Настоящее Соглашение об обработке данных является неотъемлемой частью Соглашения. Пользователь в Соглашении несет ответственность («Контролер») за персональные данные. EasySIGN BV является обработчиком Соглашения («Обработчик») персональных данных. После этого обе стороны будут называться контролером или обработчиком.
Принимая во внимание,
Стороны договорились, что Контролер использует Процессор в качестве поставщика программного обеспечения для программного обеспечения для производства графики EasySIGN. Обработчик обрабатывает персональные данные Контролера в контексте исполнения соглашения.
Чтобы Стороны могли осуществлять свои отношения в соответствии с законом, Стороны заключили настоящее Соглашение об обработке данных («DPA») следующим образом:
1. Определения
Для целей настоящего DPA:
«Применимое законодательство о защите данных»
: законодательство, которое защищает основные права и свободы людей и, в частности, их право на неприкосновенность частной жизни в отношении обработки персональных данных, применимое к контролеру и обработчику данных; термин «Применимое законодательство о защите данных» также включает GDPR;
«Контроллер»
: Вышеупомянутый клиент EasySIGN, который в качестве физического или юридического лица самостоятельно или совместно с другими определяет цели и средства Обработки Персональных данных;
«ВВП»
: Регламент (ЕС) 2016/679 Европейского парламента и Совета о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных, вступивший в силу 25 мая 2018 г.;
"Международная организация"
: организация и подчиненные ей органы, деятельность которых регулируется международным публичным правом, или любой другой орган, учрежденный или основанный на соглашении между двумя или более странами;
«Государство-член»
: страна, входящая в Европейский Союз;
"Личные данные"
: любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу (субъекту данных);
«Субъект данных»
: идентифицируемое лицо, которое может быть идентифицировано прямо или косвенно, в частности, с помощью идентификатора, такого как имя, идентификационный номер, данные о местоположении, онлайн-идентификатор или с помощью одного или нескольких элементов, характеризующих физическое, физиологическое, генетическое, психическая, экономическая, культурная или социальная идентичность этого физического лица;
«Нарушение личных данных»
: нарушение безопасности, ведущее к случайному или незаконному уничтожению, потере, изменению, несанкционированному раскрытию или доступу к переданным, сохраненным или иным образом обработанным персональным данным;
«Процесс/Обработка»
: любая операция или набор операций, которые выполняются с Персональными данными или наборами Персональных данных, независимо от того, с помощью автоматизированных средств или нет, например, сбор, запись, организация, структурирование, хранение, адаптация или изменение, извлечение, консультация, использование, раскрытие. путем передачи, распространения или иного предоставления доступа, объединения или комбинации, ограничения, стирания или уничтожения;
«Процессор»
: EasySIGN BV, которая обрабатывает Персональные данные от имени Контролера;
«Соглашение между заказчиком и EasySIGN при входе в Подписка"
: основное соглашение, заключенное между Контролером и Обработчиком, в котором изложены условия предоставления Услуг;
"Сервисы"
: услуги, предоставляемые Обработчиком Контролеру и описанные в разделе «Предмет обработки» в Приложении 1 к настоящему DPA;
«Особые категории персональных данных»
: персональные данные, раскрывающие расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения или членство в профсоюзах; Обработка генетических данных и биометрических данных с целью однозначной идентификации физического лица, данных о здоровье или данных о сексуальной жизни или сексуальной ориентации физического лица;
«Подпроцессор»
: обработчик данных, нанятый Обработчиком, который заявляет о своей готовности получать Персональные данные от Обработчика, предназначенные исключительно для Действия по обработке, которые должны выполняться для Контролера в соответствии с его инструкциями, условиями настоящего DPA и условиями письменной подпрограммы. - соглашение об обработке;
«Надзорный орган»
: независимый государственный орган, созданный государством-членом в соответствии со статьей 51 GDPR;
«Технические и организационные Меры безопасности"
: меры, направленные на защиту Персональных данных от случайного уничтожения или случайной потери, изменения, несанкционированного раскрытия или доступа, в частности, когда Обработка включает передачу данных по сети, а также от всех других незаконных форм Обработки;
Третья страна»
: страна, в отношении которой Европейская комиссия не решила, что эта страна, или территория, или один или несколько определенных секторов в этой стране гарантируют адекватный уровень защиты данных.
2. Детали обработки
Подробная информация о Действиях по обработке, которые Обработчик выполняет для Контролера в качестве обработчика данных, получившего инструкции на этот счет (например, предмет, характер и цель обработки, тип персональных данных и категории субъектов данных) изложены в Приложении 1 к настоящему DPA.
