регламент по защите данных (GDPR); Общий регламент Великобритании по защите данных (UK GDPR) и Закон о защите данных 2018 года (с поправками), применимый в Великобритании; Закон Украины «О защите персональных данных» № 2297-VI от 1 июня 2010 года (с изменениями).
  4. (D) Стороны стремятся выполнять соглашение об обработке данных, которое соответствует законодательству о защите данных;
  5. (E) Стороны желают изложить свои права и обязанности.

ДОГОВОРИЛИСЬ О СЛЕДУЮЩЕМ:

1. Определение и толкование

  1. Если в настоящем Соглашении не определено иное, термины и выражения с большой буквы, используемые в настоящем Соглашении, имеют следующее значение:

a. "DPA" означает это Соглашение об обработке данных и все приложения (при наличии);

b. "Персональные данные Контроллера данных" – это Персональные данные, которые обрабатываются Обработчиком данных от имени Контроллера данных в соответствии с Договором о предоставлении услуг или в связи с ним и настоящим Соглашением, указанные в Приложении 1 к настоящему Соглашению;

c. "Обработка" означает любую операцию или набор операций, выполняемых над Персональными данными или наборами Персональных данных, как автоматизированными, так и неавтоматизированными средствами, такие как сбор, запись, организация, структурирование, хранение, адаптация или изменение, поиск, консультация, использование, раскрытие путем передачи, распространения или иного предоставления, согласование или комбинирование, ограничение, удаление или уничтожение;

d. "Законодательство о защите данных" означает GDPR и, насколько это применимо, законы о защите данных или конфиденциальности любой страны, в частности Британский закон о защите данных от 2018 года;

e. "ЕЭП" означает Европейское экономическое пространство;

f. "GDPR" означает Общий регламент ЕС о защите данных 2016/679

g. "Передача данных" означает:

– передача Персональных данных Контроллера данных от Контроллера данных к Обработчику данных; или

– дальнейшая передача персональных данных Контроллера данных Субобработчику или между двумя Субобработчиками;

h. "Основное соглашение" означает Договор о предоставлении услуг (использование платформы PeopleForce) указанное в пункте (А) выше;

i. "Услуги" означает услуги, предоставляемые Обработчиком данных Контролеру данных в соответствии с Основным соглашением;

j. "Субобработчик" означает любое лицо, назначенное Обработчиком данных или от его имени для обработки Персональных данных от имени Контроллера данных в связи с этим DPA.

k. Другие термины, включая, но не ограничиваясь ими: "Комиссия", "Контролер", "Субъект данных", "Государство-член", "Персональные данные", "Нарушение персональных данных", "Обработка" и "Наблюдательный орган", имеют то же значение, что и в GDPR, а их родственные термины толкуются соответственно.

2. Субъект соглашения и объем, цель и характер обработки и персональных данных

  1. На основании ст. 28 раздела 3 GDPR Контроллер данных поручает Обработчику персональные данные для обработки, а Обработчик обязуется обрабатывать их в соответствии с Соглашением. 
  2. Целью обработки Персональных данных является выполнение Основного соглашения, в частности предоставление Услуг, таких как сбор, запись, организация, структурирование, хранение, поиск, комбинирование и удаление Персональных данных в рамках Обработчика Платформы PeopleForce.
  3. Персональные данные будут обрабатываться Обработчиком в электронной форме в информационных системах. Стороны заявляют, что с целью выполнения своих обязательств по Основному договору они будут предоставлять друг другу персональные данные только в объеме, необходимом для этой цели, а именно:

