Соглашение об обработке данных (DPA)

1. Определения

• «Законодательство о защите данных» — UK GDPR и Data Protection Act 2018, EU GDPR и иное применимое законодательство о защите данных, в действующей редакции.
• «Персональные данные», «Контролёр», «Обработчик», «Субъект данных», «Обработка» — в значении Законодательства о защите данных.
• «Персональные данные Клиента» — персональные данные, обрабатываемые Thrones от имени Клиента в связи с Сервисом.
• «Субподрядчик» (Sub-processor) — третье лицо, привлечённое Thrones к обработке Персональных данных Клиента.

2. Область действия и роли

В отношении Персональных данных Клиента Клиент является Контролёром, а Thrones — Обработчиком. Предмет, срок, характер и цель обработки, виды Персональных данных и категории Субъектов данных описаны в Приложении к DPA.

3. Инструкции Клиента

Thrones обрабатывает Персональные данные Клиента только по документированным инструкциям Клиента, включая передачи данных в третью страну или международную организацию, кроме случаев, когда Thrones обязан поступить иначе в силу закона. В последнем случае Thrones информирует Клиента о таком требовании закона до обработки, если закон не запрещает это по соображениям общественного интереса.

Документированными инструкциями считаются Условия использования, настоящее DPA, параметры конфигурации, доступные в Сервисе, и любые дополнительные письменные инструкции, разумно согласованные сторонами. Если Thrones полагает, что инструкция нарушает Законодательство о защите данных, Thrones информирует об этом Клиента.

4. Конфиденциальность

Thrones обеспечивает, что персонал, уполномоченный на обработку Персональных данных Клиента, связан надлежащими договорными или установленными законом обязательствами конфиденциальности.

5. Меры безопасности

Thrones внедряет и поддерживает технические и организационные меры, адекватные рискам, в том числе меры, указанные в Статье 32 UK/EU GDPR. Краткое описание действующих мер — в Приложении. Thrones вправе обновлять меры при условии, что уровень безопасности существенно не снижается.

6. Субподрядчики

Клиент предоставляет общее письменное разрешение Thrones на привлечение Субподрядчиков для оказания Сервиса. Актуальный перечень Субподрядчиков опубликован в Политике конфиденциальности Thrones (раздел «Получатели и субподрядчики») и поддерживается в актуальном состоянии; он также доступен по запросу на privacy@thrones.ai.

Thrones налагает на каждого Субподрядчика обязательства по защите данных, по существу не менее защитные, чем в настоящем DPA, и несёт ответственность перед Клиентом за действия и упущения своих Субподрядчиков.

Thrones заблаговременно уведомляет Клиента о намеренных изменениях перечня Субподрядчиков, чтобы дать Клиенту разумную возможность возразить. При обоснованном возражении по основаниям защиты данных, если стороны не могут разрешить его, Клиент вправе прекратить затронутую часть Сервиса без штрафа; возврат за уже потреблённые периоды не производится.

7. Содействие Клиенту

С учётом характера обработки Thrones оказывает Клиенту содействие надлежащими техническими и организационными мерами в той мере, в какой это возможно, для выполнения обязанности отвечать на запросы Субъектов данных. Если Thrones получает запрос Субъекта данных напрямую, Thrones без необоснованных задержек передаёт его Клиенту, не отвечая Субъекту данных иным образом.

Thrones оказывает Клиенту содействие в обеспечении соблюдения обязанностей по безопасности, уведомлению о нарушениях, проведению оценки воздействия на защиту данных (DPIA) и предварительным консультациям с надзорными органами, с учётом характера обработки и доступной Thrones информации.

• Право на доступ, исправление, удаление, ограничение обработки, переносимость данных и право на возражение: Thrones предоставляет Клиенту через панель и её функции экспорта и удаления средства для поиска, экспорта и удаления данных Субъекта данных, чтобы Клиент мог реализовать эти права.
• Отзыв согласия и возражения против прямого маркетинга: обрабатываются Клиентом как Контролёром; Thrones действует только по документированным инструкциям Клиента и не обращается к Субъектам данных от своего имени.

8. Инциденты с персональными данными

Thrones без необоснованных задержек и в любом случае в течение 72 часов с момента получения сведений уведомляет Клиента о любом инциденте с Персональными данными Клиента. Уведомление содержит информацию, которую Thrones может разумно предоставить в этот момент, с последующим дополнением по мере получения.

9. Международные передачи

Клиент разрешает Thrones и его Субподрядчикам передавать Персональные данные Клиента за пределы Великобритании и Европейской экономической зоны в связи с предоставлением Сервиса. Такие передачи осуществляются при наличии надлежащих гарантий: Стандартные договорные положения Европейской комиссии, UK International Data Transfer Addendum и — при применимости — EU-US Data Privacy Framework и UK Extension.

При применении Стандартных договорных положений стороны считаются заключившими их следующим образом: Клиент — экспортёр данных (контролёр), Thrones — импортёр данных (обработчик), Модуль 2 для передач от контролёра к обработчику, с оговоркой о присоединении и с опциональными положениями, если это позволяет местное право. UK Addendum применяется, когда к передаче применяется UK GDPR.

10. Аудит

Thrones предоставляет Клиенту информацию, разумно необходимую для подтверждения соблюдения настоящего DPA, и допускает аудиты, проводимые Клиентом или уполномоченным им аудитором, с учётом разумных требований конфиденциальности и безопасности. Аудиты проводятся не чаще одного раза в двенадцать месяцев (кроме случаев требования надзорного органа или после инцидента), с письменным уведомлением не менее чем за 30 дней, в рабочее время и за счёт Клиента. Отчёты независимых аудиторов (например, SOC 2 или ISO 27001, при наличии) предоставляются вместо выездных аудитов, если они в достаточной мере удовлетворяют вопросы Клиента.

11. Удаление и возврат

По расторжении или истечении Сервиса Thrones — по выбору Клиента — удаляет или возвращает все Персональные данные Клиента и уничтожает существующие копии, если хранение не требуется применимым правом. По умолчанию, если выбор не сделан, данные удаляются в течение 90 дней с даты расторжения. Резервные копии, содержащие Персональные данные Клиента, перезаписываются в обычном порядке ротации бэкапов.

12. Ответственность

Ответственность каждой стороны по настоящему DPA или в связи с ним подчиняется ограничениям и исключениям ответственности, предусмотренным Условиями использования. Ничто в DPA не влияет на ответственность, которая не может быть ограничена применимым правом.

13. Приоритет

В случае противоречия между настоящим DPA и Условиями использования в части обработки Персональных данных Клиента DPA имеет приоритет.

14. Приложение — Описание обработки

Предмет и срок: обработка Персональных данных Клиента для предоставления Сервиса в течение срока подписки Клиента и согласованного пост-терминационного срока удаления.