3. Права и обязанности Контролера
Контролер проинструктировал Обработчика и будет продолжать инструктировать Обработчика в течение всего периода обработки данных, для которого была дана инструкция, обрабатывать Персональные данные исключительно для Контролера и в соответствии с Применимым законом о защите данных, Соглашением. между клиентом и EasySIGN при оформлении Подписки, настоящим DPA и инструкциями Контролера. Контролер имеет право и обязан давать Оператору инструкции по Обработке Персональных данных как в целом, так и в отдельных случаях. Инструкции также могут относиться к исправлению, удалению и блокированию Персональных данных. Инструкции обычно даются в письменной форме, если только срочность или другие особые обстоятельства не требуют другой формы (например, устной или электронной). Контролер должен немедленно подтвердить неписаные инструкции в письменной форме. Поскольку выполнение инструкции приводит к затратам для Обработчика, Обработчик должен сначала уведомить Контролера об этих расходах. Обработчик должен выполнить инструкцию только после того, как Контролер подтвердит, что он несет ответственность за расходы, связанные с выполнением этой инструкции.
4. Обязанности Оператора
Процессор будет:
обрабатывать Персональные данные исключительно в соответствии с инструкциями Контролера и от имени Контролера; такие инструкции приводятся в соглашении между клиентом и EasySIGN при заключении подписки, в этом DPA и в иной форме в документированной форме, как указано в статье 3 выше. Это обязательство следовать инструкциям Контролера также распространяется на передачу Персональных данных в третью страну или международную организацию;
немедленно сообщить Контролеру, если Обработчик по какой-либо причине не может выполнить указание Контролера;
обеспечить, чтобы лица, уполномоченные Обработчиком на обработку Персональных данных от имени Контролера, обязуются соблюдать конфиденциальность или что на этих лиц возложена соответствующая обязанность соблюдать конфиденциальность, и что лица, имеющие доступ к Персональным данным, обрабатывают эти Персональные данные. Данные в соответствии с инструкциями Контролера;
внедрить Технические и организационные меры безопасности, соответствующие требованиям Применимого законодательства о защите данных, как указано в Приложении 2, до обработки Персональных данных и обеспечения того, чтобы он предоставлял Контролеру достаточные гарантии в отношении этих технических и организационных мер безопасности;
помогать Контролеру с помощью соответствующих технических и организационных мер, насколько это возможно, для выполнения обязанности контроллера отвечать на запросы об осуществлении прав Субъектов данных в отношении информации, доступа, исправления и удаления, ограничения обработки , уведомление, переносимость данных, подача возражений и автоматизированное принятие решений; поскольку эти осуществимые Технические и организационные меры требуют внесения изменений или изменений в Технические и организационные меры, как указано в Приложении 2, Обработчик информирует Контролера о затратах на реализацию этих дополнительных или измененных технических и организационных мер. Как только Контролер подтвердит, что эти расходы относятся на его счет, Обработчик примет эти дополнительные или измененные Технические и организационные меры, чтобы помочь Контролеру обеспечить выполнение запросов субъектов данных;
предоставлять контролеру всю информацию, необходимую для демонстрации соблюдения обязательств, изложенных в этом DPA и статье 28 GDPR, а также разрешать и участвовать в проверках, включая проверки, проводимые контролером или другим аудитором, уполномоченным контролером. Контролер осознает, что личные проверки и проверки на месте могут значительно нарушить деловые операции Обработчика данных, стоить много денег и отнимать много времени. Соответственно, Контролер может проводить аудит лично и на месте только в том случае, если он возмещает расходы, понесенные Обработчиком в связи с нарушением его хозяйственной деятельности;
уведомить Контролера без ненужной задержки:
i.
о любом юридически обязывающем запросе на раскрытие Персональных данных правоохранительным органом, если это уведомление не запрещено иным образом, например, запретом в соответствии с уголовным законодательством на сохранение конфиденциальности расследования правоохранительных органов;
II.
жалоб и запросов, полученных непосредственно от Субъектов данных (например, жалоб и запросов, связанных с доступом, исправлением, удалением, ограничением обработки, уведомлением, переносимостью данных, возражениями против обработки данных и автоматическим принятием решений) без дальнейшего рассмотрения этого запроса если иное не уполномочено на это;
III.
