Соглашение об обработке данных (DPA)
Уведомление о переводе
ВАЖНОЕ УВЕДОМЛЕНИЕ: Этот документ переведён с турецкого языка. В случае расхождений между данным переводом и оригинальной турецкой версией, турецкая версия имеет преимущественную силу.
Оригинальный турецкий документ доступен по адресу: https://evaste.co/tr/legal-center/data-processing-agreement
1. Стороны и Определения
1.1. Стороны
КОНТРОЛЁР ДАННЫХ: Компания-клиент (далее именуемая «Контролёр данных» или «Клиент»)
ОБРАБОТЧИК ДАННЫХ: Evaste (в составе Group Taiga), Левент, Стамбул, Турция, E-mail: dpa@evaste.co (далее именуемый «Обработчик данных» или «Evaste»)
1.2. Определения
«Применимое законодательство о защите данных»: Закон KVKK № 6698, Общий регламент ЕС по защите данных (GDPR), Директива ePrivacy и все соответствующее национальное имплементирующее законодательство.
«Персональные данные»: Любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу.
«Обработка»: Любая операция с персональными данными, включая сбор, запись, организацию, хранение, изменение, передачу, удаление и т.д.
«Контролёр данных»: Физическое или юридическое лицо, определяющее цели и средства обработки персональных данных.
«Обработчик данных»: Физическое или юридическое лицо, обрабатывающее персональные данные от имени Контролёра данных.
«Субобработчик»: Третья сторона, привлечённая Обработчиком данных для выполнения части деятельности по обработке.
«Нарушение данных»: Случайное или незаконное уничтожение, потеря, изменение, несанкционированное раскрытие или доступ к персональным данным.
«Надзорный орган»: Управление по защите персональных данных (KVKK) и/или соответствующий орган по защите данных государства-члена ЕС.
«Стандартные договорные условия (СДУ)»: Стандартные договорные условия для международной передачи данных, утверждённые Европейской комиссией.
2. Предмет Договора
2.1. Сфера применения
Настоящее Соглашение об обработке данных («DPA») является неотъемлемой частью основного соглашения об услугах («Основное соглашение»), заключённого между Контролёром данных и Обработчиком данных, и регулирует права и обязанности сторон в отношении обработки персональных данных.
2.2. Цель
Целью настоящего DPA является:
- Соответствие требованиям статьи 28 GDPR и KVKK
- Обеспечение безопасной и законной обработки персональных данных
- Чёткое определение обязанностей сторон
- Защита прав субъектов данных
2.3. Приоритет
В случае противоречия между Основным соглашением и настоящим DPA, положения настоящего DPA имеют преимущественную силу в отношении защиты персональных данных.
3. Характер и Цель Обработки
3.1. Цель обработки
Обработчик данных будет обрабатывать персональные данные от имени Контролёра данных только для следующих целей:
- Предоставление услуг управления согласием на использование cookie
- Сбор, хранение и отчётность по записям согласия
- Услуги сканирования и категоризации cookie
- Услуги создания политики конфиденциальности и уведомлений
- Услуги отчётности о соответствии
- Предоставление клиентской поддержки
- Другие услуги в рамках Основного соглашения
3.2. Срок обработки
Обработка будет продолжаться в течение срока действия Основного соглашения и в соответствии с условиями, указанными в настоящем DPA.
3.3. Характер обработки
Деятельность по обработке включает: Сбор, Запись, Организацию, Структурирование, Хранение, Адаптацию, Изменение, Извлечение, Консультирование, Использование, Раскрытие путём передачи, Распространение, Предоставление доступа, Выравнивание, Комбинирование, Ограничение, Удаление, Уничтожение.
4. Категории Персональных Данных и Субъектов Данных
4.1. Категории обрабатываемых персональных данных
| Категория | Описание |
|---|---|
| Идентификационные данные | IP-адрес, ID cookie, идентификатор устройства |
| Данные согласия | Предпочтения согласия, время согласия |
| Технические данные | Тип браузера, операционная система |
| Поведенческие данные | Посещённые страницы, взаимодействия |
| Географические данные | Страна, регион (на основе IP, приблизительные) |
4.2. Особые категории персональных данных
В рамках настоящего DPA особые категории персональных данных (ст. 6 KVKK, ст. 9 GDPR) не обрабатываются. Контролёр данных обязуется не собирать такие данные через услуги Evaste.
