Угода про обробку даних
Цей Договір на обробку даних щодо захисту даних (далі - Угода) укладається між ТОВ «Бінотел», українською компанією, яка знаходиться за адресою вул. Здолбунівська, 7-д., Будинок "Z", офіс №207, м. Київ, 0208, Україна ("Бінотел") та Вами (разом із дочірньою компанією) та пов'язаними з вами особами, разом "Компанія".

Далі окремо зі «Стороною» та спільно як «Сторонами».

Сторони уклали угоду про надання послуг, "Умови користування" (далі "Основна угода") Завдяки Основній угоді, Binotel обробляє Персональні дані для Компанії з метою надання мобільного додатку для запису дзвінків працівників та історії викликів, запису аналітичних даних (час початку та закінчення) виклику, передачі даних до особистого аналітичного облікового кабінету Binotel - My Business.

Відповідно до Регламенту ЄС 2016/679 «GDPR», в залежності від ролі Компанії, Binotel буде діяти відповідно:

  • Коли Компанія є Контроллером даних, Binotel буде обробником даних Компанії.

  • Компанія є Контроллером Даних, який контролює Персональні Дані, збирає згоду, управляє відкликанням згоди, надаючи право доступу Суб'єктам даних.

  • Binotel - це Оброблювач даних, який обробляє Персональні дані від імені та за дорученням Компанії (Контролера даних), і Binotel передає Персональні дані Під-процесору з метою надання Послуг, як зазначено в Основній угоді.

  • Якщо Компанія є Обробником даних або Під-процесором даних, Binotel буде Під-процесором даних Компанії.

  1. Визначення

    1. Слова і фрази, які використовуються в цій Угоді, мають таке значення:
    2. Угода: цю Угоду про обробку даних і всі додатки до нього.
    3. GDPR: Загальний стан речей ЄС про захист даних (ЄС) 2016/679 - це положення в законі ЄС про захист даних і конфіденційності для всіх осіб в Європейському союзі. Регламент (ЄС) 2016/679 Європейського парламенту і Ради від 27 квітня 2016 року про захист фізичних осіб стосовно обробки персональних даних та про вільне переміщення таких даних і скасування Директиви 95/46 / EC (Загальний стан речей про захист даних).
    4. Контролер даних: фізична або юридична особа, державний орган, агентство або інший орган, який самостійно або спільно з іншими визначає цілі і засоби обробки Персональних даних; якщо цілі і засоби такої обробки визначаються законодавством Союзу або держави-члена, Контролер даних або конкретні критерії для його призначення можуть бути передбачені законодавством Союзу або держави-члена. Крім того, Контролер даних контролює Персональні дані, збирає згоду, управляє відкликанням згоди, надаючи право доступу до Суб'єктам даних.
    5. Оброблювач даних: фізична або юридична особа, державний орган, агентство або інший орган, який обробляє Персональні дані від імені контролера даних. Крім того, Оброблювач даних обробляє Персональні дані від імені і за вказівкою Контролера даних.
    6. Під-процесор даних: Процесор, задіяний Процесором даних, для виконання певних операцій обробки від імені Контролера даних.
    7. Закон(и) про захист даних: місцеві і міжнародні нормативні положення і законодавство, що діють у кожній частині світу.
    8. Суб'єкт(и) даних: дозволяє ідентифікувати вас фізична особа, яка може бути ідентифікована, прямо або побічно, зокрема, за допомогою посилання на такий ідентифікатор, як ім'я, ідентифікаційний номер, дані про місце розташування, онлайновий ідентифікатор або на один або кілька конкретних факторів фізичної, фізіологічної, генетичної, психічної, економічної, культурної або соціальної ідентичності цієї фізичної особи.
    9. ЄЕП: Європейський економічний простір.
    10. Порушення персональних даних: Порушення безпеки, що приводить до випадкового або незаконного знищення, втрати, зміни, несанкціонованого розкриття або доступу до персональних даних, що передаються, зберігаються або іншим чином оброблюваних.
    11. Персональні дані: будь-яка інформація, що відноситься до теми даних.
    12. Обробка даних: Будь-яка операція або набір операцій, які виконуються з персональними даними або з наборами Персональних даних, незалежно від того, чи виконуються вони автоматичними засобами, такими як збір, запис, організація, структурування, збереження, адаптація або зміна, пошук, консультація, використання. розкриття шляхом передачі, поширення чи іншого надання, вирівнювання або поєднання, обмеження, видалення або знищення.
    13. Інструкції обробки: інструкція (інструкції), встановлена Контроллером даних для обробника даних, для обробки даних Персональних даних Суб'єктів даних, з метою обробника даних, надання Послуг Контролеру даних.
    14. Постачальник даних: Компанія, контролер (або, якщо це дозволено, процесор), який передає особисті дані в Binotel для надання Послуг Компанії.
    15. Стандартні пункти договору:
  2. Предмет