если Обработчик обязан на основании законодательства ЕС или законодательства государства-члена, которое к нему применяется, обрабатывать Персональные данные, выходящие за рамки инструкций Контролера, до выполнения этой обработки за пределами этой сферы, если только законодательство или законодательство ЕС этого государства-члена запрещает эту информацию по веским причинам, представляющим общественный интерес; в уведомлении должно быть указано законодательное требование в соответствии с этим законодательством ЕС или законодательством государства-члена;
внутривенно
если, по мнению Обработчика, инструкция противоречит Применимому закону о защите данных; если он дает такое уведомление, обработчик не обязан следовать инструкции, если и до тех пор, пока Контролер не подтвердит или не изменит ее; а также
v.
как только Оператору станет известно о Нарушении Персональных Данных, в течение не более 24 часов. В случае такого нарушения Персональных данных Обработчик должен помочь Контролеру по письменному запросу Контроллера в выполнении его обязанности в соответствии с Применимым законодательством о защите данных сообщить о нарушении Субъектам данных или Надзорному органу и задокументировать нарушение Персональных данных. . Контактные данные, относящиеся к отчету, фиксируются в системе обслуживания клиентов. Контактные лица указаны в приложении к настоящему договору;
помогать Контролеру в оценке воздействия на защиту данных в соответствии со статьей 35 Общего регламента по защите данных в отношении Услуг, предоставляемых Обработчиком Контролеру, и Персональных данных, которые Обработчик обрабатывает для Контролера;
решать все вопросы Контролера, связанные с его Обработкой Персональных данных (например, чтобы Контролер мог оперативно реагировать на жалобы или запросы Субъектов данных) и выполнять рекомендации Контролирующего органа по обработке переданных данные;
если он обязан и требует исправить, удалить и/или заблокировать Персональные данные, которые обрабатываются в соответствии с настоящим DPA, сделайте это немедленно. Если и поскольку Персональные данные не могут быть удалены из-за установленных законом требований к хранению данных, Обработчик вместо удаления соответствующих Персональных данных должен ограничить дальнейшую Обработку и/или использование Персональных данных или удалить соответствующее удостоверение личности из Персональных данных. ("блокировка"). Если такое обязательство по блокировке применяется к Обработчику, Обработчик должен удалить соответствующие Персональные данные не позднее последнего дня календарного года, в котором заканчивается период хранения.
5. Подобработка
Контролер дает разрешение на использование Субобработчиков, нанятых Обработчиком для предоставления Услуг. Контролер дает свое одобрение Субобработчику(ам) в отношении:
Веб-киты
Интернет-магазин Woocommerce
Hubspot
CRM
Copernica
CRM
Лидер группы
CRM
U-цифровой
Поставщик маркетинговых услуг
Hotjar
Инструмент записи поведения в Интернете
Mollie
Поставщик платежных услуг
Точный онлайн
Облачная бухгалтерия
Автоматизация сервиса Libra
Поставщик компьютерных услуг
Microsoft Офис 365
Облачная электронная почта и электронные таблицы
Вибу
Облачный менеджер лицензий
Google
Google Analytics
С этими сторонами заключены предоставленные ими соглашения об обработке.
В случае, если Обработчик намеревается привлечь новых или более Субобработчиков, Обработчик должен убедиться, что «Политика конфиденциальности» EasySIGN (https://www.easysign.com/about-us/privacy-policy/) обновляется. Контролер обеспечивает периодическое ознакомление с «Политикой конфиденциальности» EasySIGN. Если у Контролера есть разумные основания возражать против использования новых или нескольких Субобработчиков, Контролер должен немедленно уведомить обработчика в письменной форме в течение 14 дней с момента получения Уведомления Субобработчика. В случае, если Контролер возражает против нового или другого Субобработчика, и такое удержание не является необоснованным, обработчик приложит разумные усилия, чтобы внести изменения в Услуги, доступные Контролеру, или порекомендовать коммерчески обоснованное изменение в конфигурации Контроллера или использование Контроллером Услуг для предотвращения Обработки Персональных данных новым или другим Субобработчиком, против которого были сделаны возражения, без возложения необоснованного бремени на Контролера. Если Обработчик не может сделать это изменение доступным в течение разумного периода времени, который не превышает шестидесяти (60) дней, Контролер может прекратить действие соответствующей части затронутой части «Положений и условий» (https://www.easysign.com/about-us/general-terms-and-conditions/), однако, только в отношении тех Услуг, которые не могут быть предоставлены Обработчиком без использования нового или другого Субобработчика, против которого было сделано возражение посредством письменного уведомления Обработчика.