    a. персональные данные представителей каждой Стороны, такие как: имя, фамилия и должность,
    b. персональные данные работников Контроллера данных, участвующих в выполнении Договора, такие как: имя, фамилия, должность, адрес электронной почты и номер рабочего телефона.
  4. Каждая Сторона обрабатывает данные лиц, указанных в Основном договоре, в целях исполнения и урегулирования Основного договора, а также для целей, вытекающих из законных интересов, связанных с установлением, утверждением или защитой правовых требований, вытекающих из Основного договора или в связи с ним.
  5. Во избежание каких-либо сомнений, Стороны подтверждают, что когда Персональные данные передаются другой стороне, другая сторона становится отдельным контроллером этих Персональных данных в значении статьи 4 (7) GDPR, то есть она обрабатывает их для различных целей и самостоятельно и независимо принимает решение о способах их обработки.
  6. Обработчик обязуется выполнять от имени Контроллера данных обязательства по информированию указанных им лиц, указанных в вышеупомянутом DPA, включая информирование их о предоставлении их данных Контроллеру данных в объеме и для целей, описанных выше, в частности, указывая информацию, которая требуется в соответствии со статьями 13 и 14 GDPR. 

3. Принципы обработки персональных данных

  1. Обработчик может обрабатывать Персональные данные только в объеме и для целей, предусмотренных DPA и Основным соглашением. Контроллер данных поручает Обработчику обрабатывать Персональные данные для конкретной цели предоставления Услуг. Поскольку, пользуясь Услугами Обработчика, Контроллер данных самостоятельно загружает Персональные данные в системы Обработчика, в отношении которых Поставщик услуг выступает в качестве Обработчика данных, стороны договорились, в частности, об определенных ограничениях ответственности Обработчика данных, а именно:
    a. Контроллер передает свои Персональные данные, а Обработчик собирает Персональные данные Контроллера как субъекта персональных данных исключительно с целью предоставления доступа к Платформе (ее модулей), в частности, такие данные, как ФИО пользователя или полное название компании, регистрационные данные, адрес электронной почты, другие данные, необходимые для регистрации;
    b. После предоставления Контроллеру доступа к Платформе, Контроллер самостоятельно и по своему усмотрению собирает и загружает Персональные данные своих работников, рекрутеров, третьих лиц в системы Обработчика; таким образом, Обработчик не собирает такие Персональные данные, а только хранит их, а потому не несет ответственности за их достоверность, точность, законность, правомерность, законный способ их сбора и тому подобное;
    c. Контроллер данных несет полную ответственность перед Субъектами данных, данные которых Контроллер данных самостоятельно собирает и загружает в системы Обработчика данных, включая Персональные данные, полученные из систем, которые интегрируются с Платформой, а именно за их законность, точность, достоверность, законный способ их сбора и тому подобное.
    d. Отмечается, что хотя модули платформы PeopleForce предоставляют пользователям возможность добавлять дополнительные поля и вводить в них любые данные, Обработчик данных не способствует вводу или хранению "чувствительной" информации пользователями платформы. Это включает, но не ограничивается, личную информацию о детях, данные, связанные со здоровьем, и медицинские записи, банковские реквизиты пользователей и т.д.
    Если Контроллер данных (или любой Субъект данных) загружает такую "чувствительную" информацию, Обработчик данных не несет ответственности за законность сбора и загрузки таких данных в систему Обработчика данных.

