Угода про обробку даних
Ця Угода про обробку даних (“DPA”) є частиною Умов обслуговування Adapty, доступних за адресою https://adapty.io/terms/ або іншої письмової чи електронної угоди між Клієнтом та Adapty (далі “Угода”).
Оператор даних та Контролер даних, надалі кожен з яких називається “Сторона”, а разом “Сторони”. Оператор даних та Контролер даних погоджуються з наступним:
Якщо ви укладаєте ці Умови від імені компанії, ви підтверджуєте, що маєте право зобов’язувати таку особу. Якщо у вас немає такого права або якщо ви не погоджуєтеся безумовно з цими Умовами, ви не маєте права використовувати Програмне забезпечення.
1. Визначення
1.1. Відповідне законодавство про конфіденційність означає всі закони, статути, нормативні акти, постанови, кодекси, правила, рекомендації, накази або будь-які інші правові права, видані будь-яким органом влади, що регулюють збір, використання, передачу та розкриття Персональних даних.
1.2. Контролер даних означає Клієнта відповідно до Угоди.
1.3. Обробник даних означає Adapty.
1.4. Суб’єкт даних означає особу, яка безпосередньо або опосередковано ідентифікована чи може бути ідентифікована, стосовно якої відносяться Персональні дані.
1.5. GDPR означає Загальний регламент про захист даних (ЄС) 2016/679 Європейського парламенту та Ради від 27 квітня 2016 року про захист природних осіб у зв’язку з обробкою персональних даних та про вільний рух таких даних.
1.6. UK GDPR означає збережену версію закону ЄС Загального регламенту про захист даних ((ЄС) 2016/679) (ЄС GDPR), яка є частиною законодавства Англії та Уельсу, Шотландії та Північної Ірландії відповідно до статті 3 Закону про вихід Європейського Союзу 2018 року та так, як був змінений Додатком 1 до Закону про захист даних, конфіденційність і електронні комунікації (зміни тощо) (ЄС Вихід) Правила 2019 року (SI 2019/419).
1.7. Персональні дані означають будь-яку інформацію, що регулюється Відповідним законодавством про конфіденційність, надану Контролером даних, включаючи інформацію про ідентифіковану або таку, що може бути ідентифікована, особу.
1.8. Обробка, процеси, та процес означають будь-яку діяльність, яка стосується використання Персональних даних або так, як це може інакше визначити Відповідне законодавство про конфіденційність. Це включає будь-яку операцію або набір операцій, які виконуються з персональними даними або наборами персональних даних, незалежно від того, виконуються вони автоматизованими засобами чи ні, такі як збір, запис, організація, структуризація, зберігання, адаптація чи зміна, відновлення, консультація, використання, розкриття шляхом передачі, поширення або іншим способом доступності, упорядкування чи комбінування, обмеження, стирання або знищення. Обробка також включає передачу Персональних даних третім особам.
1.9. Стандартні договірні положення (SDP) означають договірні положення, встановлені Реалізаційним рішенням Європейської Комісії (ЄС) 2021/914 від 4 червня 2021 року щодо стандартних договірних положень для передачі персональних даних до третіх країн відповідно до Регламенту (ЄС) 2016/679 Європейського парламенту та Ради, доступних за адресою: https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX%3A32021D0914&locale=en.
1.10. Суб-обробник означає третій сторонній обробник даних, залучений Обробником даних, який має або потенційно буде мати доступ до, або обробляє Персональні дані.
2. Обробка персональних даних
2.1. Предмет, тривалість, природа та мета(и) обробки Персональних Даних, а також тип Персональних Даних і категорії Суб’єктів Даних вказані в Додатку I.
2.2. Оператор Даних повинен уникати обробки Персональних Даних, які виходять за межі встановлених у Додатку I.
2.3. Сторони погоджуються, що всі аспекти їхніх відносин у контексті обробки персональних даних, включаючи ті, що підлягають розгляду відповідно до Ст. 28 GDPR, визначені та регульовані Стандартними Договорними Клаузулами (СДК).
3. Трансфер особистих даних через кордон
3.1. Переміщення з ЄС. Оскільки обробка Персональних Даних захищена GDPR, Сторони цим погоджуються, що таке переміщення підлягає SCC, які включені до цього DPA за посиланням і є невід’ємною частиною цього договору. Додатки до SCC вважаються заповненими відповідно до Додатка 1 до цього DPA. Варіанти, надані SCC, вважаються вибраними відповідно до Додатка 2 до цього DPA.
3.2. Переміщення зі Швейцарії. Оскільки обробка Персональних Даних захищена Федеральним Законом Швейцарії від 19 червня 1992 року про захист даних (“FADP”), Сторони цим погоджуються, що таке переміщення підлягає SCC з необхідними адаптаціями, щоб SCC відповідали швейцарському законодавству та були придатними для забезпечення адекватного рівня захисту для передачі даних зі Швейцарії в третю країну відповідно до статті 6, пункту 2, літери а FADP. Список адаптацій надається в пункті 4.3. передачі персональних даних до країни з недостатнім рівнем захисту даних на основі визнаних стандартних контрактних умов та модельних контрактів, датованих 27 серпня 2021 року Федеративним уповноваженим по захисту даних та інформації (доступно за https://www.edoeb.admin.ch/edoeb/en/home/data-protection/handel-und-wirtschaft/transborder-data-flows.html). Застосовується варіант 2 справи 2.