Обработчик по договору возлагает на всех Субобработчиков такое же обязательство по защите данных, которое включено в настоящий DPA. Соглашение между Обработчиком и Субобработчиком должно, в частности, давать адекватные гарантии реализации Технических и организационных мер безопасности, как указано в Приложении 2, поскольку эти Технические и организационные меры безопасности важны для услуг, предоставляемых Субобработчиком. .
Процессор выбирает субпроцессора с особой тщательностью.
Если такой субобработчик находится в третьей стране, обработчик по письменному запросу контролера должен заключить типовой договор ЕС (контроллер > обработчик) от имени контролера (от имени контролера) в соответствии с решением Комиссии. 2010/87/ЕС. В этом случае Контролер инструктирует и уполномочивает Обработчика давать инструкции Субобработчикам от имени Контролера и обеспечивать соблюдение всех прав Контролера в отношении Субобработчиков в соответствии с типовым договором ЕС.
Обработчик несет ответственность перед Контролером за выполнение обязательств Субобработчика, если этот Субобработчик не выполняет свои обязательства. Тем не менее, Обработчик не несет ответственности за любой ущерб/убыток и претензии, возникающие в связи с инструкциями Контроллера для Субобработчиков.
6. Ограничение ответственности
Вся ответственность, вытекающая из настоящего DPA или связанная с ним, вытекает и регулируется исключительно положениями об ответственности, изложенными или иным образом применимыми к «Положениям и условиям». Следовательно, и для целей расчета пределов ответственности и/или определения применения других ограничений ответственности любая ответственность, возникающая в соответствии с настоящим DPA, считается возникающей в соответствии с соответствующими «Положениями и условиями».
7. Срок действия и прекращение действия
Срок действия настоящего DPA равен сроку действия соответствующих «Положений и условий». Если иное не предусмотрено в настоящем Соглашении, права и обязанности в отношении расторжения являются такими же, как те, которые изложены в соответствующих «Положениях и условиях».
Обработчик по первому требованию Контролера удалит или вернет Контроллеру все Персональные данные после окончания предоставления Услуг и удалит все существующие копии, если только Обработчик не обязан хранить такие Персональные данные в соответствии с ЕС или Участником. Закон штата.
8. Разное
В случае противоречия между положениями настоящего DPA и любыми другими соглашениями между Сторонами положения настоящего DPA имеют преимущественную силу в отношении обязательств Сторон по защите данных. В случае сомнений относительно того, относятся ли положения этих других соглашений к обязательствам Сторон по защите данных, настоящий DPA имеет преимущественную силу.
Недействительность или неисполнимость какого-либо положения настоящего DPA не влияет на действительность или применимость остальных положений настоящего DPA. Недействительное или неисполнимое положение (i) изменяется таким образом, чтобы гарантировать его действительность или применимость при одновременном сохранении намерений Сторон, насколько это возможно, или, если это невозможно, (ii) как если бы недействительная или неисполнимая часть никогда не была включена в него. Вышеупомянутое также применяется, если этот DPA содержит упущение
Настоящий DPA регулируется тем же законодательством, что и соглашение между Клиентом и EasySIGN при заключении Подписки, за исключением случаев, когда применяется обязательный Применимое законодательство о защите данных.
Это соглашение об обработке данных регулируется законодательством Нидерландов. Любые споры относительно их реализации будут переданы в компетентный суд в Эйндховене.
От имени процессора:
Полное имя:
Пол Скуфс
Должность:
Управляющий директор
Адрес:
Керкстраат 25, 5527 EE Хаперт
Дата:
21 марта 2022
Подпись:
Приложение 1 – Категории субъектов данных
Передаваемые Персональные данные касаются следующих категорий Субъектов данных:
Компании
Клиенты заказчика
Сотрудники
Поставщики
Предмет обработки
Использование программного обеспечения для проектирования и изготовления вывесок и другой графической продукции.