4.3. Категории субъектов данных
Обрабатываемые персональные данные относятся к следующим лицам:
- Посетители веб-сайта Контролёра данных
- Пользователи мобильного приложения Контролёра данных
- Клиенты и потенциальные клиенты Контролёра данных
4.4. Объём обрабатываемых записей
Ориентировочный объём обрабатываемых записей: Варьируется в зависимости от плана подписки, указанного в Основном соглашении.
5. Обязанности Обработчика
Обработчик данных принимает на себя следующие обязательства:
5.1. Соблюдение инструкций
- Обрабатывать персональные данные только в соответствии с письменными инструкциями Контролёра данных.
- Незамедлительно информировать Контролёра данных, если инструкция, по его мнению, нарушает применимое законодательство о защите данных.
- Основное соглашение и настоящее DPA являются действительными письменными инструкциями.
5.2. Конфиденциальность
- Обеспечить, чтобы персонал, имеющий доступ к персональным данным, был связан обязательством конфиденциальности.
- Обеспечить, чтобы персонал имел доступ только к данным, необходимым для выполнения их обязанностей.
5.3. Меры безопасности
- Применять соответствующие технические и организационные меры безопасности в соответствии со статьёй 32 GDPR.
- Регулярно оценивать достаточность мер безопасности.
- Меры безопасности подробно описаны в Приложении А.
5.4. Использование субобработчиков
- Не привлекать субобработчиков без предварительного письменного согласия Контролёра данных.
- Заключать с субобработчиками письменные договоры с эквивалентными обязательствами по защите данных.
5.5. Запросы субъектов данных
- Содействовать Контролёру данных в ответе на запросы субъектов данных.
- Перенаправлять напрямую полученные запросы Контролёру данных.
5.6. Уведомление о нарушении данных
- Информировать Контролёра данных без промедления (не позднее 24 часов) при обнаружении нарушения данных.
- Предоставлять всю информацию и документацию, относящуюся к нарушению.
5.7. Поддержка аудита
- Отвечать на обоснованные запросы аудита от Контролёра данных или его уполномоченного представителя.
- Сотрудничать с проверками надзорных органов.
5.8. Окончание договора
- По окончании договора вернуть или уничтожить персональные данные в соответствии с инструкциями Контролёра данных.
- Законные обязательства по хранению сохраняются.
6. Обязанности Контролёра
Контролёр данных принимает на себя следующие обязательства:
6.1. Правовое соответствие
- Заявляет и гарантирует, что имеет действительное правовое основание для сбора и использования персональных данных.
- Заявляет, что субъекты данных надлежащим образом проинформированы и/или получены необходимые согласия.
6.2. Законность инструкций
- Гарантирует, что инструкции, данные Обработчику данных, соответствуют применимому законодательству о защите данных.
- Контролёр данных несёт ответственность за обеспечение соответствия услуг управления согласием на cookie Evaste законодательным требованиям.
6.3. Информирование
- Предоставит конечным пользователям соответствующее уведомление о конфиденциальности в отношении обработки данных через услуги Evaste.
- Укажет Evaste или соответствующих субобработчиков в политике cookie.
6.4. Точность данных
- Обеспечит точность и актуальность персональных данных, предоставленных Evaste.
- При необходимости будет обновлять данные.
7. Использование Субобработчиков
7.1. Общая авторизация
Контролёр данных предоставляет предварительное согласие на использование субобработчиков, перечисленных в Приложении Б (общая письменная авторизация).
7.2. Уведомление о новых субобработчиках
- Evaste уведомит Контролёра данных в письменной форме не менее чем за 30 (тридцать) дней до добавления нового субобработчика.
- Уведомление будет направлено на зарегистрированный адрес электронной почты Контролёра данных.
- Актуальный список субобработчиков публикуется по адресу https://evaste.co/legal-center/sub-processors
7.3. Право на возражение
- Контролёр данных может возразить против нового субобработчика в течение 15 (пятнадцати) дней с обоснованными причинами.
- В случае возражения стороны будут вести добросовестные переговоры.
- Если решение не найдено, Контролёр данных может расторгнуть договор.
7.4. Договоры с субобработчиками
- Evaste заключит с субобработчиками письменные договоры с обязательствами, эквивалентными настоящему DPA.
- Evaste остаётся ответственным перед Контролёром данных за действия субобработчиков.
