Цей Договір на обробку даних щодо захисту даних (далі - Угода) укладається між ТОВ «Бінотел», українською компанією, яка знаходиться за адресою вул. Здолбунівська, 7-д., Будинок “Z”, офіс №207, м. Київ, 0208, Україна (“Бінотел”) та Вами (разом із дочірньою компанією) та пов'язаними з вами особами, разом “Компанія”. Далі окремо зі «Стороною» та спільно як «Сторонами». Сторони уклали угоду про надання послуг, "Умови користування" (далі "Основна угода"). Завдяки Основній угоді, Binotel обробляє Персональні дані для Компанії з метою надання запису дзвінків працівників та історії викликів, запису аналітичних даних (час початку та закінчення) виклику, передачі даних до особистого аналітичного облікового кабінету Binotel - My Business. Відповідно до Регламенту ЄС 2016/679 «GDPR», в залежності від ролі Компанії, Binotel буде діяти відповідно: Коли Компанія є Контролером даних, Binotel буде Обробником даних Компанії. Компанія є Контролером Даних, який контролює Персональні дані, збирає згоду, управляє відкликанням згоди, надаючи право доступу до Суб'єктів даних. Binotel - це Обробник даних, який обробляє Персональні дані від імені та за дорученням Компанії (Контролера даних), і Binotel передає Персональні дані Підпроцесору з метою надання Послуг, як зазначено в Основній угоді. Якщо Компанія є обробником даних або Підпроцесором даних, Binotel буде Підпроцесором даних Компанії.
Визначення Слова і фрази, які використовуються в цій Угоді, мають таке значення: Угода - ця Угода про обробку даних і всі додатки до неї. GDPR: Загальний регламент ЄС про захист даних (ЄС) 2016/679 - це положення в законі ЄС про захист даних і конфіденційності для всіх осіб в Європейському союзі. Регламент (ЄС) 2016/679 Європейського парламенту і Ради від 27 квітня 2016 року про захист фізичних осіб стосовно обробки персональних даних та про вільне переміщення таких даних і скасування Директиви 95/46/ЄC (Загальне положення про захист даних). Контролер даних: фізична або юридична особа, державний орган, агентство або інший орган, який самостійно або спільно з іншими визначає цілі і засоби обробки Персональних даних; якщо цілі і засоби такої обробки визначаються законодавством Союзу або держави-члена, Контролер даних або конкретні критерії для його призначення можуть бути передбачені законодавством Союзу або держави-члена. Крім того, Контролер даних контролює Персональні дані, збирає згоду, керує відкликанням згоди, надаючи право доступу до Суб'єктів даних. Обробник даних: фізична або юридична особа, державний орган, агентство або інший орган, який обробляє Персональні дані від імені контролера даних. Крім того, Обробник даних обробляє Персональні дані від імені і за вказівкою Контролера даних. Підпроцесор даних: Процесор, задіяний Процесором даних, для виконання певних операцій обробки від імені Контролера даних. Закон(-и) про захист даних: місцеві і міжнародні нормативні положення і законодавство, що діють у кожній частині світу. Суб'єкт(-и) даних: ідентифікована фізична особа, яка може бути ідентифікована, прямо чи опосередковано, зокрема, за допомогою посилання на такий ідентифікатор як: ім'я, ідентифікаційний номер, дані про місцезнаходження, онлайн ідентифікатор або один чи кілька конкретних факторів фізичної, фізіологічної, генетичної, культурної чи соціальної ідентичності цієї фізичного особи. ЄЕП: Європейський економічний простір. Порушення персональних даних: Порушення безпеки, що приводить до випадкового або незаконного знищення, втрати, зміни, несанкціонованого розкриття або доступу до персональних даних, що передаються, зберігаються або іншим чином обробляються. Персональні дані: будь-яка інформація, що відноситься до теми даних. Обробка даних: будь-яка операція або набір операцій, які виконуються з персональними даними або з наборами Персональних даних, незалежно від того, чи виконуються вони автоматичними засобами, такими як збір, запис, організація, структурування, збереження, адаптація або зміна, пошук, консультація, використання, розкриття шляхом передачі, поширення чи іншого надання, вирівнювання або поєднання, обмеження, видалення або знищення. Інструкції обробки: інструкція (інструкції), встановлена Контролером даних для обробника даних, для обробки даних Персональних даних Суб'єктів даних, з метою обробника даних, надання Послуг Контролеру даних. Постачальник даних: Компанія, контролер (або, якщо це дозволено, процесор), який передає особисті дані в Binotel для надання Послуг Компанії. Стандартні пункти договору:
Ця Угода є частиною Основної угоди між Binotel і Компанією з метою надання Послуг Binotel Компанії, щоб відобразити угоду сторін щодо Обробки даних Персональних даних Підписуючи Угоду, Компанія вступає до цієї Угоди від свого імені і в тій мірі, в якій це вимагається відповідно до застосування законів про захист даних і GDPR, якщо і в тій мірі, в якій Binotel обробляє Персональні дані, які Компанія надає, і тому кваліфікується як Постачальник даних (Дані Контролер, Процесор даних або Підпроцесор даних). В ході надання Послуг Компанії відповідно до Угоди, Binotel може обробляти Персональні дані від імені Компанії, і Сторони погоджуються дотримуватися наступних положень щодо будь-яких Персональних даних, кожна з яких діє розумно і доброчесно.