3.3. Переміщення з Великобританії. Оскільки обробка Персональних Даних захищена UK GDPR, Сторони цим погоджуються, що таке переміщення підлягає міжнародному доповненню до стандартних контрактних умов Європейської Комісії для міжнародних передач даних, доступних за https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf, як прийнято, змінено або оновлено Управлінням інформаційного комісара Великої Британії, Парламентом або Міністром внутрішніх справ.
4. Згода
4.1. Контролер даних заявляє та гарантує, що: (i) його інструкції щодо обробки відповідатимуть Відповідному закону про конфіденційність; та (ii) він буде дотримуватися Відповідного закону про конфіденційність, зокрема щодо законної підстави для обробки Персональних даних. Контролер даних визнає та погоджується, що Послуги Обробника даних залежать від згоди кінцевого користувача або будь-якої іншої продемонстрованої законної підстави, яку повинен отримати Контролер даних і на яку спирається Обробник даних. Контролер даних стверджує, що така згода або будь-яка інша продемонстрована законна підстава існує.
5. Права споживачів Каліфорнії щодо конфіденційності
5.1. “Особиста інформація”, “Споживач” та інші терміни з великої літери в цьому пункті 5 мають значення, визначені в Законі штату Каліфорнія про конфіденційність споживачів 2018 року, Cal. Civ. Code §§ 1798.100 et. Seq, з поправками, що вносяться час від часу (“CCPA”).
5.2. Узгоджується, що будь-який обмін Особистими даними між Сторонами здійснюється виключно з метою виконання Бізнес-цілі, і Adapty не отримує та не обробляє жодних Особистих даних як винагороду за Послуги.
5.3. Контролер даних несе виключну відповідальність за дотримання CCPA стосовно використання Послуг. Відповідальність за визначення того, чи є обмін або передача Особистих даних Споживачів у процесі надання Послуг продажем Особистих даних, покладається виключно на Контролера даних.
5.4. Обробник даних не має права зберігати, використовувати або розголошувати Особисті дані в комерційних цілях, крім надання послуг, зазначених у Угоді.
6. Умови
6.1. Ця ДПС буде чинною з дати набрання чинності Угоди. Ця ДПС залишатиметься в силі до тих пір, поки Угода буде чинною.
7. Сепарабельність
7.1. Якщо будь-яке положення цього DPA є або стає, повністю чи частково, недійсним, неефективним або таким, що не підлягає виконанню, то дійсність, ефективність та забезпеченість виконання інших положень цього DPA залишаються незачиненими.
7.2. Будь-яке таке недійсне, неефективне або таке, що не підлягає виконанню положення буде, наскільки це дозволено законом, вважатися заміненим таким дійсним, ефективним і таким, що підлягає виконанню положенням, яке найбільш близько відображає економічний намір та мету недійсного, неефективного або такого, що не підлягає виконанню положення щодо його предмета, масштабу, часу, місця та сфери застосування.
7.3. Вказане правило застосовується mutatis mutandis для заповнення будь-якої прогалини, яка може бути знайдена в цьому DPA.
8. Повна угода
8.1. Сторони прямо заявляють, що цей DPA та документи, згадані тут, складають угоду в цілому між Сторонами та замінюють будь-які попередні проекти, угоди, зобов’язання, розуміння, умови та домовленості, незважаючи на будь-який конфліктуючий порядок пріоритетності, будь-якого роду між Сторонами, незалежно від того, чи є вони в письмовій формі, стосовно предмета цієї DPA.
9. Правознавство та юрисдикція
9.1. Ця Угода про обробку даних регулюється законом, як зазначено в Угоді.
9.2. Сторони цим підпорядковуються вибору юрисдикції, вказаному в Угоді, стосовно будь-яких спорів або вимог, що виникають у рамках цієї Угоди про обробку даних, включаючи спори щодо її існування, дійсності або припинення, або наслідків її недійсності.
10. Різне
10.1. У випадку конфлікту або неоднозначності між:
10.1.1. будь-яким положенням DPA та будь-яким положенням Угоди, переважатимуть положення DPA;
10.1.2. будь-яким положенням, що міститься в тексті цієї Угоди, та будь-яким положенням, що міститься в Додатках, переважатимуть положення в тексті цієї Угоди;
10.1.3. будь-яким положенням цієї Угоди та будь-яким виконаним SCC, переважатимуть положення виконаного SCC.
Додаток 1
Додаток I
Додаток II. Технічні та організаційні заходи, включаючи технічні та організаційні заходи для забезпечення безпеки даних
Якщо так, будь ласка, надайте конкретні деталі
• Регулярне оновлення операційних систем, апаратного забезпечення та будь-якого стороннього програмного забезпечення для уникнення вразливостей безпеки.
• Використання брандмауерів і систем запобігання вторгненням (IPS) для обмеження доступу та захисту серверів Adapty.
• Захист віддаленого доступу за допомогою багатофакторної аутентифікації.
• Резервне копіювання даних клієнтів щодня відповідно до ротаційного графіка.