    1. Ця Угода є частиною Основного угоди між Binotel і Компанією з метою надання Послуг Binotel Компанії, щоб відобразити угоду сторін щодо Обробки даних Персональних даних
    2. Підписуючи Угоду, Компанія вступає до цієї Угоди від свого імені і в тій мірі, в якій це вимагається відповідно до застосування законів про захист даних і GDPR, якщо і в тій мірі, в якій Binotel обробляє Персональні дані, які Компанія надає, і тому кваліфікується як Постачальник даних (Дані Контролер, процесор даних або Під-процесор даних).
    3. В ході надання Послуг Компанії відповідно до Угоди, Binotel може обробляти Персональні дані від імені Компанії, і Сторони погоджуються дотримуватися наступних положень щодо будь-яких Персональних даних, кожна з яких діє розумно і сумлінно.

  3. Обробка персональних данних

    1. Binotel обробляє Персональні дані, надані Компанією від імені і відповідно до письмових інструкцій Компанії, якщо інше не передбачено чинним законодавством.
    2. При використанні Послуг, що надаються Binotel, Компанія обробляє Персональні дані відповідно до вимог законів про захист даних і GDPR. Щоб уникнути сумнівів, інструкції Підприємства по обробці персональних даних повинні відповідати законам про захист даних і GDPR. Компанія одноосібно відповідає за точність, якість, законність і законність обробки Персональних даних і засобів, за допомогою яких компанія отримала Персональні дані.
    3. Предметом обробки персональних даних Binotel є надання і надання Послуг відповідно до Угоди та Основним угодою. Мета обробки, типи Персональних даних і категорії суб'єктів даних, які обробляються за цією Угодою, додатково вказані в Додатку 1 до цієї Угоди.
    4. Справжнім Компанія доручає Binotel виконати частину Обробки.
    5. У разі якщо Binotel вважає, що інструкції Компанії суперечать Законам про захист даних і GDPR, Binotel повідомить про це Компанію, і Компанія внесе відповідні зміни в інструкції. Binotel не несе ніяких інструкцій по обробці, що суперечать GDPR і законом про захист даних.
  4. Персонал

    1. Binotel повинен забезпечити, щоб його персонал, який займається обробкою персональних даних, був проінформований про конфіденційність Персональних даних, пройшов відповідну підготовку за своїми обов'язками і уклав письмові угоди про конфіденційність. Binotel гарантує, що такі зобов'язання щодо збереження конфіденційності залишаються в силі після припинення участі персоналу і Угоди.
    2. Binotel зобов'язується робити розумні, з комерційної точки зору, заходи для забезпечення надійності будь-якого персоналу Binotel, що займається обробкою персональних даних.
    3. Binotel гарантує, що доступ Binotel до Персональних даних обмежений тим персоналом, якому необхідний такий доступ для виконання Угоди ..
    4. З командою із захисту даних Binotel можна зв'язатися за адресою: privacy@binotel.com
  5. Зобов'язання

    1. Binotel надає допомогу Компанії в забезпеченні доступу до вилучення, виправлення, видалення в блоці для Персональних даних, які обробляються у Суб'єкта даних, що дозволяє Суб'єктам даних здійснювати свої права відповідно до GDPR і законами про захист даних.
    2. Binotel допомагатиме Компанії у виконанні її зобов'язань по GDPR щодо безпеки обробки, повідомлення про порушення персональних даних та оцінки впливу на захист даних.
    3. Binotel зобов'язується негайно інформувати Компанію, дізнавшись про запити, отриманих безпосередньо від Суб'єктів даних та Державних органів.
    4. Binotel повинен надати інформацію і дані компанії, щоб допомогти компанії в виконанні своїх зобов'язань GDPR.
    5. Binotel повинен видалити або повернути все Персональні дані Компанії відповідно до вимоги, зазначеним в кінці Угоди, якщо це не потрібно для надання Послуг або не потрібно відповідно до чинних законів і правилами.
    6. Binotel обробляє Персональні дані тільки для надання Компанії Послуг, як описано в Основному угоді.
    7. Binotel забезпечує протягом усього часу надання Послуг всебічні гарантії відповідності вимогам GDPR.
    8. Binotel повинен ставитися до Особистим даними, строго Конфіденційно, забезпечуючи персоналу персоналізоване дозвіл на доступ і безпечну обробку даних.
    9. Binotel повинен забезпечити доступність даних і функціональність відновлення для Компанії.