Binotel обробляє Персональні дані, надані Компанією від імені і відповідно до письмових інструкцій Компанії, якщо інше не передбачено чинним законодавством. При використанні Послуг, що надаються Binotel, Компанія обробляє Персональні дані відповідно до вимог законів про захист даних і GDPR. Щоб уникнути сумнівів, інструкції Підприємства по обробці персональних даних повинні відповідати законам про захист даних і GDPR. Компанія одноосібно відповідає за точність, якість, законність і законність обробки Персональних даних і засобів, за допомогою яких компанія отримала Персональні дані. Предметом обробки персональних даних Binotel є надання і надання Послуг відповідно до Угоди та Основної угодою. Мета обробки, типи Персональних даних і категорії суб'єктів даних, які обробляються за цією Угодою, додатково вказані в Додатку 1 до цієї Угоди. Компанія доручає Binotel виконати частину Обробки. У разі якщо Binotel вважає, що інструкції Компанії суперечать Законам про захист даних і GDPR, Binotel повідомить про це Компанію, і Компанія внесе відповідні зміни в інструкцію. Binotel не вносить ніяких інструкцій по обробці, що суперечать GDPR і законам про захист даних.
Binotel повинен забезпечити, щоб його персонал, який займається обробкою персональних даних, був проінформований про конфіденційність Персональних даних, пройшов відповідну підготовку за своїми обов'язками і уклав письмові угоди про конфіденційність. Binotel гарантує, що такі зобов'язання щодо збереження конфіденційності залишаються в силі після припинення участі персоналу і Угоди. Binotel зобов'язується робити розумні, з комерційної точки зору, заходи для забезпечення надійності будь-якого персоналу Binotel, що займається обробкою персональних даних. Binotel гарантує, що доступ Binotel до Персональних даних обмежений тим персоналом, якому необхідний такий доступ для виконання Угоди. З командою із захисту даних Binotel можна зв'язатися за адресою:privacy@binotel.com
Binotel надає допомогу Компанії в забезпеченні доступу до вилучення, виправлення, видалення в блоці для Персональних даних, які обробляються в Суб'єкта даних, що дозволяє Суб'єктам даних реалізовувати свої права відповідно до GDPR і законів про захист даних. Binotel допомагатиме Компанії у виконанні її зобов'язань по GDPR щодо безпеки обробки, повідомлення про порушення персональних даних та оцінки впливу на захист даних. Binotel зобов'язується негайно інформувати Компанію, дізнавшись про запити, отриманих безпосередньо від Суб'єктів даних та Державних органів, якщо це не суперечить чинному законодавству чи таємниці слідства. Binotel повинен надати інформацію і дані компанії, щоб допомогти компанії в виконанні своїх зобов'язань GDPR. Binotel повинен видалити або повернути всі Персональні дані Компанії відповідно до вимоги, зазначеної в кінці Угоди, якщо це не потрібно для надання Послуг або не потрібно відповідно до чинних законів і правил. Binotel обробляє Персональні дані тільки для надання Компанії Послуг, як описано в Основній угоді. Binotel забезпечує протягом усього часу надання Послуг всебічні гарантії відповідності вимогам GDPR. Binotel повинен ставитися до Особистих даних суворо Конфіденційно, забезпечуючи персоналу персоналізований дозвіл на доступ і безпечну обробку даних. Binotel повинен забезпечити доступність даних і функціональність відновлення для Компанії.