  2. При обработке персональных данных Обработчик обязуется соблюдать положения о защите персональных данных, в частности GDPR.
  3. Если Обработка касается Персональных данных, раскрывающих расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, членство в профсоюзах, генетические данные или биометрические данные с целью однозначной идентификации физического лица, данные, касающиеся здоровья, половой жизни или сексуальной ориентации лица, или данные, касающиеся судимости и правонарушений, Обработчик применяет конкретные ограничения, запреты и/или дополнительные меры безопасности в соответствии с требованиями действующего законодательства.
  4. Обработчик заявляет, что он имеет ресурсы, опыт, знания и квалифицированный персонал, которые позволяют ему должным образом выполнять настоящее Соглашение и внедрять соответствующие технические и организационные меры для обеспечения того, чтобы обработка соответствовала требованиям законодательства.
  5. Обработчик заявляет, что он принял эффективные технические и организационные меры для защиты Персональных данных от разглашения неуполномоченным лицам, удаления неуполномоченным лицом, обработки с нарушением закона и повреждения, уничтожения, потери или незаконного изменения. Обработчик заявляет, что используемые им средства остаются в соответствии с положениями GDPR в отношении безопасности обработки, включая ст. 32.
  6. Обработчик обязуется сохранять конфиденциальность Персональных данных и принимать меры по их защите, включая также период после прекращения действия настоящего Соглашения, а также обязуется обеспечить, чтобы его работники и другие лица, уполномоченные обрабатывать доверенные Персональные данные, обязывались сохранять в тайне Персональные данные и меры по их защите, в том числе после прекращения действия DPA.
  7. Обработчик обязуется, принимая во внимание характер обработки и имеющуюся у него информацию, помогать Контролеру данных в выполнении обязательств, изложенных в ст. ст. 32-36 GDPR; в частности, Обработчик обязуется предоставлять Контролеру достаточную информацию и выполнять его указания относительно средств защиты доверенных персональных данных, нарушений персональных данных, являющихся предметом DPA, и уведомления надзорного органа или лиц, которых касаются персональные данные, помогать в проведении оценки воздействия на защиту данных, а также в предварительной консультации с надзорным органом и выполнении рекомендаций органа.
  8. Обработчик обязуется незамедлительно предоставить Контролеру данных информацию о нарушениях персональных данных, доверенных Обработчику, включая информацию, необходимую для того, чтобы Контролер данных мог уведомить о нарушении надзорный орган, указанный в ст. 33 п. 3 GDPR.
  9. Обработчик обязуется помогать Контролеру данных, насколько это возможно, с помощью соответствующих технических и организационных мер и на основе отдельных договоренностей, в выполнении обязательства отвечать на запросы субъектов данных при осуществлении их прав, изложенных в Главе III GDPR.
  10. Обработчик обязуется незамедлительно информировать Контролера данных, если, по мнению Обработчика, выданные ему инструкции составляют нарушение GDPR или других положений законодательства о защите данных.
  11. Обработчик обязуется незамедлительно уведомить Контролера данных о:

a. инициирование проверки надзорным органом, занимающимся защитой персональных данных, в связи с поручением Обработчику обработки персональных данных, а также любые административные решения, принятые в отношении Обработчика в связи с вышеупомянутым;

b. начатые или продолжающиеся административные, судебные или подготовительные производства, связанные с поручением Обработчику обработки Персональных данных, а также о любых решениях, распоряжениях или постановлениях, вынесенных против Обработчика в связи с вышеупомянутым;

c. любые инциденты, касающиеся Персональных данных, доверенных для обработки Обработчику, в том числе случайный или несанкционированный доступ к доверенным Персональным данным, случаи изменения, утраты, повреждения или уничтожения доверенных Персональных данных.

4. Персонал обработчика

  1. Обработчик принимает необходимые меры для обеспечения надежности любого работника, агента или подрядчика Обработчика или любого Субобработчика, который может иметь доступ к Персональным данным, гарантируя в каждом случае, что доступ строго ограничен теми лицами, которым необходимо знать / иметь доступ к соответствующим Персональным данным, как это строго необходимо для целей Основного соглашения, а также для соблюдения действующего законодательства в контексте обязанностей этого лица перед Обработчиком, гарантируя, что на всех таких лиц распространяются обязательства по соблюдению.

5. Безопасность

  1. Принимая во внимание современные условия, затраты на внедрение и характер, объем, контекст и цели обработки, а также риск различной вероятности и серьезности для прав и свобод физических лиц, Обработчик обязан принимать в отношении Персональных данных соответствующие технические и организационные меры для обеспечения уровня безопасности, соответствующего этому риску, включая, в соответствующих случаях, меры, указанные в статье 32(1) GDPR. 
  2. Оценивая надлежащий уровень безопасности, Обработчик должен учитывать, в частности, риски, связанные с обработкой, в частности, с Нарушением персональных данных.