8. Международная Передача Данных
8.1. Передача за пределы ЕЭП
При передаче персональных данных за пределы Европейской экономической зоны (ЕЭП):
- Решение об адекватности: Передача может осуществляться в страны с решением об адекватности Европейской комиссии.
- Стандартные договорные условия (СДУ): Применяются СДУ, принятые Европейской комиссией 4 июня 2021 года.
- Дополнительные меры: В соответствии с решением Schrems II принимаются необходимые дополнительные технические и организационные меры.
8.2. Оценка воздействия передачи
- Evaste провёл оценку воздействия передачи (TIA) для передачи в США или другие третьи страны.
- Результаты TIA могут быть предоставлены Контролёру данных по запросу.
8.3. Передача из Турции
Для передачи за рубеж в соответствии со статьёй 9 KVKK:
- Передача в страны с достаточной защитой
- Передача с договором, содержащим обязательство достаточной защиты
- Передача с явного согласия
применяется соответствующий метод.
9. Меры Безопасности
9.1. Технические меры
Evaste применяет следующие технические меры безопасности:
- Шифрование: TLS 1.3 при передаче, AES-256 при хранении
- Контроль доступа: Ролевой контроль доступа (RBAC), Многофакторная аутентификация (MFA), Принцип минимальных привилегий
- Сетевая безопасность: Межсетевой экран (WAF), Системы IDS/IPS, Защита от DDoS
- Безопасность приложений: Защита OWASP Top 10, Регулярные проверки безопасности, Тестирование на проникновение
9.2. Организационные меры
- Соглашения о конфиденциальности (весь персонал)
- Обучение осведомлённости о безопасности
- Процедуры авторизации доступа
- Планы реагирования на инциденты
9.3. Оценка мер безопасности
- Меры безопасности пересматриваются ежегодно.
- Обновляются на основе оценки рисков.
- Проверяются независимыми аудитами.
10. Права на Аудит
10.1. Объём аудита
Контролёр данных имеет право проводить аудит для проверки соответствия обязательствам по настоящему DPA.
10.2. Уведомление об аудите
- Запросы на аудит должны быть направлены в письменной форме не менее чем за 30 (тридцать) дней.
- Объём и продолжительность аудита должны быть определены заранее.
- Аудиты должны проводиться в обычные рабочие часы.
10.3. Методы аудита
- Аудит на месте: Контролёром данных или уполномоченным представителем, Независимым аудитором, Разумные расходы несёт Контролёр данных
- Удалённый аудит: Проверка отчётов о безопасности и сертификатов, Сессии вопросов и ответов, Обмен документацией
10.4. Доступные отчёты аудита
Evaste может предоставить по запросу следующие отчёты аудита:
- Отчёт SOC 2 Type II
- Сертификат ISO 27001
- Сводный отчёт о тестировании на проникновение
10.5. Конфиденциальность
Информация, полученная в ходе аудита, будет храниться конфиденциально и использоваться только для оценки соответствия.
11. Запросы Субъектов Данных
11.1. Перенаправление запросов
- Запросы субъектов данных, поступающие непосредственно в Evaste, будут перенаправлены Контролёру данных без проверки личности.
- Evaste незамедлительно уведомит Контролёра данных.
11.2. Обязательство по поддержке
Evaste будет содействовать Контролёру данных в ответе на запросы, касающиеся следующих прав:
- Право на доступ
- Право на исправление
- Право на удаление («право быть забытым»)
- Право на ограничение обработки
- Право на переносимость данных
- Право на возражение
11.3. Сроки ответа
Evaste предоставит техническую поддержку, необходимую для выполнения запросов субъектов данных, в течение 10 (десяти) рабочих дней.
11.4. Технические возможности
Платформа Evaste предлагает следующие функции самообслуживания:
- Экспорт записей согласия
- Удаление данных конкретного посетителя
- Отчёты о доступе к данным
12. Уведомление о Нарушении Данных
12.1. Определение
В рамках настоящего DPA «Нарушение данных» означает случайное или незаконное уничтожение, потерю, изменение, несанкционированное раскрытие или доступ к персональным данным, обрабатываемым Evaste.
12.2. Срок уведомления
- Evaste уведомит Контролёра данных не позднее 24 (двадцати четырёх) часов с момента, когда ему стало известно о нарушении данных.
- Уведомление: будет направлено на dpa@evaste.co и зарегистрированный адрес электронной почты Контролёра данных.