  6. Аудит і відовідність

    1. Binotel співпрацюють з Державними органами відповідно до вимог GDPR.
    2. Binotel має право не виконувати запити про видалення окремих аудіозаписів, якщо цього вимагає чинне законодавство або на вимогу наказу / запиту / рішення / постанови суду або на вимогу уповноваженого органу державної влади. При цьому Binotel повинна надати Клієнту письмове повідомлення про таку вимогу, якщо таке повідомлення не суперечить законній вимозі, не пізніше трьох робочих днів з моменту його отримання.
    3. Binotel повинна дозволяти аудиторські перевірки та перевірки, ініційовані інспектором від Компанії, і допомагати її проведення. Аудит не може бути запитаний більше 2-ух раз на рік. За умови попереднього обгрунтованого повідомлення від Компанії в Binotel, призначений інспектор може увійти в кімнати або місця, де Binotel обробляє персональні дані, перевірити всі відповідні записи, процеси і системи, а також скопіювати будь-які відповідні записи, що стосуються безпосередньо Персональних даних Компанії для перевірки відповідності з GDPR і законами про захист даних.
    4. Компанія погоджується сплатити всі витрати на всі процеси аудиту, ініційовані Компанією, і процеси аудиту, ініційовані Державними органами в зв'язку з послугами, наданими Компанією Binotel, в тому числі витрати на участь третіх сторін (аудиторів, центрів обробки даних і т. Д.). ) І Binotel (оплата праці персоналу, витрати на відрядження і т. Д.).
    5. Компанія погоджується з тим, що Binotel повинен об'єднати кілька перевірок в одну перевірку, щоб обмежити будь-який вплив на діяльність Binotel з боку третіх сторін.
    6. Binotel зобов'язується в повній мірі співпрацювати і надавати Компанії на її вимогу всю інформацію, необхідну для доведення відповідності зобов'язаннями та зобов'язаннями в рамках цієї Угоди.
  7. Безпека та захист данних

    1. Binotel повідомляє про прийняття відповідних організаційних та технічних заходів та політик для забезпечення безпеки безпеки обробки даних фізичних даних та зберігання достатніх гарантійних стандартів захисту безпеки та безпеки, включаючи заходи, створені на захист цих даних від випадкового або безпечного знищення або випадкових джерел, змін, несанкціонованого розкриття чи доступу, в приватності, коли Обработка включає передачі Персональних даних по мережах, і виступає проти всіх небезпечних форм.
  8. Порушення персональних данних

    1. Binotel дотримується Політик і Процедур управління інцидентами безпеки і негайно повідомляє Компанію після того, як нам стане відомо про випадковий або незаконне знищення, втрати, зміни, несанкціонованого розкриття або доступу до Персональних даних, переданих, збереженим або іншим чином оброблених Binotel або його Підрозділом або Суб Процесор, про які Binotel дізнається. Binotel докладає всіх розумних зусиль для виявлення причини такого інциденту, пов'язаного з порушенням особистих даних, і робить ті кроки, які Binotel вважає необхідними і розумними, для усунення причини такого інциденту в тій мірі, в якій він знаходиться під контролем Binotel. Зобов'язання, викладені в цьому документі, не поширюються на інциденти, викликані Компанією, її системами (Програмне та апаратне забезпечення) або персоналом Компанії.

  9. Суб-процесор

    1. Компанія погоджується з тим, що Binotel використовує субпроцесори для надання та надання Послуг відповідно до Угоди та Основним угодою. Binotel повинен забезпечити, щоб Cуб-процесори, які беруть участь в обробці персональних даних, могли забезпечити необхідний операційний і технічний рівні для відповідності вимогам GDPR і законів про захист даних.
    2. Binotel інформує Компанію про будь-які передбачувані зміни, пов'язані з встановленням чи заміною інших Суб-процесорів, тим самим надаючи Компанії можливість дати згоду або заперечити проти таких змін в письмовому вигляді або в електронній формі. Binotel не може вносити зміни без письмової згоди Компанії.
    3. Компанія повністю відшкодує і захистить Binotel від всіх прямих і непрямих збитків, претензій, зборів і витрат, понесених в результаті затримок в злагоді Компанії на зміни Суб-процесорів, запропонованих Binotel.