6. Права субъекта данных

  1. Учитывая характер обработки, Обработчик должен помогать Контролеру данных путем принятия соответствующих технических и организационных мер, насколько это возможно, для выполнения обязательств Контролера данных, как это разумно понимает Контролер данных, отвечать на запросы о реализации данных в соответствии с законодательством о защите персональных данных. Права субъекта в соответствии с законами о защите данных. 
  2. Обработчик должен:

a. немедленно (но не позднее чем в течение 3 дней с момента получения такого запроса) сообщать Контролеру данных о получении запроса от Субъекта данных в соответствии с любым законодательством о защите персональных данных; и

b. гарантировать, что он не будет отвечать на этот запрос, за исключением задокументированных инструкций Контроллера данных или в соответствии с требованиями действующего законодательства о защите данных, на которое распространяется действие Обработчика, и в этом случае Обработчик должен, насколько это разрешено действующим законодательством, информировать Контроллера данных об этом юридическом требовании перед отправкой ответа на запрос.

7. Обязанности контролера данных

  1. Контроллер данных с момента получения Персональных данных соглашается выполнять обязанности, возложенные на него соответствующими положениями законодательства GDPR.
  2. В частности, Контроллер данных обязуется самостоятельно получить соответствующую правовую основу для обработки Персональных данных, предоставленных Обработчику.

8. Обязанности обработчика

  1. Если Обработчик действует от имени Контроллера данных, он обязан выполнять обязанности, возложенные на Контроллера данных GDPR, в том числе, но не ограничиваясь этим, выполнять обязанности, возложенные на Контроллера данных:
    a. предоставление субъекту данных информации об обработке персональных данных в соответствии со ст. ст. 13 и 14 GDPR;
    b. заключение договоров, для выполнения которых необходимо обрабатывать персональные данные.
  2. В дополнение к обязательству Обработчика помогать Контролеру данных в соответствии с вышеупомянутыми разделами, Обработчик данных также должен помогать Контролеру данных в обеспечении соблюдения следующих обязательств, принимая во внимание характер обработки данных и информацию, доступную Обработчику:
    a. обязанность проводить оценку влияния запланированных операций по обработке на защиту персональных данных ("оценка влияния на защиту данных") в случаях, когда тип обработки может привести к высокому риску для прав и свобод физических лиц;
    b. обязанность консультироваться с компетентным надзорным органом/ами перед обработкой, если оценка влияния на защиту данных указывает на то, что обработка может привести к высокому риску при отсутствии мер, принятых Контролером данных для уменьшения риска;
    c. обязательства обеспечивать точность и актуальность персональных данных путем немедленного информирования Контроллера данных, если Обработчику станет известно, что персональные данные, которые он обрабатывает, являются неточными или устаревшими.
  3. Обработчик должен иметь возможность продемонстрировать соблюдение обязательств, изложенных в этом пункте, по требованию Контролера данных.