Binotel співпрацює з Державними органами відповідно до вимог GDPR. Binotel має право не виконувати запити про видалення окремих аудіозаписів, якщо цього вимагає чинне законодавство або на вимогу наказу/запиту/рішення/постанови суду або на вимогу уповноваженого органу державної влади. При цьому Binotel повинна надати Клієнту письмове повідомлення про таку вимогу, якщо таке повідомлення не суперечить законній вимозі, не пізніше трьох робочих днів з моменту його отримання. Binotel повинна дозволяти аудиторські перевірки та перевірки, ініційовані інспектором від Компанії, і допомагати її проведенню. Аудит не може бути запитаний більше 2-х разів на рік. За умови попереднього обґрунтованого повідомлення від Компанії в Binotel, призначений інспектор може увійти в кімнату або місце, де Binotel обробляє персональні дані, перевірити всі відповідні записи, процеси і системи, а також скопіювати будь-які відповідні записи, що стосуються безпосередньо Персональних даних Компанії для перевірки відповідності з GDPR і законам про захист даних. Компанія погоджується сплатити всі витрати на всі процеси аудиту, ініційовані Компанією, і процеси аудиту, ініційовані Державними органами в зв'язку з послугами, наданими Компанією Binotel, в тому числі витрати на участь третіх сторін (аудиторів, центрів обробки даних і т. д.) і Binotel (оплата праці персоналу, витрати на відрядження і т. д.). Компанія погоджується з тим, що Binotel повинна об'єднати кілька перевірок в одну перевірку, щоб обмежити будь-який вплив на діяльність Binotel з боку третіх сторін. Binotel зобов'язується в повній мірі співпрацювати і надавати Компанії на її вимогу всю інформацію, необхідну для доведення відповідності зобов'язаннями та зобов'язанням в рамках цієї Угоди.
Binotel повідомляє про прийняття відповідних організаційних та технічних заходів та політик для забезпечення безпеки обробки даних фізичних даних та зберігання достатніх гарантійних стандартів захисту безпеки та безпеки, включаючи заходи, направлені на захист цих даних від випадкового або незаконного знищення або випадкової втрати, змін, несанкціонованого розкриття чи доступу, зокрема, коли Обробка включає передачу Персональних даних по мережах, і виступає проти всіх незаконних форм обробки.
Binotel дотримується Політик і Процедур управління інцидентами безпеки і негайно повідомляє Компанію після того, як їй стане відомо про випадкове або незаконне знищення, втрату, зміну, несанкціоноване розкриття або доступ до Персональних даних, переданих, збережених або іншим чином оброблених Binotel або її Підрозділом або Суб Процесор, про які Binotel дізнається. Binotel докладає всіх розумних зусиль для виявлення причин такого інциденту, пов'язаного з порушенням особистих даних, і робить ті кроки, які Binotel вважає необхідними і розумними, для усунення причини такого інциденту в тій мірі, в якій він знаходиться під контролем Binotel. Зобов'язання викладені в цьому документі, не поширюються на інциденти, викликані Компанією, її системами (Програмне та апаратне забезпечення) або персоналом Компанії.
Компанія погоджується з тим, що Binotel використовує субпроцесори для надання Послуг відповідно до Угоди та Основною угодою. Binotel повинен забезпечити, щоб Cубпроцесори, які беруть участь в обробці персональних даних, могли забезпечити необхідний операційний і технічний рівні для відповідності вимогам GDPR і законів про захист даних. Binotel інформує Компанію про будь-які передбачувані зміни, пов'язані з встановленням чи заміною інших Субпроцесорів, тим самим надаючи Компанії можливість дати згоду або заперечити проти таких змін в письмовому вигляді або в електронній формі. Binotel не може вносити зміни без письмової згоди Компанії. Компанія повністю відшкодує і захистить Binotel від всіх прямих і непрямих збитків, претензій, зборів і витрат, понесених в результаті затримок в погодженні Компанії на зміни Субпроцесорів, запропонованих Binotel.
Компанія повинна відшкодувати та убезпечити Binotel від претензій з боку контролерів даних, процесорів даних, Субпроцесорів даних, суб'єктів даних і/або штрафів, накладених Контролюючим органом, за який Binotel може понести відповідальність, в зв'язку з невиконанням зобов'язань Компанією дотримуватися зобов'язань за цією Угодою та/або Законів про захист даних які застосовуються. Binotel звільняє і захищає Компанію від претензій з боку Контролерів даних, обробника даних, Субпроцесорів даних, Суб'єктів даних та/або штрафів, що накладаються Контролюючим органом, за який Компанія може нести відповідальність, у зв'язку з невиконанням Binotel зобов'язань за цією Угодою та/або Законів про захист даних які застосовуються. Компанія погоджується нести відповідальність за всі витрати, збитки, витрати, що виникли в результаті невиконання Компанією зобов'язань за цією Угодою та/або Законів про захист даних які застосовуються. Компанія несе повну і одноосібну відповідальність за всі збитки, що виникли в результаті недотримання нею Угоди, GDPR і законів про захист даних. Компанія зобов'язується відшкодувати та убезпечити Binotel від всіх витрат, збитків, витрат, пов'язаних з ними. Якщо будь-яка особа, до якої відносяться особисті дані, подає позов про компенсацію Binotel і така вимога пов'язана з недотриманням Компанією положень цієї Угоди, GDPR або Законів про захист даних, Компанія погоджується надавати допомогу і втручатися в захист Binotel після запиту Binotel і відшкодувати Binotel всі витрати, збитки, витрати. Будь-які обмеження відповідальності, узгоджені в іншому місці, не застосовуються до цієї Угоди.