  10. Відповідальність та компенсація

    1. Компанія повинна відшкодувати та убезпечити Binotel від претензій з боку контролерів даних, процесорів даних, Суб-процесорів даних, суб'єктів даних і / або штрафів або штрафів, накладених Контролюючим органом, за який Binotel може понести відповідальність, в зв'язку з невиконанням зобов'язань Компанією. дотримуватися зобов'язань за цією Угодою та / або застосовних Законів про захист даних.
    2. Binotel звільняє і захищає Компанію від претензій з боку Контролерів даних, обробника даних, Суб-процесорів даних, Суб'єктів даних та / або штрафів або штрафів, що накладаються Контролюючим органом, за який Компанія може нести відповідальність, у зв'язку з невиконанням Binotel дотримуватися зобов'язань за цією Угодою і / або застосовних Законів про захист даних.
    3. Компанія погоджується нести відповідальність за всі витрати, збитки, витрати, що виникли в результаті невиконання Компанією зобов'язань за цією Угодою та / або застосовних Законів про захист даних.
    4. Компанія несе повну і одноосібну відповідальність за всі збитки, що виникли в результаті недотримання нею Угоди, GDPR і законів про захист даних. Компанія зобов'язується відшкодувати та убезпечити Binotel від всіх витрат, збитків, витрат, пов'язаних з ними. Якщо будь-яка особа, до якого відносяться особисті дані, подає позов про компенсацію Binotel і таке вимога пов'язана з недотриманням Компанією положень цієї Угоди, GDPR або Законів про захист даних, Компанія погоджується надавати допомогу і втручатися в захист Binotel після запиту Binotel і відшкодувати Binotel всі витрати, збитки, витрати.
    5. Будь-які обмеження відповідальності, узгоджені в іншому місці, не застосовуються до цієї Угоди.
  11. Міжнародний трансфер даних

    1. Компанія визнає і погоджується з тим, що Оброблювач знаходиться в Україні і що надання Компанією Персональних даних для обробки є передачею Персональних даних в Україні.
    2. Всі передачі Персональних даних Компанії з Європейського економічного простору, Швейцарії та Сполученого Королівства в країни, які не забезпечують адекватний рівень захисту даних в значенні яке чинне законодавство про захист даних, регулюються Стандартними договірними положеннями. Стандартні пункти договору і Додатки 1 і 2 до Стандартних умов договору, викладені в Додатку 2 до цієї Угоди, включені в цей документ СОД за допомогою цього посилання виключно відповідно до вимог щодо Персональних даних. Виконання цього СОД обома сторонами включає в себе виконання стандартних положень договору щодо обробки персональних даних.

  12. Право, що застосовується і юрисдикція

    1. Ця Угода регулюється законами, і будь-який спір щодо виконання або тлумачення цієї Угоди, який не може бути врегульований дружнім чином між Сторонами, передається до суду, який має юрисдикцію в Україні.

  13. Тривалість

    1. Ця Угода набуде чинності в Дату набрання чинності і залишиться в силі незалежно від припинення дії Угоди. За запитом Компанії Binotel повертає або знищує Персональні дані, якщо це не потрібно для надання Послуг або не потрібно відповідно до чинних законів і правилами. Якщо від Binotel потрібно збереження Персональних даних, Binotel інформує компанію, і обидві сторони погоджуються співпрацювати для досягнення найкращого можливого рішення для обох сторін. Якщо основне Угода припиняється, термін дії цієї Угоди про обробку даних закінчується автоматично.

  14. Після завершення обробки данних

    1. Binotel shall guarantee the confidentiality of the Personal Data transferred at the direction of the Company, delete or return all the Personal Data to the Company after the end of the provision of services relating to processing, and delete existing copies unless any applicable law requires storage of the Personal Data; provided, however, that Binotel may retain Personal Data for the length of any applicable statutes of limitations for the purposes of bringing or defending claims.
    2. Binotel agrees to allow and to contribute to audits and inspections, subject to Article 6 of this Agreement.

  15. Період пріорітета

    1. У разі суперечності між положеннями цієї Угоди і положеннями Основного угоди щодо обробки та захисту даних переважну силу мають положення цієї Угоди. За винятком випадків, коли вони явно змінені в цьому документі, всі умови Угоди залишаються в повній силі і дії.
    2. На посвідчення чого Сторони уклали цю угоду про обробку даних, що діє на Дату набрання ним чинності.

ДОДАТОК 1


ДЕТАЛІ ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ КОМПАНІЇ

У цьому Додатку 1 містяться деякі подробиці Обробки Персональних Даних Компанії, як того вимагає стаття 28 (3) GDPR.

Предмет і тривалість

Предмет і тривалість Обробки Персональних даних Компанії викладені в Основному угоді і цією Угодою.

Природа і мета обробки

Метою обробки Персональних даних є надання Послуг відповідно до вимог Компанії. Характер такої обробки пов'язаний з цими цілями і докладно описаний в цьому Додатку і Основному угоді

Категорії даних для обробки

Типи оброблюваних Персональних даних Компанії зазвичай включають:

біографічні дані, такі як ім'я та прізвище;

контактна інформація, така як номер телефону та адресу електронної пошти;

метадані про виклики, такі як імена викликають і набирати,, час затримки, час і дата виклику і т. д.;

аудіо-записи бізнес-розмов і будь-яка особиста інформація, яка може бути включена в запису розмов.

Категорії об'єктів даних

Передані Персональні дані будуть піддаватися обробці з метою надання Послуг Компанії.