9. Субобработка

  1. Общая авторизация. Контролер данных предоставляет Обработчику общую авторизацию в соответствии со статьёй 28(2) GDPR привлекать Субобработчиков для целей предоставления Услуг.
    Авторизованные Субобработчики. Контролер данных соглашается, что: (a) Обработчик может привлекать Субобработчиков, указанных в «Списке субобработчиков PeopleForce», который может периодически обновляться; и (b) Контролер данных предоставляет предварительное общее разрешение Обработчику привлекать последующих Субобработчиков при соблюдении следующих условий:
    (a) Обработчик ограничивает доступ такого последующего Субобработчика к Персональным данным Клиента только объёмом, строго необходимым для предоставления Услуг в соответствии с Основным договором, и запрещает Субобработчику обрабатывать Персональные данные Клиента с любой иной целью.
    (b) Обработчик обязуется возложить на каждого привлекаемого Субобработчика договорные обязательства по защите данных, включая соответствующие технические и организационные меры по защите персональных данных, которые обязывают такого Субобработчика обеспечивать защиту Персональных данных Клиента на уровне, требуемом Применимым законодательством о защите данных.
    (c) Обработчик остаётся ответственным и подотчётным за любое нарушение настоящего Соглашения об обработке персональных данных, вызванное действием или бездействием его Субобработчиков.
  2. Уведомление об изменениях Субобработчиков. PeopleForce может, предварительно уведомив Контролера данных, добавлять или изменять Субобработчиков, указанных в Списке субобработчиков PeopleForce. PeopleForce будет уведомлять Контролера данных не менее чем за тридцать (30) дней до таких изменений путём (i) обновления Списка субобработчиков и (ii) направления автоматических электронных уведомлений всем Контролерам данных, подписавшимся на рассылку обновлений о Субобработчиках. Чтобы получать такие уведомления, Контролер данных должен оформить подписку через автоматическую форму, доступную на веб-сайте PeopleForce (Trust Hub – Уведомления PeopleForce Trust). После подписки Контролер данных будет добавлен в специальный список рассылки и будет автоматически получать электронные уведомления о любых обновлениях Списка субобработчиков.
  3. Возражения против новых Субобработчиков. Контролер данных не должен возражать против привлечения Субобработчика, если обработка Персональных данных с его участием может осуществляться без нарушения закона и без создания существенного риска для прав или свобод субъектов данных, чьи данные передаются для обработки. Если Контролер данных разумно возражает против привлечения нового Субобработчика в течение двадцати (20) дней с момента получения соответствующего уведомления по мотивам защиты Персональных данных Контролера, Обработчик добросовестно будет сотрудничать с Контролером данных для поиска альтернативного решения. Если стороны в течение разумного срока не достигнут взаимоприемлемого урегулирования, Контролер данных вправе прекратить использование Услуг и расторгнуть как Основной договор (Договор об оказании услуг), так и настоящее Соглашение об обработке персональных данных, уведомив об этом PeopleForce.
    Если Контролер данных не направит возражения в установленный выше срок, отсутствие возражения считается согласием Контролера на привлечение нового Субобработчика.
  4. Обработчик обеспечит заключение с каждым Субобработчиком надлежащего соглашения об обмене данными либо иного правового инструмента, предусматривающего соответствующие меры защиты Персональных данных на уровне не ниже требований Соглашения об обработке персональных данных.
  5. Обработчик может передавать Персональные данные, доверенные ему для обработки, получателям в странах за пределами Европейской экономической зоны. Если в отношении соответствующего государства отсутствует решение Европейской комиссии о надлежащем уровне защиты, Обработчик в каждом случае обеспечивает применение надлежащего механизма, позволяющего правомерную передачу данных, а также, при необходимости, соответствующих мер безопасности.

    Опциональное использование технологий искусственного интеллекта (ИИ)
  6. PeopleForce может предоставлять дополнительный функционал, основанный на технологиях искусственного интеллекта (ИИ), включая инструменты генерации документов, семантического поиска, распознавания речи (voice-to-text) и извлечения структурированных данных. Указанные функции реализованы посредством интеграции с проверенными сторонними поставщиками.
  7. Функции ИИ по умолчанию отключены и активируются исключительно по инициативе Клиента через настройки платформы. В случае активации обработка персональных данных осуществляется исключительно от имени Клиента, в соответствии с положениями настоящего Соглашения об обработке персональных данных и применимым законодательством о защите персональных данных.
  8. PeopleForce не использует Данные Клиента для обучения, дообучения или улучшения базовых моделей ИИ. Более того, поставщики ИИ не получают никаких прав на использование Данных Клиента в целях обучения моделей.
  9. Дополнительную информацию, включая перечень субобработчиков ИИ и применяемые меры защиты, можно найти в Приложении об использовании ИИ от PeopleForce, которое является неотъемлемой частью нашего Соглашения о предоставлении услуг.

10. Нарушение персональных данных

  1. Обработчик обязан уведомить Контролера данных без неоправданной задержки (но ни в коем случае не позднее чем в течение 72 часов с момента возникновения такого Нарушения персональных данных), когда ему станет известно о Нарушении персональных данных, касающихся персональных данных, предоставив Контролеру данных достаточную информацию, чтобы позволить Контролеру данных выполнить любые обязательства по уведомлению или информированию Субъектов данных и надзорных органов о Нарушении персональных данных в соответствии с законами о защите данных.
  2. В случае Нарушения персональных данных, касающегося персональных данных, и по конкретному письменному запросу Контролера данных, Обработчик должен оказать помощь Контролеру данных:
    a. сообщать о нарушении персональных данных компетентному(ым) надзорному(ым) органу(ам) без неоправданной задержки после того, как об этом стало известно Контролеру данных, если это уместно/(если только нарушение персональных данных вряд ли приведет к риску для прав и свобод физических лиц);
    b. в получении следующей информации, которая, согласно статье 33(3) GDPR, должна быть указана в уведомлении и, как минимум, включать следующее:

    i. характер Персональных данных, включая, по возможности, категории и приблизительное количество соответствующих Субъектов данных, а также категории и приблизительное количество соответствующих записей Персональных данных;
    ii. вероятные последствия утечки персональных данных;
    iii. меры, которые были приняты или предложено принять для устранения Нарушения персональных данных, включая, при необходимости, меры для смягчения его возможных негативных последствий.