Компанія визнає і погоджується з тим, що Обробник знаходиться в Україні і що надання Компанією Персональних даних для обробки є передачею Персональних даних в Україні. Всі передачі Персональних даних Компанії з Європейського економічного простору, Швейцарії та Сполученого Королівства в країни, які не забезпечують адекватний рівень захисту даних у значенні Законів про захист даних які застосовуються, регулюються Стандартними договірними положеннями. Стандартні пункти договору і Додатки 1 і 2 до Стандартних умов договору, викладені в Додатку 2 до цієї Угоди, включені в цей документ СОД за допомогою цього посилання виключно відповідно до вимог щодо Персональних даних. Виконання цього СОД обома сторонами включає в себе виконання стандартних положень договору щодо обробки персональних даних.
Ця Угода регулюється законами, і будь-який спір щодо виконання або тлумачення цієї Угоди, який не може бути врегульований дружнім чином між Сторонами, передається до суду, який має юрисдикцію в Україні.
Ця Угода набуде чинності в Дату набрання чинності і залишиться в силі незалежно від припинення дії Угоди. За запитом Компанії Binotel повертає або знищує Персональні дані, якщо це не потрібно для надання Послуг або не потрібно відповідно до чинних законів і правил. Якщо від Binotel вимагається збереження Персональних даних, Binotel інформує компанію, і обидві сторони погоджуються співпрацювати для досягнення найкращого можливого рішення для обох сторін. Якщо основна Угода припиняється, термін дії цієї Угоди про обробку даних закінчується автоматично.
Binotel гарантує конфіденційність Персональних даних, переданих за вказівкою Компанії, видаляє або повертає всі Персональні дані Компанії після закінчення надання послуг, пов'язаних з обробкою, і видаляє існуючі копії, якщо який-небудь закон не вимагає зберігання Персональних даних; за умови, однак, що Binotel може зберігати Персональні дані протягом строку дії терміну давності в цілях пред'явлення або захисту претензій. Binotel погоджується дозволяти і ініціювати проведення перевірок відповідно до статті 6 цієї Угоди.
У разі суперечності між положеннями цієї Угоди і положеннями Основного угоди щодо обробки та захисту даних переважну силу мають положення цієї Угоди. За винятком випадків, коли вони явно змінені в цьому документі, всі умови Угоди залишаються в повній силі і дії. На посвідчення чого Сторони уклали цю угоду про обробку даних, що діє на Дату набрання ним чинності.
У цьому Додатку 1 містяться деякі подробиці Обробки Персональних Даних Компанії, як того вимагає стаття 28 (3) GDPR.
Предмет і тривалість Обробки Персональних даних Компанії викладені в Основній угоді і цій Угодою.
Метою обробки Персональних даних є надання Послуг відповідно до вимог Компанії. Характер такої обробки пов'язаний з цими цілями і докладно описаний в цьому Додатку і Основній угоді
Типи оброблюваних Персональних даних Компанії зазвичай включають: біографічні дані, такі як: ім'я та прізвище; контактна інформація, номер телефону, адреса електронної пошти; метадані про виклики, такі як імена тих хто здійснює і отримує виклики, час затримки, час і дата виклику і т. д.; аудіо-записи бізнес-розмов і будь-яка особиста інформація, яка може бути включена в записи розмов.
Передані Персональні дані будуть піддаватися обробці з метою надання Послуг Компанії.