ДОДАТОК 2


Рішення Комісії C (2010) 593

Стандартні договірні умови (процесори)

Для цілей Статті 26 (2) Директиви 95/46 / EC про передачу персональних даних обробникам, встановленим в третіх країнах, які не забезпечують адекватний рівень захисту даних, Компанія, як визначено в Угоді (як «Експортер даних»), і Binotel, як визначено в Додатку (як «Імпортер даних») кожна «Сторона»; разом «Сторони»,

ПОГОДИЛИСЯ про наступні пункти Угоди ( «Пунктах»), щоб забезпечити адекватні гарантії щодо захисту Конфіденційність і основних прав і свобод окремих осіб для передачі експортером даних імпортеру даних Персональних даних, зазначених у Додатку 1.


Пункт 1

визначення

Для цілей пунктів:

(A) «персональні дані», «спеціальні категорії даних», «процес / обробка», «контролер», «обробник», «суб'єкт даних» і «контролюючий орган» повинні мати те ж значення, що і в Директиві 95/46 / ЄС Європейського парламенту та Ради від 24 жовтня 1995 року про захист фізичних осіб стосовно обробки персональних даних та про вільне переміщення таких даних;

(B) «експортер даних» означає контролера, який передає персональні дані;

(C) «імпортер даних» означає обробник, який погоджується отримувати від експортера даних особисті дані, призначені для обробки від його імені після передачі відповідно до його інструкцій і умовами пунктів, і який не підпадає під дію третьої країни система, що забезпечує адекватний захист в значенні Статті 25 (1) Директиви 95/46 / ЄС;

(D) «під-процесор» означає будь-який процесор, задіяний імпортером даних або будь-яким іншим під-процесором імпортера даних, який згоден отримувати від імпортера даних або від будь-якого іншого під-процесора імпортера даних персональні дані, призначені виключно для операцій обробки, які можуть бути здійснюється від імені експортера даних після передачі відповідно до його інструкцій, умовами пунктів і умовами письмового субпідряду;

(E) «який можна застосовувати закон про захист даних» означає законодавство, що захищає основні права і свободи людей і, зокрема, їх право на недоторканність приватного життя стосовно обробки персональних даних, яке застосовується до контролера даних в державі-члені, в якому експортер даних встановлено ;

(F) «технічні та організаційні заходи безпеки» означають заходи, спрямовані на захист особистих даних від випадкового або незаконного знищення або випадкової втрати, зміни, несанкціонованого розкриття або доступу, зокрема, коли обробка включає передачу даних по мережі, а також проти всі інші незаконні форми обробки.


Пункт 2

Подробиці трансферу даних
Деталі передачі і, зокрема, спеціальні категорії персональних даних, де це може бути застосовано, вказані в Додатку 1, який є невід'ємною частиною пунктів.


пункт 3

Застереження про стороннє бенефіціара

1. Суб'єкт даних може примусово застосувати щодо експортера даних цей пункт, пункти 4 (b) - (i), пункти 5 (a) - (e) і (g) - (j), пункт 6 (1) і (2 ), пункт 7, пункт 8 (2) і пункти 9-12 в якості стороннього бенефіціара.

2. Суб'єкт даних може застосувати щодо імпортера даних справжній пункт, пункти 5 (а) - (е) і (g), пункт 6, пункт 7, пункт 8 (2) і пункти 9-12, у випадках, коли експортер даних фактично зник або припинив своє існування відповідно до закону, якщо жодна особа-правонаступник не прийняло на себе всі юридичні зобов'язання експортера даних відповідно до договору або в силу закону, в результаті чого воно бере на себе права та обов'язки експортера даних, в цьому випадку суб'єкт даних може примусово застосувати їх до такої сущн сти.

3. Суб'єкт даних може застосувати щодо під-процесора цей пункт, пункти 5 (а) - (е) і (g), пункт 6, пункт 7, пункт 8 (2) і пункти 9-12, у випадках, коли обидва експортер даних і імпортер даних фактично зникли або припинили своє існування відповідно до закону або стали неплатоспроможними, якщо жодна із правонаступників не прийняло на себе всі юридичні зобов'язання експортера даних відповідно до договору або в силу закону, в результаті чого воно бере на себе права та обов'язки експортера даних, і в цьому випадку суб'єкт даних може примусово застосувати їх до такої організації. Така відповідальність суб-процесора перед третьою стороною обмежується його власними операціями обробки відповідно до пунктів.

4. Сторони не заперечують проти того, щоб суб'єкт даних представлявся асоціацією або іншим органом, якщо суб'єкт даних явно цього бажає і якщо це дозволено національним законодавством.