    Если и в той мере, в какой невозможно предоставить всю эту информацию одновременно, первичное сообщение должно содержать имеющуюся на тот момент информацию, а дальнейшая информация, по мере ее поступления, предоставляется без неоправданной задержки.
  3. Обработчик должен сотрудничать с Контролером данных и принимать все необходимые меры по указанию Контролера данных, чтобы помочь в расследовании, смягчении и исправлении каждого такого Нарушения персональных данных.

11. Оценка влияния на защиту данных, предварительные консультации и права на аудит

  1. Обработчик должен оказывать помощь Контролеру данных в проведении любых оценок влияния на защиту данных и предварительных консультаций с Надзорным органом/ами или другими компетентными органами по вопросам защиты данных, которые Контролер данных обоснованно считает необходимыми в соответствии со статьей 35 или 36 GDPR или аналогичных положений любого Закона о защите данных, в связи с обработкой персональных данных Обработчиком, а также с учетом характера обработки и информации, доступной для Обработчика и Субобработчиков.
  2. Обработчик должен предоставить Контролеру данных всю информацию, необходимую для демонстрации соблюдения обязательств, изложенных в настоящем Соглашении и/или непосредственно вытекающих из GDPR или другого применимого законодательства о защите данных. По требованию Контролера данных, Обработчик также должен разрешить и способствовать проведению аудитов деятельности по обработке данных, охватываемой настоящим Соглашением, через разумные промежутки времени или при наличии признаков несоответствия. Принимая решение о проверке или аудите, Контролер данных может принять во внимание соответствующие сертификаты, имеющиеся у Обработчика.
  3. Контроллер данных или уполномоченный им внешний аудитор имеет право проверять соблюдение Обработчиком правил обработки Персональных данных, указанных в Соглашении и в действующем законодательстве, в частности, путем запроса информации об обработке Персональных данных Обработчиком, необходимой для демонстрации соблюдения конкретных обязательств, предусмотренных ст. 28 GDPR, технических и организационных мер, используемых для обеспечения того, чтобы обработка осуществлялась в соответствии с законом, или проверять Обработчика, после предварительной договоренности Сторон за 10 дней до начала обработки Персональных данных. Обработчик предпримет необходимые действия, чтобы позволить Контролеру данных реализовать это право.
  4. Контролер данных может предоставлять информацию, указанную в этом разделе, включая результаты любых проверок, компетентным надзорным органам по запросу.

12. Передача данных

  1. Если персональные данные, обрабатываемые в соответствии с настоящим Соглашением, передаются из страны, входящей в Европейское экономическое пространство, в страну, не входящую в Европейское экономическое пространство, Стороны должны обеспечить надлежащую защиту персональных данных. Всякий раз, когда решение Европейской Комиссии, определяющее надлежащий уровень защиты, не было выдано для такого государства, применяется соответствующий механизм, позволяющий законную передачу данных, а также соответствующие Меры безопасности, если это необходимо.  Для достижения этой цели Стороны, если не согласовано иное, полагаются на утвержденные ЕС стандартные договорные положения о передаче персональных данных.

