Угода про обробку даних

Дата набрання чинності: 1 січня 2025

Вступ

Ця Угода про Обробку Даних ("УОД") доповнює Умови Надання Послуг між RemoteOps ("Процесор") та організацією-підписником ("Контролер"). Ця УОД регулює обробку персональних даних Процесором від імені Контролера у зв'язку з платформою RemoteOps відповідно до статті 28 Загального регламенту захисту даних (GDPR).

Визначення

"Контролер" означає організацію, яка визначає цілі та засоби обробки персональних даних через платформу RemoteOps. "Процесор" означає RemoteOps, який обробляє персональні дані від імені Контролера. "Суб'єкт даних" означає ідентифіковану або ідентифіковану фізичну особу, персональні дані якої обробляються. "Персональні дані" означають будь-яку інформацію, що стосується суб'єкта даних. "Обробка" означає будь-яку операцію, виконувану з персональними даними, включаючи збір, зберігання, витяг, використання, розкриття та видалення.

Обсяг та мета обробки

Процесор обробляє персональні дані виключно з метою надання платформи управління польовим сервісом RemoteOps Контролеру. Категорії суб'єктів даних включають працівників, техніків, диспетчерів та кінцевих клієнтів Контролера. Категорії персональних даних включають імена, адреси електронної пошти, номери телефонів, дані про місцезнаходження (коли активні функції навігації), історію нарядів та метадані дзвінків.

Зобов'язання процесора

Процесор зобов'язується: (a) обробляти персональні дані лише за задокументованими інструкціями Контролера; (b) забезпечити, щоб особи, уповноважені обробляти персональні дані, були пов'язані зобов'язаннями конфіденційності; (c) впровадити належні технічні та організаційні заходи безпеки; (d) не залучати іншого процесора без попередньої письмової згоди Контролера; (e) допомагати Контролеру у відповіді на запити суб'єктів даних; (f) допомагати Контролеру у забезпеченні дотримання зобов'язань GDPR щодо безпеки, повідомлення про порушення та оцінки впливу; (g) видалити або повернути всі персональні дані після припинення угоди; (h) надати всю інформацію, необхідну для демонстрації відповідності цій УОД.

Субпроцесори

Процесор веде перелік затверджених субпроцесорів. Контролер надає загальний дозвіл Процесору залучати субпроцесорів за таких умов: (a) Процесор повідомить Контролера про будь-яке заплановане додавання або заміну субпроцесорів щонайменше за 30 днів; (b) Контролер може заперечити проти нового субпроцесора протягом 14 днів після повідомлення; (c) кожен субпроцесор пов'язаний зобов'язаннями захисту даних не менш суворими, ніж ця УОД.

Права суб'єктів даних

Процесор допомагатиме Контролеру у виконанні зобов'язань щодо відповіді на запити суб'єктів даних згідно зі статтями 15-22 GDPR (доступ, виправлення, видалення, перенесення, обмеження та заперечення). Процесор негайно передасть Контролеру будь-який запит суб'єкта даних, отриманий безпосередньо.

Заходи безпеки

Процесор впроваджує технічні та організаційні заходи, відповідні ризику, включаючи: (a) шифрування персональних даних при передачі (TLS 1.3) та у стані спокою (AES-256); (b) ізоляцію мультиорендних даних, що гарантує відсутність міжорендного доступу до даних; (c) контроль доступу на основі ролей з принципом мінімальних привілеїв; (d) регулярні оцінки безпеки та сканування вразливостей; (e) навчання працівників з питань безпеки; (f) журналювання доступу та аудиторські стежки.

Повідомлення про порушення даних

Процесор повідомить Контролера без невиправданої затримки, і в будь-якому випадку протягом 72 годин, після виявлення порушення персональних даних. Повідомлення включатиме: (a) опис характеру порушення; (b) категорії та приблизну кількість постраждалих суб'єктів даних; (c) ймовірні наслідки порушення; (d) заходи, вжиті або запропоновані для усунення порушення.

Передача даних

Персональні дані зберігаються та обробляються переважно в межах Європейського Союзу. Коли передача за межі ЄС необхідна (наприклад, для конкретних субпроцесорів), Процесор покладається на Стандартні Договірні Клаузули (СДК), затверджені Європейською Комісією, або інші юридично визнані механізми передачі згідно з Главою V GDPR.

Права на аудит

Контролер має право проводити аудити або призначити незалежного аудитора для перевірки відповідності Процесора цій УОД. Аудити вимагають попередження за 30 днів і проводяться в робочий час з мінімальним порушенням роботи. Процесор повністю співпрацюватиме та забезпечить доступ до відповідної документації, систем та об'єктів.

Видалення та повернення даних

Після припинення угоди про надання послуг Процесор, за вибором Контролера, видалить або поверне всі персональні дані протягом 30 днів. Сертифіковане видалення буде завершено протягом 90 днів після припинення. Процесор може зберігати дані лише якщо це вимагається законодавством ЄС або держави-члена та повідомить Контролера про таку вимогу.

Термін дії та припинення

Ця УОД набирає чинності з моменту початку використання платформи RemoteOps Контролером і діє до тих пір, поки Процесор обробляє персональні дані від імені Контролера. Зобов'язання Процесора щодо захисту даних зберігаються після припинення дії цієї УОД.