Рішення Комісії C (2010) 593 Стандартні договірні умови (процесори). Для цілей Статті 26 (2) Директиви 9546/ЄC про передачу персональних даних обробникам, встановленим в третіх країнах, які не забезпечують адекватний рівень захисту даних. Компанія, яку визначено в Угоді (як «Експортер даних»), і Binotel, яку визначено в Додатку (як «Імпортер даних») кожна «Сторона»; разом «Сторони», ПОГОДИЛИСЯ про наступні пункти Угоди («Пункти»), щоб забезпечити адекватні гарантії щодо захисту Конфіденційності та основних прав і свобод окремих осіб для передачі експортером даних імпортеру даних Персональних даних, зазначених у Додатку 1.
(A) «Персональні дані», «спеціальні категорії даних», «процес/обробка», «контролер», «обробник», «суб'єкт даних» і «контролюючий орган» повинні мати те ж значення, що і в Директиві 95/46/ЄС Європейського парламенту та Ради від 24 жовтня 1995 року про захист фізичних осіб стосовно обробки персональних даних та про вільне переміщення таких даних;
(B) «Експортер даних» означає контролера, який передає персональні дані;
(C) «Імпортер даних» означає обробник, який погоджується отримувати від експортера даних особисті дані, призначені для обробки від його імені після передачі відповідно до його інструкцій і умов пунктів, і який не підпадає під дію третьої країни система, що забезпечує адекватний захист в значенні Статті 25 (1) Директиви 95/46 / ЄС;
(D) «Підпроцесор» означає будь-який процесор, задіяний імпортером даних або будь-яким іншим під-процесором імпортера даних, який згоден отримувати від імпортера даних або від будь-якого іншого підпроцесора імпортера даних персональні дані, призначені виключно для операцій обробки, які можуть бути здійснюється від імені експортера даних після передачі відповідно до його інструкцій, умовами пунктів і умовами письмового субпідряду;
(E) «Який можна застосовувати закон про захист даних» означає законодавство, що захищає основні права і свободи людей і, зокрема, їх право на недоторканність приватного життя стосовно обробки персональних даних, яке застосовується до контролера даних в державі-члені, в якому експортер даних встановлено;
(F) «Технічні та організаційні заходи безпеки» означають заходи, спрямовані на захист особистих даних від випадкового або незаконного знищення чи випадкової втрати, зміни, несанкціонованого розкриття або доступу, зокрема, коли обробка включає передачу даних по мережі, а також всі інші незаконні форми обробки.
Деталі передачі і, зокрема, спеціальні категорії персональних даних, де це може бути застосовано, вказані в Додатку 1, який є невід'ємною частиною пунктів.
1. Суб'єкт даних може примусово застосувати щодо експортера даних цей пункт: пункти 4 (b) - (i), пункти 5 (a) - (e) і (g) - (j), пункт 6 (1) і (2 ), пункт 7, пункт 8 (2) і пункти 9-12 в якості стороннього бенефіціара.
2. Суб'єкт даних може застосувати щодо імпортера даних цей пункт: пункти 5 (а) - (е) і (g), пункт 6, пункт 7, пункт 8 (2) і пункти 9-12, у випадках, коли експортер даних фактично зник або припинив своє існування відповідно до закону, якщо жодна особа-правонаступник не прийняла на себе всі юридичні зобов'язання експортера даних відповідно до договору або в силу закону, в результаті чого вона бере на себе права та обов'язки експортера даних, в цьому випадку суб'єкт даних може примусово застосувати їх до такої сутності.
3. Суб'єкт даних може застосувати щодо підпроцесора цей пункт: пункти 5 (а) - (е) і (g), пункт 6, пункт 7, пункт 8 (2) і пункти 9-12, у випадках, коли обидва експортер даних і імпортер даних фактично зникли або припинили своє існування відповідно до закону або стали неплатоспроможними, якщо жоден із правонаступників не прийняв на себе всі юридичні зобов'язання експортера даних відповідно до договору або в силу закону, в результаті чого він бере на себе права та обов'язки експортера даних, і в цьому випадку суб'єкт даних може примусово застосувати їх до такої організації. Така відповідальність субпроцесора перед третьою стороною обмежується його власними операціями обробки відповідно до пунктів.
4. Сторони не заперечують проти того, щоб суб'єкт даних представлявся асоціацією або іншим органом, якщо суб'єкт даних явно цього бажає і якщо це дозволено національним законодавством.