Характер и цель обработки
Обработчик собирает, хранит, обрабатывает и использует Персональные данные Субъектов данных от имени Контролера для выполнения соглашения, в том числе:
Управление задачами, встречами и звонками;
Добавление Персональных данных в инструменты CRM для отслеживания электронных писем, управления контактами и компаниями;
Сопровождение процесса продаж;
выставление счетов;
Регистрация времени;
Создание и управление запросами в службу поддержки (включая их статистику)
Создание цели и управление
IP-телефония
Тип персональных данных
Персональные данные, собираемые, обрабатываемые и используемые Обработчиком от имени Контролера, относятся к следующим категориям персональных данных: данные об использовании и контактные данные, в частности: Абонементгегевенс:
желаемая подписка;
имя пользователя;
пароль;
Ваши данные:
имя и фамилия;
номер телефона;
Адрес электронной почты;
воркертал;
Данные вашей компании:
Название компании;
Адрес выставления счета;
почтовый индекс и город;
страна;
Адрес электронной почты;
Номер НДС;
Реквизиты платежа:
IBAN и присвоение.
Контактное лицо в случае нарушения безопасности
Это будет лицо, назначенное в качестве контактного лица по соглашению. Это можно узнать, войдя в www.EasySIGN.com в разделе «Мои данные».
Связаться с процессором
Менеджер по соблюдению требований и конфиденциальности: EasySIGN BV, Пол Шуфс support@easysign.com
Приложение 2 – Лист мер безопасности
Описание технических и организационных мер безопасности, реализуемых Обработчиком в соответствии с Применимым Законом о защите данных: В этом приложении описаны технические и организационные меры и процедуры безопасности, которые Обработчик должен соблюдать, по крайней мере, для защиты безопасности создаваемых, собранных и полученных персональных данных. , или полученное иным образом.
Общие
Технические и организационные меры можно считать современными на момент заключения Договора об оказании услуг. Обработчик будет оценивать технические и организационные меры с течением времени, принимая во внимание затраты на реализацию, характер, объем, контекст и цели обработки, а также риск различий в степени вероятности и серьезности для прав и свобод физических лиц.
Подробные технические меры
Логический контроль доступа к системам EasySIGN с использованием паролей:
Все сотрудники EasySIGN осведомлены о «социальной инженерии» и опасаются ее;
EasySIGN контролирует свои системы 24/7:
Доступность измеряется каждые пять минут.
Мониторинг (виртуальных) серверов EasySIGN осуществляется квалифицированной командой инженеров по эксплуатации и разработчиков, благодаря чему можно измерить для каждой машины и каждой услуги, доступны ли они и обеспечивают ли они производительность, необходимую для соответствия согласованным уровням обслуживания. Оповещения происходят через Whatsapp и по электронной почте.
В зависимости от конфигурации Клиента EasySIGN обычно частично работает в облаке. Это означает, что лицензии на вход требуют наличия центров обработки данных Wibu Systems (субподрядчик Claranet GmbH) и Webwhales Woocommerce. Работа и доступность систем клиентского клиентского доступа не зависят от локальных серверов в нашем офисе в Хаперте. EasySIGN использует протоколы безопасности SSL. Имеется адекватный и современный механизм обнаружения и борьбы с вредоносным программным обеспечением, включая компьютерные вирусы. Только уполномоченный персонал может получить доступ к Персональным данным. Сотрудники имеют строгое обязательство по соблюдению конфиденциальности, которое включено в трудовой договор. В здании установлена сигнализация и ведется круглосуточное наблюдение в нерабочее время. В рабочее время дверь закрыта, и доступ возможен только по предварительной записи и под руководством сотрудника EasySIGN.
Файлы журналов
Все действия пользователя протоколируются и сохраняются неопределенно долго. Журналы состоят из следующих компонентов:
Входящая почта: все письма, отправленные в EasySIGN
Веб-сайт и программное обеспечение EasySIGN: все действия, которые пользователь выполняет с помощью EasySIGN, и все возникающие в результате ошибки;
В журналах присутствуют следующие персональные данные:
Имя пользователя
имя компьютера
Идентификатор пользователя
IP-адрес
Адрес электронной почты / полный адрес электронной почты
С помощью этих данных можно узнать, кто этот пользователь и что он сделал. EasySIGN сохраняет «Состояние документооборота» в файлах журналов в течение неопределенного периода времени и, следовательно, также сохраняет его неопределенное время. В этом журнале вы всегда можете проверить, какие действия были предприняты над документами, такие действия, как предоставление лицензии, изменение имени, открытие, удаление, разделение, группировка, экспорт, построение графика, сообщения об ошибках и т. д. Данные этого журнала хранятся на производственных серверах. в базах данных журналов. Это другая база данных, отличная от базы данных интернет-магазина WooCommerce.
Вопросы?
Вы всегда можете связаться с нами, если у вас есть вопросы относительно вашей конфиденциальности или данных, которые мы собрали о вас. Связаться с наша служба поддержки.