12.3. Содержание уведомления
Первоначальное уведомление будет содержать следующую информацию:
- Характер нарушения
- Затронутые категории данных
- Ориентировочное количество затронутых записей
- Первоначальные выводы и предпринятые срочные меры
- Контактное лицо
12.4. Подробный отчёт
В течение 72 часов после первоначального уведомления будет представлен подробный отчёт, содержащий:
- Хронологию нарушения
- Анализ первопричины
- Оценку возможных последствий
- Предпринятые и планируемые корректирующие меры
- Полный список затронутых данных (если возможно)
12.5. Сотрудничество
Evaste:
- Будет полностью сотрудничать с Контролёром данных в расследовании нарушения.
- Предоставит информацию, необходимую для уведомления надзорных органов.
- Окажет поддержку в уведомлении затронутых субъектов данных.
13. Срок Действия и Расторжение Договора
13.1. Срок действия
Настоящее DPA действительно в течение срока действия Основного соглашения.
13.2. Расторжение
- Настоящее DPA автоматически прекращается при расторжении Основного соглашения.
- В случае существенного нарушения любая из сторон может расторгнуть договор с письменным уведомлением за 30 дней.
13.3. Продолжающиеся обязательства
После расторжения следующие обязательства остаются в силе:
- Обязательства конфиденциальности (бессрочно)
- Обязательства по уничтожению/возврату данных (в течение 90 дней)
- Законные обязательства по хранению (в течение соответствующего периода)
14. Уничтожение Данных при Окончании Договора
14.1. Варианты возврата/уничтожения данных
По окончании договора, в соответствии с инструкциями Контролёра данных:
- Возврат данных: Передача данных в общем формате (CSV, JSON), Безопасные методы передачи, Завершение в течение 30 дней
- Уничтожение данных: Методы безопасного удаления, Соответствие стандартам NIST, Предоставление сертификата об уничтожении
14.2. Исключения из хранения
В следующих случаях данные могут храниться до окончания законного срока:
- Требования налогового законодательства
- Активные судебные разбирательства
- Запросы надзорных органов
14.3. Сертификат об уничтожении
После завершения уничтожения данных Evaste предоставит письменный сертификат с указанием уничтоженных данных и методов.
15. Ответственность и Возмещение
15.1. Распределение ответственности
- Каждая сторона несёт ответственность за ущерб, возникший в результате нарушения своих обязательств.
- Обработчик данных несёт ответственность только в той мере, в которой он не соблюдал данные ему инструкции или нарушил обязательства, возложенные непосредственно на Обработчика данных в соответствии с GDPR.
15.2. Возмещение
- Стороны возмещают друг другу административные штрафы и требования субъектов данных, возникшие в результате нарушения применимого законодательства о защите данных.
- Требования о возмещении определяются в зависимости от степени вины.
15.3. Ограничение ответственности
Ограничения ответственности в Основном соглашении применяются и к настоящему DPA; однако:
- Не применяются в случае умысла или грубой небрежности.
- Не применяются в случаях, ограниченных законодательством.
16. Конфиденциальность
16.1. Обязательство конфиденциальности
- Стороны будут сохранять конфиденциальность всей информации, полученной в рамках настоящего DPA.
- Конфиденциальная информация будет использоваться только для целей договора.
16.2. Исключения
Обязательство конфиденциальности не применяется в следующих случаях:
- Общедоступная информация
- Информация, раскрытая по требованию закона
- Информация, переданная с предварительного письменного согласия
16.3. Срок действия
Обязательства конфиденциальности действуют в течение срока действия договора и бессрочно после его окончания.
17. Общие Положения
17.1. Применимое право
Настоящее DPA регулируется законодательством Турецкой Республики. Для деятельности по обработке в рамках GDPR также применяется законодательство ЕС о защите данных.
17.2. Юрисдикция
Для разрешения споров компетентны суды и исполнительные органы Стамбула.
17.3. Изменения
- Изменения к настоящему DPA должны быть оформлены в письменной форме.
- Обновления, необходимые в связи с изменениями законодательства, вступают в силу незамедлительно.
17.4. Делимость
Признание недействительным любого положения не влияет на другие положения.
17.5. Неотказ от прав
Неиспользование какого-либо права не означает отказ от этого права.