Експортер даних погоджується і гарантує:
(A) Що обробка, включаючи саму передачу персональних даних, була і буде тривати, на підставі відповідних положень закону про захист даних який застосовується (і, де це може бути застосовано, була доведена до відома відповідного повноваження держави-члена, в якому встановлений експортер даних) і чи не порушує відповідні положення цієї держави;
(B) Що він дав вказівку і протягом всього терміну служби обробки персональних даних буде інструктувати імпортера даних обробляти персональні дані, що передаються тільки від імені експортера даних, і відповідно до чинного законодавства про захист даних і пунктами;
(C) Що імпортер даних надасть достатні гарантії щодо технічних і організаційних заходів безпеки, зазначених в Додатку 2 до цього контракту;
(D) Що після оцінки вимог застосовного закону про захист даних заходів безпеки є придатними для захисту особистих даних від випадкового або незаконного знищення або випадкової втрати, зміни, несанкціонованого розкриття або доступу, зокрема, коли обробка включає передачу даних по мережі і проти всіх інших незаконних форм обробки, і що ці заходи забезпечують рівень безпеки, відповідний ризикам, пов'язаним з обробкою, і характером даних, що підлягають захисту, з урахуванням рівня техніки і вартість їх реалізації;
(E) Що він забезпечить дотримання заходів безпеки;
(F) Що, якщо передача включає спеціальні категорії даних, суб'єкт даних був проінформований або буде проінформований до або якомога швидше після передачі, що його дані можуть бути передані третій країні, що не забезпечує належний захист в межах значення Директиви 95/46/ЄС;
(G) Пересилати будь-яке повідомлення, отримане від імпортера даних або будь-якого підпроцесора відповідно до пункту 5 (b) і пункту 8 (3), органу з нагляду за захистом даних, якщо експортер даних вирішить продовжувати передачу, що скасовує призупинення;
(H) Надавати суб'єктам даних на замовлення повну копію Пунктів, за винятком Додатка 2, і короткий опис заходів безпеки, а також копію будь-якого контракту на послуги субобробки, який повинен бути зроблений відповідно до пунктів, якщо тільки пункти або контракт не містять комерційну інформацію, і в цьому випадку він може видалити таку комерційну інформацію;
(I) Що, в разі додаткової обробки, процес обробки виконується відповідно до пункту 11 підпроцесором, що забезпечує, щонайменше, такий же рівень захисту персональних даних і прав суб'єкта даних, що і імпортер даних відповідно до пунктів; а також
(J) Що він забезпечить дотримання пункту 4 (a) - (i).
Імпортер даних погоджується і гарантує:
(А) Обробляти персональні дані лише від імені експортера даних і відповідно до його інструкцій і пунктів; якщо він не може забезпечити таку відповідність з яких-небудь причин, він погоджується негайно проінформувати експортера даних про свою нездатність виконати, і в цьому випадку експортер даних має право призупинити передачу даних і/або розірвати договір;
(B) Що у нього немає підстав вважати, що до нього застосовується законодавство не дозволяє йому виконувати інструкції, отримані від експортера даних, і його зобов'язання за контрактом, і що в разі зміни цього законодавства, яке може мати значний несприятливий вплив на гарантії і зобов'язання , передбачені в пунктах, він буде негайно повідомляти про зміну експортера даних, як тільки він дізнається, і в цьому випадку експортер даних має право призупинити передачу даних і/або розірвати договір;
(C) Що воно прийняло технічні та організаційні заходи безпеки, зазначені в Додатку 2, до обробки переданих персональних даних;
(D) Що він негайно повідомить експортера даних про: (1). будь-який юридично зобов'язуючий запит на розкриття персональних даних правоохоронним органом, якщо інше не заборонено, наприклад, заборона кримінальним законодавством зберігати конфіденційність розслідування правоохоронних органів. (2) будь-який випадковий або несанкціонований доступ. (3) будь-який запит, отриманий безпосередньо від суб'єктів даних без відповіді на цей запит, якщо тільки він не був уповноважений на це;
(E) Оперативно і належним чином обробляти всі запити від експортера даних, що стосуються його обробки персональних даних, що підлягають передачі, і виконувати рекомендації наглядового органу щодо обробки переданих даних;
(F) На вимогу експортера даних показати свої засоби обробки даних для аудиту операцій з обробки, які охоплюються пунктами, які повинні виконуватися експортером даних або інспекційним органом, що складається з незалежних членів і володіє необхідним фахівцем кваліфікації, пов'язані обов'язком конфіденційності, вибрані експортером даних, де це може бути застосовано, за погодженням з наглядовим органом;
(G) Надавати суб'єкту даних на замовлення повну копію пунктів або будь-якого існуючого договору на субобробку, якщо тільки пункти або договір не містять комерційну інформацію, і в цьому випадку він може видалити таку комерційну інформацію, за винятком Додаток 2, яке повинно бути замінено коротким описом заходів безпеки в тих випадках, коли суб'єкт даних не може отримати копію від експортера даних;
(H) Що в разі додаткової обробки він раніше поінформував експортера даних і отримав свою попередню письмову згоду;
(I) Що послуги обробки субпроцесором будуть виконуватися відповідно до пункту 11;
(J) Негайно відправити копію будь-якої угоди про субпроцесора, яка складається відповідно до пунктів, експортеру даних.