13. Конфиденциальность

  1.  Каждая Сторона обязана сохранять конфиденциальность настоящего Соглашения и информации, которую она получает о другой Стороне и ее деятельности в связи с настоящим Соглашением, а также любых Персональных данных, полученных от другой Стороны ("Конфиденциальная информация"), и не должна использовать или разглашать эту Конфиденциальную информацию без предварительного письменного согласия другой Стороны, за исключением случаев, когда это необходимо:
    a. раскрытие информации требуется законом;
    b. соответствующая информация уже является общественным достоянием (если только она не стала общественным достоянием вследствие нарушения обязательства о конфиденциальности);

14. Срок действия соглашения

  1. Соглашение заключается на срок действия Основного договора между Сторонами.
  2. Обработка персональных данных в рамках Соглашения будет происходить в течение периода, необходимого для предоставления услуг Контролеру данных, но не дольше, чем до прекращения действия Соглашения или Основного соглашения. Расторжение любого из договоров, указанных в предыдущем предложении, приводит к автоматическому расторжению обоих договоров.

15. Несоблюдение условий и расторжение соглашения

  1. Без ущерба для любых положений GDPR, если Обработчик нарушает свои обязательства по настоящему Соглашению или применимым Законам о защите данных, Контроллер данных может поручить Обработчику приостановить обработку Персональных данных до тех пор, пока последний не будет соблюдать настоящее Соглашение и Законы о защите данных или пока не будет прекращено действие настоящего Соглашения. Обработчик должен немедленно уведомить Контролера данных, если он по какой-либо причине не может выполнить настоящее Соглашение или Законы о защите данных.
  2. Контроллер данных имеет право расторгнуть настоящее Соглашение (и Основной договор) без предварительного уведомления в случаях, если:
    a. Обработка персональных данных Обработчиком была приостановлена Контролером данных и не возобновлена в течение разумного срока, но в любом случае не позднее, чем в течение 14 дней после приостановления, в соответствии с Законами о защите данных;
    b. Обработчик существенно или постоянно нарушает это Соглашение или свои обязательства по GDPR;
    c. Обработчик не выполняет обязательное решение компетентного суда или компетентного надзорного органа относительно своих обязательств в соответствии с настоящим Соглашением и/или GDPR и/или другими законами о защите данных.
    Приведенные выше причины расторжения не должны толковаться как ограничение любого права на расторжение Основного договора, как это предусмотрено в ней.
  3. Обработчик имеет право расторгнуть настоящее Соглашение, если после уведомления Контроллера данных о том, что его инструкции нарушают действующие правовые требования, Контроллер данных настаивает на соблюдении инструкций.

16. Удаление или возврат персональных данных

  1. Обработчик обязуется немедленно после прекращения предоставления любых Услуг, связанных с обработкой Персональных данных Контроллера данных (включая, без ограничений, удаление учетной записи Контроллера данных в соответствии с Основным соглашением или прекращение действия настоящего Соглашения), по выбору Контроллера данных, удалить все Персональные данные, обработанные от имени Контроллера данных, и удостоверить Контроллеру данных, что он это сделал, или вернуть все Персональные данные Контроллеру данных и удалить имеющиеся копии, если только законодательство Союза или Государства-члена не требует сохранения персональных данных. Пока данные не будут удалены или возвращены, Обработчик данных должен продолжать обеспечивать соблюдение настоящего Соглашения.