17.6. Полное соглашение
Настоящее DPA и его приложения составляют полное соглашение по вопросам обработки персональных данных.
18. Приложения
Приложения, являющиеся неотъемлемыми частями настоящего DPA:
- Приложение А: Технические и организационные меры безопасности
- Приложение Б: Список утверждённых субобработчиков
- Приложение В: Стандартные договорные условия ЕС (СДУ)
Для Стандартных договорных условий: Стандартные договорные условия в соответствии с Имплементационным решением Европейской комиссии (ЕС) 2021/914 от 4 июня 2021 года включены в настоящее DPA. Выбранный модуль: Модуль 2 (Контролёр данных -> Обработчик данных)
Контактная информация
Evaste (Group Taiga)
Адрес: Левент, Стамбул, Турция
Запросы DPA: dpa@evaste.co
Ответственный за защиту данных: dpo@evaste.co
Общие вопросы: info@evaste.co
Веб-сайт: https://evaste.co
Соглашение об обработке данных (DPA)
Уведомление о переводе
ВАЖНОЕ УВЕДОМЛЕНИЕ: Этот документ переведён с турецкого языка. В случае расхождений между данным переводом и оригинальной турецкой версией, турецкая версия имеет преимущественную силу.
Оригинальный турецкий документ доступен по адресу: https://evaste.co/tr/legal-center/data-processing-agreement
1. Стороны и Определения
1.1. Стороны
КОНТРОЛЁР ДАННЫХ: Компания-клиент (далее именуемая «Контролёр данных» или «Клиент»)
ОБРАБОТЧИК ДАННЫХ: Evaste (в составе Group Taiga), Левент, Стамбул, Турция, E-mail: dpa@evaste.co (далее именуемый «Обработчик данных» или «Evaste»)
1.2. Определения
«Применимое законодательство о защите данных»: Закон KVKK № 6698, Общий регламент ЕС по защите данных (GDPR), Директива ePrivacy и все соответствующее национальное имплементирующее законодательство.
«Персональные данные»: Любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу.
«Обработка»: Любая операция с персональными данными, включая сбор, запись, организацию, хранение, изменение, передачу, удаление и т.д.
«Контролёр данных»: Физическое или юридическое лицо, определяющее цели и средства обработки персональных данных.
«Обработчик данных»: Физическое или юридическое лицо, обрабатывающее персональные данные от имени Контролёра данных.
«Субобработчик»: Третья сторона, привлечённая Обработчиком данных для выполнения части деятельности по обработке.
«Нарушение данных»: Случайное или незаконное уничтожение, потеря, изменение, несанкционированное раскрытие или доступ к персональным данным.
«Надзорный орган»: Управление по защите персональных данных (KVKK) и/или соответствующий орган по защите данных государства-члена ЕС.
«Стандартные договорные условия (СДУ)»: Стандартные договорные условия для международной передачи данных, утверждённые Европейской комиссией.
2. Предмет Договора
2.1. Сфера применения
Настоящее Соглашение об обработке данных («DPA») является неотъемлемой частью основного соглашения об услугах («Основное соглашение»), заключённого между Контролёром данных и Обработчиком данных, и регулирует права и обязанности сторон в отношении обработки персональных данных.
2.2. Цель
Целью настоящего DPA является:
- Соответствие требованиям статьи 28 GDPR и KVKK
- Обеспечение безопасной и законной обработки персональных данных
- Чёткое определение обязанностей сторон
- Защита прав субъектов данных
2.3. Приоритет
В случае противоречия между Основным соглашением и настоящим DPA, положения настоящего DPA имеют преимущественную силу в отношении защиты персональных данных.
3. Характер и Цель Обработки
3.1. Цель обработки
Обработчик данных будет обрабатывать персональные данные от имени Контролёра данных только для следующих целей:
- Предоставление услуг управления согласием на использование cookie
- Сбор, хранение и отчётность по записям согласия
- Услуги сканирования и категоризации cookie
- Услуги создания политики конфиденциальности и уведомлений
- Услуги отчётности о соответствии
- Предоставление клиентской поддержки
- Другие услуги в рамках Основного соглашения
3.2. Срок обработки
Обработка будет продолжаться в течение срока действия Основного соглашения и в соответствии с условиями, указанными в настоящем DPA.