1. Сторони погоджуються, що будь-який суб'єкт даних, якому було завдано збитків в результаті будь-якого порушення будь-якої сторони або підпроцесора зобов'язань, зазначених в пункті 3 або в пункті 11, має право на отримання компенсації від експортера даних за завдані збитки.
2. Якщо суб'єкт даних не може пред'явити вимогу про відшкодування відповідно до пункту 1 проти експортера даних в результаті порушення імпортером даних або його субпроцесором будь-якого з їхніх зобов'язань, зазначених в пункті 3 або в пункті 11, оскільки експортер даних фактично зник або припинив своє існування відповідно до законодавства або став неплатоспроможним, імпортер даних погоджується з тим, що суб'єкт даних може подати позов проти імпортера даних, як якщо б він був експортером даних, якщо тільки суб єкт-наступник не прийняв всі юридичні зобов'язання експортера даних за договором або в силу закону, і в цьому випадку суб'єкт даних може забезпечити свої права щодо такої особи. Імпортер даних не може покладатися на порушення субпроцесором своїх зобов'язань щоб уникнути своїх власних зобов'язань.
3. Якщо суб'єкт даних не може подати позов проти експортера даних або імпортера даних, зазначених у пунктах 1 і 2, в результаті порушення під-процесором будь-якого зі своїх зобов'язань, зазначених в пункті 3 або в пункті 11, оскільки як експортер даних, так і імпортер даних фактично зникли або перестали існувати згідно із законом або стали неплатоспроможними, підпроцесор погоджується з тим, що суб'єкт даних може подати позов проти підпроцесора даних щодо його власних операцій обробки відповідно до пунктів, як якщо б це був експортер даних або імпортер даних, за винятком випадків, коли будь-який суб'єкт-правонаступник прийняв на себе повні юридичні зобов'язання експортера даних або імпортера даних за контрактом або в силу закону, і в цьому випадку суб'єкт даних може застосувати свої права щодо такого суб'єкта. Відповідальність субпроцесора обмежується його власними операціями обробки відповідно до пунктів.
1. Імпортер даних погоджується з тим, що, якщо суб'єкт даних посилається на права третіх сторін-бенефіціарів та/або вимагає компенсації за збитки відповідно до положень, імпортер даних прийме рішення суб'єкта даних:
(А) Передати спір на посередництво, незалежною особою або, у разі необхідності, наглядовим органом;
(B) Передати спір до суду в державі-члені, в якому встановлений експортер даних.
2. Сторони погоджуються, що вибір, зроблений суб'єктом даних, не завдасть шкоди його матеріальним або процесуальним правам на пошук засобів правового захисту відповідно до інших положень національного або міжнародного права.
1. Експортер даних погоджується здати копію цього договору до контролюючого органу на його прохання або якщо така передача потрібна відповідно до чинного законодавства про захист даних.
2. Сторони погоджуються, що наглядовий орган має право проводити аудит імпортера даних і будь-якого субпроцесора, який має таку ж область застосування і підпорядковується тим же умовам, які застосовуються до аудиту експортера даних відповідно до закону який застосовується про захист даних.
3. Імпортер даних повинен негайно проінформувати експортера даних про існування законодавства яке до нього застосовується або будь-якого підпроцесора, що перешкоджає проведенню аудиту імпортера даних або будь-якого підпроцесора відповідно до пункту 2. У такому випадку експортер даних повинен мати право вживати заходів, передбачених в пункті 5 (b).
Положення регулюються законодавством держави-члена, в якому створено експортера даних.
Сторони зобов'язуються не змінювати пункти. Це не заважає сторонам додавати пункти з питань, пов'язаних з бізнесом, де це необхідно, якщо тільки вони не суперечать Угоді.
1. Імпортер даних не повинен укладати субдоговір на будь-які зі своїх операцій обробки, виконуваних від імені експортера даних відповідно до пунктів, без попередньої письмової згоди експортера даних. Якщо імпортер даних укладає субпідрядні зобов'язання по пунктах за згодою експортера даних, він робить це тільки за допомогою письмової угоди з субпроцесором, яке накладає на субпроцесора ті ж зобов'язання, що й імпортеру даних відповідно до Законів. Якщо субпроцесор не виконує свої зобов'язання щодо захисту даних відповідно до такої письмової угоди, імпортер даних залишається повністю відповідальним перед експортером даних за виконання зобов'язань субпроцесора за такою угодою.