17. Другие положения

  1. Изменение условий. PeopleForce может время от времени обновлять настоящее Соглашение об обработке персональных данных, чтобы отразить:
    (a) изменения, необходимые для соблюдения действующих законов и нормативных требований; или
    (b) технологические и организационные обновления, направленные на повышение качества и безопасности Продукта;
    при условии, что такие обновления не приводят к существенному снижению уровня защиты Персональных данных Клиента, установленного настоящим Соглашением об обработке персональных данных.
    Любая обновлённая версия Соглашения об обработке персональных данных публикуется на веб-сайте PeopleForce и, если не указана более поздняя дата вступления в силу, является обязательной для всех Клиентов с даты публикации.
  2. Обновления, осуществлённые в соответствии с настоящим Разделом, не отменяют индивидуально согласованные условия подписанного Соглашения об обработке персональных данных между PeopleForce и конкретным Клиентом. Если обновления затрагивают такие индивидуально согласованные условия, Клиент может в течение четырнадцати (14) дней с момента получения уведомления об обновлениях обратиться в Юридический отдел PeopleForce по адресу security@peopleforce.io с просьбой об:
    (a) внесении изменений в подписанное Соглашение об обработке персональных данных; или
    (b) замене действующего Соглашения об обработке персональных данных на обновлённую версию, опубликованную PeopleForce.
    Если Клиент не заявит возражений в установленный выше срок, отсутствие возражения считается согласием Клиента с обновлённой версией Соглашения об обработке персональных данных.
  3. Стороны соглашаются, что ответственность Обработчика перед Контролером данных возникает в результате доказанного прямого или косвенного нарушения или невыполнения любого обязательства, указанного в настоящем Соглашении, связанного с защитой данных (включая, без ограничений, положения настоящего Соглашения или GDPR) со стороны Обработчика.
  4. Стороны соглашаются, что Обработчик не несет ответственности за действия Контроллера данных, а именно за сбор Контроллером данных и загрузки в системы Обработчика Персональных данных работников, рекрутеров, любых третьих лиц Контроллера данных, включая Персональные данные, которые Контроллер данных собирает из систем, интегрируемых с Платформой Обработчика.
  5. Все сообщения и коммуникации, предоставляемые в рамках настоящего Соглашения, должны быть в письменной форме и направляться по электронной почте на адрес contact@peopleforce.io или на электронный адрес уполномоченного по вопросам защиты персональных данных security@peopleforce.io
  6. Это Соглашение следует читать и толковать в свете положений GDPR. Это Соглашение не должно толковаться способом, противоречащим правам и обязанностям, предусмотренным GDPR, или способом, наносящим ущерб основополагающим правам и свободам Субъектов данных.

    Приложение № 1

Объем доверенных данных

Категории субъектов данных, чьи данные доверяются

Категории данных

Деятельность по обработке данных

Продолжительность обработки данных

Данные сотрудников, волонтёров, агентов, временных и сезонных работников, кандидатов, акционеров, родственников, попечителей и работников субъекта данных, а также экспертов, консультантов и других профессиональных специалистов.

Все персональные данные, которые Контролёр данных и любые пользователи, получившие от него доступ к платформе PeopleForce, загружают в системы Обработчика, включая, в частности, но не ограничиваясь:

контактные и адресные данные, такие как:

– имя и фамилия пользователя;

– адрес электронной почты;

– почтовый адрес;

– номер телефона;

– почтовый индекс;

– адрес проживания или места работы;

– страна/регион;

– дополнительные контактные данные (например, Skype, Telegram и др.);

– иная информация для связи и адресации.

данные, содержащиеся в документах кандидатов, включая резюме, анкеты, тесты, результаты собеседований, такие как:

– резюме кандидатов;

– анкеты, заполненные кандидатами;

– результаты пройденных тестов;

– результаты собеседований.

цели сотрудников, KPI, достижения, результаты периодических оценок, оценочные листы, отзывы,

результаты опросов удовлетворённости рабочим местом и вовлечённости сотрудников;

данные, предоставленные в заявках, обращениях, жалобах, предложениях, включая:

– показатели производительности;

– результаты периодических оценок;

– оценочные листы;

– отзывы;

– результаты опросов по удовлетворённости и вовлечённости сотрудников;

– данные, содержащиеся в заявках, обращениях, жалобах и предложениях.

данные о посещаемости, отсутствиях, отпусках;

данные о заключении и расторжении трудовых отношений;

данные о заработной плате и других аспектах трудоустройства, такие как:

– посещаемость;

– отсутствия;

– отпуска;

– информация о начале и прекращении трудовых отношений;

– данные о выплате заработной платы.

любые иные данные, связанные с трудоустройством или оказанием услуг Контролёру данных, введённые в платформу PeopleForce;

данные, производные от обработки вышеуказанных сведений.

Все действия, которые могут выполняться с персональными данными, независимо от того, осуществляются ли они автоматически или нет, включая сбор, запись, систематизацию, структурирование, хранение, адаптацию или изменение, извлечение, ознакомление, использование, раскрытие посредством передачи, распространения или иного предоставления доступа, сопоставление или объединение, ограничение, удаление или уничтожение данных.

В течение срока действия основного Соглашения.