3.3. Характер обработки
Деятельность по обработке включает: Сбор, Запись, Организацию, Структурирование, Хранение, Адаптацию, Изменение, Извлечение, Консультирование, Использование, Раскрытие путём передачи, Распространение, Предоставление доступа, Выравнивание, Комбинирование, Ограничение, Удаление, Уничтожение.
4. Категории Персональных Данных и Субъектов Данных
4.1. Категории обрабатываемых персональных данных
| Категория | Описание |
|---|---|
| Идентификационные данные | IP-адрес, ID cookie, идентификатор устройства |
| Данные согласия | Предпочтения согласия, время согласия |
| Технические данные | Тип браузера, операционная система |
| Поведенческие данные | Посещённые страницы, взаимодействия |
| Географические данные | Страна, регион (на основе IP, приблизительные) |
4.2. Особые категории персональных данных
В рамках настоящего DPA особые категории персональных данных (ст. 6 KVKK, ст. 9 GDPR) не обрабатываются. Контролёр данных обязуется не собирать такие данные через услуги Evaste.
4.3. Категории субъектов данных
Обрабатываемые персональные данные относятся к следующим лицам:
- Посетители веб-сайта Контролёра данных
- Пользователи мобильного приложения Контролёра данных
- Клиенты и потенциальные клиенты Контролёра данных
4.4. Объём обрабатываемых записей
Ориентировочный объём обрабатываемых записей: Варьируется в зависимости от плана подписки, указанного в Основном соглашении.
5. Обязанности Обработчика
Обработчик данных принимает на себя следующие обязательства:
5.1. Соблюдение инструкций
- Обрабатывать персональные данные только в соответствии с письменными инструкциями Контролёра данных.
- Незамедлительно информировать Контролёра данных, если инструкция, по его мнению, нарушает применимое законодательство о защите данных.
- Основное соглашение и настоящее DPA являются действительными письменными инструкциями.
5.2. Конфиденциальность
- Обеспечить, чтобы персонал, имеющий доступ к персональным данным, был связан обязательством конфиденциальности.
- Обеспечить, чтобы персонал имел доступ только к данным, необходимым для выполнения их обязанностей.
5.3. Меры безопасности
- Применять соответствующие технические и организационные меры безопасности в соответствии со статьёй 32 GDPR.
- Регулярно оценивать достаточность мер безопасности.
- Меры безопасности подробно описаны в Приложении А.
5.4. Использование субобработчиков
- Не привлекать субобработчиков без предварительного письменного согласия Контролёра данных.
- Заключать с субобработчиками письменные договоры с эквивалентными обязательствами по защите данных.
5.5. Запросы субъектов данных
- Содействовать Контролёру данных в ответе на запросы субъектов данных.
- Перенаправлять напрямую полученные запросы Контролёру данных.
5.6. Уведомление о нарушении данных
- Информировать Контролёра данных без промедления (не позднее 24 часов) при обнаружении нарушения данных.
- Предоставлять всю информацию и документацию, относящуюся к нарушению.
5.7. Поддержка аудита
- Отвечать на обоснованные запросы аудита от Контролёра данных или его уполномоченного представителя.
- Сотрудничать с проверками надзорных органов.
5.8. Окончание договора
- По окончании договора вернуть или уничтожить персональные данные в соответствии с инструкциями Контролёра данных.
- Законные обязательства по хранению сохраняются.
6. Обязанности Контролёра
Контролёр данных принимает на себя следующие обязательства:
6.1. Правовое соответствие
- Заявляет и гарантирует, что имеет действительное правовое основание для сбора и использования персональных данных.
- Заявляет, что субъекты данных надлежащим образом проинформированы и/или получены необходимые согласия.
6.2. Законность инструкций
- Гарантирует, что инструкции, данные Обработчику данных, соответствуют применимому законодательству о защите данных.
- Контролёр данных несёт ответственность за обеспечение соответствия услуг управления согласием на cookie Evaste законодательным требованиям.
6.3. Информирование
- Предоставит конечным пользователям соответствующее уведомление о конфиденциальности в отношении обработки данных через услуги Evaste.
- Укажет Evaste или соответствующих субобработчиков в политике cookie.
6.4. Точность данных
- Обеспечит точность и актуальность персональных данных, предоставленных Evaste.
- При необходимости будет обновлять данные.
7. Использование Субобработчиков
7.1. Общая авторизация
Контролёр данных предоставляет предварительное согласие на использование субобработчиков, перечисленных в Приложении Б (общая письменная авторизация).