2. У попередньому письмовому договорі між імпортером даних і підпроцесором також передбачається положення про третю сторону-бенефіціара, викладене в пункті 3, для випадків, коли суб'єкт даних не може пред'явити вимогу про компенсацію, про який йдеться в пункті 1 Пункт 6 проти експортера даних або імпортера даних, тому що вони фактично зникли або перестали існувати в законі або стали неплатоспроможними, і жодна особа-правонаступник не прийняла на себе всі юридичні зобов'язання експортера даних або імпортера даних за контрактом або в силу закону, така відповідальність субпроцесора перед третьою стороною обмежується його власними операціями обробки відповідно до пунктів.
3. Положення, що стосуються аспектів захисту даних для додаткової обробки контракту, згаданого в пункті 1, регулюються законодавством держави-члена, в якому створено експортера даних.
4. Експортер даних повинен вести список угод про додаткову обробку, укладених відповідно до пунктів і повідомлених імпортером даних відповідно до пункту 5 (j), який повинен оновлюватися не рідше одного разу на рік. Список повинен бути доступний органу нагляду за захистом даних експортера даних.
1. Сторони погоджуються, що в разі припинення надання послуг по обробці даних імпортер даних і субпроцесор за вибором експортера даних повертають всі передані особисті дані і їх копії експортеру даних або знищують всі персональні дані і засвідчують, що це було зроблено експортерами даних, якщо тільки законодавство, що накладається на імпортера даних, не забороняє йому повертати або знищувати все або частину переданих персональних даних. У цьому випадку імпортер даних гарантує, що він буде гарантувати конфіденційність персональних даних і не буде активно обробляти передані персональні дані.
2. Імпортер даних і підпроцесор гарантують, що за запитом експортера даних та/або контролюючого органу вони нададуть свої засоби обробки даних для перевірки заходів, згаданих в пункті 1.
Вступаючи в Стандартні пункти договору, відповідно до розділу 12.1 Угоди, вважається, що сторони підписали цей Додаток 1. Експортер даних. Експортером даних є Компанія, як це визначено в Угоді. Імпортер даних Імпортером даних є Binotel, як визначено в Угоді. Предмети даних Категорії Суб'єктів даних, до яких відносяться Персональні дані Компанії, включають співробітників і клієнтів Компанії. Категорії даних, типи оброблюваних Персональних даних Компанії зазвичай включають: біографічні дані, такі як: ім'я та прізвище; контактна інформація, така як номер телефону та адресу електронної пошти; метадані про дзвінки; будь-яка особиста інформація, яка може бути включена в запису розмов. Обробка операцій. Передані Персональні дані будуть піддаватися обробці з метою надання Послуг Компанії.
Вступаючи в Стандартні пункти договору, відповідно до Розділу 12.1 Доповнення, вважається, що сторони підписали цей Додаток 2. Опис технічних і організаційних заходів безпеки, вжитих імпортером даних відповідно до пунктів 4 (d) і 5 (c) (або прикладеним документом/законодавством): Імпортер даних впровадив і буде підтримувати технічні та організаційні заходи безпеки, щоб забезпечити рівень безпеки, відповідний ризику, включаючи, в разі необхідності, заходи, зазначені в статті 32 (1) GDPR. Організаційні гарантії Binotel визначають, як його співробітники виконують свої обов'язки. З превентивної точки зору Binotel підтримує план інформаційної безпеки з контролем версій, який використовується в якості частини навчання співробітників безпеки. Binotel практикує «поділ обов'язків» серед своїх співробітників, щоб гарантувати, що кожен співробітник має тільки необхідні привілеї, необхідні для виконання своєї роботи. Binotel виявляє організаційні заходи обережності, включаючи оцінку управління ризиками для перевірки ефективності кожної заходи захисту. Крім того, фонові розслідування передбачуваних співробітників і реалізація докладного процесу звільнення співробітників гарантують, що схильність до ризику за допомогою практики найму та звільнення добре контролюється. Що стосується технічних гарантій, Binotel використовує кілька технологій для зниження уразливості. Binotel використовує захищені системи, зокрема ОС Linux. І нарешті, Binotel використовує як аутентифікацію при вході в систему, так і контроль доступу користувачів, щоб гарантувати, що скористатися перевагами підвищеного доступу який затверджений керівництвом і наданий відповідним співробітникам можна тільки за відповідних умов.