пункт 4

Обов'язки експортера даних

Експортер даних погоджується і гарантує:

(A) що обробка, включаючи саму передачу персональних даних, була і буде тривати, на підставі відповідних положень застосовного закону про захист даних (і, де це може бути застосовано, була доведена до відома відповідного повноваження держави-члена, в якому встановлений експортер даних) і чи не порушує відповідні положення цієї держави;

(B) що він дав вказівку і протягом всього терміну служби обробки персональних даних буде інструктувати імпортера даних обробляти персональні дані, що передаються тільки від імені експортера даних, і відповідно до чинного законодавства про захист даних і пунктами;

(C) що імпортер даних надасть достатні гарантії щодо технічних і організаційних заходів безпеки, зазначених в Додатку 2 до цього контракту;

(D) що після оцінки вимог застосовного закону про захист даних заходів безпеки є придатними для захисту особистих даних від випадкового або незаконного знищення або випадкової втрати, зміни, несанкціонованого розкриття або доступу, зокрема, коли обробка включає передачу дані по мережі і проти всіх інших незаконних форм обробки, і що ці заходи забезпечують рівень безпеки, відповідний ризикам, пов'язаним з обробкою, і характером даних, що підлягають захисту, з урахуванням рівня техніки і вартість їх реаліз ації;

(E) що воно забезпечить дотримання заходів безпеки;

(F) що, якщо передача включає спеціальні категорії даних, суб'єкт даних був проінформований або буде проінформований до або якомога швидше після передачі, що його дані можуть бути передані третій країні, що не забезпечує належний захист в межах значення Директиви 95/46 / ЄС;

(G) пересилати будь-яке повідомлення, отримане від імпортера даних або будь-якого під-процесора відповідно до пункту 5 (b) і пунктом 8 (3), органу з нагляду за захистом даних, якщо експортер даних вирішить продовжувати передачу, що скасовує призупинення;

(H) надавати суб'єктам даних на замовлення повну копію Пунктів, за винятком Додатка 2, і короткий опис заходів безпеки, а також копію будь-якого контракту на послуги суб-обробки, який повинен бути зроблені відповідно до пунктів, якщо тільки пункти або контракт не містять комерційну інформацію, і в цьому випадку він може видалити таку комерційну інформацію;

(I) що, в разі додаткової обробки, процес обробки виконується відповідно до пункту 11 під-процесором, що забезпечує, щонайменше, такий же рівень захисту персональних даних і прав суб'єкта даних, що і імпортер даних відповідно до пунктів; а також

(J) що він забезпечить дотримання пункту 4 (a) - (i).



пункт 5

Обов'язки імпортера даних

Імпортер даних погоджується і гарантує:

(А) обробляти персональні дані лише від імені експортера даних і відповідно до його інструкцій і пунктами; якщо він не може забезпечити таку відповідність з яких-небудь причин, він погоджується негайно проінформувати експортера даних про свою нездатність виконати, і в цьому випадку експортер даних має право призупинити передачу даних і / або розірвати договір;

(B) що у нього немає підстав вважати, що до нього застосовується законодавство не дозволяє йому виконувати інструкції, отримані від експортера даних, і його зобов'язання за контрактом, і що в разі зміни цього законодавства, яке може мати значний несприятливий вплив на гарантії і зобов'язання , передбачені в пунктах, він буде негайно повідомляти про зміну експортера даних, як тільки він дізнається, і в цьому випадку експортер даних має право призупинити передачу даних і / або розірвати договір;

(C) що воно прийняло технічні та організаційні заходи безпеки, зазначені в Додатку 2, до обробки переданих персональних даних;

(D) що він негайно повідомить експортера даних про:

(I) будь-юридично зобов'язуючий запит на розкриття персональних даних правоохоронним органом, якщо інше не заборонено, наприклад, заборона кримінальним законодавством зберігати конфіденційність розслідування правоохоронних органів,

(Ii) будь-який випадковий або несанкціонований доступ, і

(Iii) будь-який запит, отриманий безпосередньо від суб'єктів даних без відповіді на цей запит, якщо тільки він не був уповноважений на це;

(E) оперативно і належним чином обробляти всі запити від експортера даних, що стосуються його обробки персональних даних, що підлягають передачі, і виконувати рекомендації наглядового органу щодо обробки переданих даних;

(F) на вимогу експортера даних представити свої кошти обробки даних для аудиту операцій з обробки, які охоплюються пунктами, які повинні виконуватися експортером даних або інспекційним органом, що складається з незалежних членів і володіє необхідним фахівцем кваліфікації, пов'язані обов'язком конфіденційності, вибрані експортером даних, де це може бути застосовано, за погодженням з наглядовим органом;

(G) надавати суб'єкту даних на замовлення повну копію пунктів або будь-якого існуючого договору на суб-обробку, якщо тільки пункти або договір не містять комерційну інформацію, і в цьому випадку він може видалити таку комерційну інформацію, за винятком Додаток 2, яке повинно бути замінено коротким описом заходів безпеки в тих випадках, коли суб'єкт даних не може отримати копію від експортера даних;

(H) що в разі додаткової обробки він раніше поінформував експортера даних і отримав своє попередньої письмової згоди;

(I) що послуги обробки суб-процесором будуть виконуватися відповідно до пункту 11;

(J) негайно відправити копію будь-якої угоди про суб-процесорі, яке воно складає відповідно до пунктів, експортеру даних.