7.2. Уведомление о новых субобработчиках
- Evaste уведомит Контролёра данных в письменной форме не менее чем за 30 (тридцать) дней до добавления нового субобработчика.
- Уведомление будет направлено на зарегистрированный адрес электронной почты Контролёра данных.
- Актуальный список субобработчиков публикуется по адресу https://evaste.co/legal-center/sub-processors
7.3. Право на возражение
- Контролёр данных может возразить против нового субобработчика в течение 15 (пятнадцати) дней с обоснованными причинами.
- В случае возражения стороны будут вести добросовестные переговоры.
- Если решение не найдено, Контролёр данных может расторгнуть договор.
7.4. Договоры с субобработчиками
- Evaste заключит с субобработчиками письменные договоры с обязательствами, эквивалентными настоящему DPA.
- Evaste остаётся ответственным перед Контролёром данных за действия субобработчиков.
8. Международная Передача Данных
8.1. Передача за пределы ЕЭП
При передаче персональных данных за пределы Европейской экономической зоны (ЕЭП):
- Решение об адекватности: Передача может осуществляться в страны с решением об адекватности Европейской комиссии.
- Стандартные договорные условия (СДУ): Применяются СДУ, принятые Европейской комиссией 4 июня 2021 года.
- Дополнительные меры: В соответствии с решением Schrems II принимаются необходимые дополнительные технические и организационные меры.
8.2. Оценка воздействия передачи
- Evaste провёл оценку воздействия передачи (TIA) для передачи в США или другие третьи страны.
- Результаты TIA могут быть предоставлены Контролёру данных по запросу.
8.3. Передача из Турции
Для передачи за рубеж в соответствии со статьёй 9 KVKK:
- Передача в страны с достаточной защитой
- Передача с договором, содержащим обязательство достаточной защиты
- Передача с явного согласия
применяется соответствующий метод.
9. Меры Безопасности
9.1. Технические меры
Evaste применяет следующие технические меры безопасности:
- Шифрование: TLS 1.3 при передаче, AES-256 при хранении
- Контроль доступа: Ролевой контроль доступа (RBAC), Многофакторная аутентификация (MFA), Принцип минимальных привилегий
- Сетевая безопасность: Межсетевой экран (WAF), Системы IDS/IPS, Защита от DDoS
- Безопасность приложений: Защита OWASP Top 10, Регулярные проверки безопасности, Тестирование на проникновение
9.2. Организационные меры
- Соглашения о конфиденциальности (весь персонал)
- Обучение осведомлённости о безопасности
- Процедуры авторизации доступа
- Планы реагирования на инциденты
9.3. Оценка мер безопасности
- Меры безопасности пересматриваются ежегодно.
- Обновляются на основе оценки рисков.
- Проверяются независимыми аудитами.
10. Права на Аудит
10.1. Объём аудита
Контролёр данных имеет право проводить аудит для проверки соответствия обязательствам по настоящему DPA.
10.2. Уведомление об аудите
- Запросы на аудит должны быть направлены в письменной форме не менее чем за 30 (тридцать) дней.
- Объём и продолжительность аудита должны быть определены заранее.
- Аудиты должны проводиться в обычные рабочие часы.
10.3. Методы аудита
- Аудит на месте: Контролёром данных или уполномоченным представителем, Независимым аудитором, Разумные расходы несёт Контролёр данных
- Удалённый аудит: Проверка отчётов о безопасности и сертификатов, Сессии вопросов и ответов, Обмен документацией
10.4. Доступные отчёты аудита
Evaste может предоставить по запросу следующие отчёты аудита:
- Отчёт SOC 2 Type II
- Сертификат ISO 27001
- Сводный отчёт о тестировании на проникновение
10.5. Конфиденциальность
Информация, полученная в ходе аудита, будет храниться конфиденциально и использоваться только для оценки соответствия.
11. Запросы Субъектов Данных
11.1. Перенаправление запросов
- Запросы субъектов данных, поступающие непосредственно в Evaste, будут перенаправлены Контролёру данных без проверки личности.
- Evaste незамедлительно уведомит Контролёра данных.
11.2. Обязательство по поддержке
Evaste будет содействовать Контролёру данных в ответе на запросы, касающиеся следующих прав:
- Право на доступ
- Право на исправление
- Право на удаление («право быть забытым»)
- Право на ограничение обработки
- Право на переносимость данных
- Право на возражение
11.3. Сроки ответа
Evaste предоставит техническую поддержку, необходимую для выполнения запросов субъектов данных, в течение 10 (десяти) рабочих дней.
