Угода про обробку даних (DPA)

1. Визначення

• «Законодавство про захист даних» — UK GDPR та Data Protection Act 2018, EU GDPR та інше застосовне законодавство про захист даних, у чинній редакції.
• «Персональні дані», «Контролер», «Обробник», «Суб'єкт даних», «Обробка» — у значенні Законодавства про захист даних.
• «Персональні дані Клієнта» — персональні дані, що обробляються Thrones від імені Клієнта у зв'язку з Сервісом.
• «Субпідрядник» (Sub-processor) — третя особа, залучена Thrones до обробки Персональних даних Клієнта.

2. Сфера дії та ролі

Щодо Персональних даних Клієнта Клієнт є Контролером, а Thrones — Обробником. Предмет, термін, характер і мета обробки, види Персональних даних і категорії Суб'єктів даних описані в Додатку до DPA.

3. Інструкції Клієнта

Thrones обробляє Персональні дані Клієнта лише за документованими інструкціями Клієнта, зокрема передачі даних до третьої країни або міжнародної організації, крім випадків, коли Thrones зобов'язаний вчинити інакше в силу закону. В останньому випадку Thrones інформує Клієнта про таку вимогу закону до обробки, якщо закон не забороняє це з міркувань суспільного інтересу.

Документованими інструкціями вважаються Умови використання, ця DPA, параметри конфігурації, доступні в Сервісі, і будь-які додаткові письмові інструкції, розумно погоджені сторонами. Якщо Thrones вважає, що інструкція порушує Законодавство про захист даних, Thrones інформує про це Клієнта.

4. Конфіденційність

Thrones забезпечує, що персонал, уповноважений на обробку Персональних даних Клієнта, пов'язаний належними договірними або встановленими законом обов'язками конфіденційності.

5. Заходи безпеки

Thrones впроваджує та підтримує технічні та організаційні заходи, адекватні ризикам, зокрема заходи, зазначені у Статті 32 UK/EU GDPR. Короткий опис чинних заходів — у Додатку. Thrones має право оновлювати заходи за умови, що рівень безпеки суттєво не знижується.

6. Субпідрядники

Клієнт надає загальний письмовий дозвіл Thrones на залучення Субпідрядників для надання Сервісу. Актуальний перелік Субпідрядників опубліковано в Політиці конфіденційності Thrones (розділ «Отримувачі та субпідрядники») і підтримується в актуальному стані; він також доступний на запит за адресою privacy@thrones.ai.

Thrones накладає на кожного Субпідрядника обов'язки щодо захисту даних, по суті не менш захисні, ніж у цій DPA, і несе відповідальність перед Клієнтом за дії та упущення своїх Субпідрядників.

Thrones завчасно повідомляє Клієнта про намічені зміни переліку Субпідрядників, щоб дати Клієнту розумну можливість заперечити. При обґрунтованому запереченні з підстав захисту даних, якщо сторони не можуть його вирішити, Клієнт має право припинити зачеплену частину Сервісу без штрафу; повернення за вже спожиті періоди не здійснюється.

7. Сприяння Клієнту

З урахуванням характеру обробки Thrones надає Клієнту сприяння належними технічними та організаційними заходами в тій мірі, в якій це можливо, для виконання обов'язку відповідати на запити Суб'єктів даних. Якщо Thrones отримує запит Суб'єкта даних безпосередньо, Thrones без необґрунтованих затримок передає його Клієнту, не відповідаючи Суб'єкту даних інакше.

Thrones надає Клієнту сприяння в забезпеченні дотримання обов'язків з безпеки, повідомлення про порушення, проведення оцінки впливу на захист даних (DPIA) та попередніх консультацій з наглядовими органами, з урахуванням характеру обробки та доступної Thrones інформації.

• Право на доступ, виправлення, видалення, обмеження обробки, переносимість даних і право на заперечення: Thrones надає Клієнту через панель та її функції експорту й видалення засоби для пошуку, експорту та видалення даних Суб'єкта даних, щоб Клієнт міг реалізувати ці права.
• Відкликання згоди та заперечення проти прямого маркетингу: обробляються Клієнтом як Контролером; Thrones діє лише за документованими інструкціями Клієнта і не звертається до Суб'єктів даних від свого імені.

8. Інциденти з персональними даними

Thrones без необґрунтованих затримок і в будь-якому разі протягом 72 годин з моменту отримання відомостей повідомляє Клієнта про будь-який інцидент з Персональними даними Клієнта. Повідомлення містить інформацію, яку Thrones може розумно надати в цей момент, з подальшим доповненням у міру отримання.

9. Міжнародні передачі

Клієнт дозволяє Thrones та його Субпідрядникам передавати Персональні дані Клієнта за межі Великої Британії та Європейської економічної зони у зв'язку з наданням Сервісу. Такі передачі здійснюються за наявності належних гарантій: Стандартні договірні положення Європейської комісії, UK International Data Transfer Addendum і — у застосовних випадках — EU-US Data Privacy Framework та UK Extension.

При застосуванні Стандартних договірних положень сторони вважаються такими, що уклали їх наступним чином: Клієнт — експортер даних (контролер), Thrones — імпортер даних (обробник), Модуль 2 для передач від контролера до обробника, із застереженням про приєднання і з опціональними положеннями, якщо це дозволяє місцеве право. UK Addendum застосовується, коли до передачі застосовується UK GDPR.

10. Аудит

Thrones надає Клієнту інформацію, розумно необхідну для підтвердження дотримання цієї DPA, і допускає аудити, що проводяться Клієнтом або уповноваженим ним аудитором, з урахуванням розумних вимог конфіденційності та безпеки. Аудити проводяться не частіше одного разу на дванадцять місяців (крім випадків вимоги наглядового органу або після інциденту), з письмовим повідомленням не менш ніж за 30 днів, у робочий час і за рахунок Клієнта. Звіти незалежних аудиторів (наприклад, SOC 2 або ISO 27001, за наявності) надаються замість виїзних аудитів, якщо вони достатньо задовольняють питання Клієнта.

11. Видалення та повернення

За розірвання або закінчення Сервісу Thrones — за вибором Клієнта — видаляє або повертає всі Персональні дані Клієнта і знищує наявні копії, якщо зберігання не вимагається застосовним правом. За замовчуванням, якщо вибір не зроблено, дані видаляються протягом 90 днів з дати розірвання. Резервні копії, що містять Персональні дані Клієнта, перезаписуються у звичайному порядку ротації бекапів.

12. Відповідальність

Відповідальність кожної сторони за цією DPA або у зв'язку з нею підпорядковується обмеженням і винятками відповідальності, передбаченим Умовами використання. Ніщо в DPA не впливає на відповідальність, яка не може бути обмежена застосовним правом.

13. Пріоритет

У разі протиріччя між цією DPA і Умовами використання в частині обробки Персональних даних Клієнта DPA має пріоритет.

14. Додаток — Опис обробки

Предмет і термін: обробка Персональних даних Клієнта для надання Сервісу протягом терміну підписки Клієнта та погодженого пост-термінаційного терміну видалення.