пункт 6

відповідальність

1. Сторони погоджуються, що будь-який суб'єкт даних, якому було завдано збитків в результаті будь-якого порушення будь-якої сторони або під-процесора зобов'язань, зазначених в пункті 3 або в пункті 11, має право на отримання компенсації від експортера даних за завдані збитки,

2. Якщо суб'єкт даних не може пред'явити вимогу про відшкодування відповідно до пункту 1 проти експортера даних в результаті порушення імпортером даних або його суб-процесором будь-якого з їхніх зобов'язань, зазначених в пункті 3 або в пункті 11, оскільки експортер даних фактично зник або припинив своє існування відповідно до законодавства або став неплатоспроможним, імпортер даних погоджується з тим, що суб'єкт даних може подати позов проти імпортера даних, як якщо б він був експортером даних, якщо тільки суб єкт-наступник не прийняв всі юридичні зобов'язання експортера даних за договором або в силу закону, і в цьому випадку суб'єкт даних може забезпечити свої права щодо такої особи.

Імпортер даних не може покладатися на порушення суб-процесором своїх зобов'язань щоб уникнути своїх власних зобов'язань.

3. Якщо суб'єкт даних не може подати позов проти експортера даних або імпортера даних, зазначених у пунктах 1 і 2, в результаті порушення під-процесором будь-якого зі своїх зобов'язань, зазначених в пункті 3 або в пункті 11, оскільки як експортер даних, так і імпортер даних фактично зникли або перестали існувати згідно із законом або стали неплатоспроможними, під-процесор погоджується з тим, що суб'єкт даних може подати позов проти під-процесора даних щодо його власних операцій обробки відповідно до пунктів, як е Чи це був експортер даних або імпортер даних, за винятком випадків, коли будь-який суб'єкт-правонаступник прийняв на себе повні юридичні зобов'язання експортера даних або імпортера даних за контрактом або в силу закону, і в цьому випадку суб'єкт даних може застосувати свої права щодо такого суб'єкта. Відповідальність суб-процесора обмежується його власними операціями обробки відповідно до пунктів.


пункт 7

Посередництво і юрисдикція

1. Імпортер даних погоджується з тим, що, якщо суб'єкт даних посилається на права третіх сторін-бенефіціарів та / або вимагає компенсації за збитки відповідно до положень, імпортер даних прийме рішення суб'єкта даних:

(А) передати спір на посередництво, незалежною особою або, у разі необхідності, наглядовим органом;

(B) передати спір до суду в державі-члені, в якому встановлений експортер даних.

2. Сторони погоджуються, що вибір, зроблений суб'єктом даних, не завдасть шкоди його матеріальним або процесуальних прав на пошук засобів правового захисту відповідно до інших положень національного або міжнародного права.



пункт 8

Співпраця з контролюючими органами

1. Експортер даних погоджується здати копію цього договору до контролюючого органу на його прохання або якщо така передача потрібно відповідно до чинного законодавства про захист даних.

2. Сторони погоджуються, що наглядовий орган має право проводити аудит імпортера даних і будь-якого суб-процесора, який має таку ж область застосування і підпорядковується тим же умовам, які застосовуються до аудиту експортера даних відповідно до застосовуваного закону про захист даних.

3. Імпортер даних повинен негайно проінформувати експортера даних про існування застосовного до нього законодавства або будь-якого під-процесора, що перешкоджає проведенню аудиту імпортера даних або будь-якого під-процесора відповідно до пункту

2. У такому випадку експортер даних повинен мати право вживати заходів, передбачених в пункті 5 (b).


пункт 9
керуючий закон

Положення регулюються законодавством держави-члена, в якому створено експортер даних.



пункт 10
варіація Угоди

Сторони зобов'язуються не змінювати пункти. Це не заважає сторонам додавати пункти з питань, пов'язаних з бізнесом, де це необхідно, якщо тільки вони не суперечать Угоді.


пункт 11

Суб-процесинг

1. Імпортер даних не повинен укладати суб-договір на будь-які зі своїх операцій обробки, виконуваних від імені експортера даних відповідно до пунктів, без попередньої письмової згоди експортера даних. Якщо імпортер даних укладає суб-підрядні зобов'язання по пунктах за згодою експортера даних, він робить це тільки за допомогою письмової угоди з суб-процесором, яке накладає на суб-процесор ті ж зобов'язання, що і імпортеру даних відповідно до Законів. Якщо суб-процесор не виконує свої зобов'язання щодо захисту даних відповідно до такого письмовою угодою, імпортер даних залишається повністю відповідальним перед експортером даних за виконання зобов'язань суб-процесора за такою угодою.

2. У попередньому письмовому договорі між імпортером даних і під-процесором також передбачається положення про третій стороні-бенефіціара, викладене в пункті 3, для випадків, коли суб'єкт даних не може пред'явити вимогу про компенсацію, про який йдеться в пункті 1 Пункт 6 проти експортера даних або імпортера даних, тому що вони фактично зникли або перестали існувати в законі або стали неплатоспроможними, і жодна особа-правонаступник не прийняло на себе всі юридичні зобов'язання експортера даних або імпортування тера даних за контрактом або в силу закону, така відповідальність суб-процесора перед третьою стороною обмежується його власними операціями обробки відповідно до пунктів.

3. Положення, що стосуються аспектів захисту даних для додаткової обробки контракту, згаданого в пункті 1, регулюються законодавством держави-члена, в якому створено експортер даних.

4. Експортер даних повинен вести список угод про додаткову обробку, укладених відповідно до пунктів і повідомлених імпортером даних відповідно до пункту 5 (j), який повинен оновлюватися не рідше одного разу на рік. Список повинен бути доступний органу нагляду за захистом даних експортера даних.


пункт 12

Зобов'язання після припинення обслуговування персональних даних

1. Сторони погоджуються, що в разі припинення надання послуг по обробці даних імпортер даних і суб-процесор за вибором експортера даних повертають все передані особисті дані і їх копії експортеру даних або знищують все персональні дані і засвідчують, що це було зроблено експортерами даних, якщо тільки законодавство, що накладається на імпортера даних, не забороняє йому повертати або знищувати все або частину переданих персональних даних. У цьому випадку імпортер даних гарантує, що він буде гарантувати конфіденційність персональних даних і не буде активно обробляти передані персональні дані.

2. Імпортер даних і під-процесор гарантують, що за запитом експортера даних і / або контролюючого органу вони нададуть свої кошти обробки даних для перевірки заходів, згаданих в пункті 1.



Додаток 1 До стандартний договір

Вступаючи в Стандартні пункти договору, відповідно до розділу 12.1 Угоди, вважається, що сторони підписали цей Додаток 1.

Експортер даних

Експортером даних є Компанія, як це визначено в Угоді.

Імпортер даних

Імпортером даних є Binotel, як визначено в Угоді.

предмети даних

Категорії Суб'єктів даних, до яких відносяться Персональні дані Компанії, включають співробітників і клієнтів Компанії.

категорії даних

Типи оброблюваних Персональних даних Компанії зазвичай включають:

біографічні дані, такі як ім'я та прізвище;

контактна інформація, така як номер телефону та адресу електронної пошти;

метадані про дзвінки;

будь-яка особиста інформація, яка може бути включена в запису розмов.

Обробка операцій

Передані Персональні дані будуть піддаватися обробці з метою надання Послуг Компанії.



Додаток 2 До стандартний договір

Вступаючи в Стандартні пункти договору, відповідно до Розділу 12.1 Додатки, вважається, що сторони підписали цей Додаток 2.

Опис технічних і організаційних заходів безпеки, вжитих імпортером даних відповідно до пунктів 4 (d) і 5 (c) (або прикладеним документом / законодавством):

Імпортер даних впровадив і буде підтримувати технічні та організаційні заходи безпеки, щоб забезпечити рівень безпеки, відповідний ризику, включаючи, в разі необхідності, заходи, зазначені в статті 32 (1) GDPR.

Організаційні гарантії Binotel визначають, як його співробітники виконують свої обов'язки. З превентивної точки зору Binotel підтримує план інформаційної безпеки з контролем версій, який використовується в якості частини навчання співробітників безпеки. Binotel практикує «поділ обов'язків» серед своїх співробітників, щоб гарантувати, що кожен співробітник має тільки необхідні привілеї, необхідні для виконання своєї роботи. Binotel виявляє організаційні заходи обережності, включаючи оцінку управління ризиками для перевірки ефективності кожної заходи захисту. Крім того, фонові розслідування передбачуваних співробітників і реалізація докладного процесу звільнення співробітників гарантують, що схильність до ризику за допомогою практики найму та звільнення добре контролюється.

Що стосується технічних гарантій, Binotel використовує кілька технологій для зниження уразливості. Binotel використовує захищені системи, зокрема ОС Linux. І нарешті, Binotel використовує як аутентифікацію при вході в систему, так і контроль доступу користувачів, щоб гарантувати що скористатися перевагами підвищеного доступу можно тільки з доступу затвердженого керівництвом і наданого відповідним співробітникам.