11.4. Технические возможности
Платформа Evaste предлагает следующие функции самообслуживания:
- Экспорт записей согласия
- Удаление данных конкретного посетителя
- Отчёты о доступе к данным
12. Уведомление о Нарушении Данных
12.1. Определение
В рамках настоящего DPA «Нарушение данных» означает случайное или незаконное уничтожение, потерю, изменение, несанкционированное раскрытие или доступ к персональным данным, обрабатываемым Evaste.
12.2. Срок уведомления
- Evaste уведомит Контролёра данных не позднее 24 (двадцати четырёх) часов с момента, когда ему стало известно о нарушении данных.
- Уведомление: будет направлено на dpa@evaste.co и зарегистрированный адрес электронной почты Контролёра данных.
12.3. Содержание уведомления
Первоначальное уведомление будет содержать следующую информацию:
- Характер нарушения
- Затронутые категории данных
- Ориентировочное количество затронутых записей
- Первоначальные выводы и предпринятые срочные меры
- Контактное лицо
12.4. Подробный отчёт
В течение 72 часов после первоначального уведомления будет представлен подробный отчёт, содержащий:
- Хронологию нарушения
- Анализ первопричины
- Оценку возможных последствий
- Предпринятые и планируемые корректирующие меры
- Полный список затронутых данных (если возможно)
12.5. Сотрудничество
Evaste:
- Будет полностью сотрудничать с Контролёром данных в расследовании нарушения.
- Предоставит информацию, необходимую для уведомления надзорных органов.
- Окажет поддержку в уведомлении затронутых субъектов данных.
13. Срок Действия и Расторжение Договора
13.1. Срок действия
Настоящее DPA действительно в течение срока действия Основного соглашения.
13.2. Расторжение
- Настоящее DPA автоматически прекращается при расторжении Основного соглашения.
- В случае существенного нарушения любая из сторон может расторгнуть договор с письменным уведомлением за 30 дней.
13.3. Продолжающиеся обязательства
После расторжения следующие обязательства остаются в силе:
- Обязательства конфиденциальности (бессрочно)
- Обязательства по уничтожению/возврату данных (в течение 90 дней)
- Законные обязательства по хранению (в течение соответствующего периода)
14. Уничтожение Данных при Окончании Договора
14.1. Варианты возврата/уничтожения данных
По окончании договора, в соответствии с инструкциями Контролёра данных:
- Возврат данных: Передача данных в общем формате (CSV, JSON), Безопасные методы передачи, Завершение в течение 30 дней
- Уничтожение данных: Методы безопасного удаления, Соответствие стандартам NIST, Предоставление сертификата об уничтожении
14.2. Исключения из хранения
В следующих случаях данные могут храниться до окончания законного срока:
- Требования налогового законодательства
- Активные судебные разбирательства
- Запросы надзорных органов
14.3. Сертификат об уничтожении
После завершения уничтожения данных Evaste предоставит письменный сертификат с указанием уничтоженных данных и методов.
15. Ответственность и Возмещение
15.1. Распределение ответственности
- Каждая сторона несёт ответственность за ущерб, возникший в результате нарушения своих обязательств.
- Обработчик данных несёт ответственность только в той мере, в которой он не соблюдал данные ему инструкции или нарушил обязательства, возложенные непосредственно на Обработчика данных в соответствии с GDPR.
15.2. Возмещение
- Стороны возмещают друг другу административные штрафы и требования субъектов данных, возникшие в результате нарушения применимого законодательства о защите данных.
- Требования о возмещении определяются в зависимости от степени вины.
15.3. Ограничение ответственности
Ограничения ответственности в Основном соглашении применяются и к настоящему DPA; однако:
- Не применяются в случае умысла или грубой небрежности.
- Не применяются в случаях, ограниченных законодательством.
16. Конфиденциальность
16.1. Обязательство конфиденциальности
- Стороны будут сохранять конфиденциальность всей информации, полученной в рамках настоящего DPA.
- Конфиденциальная информация будет использоваться только для целей договора.
16.2. Исключения
Обязательство конфиденциальности не применяется в следующих случаях:
- Общедоступная информация
- Информация, раскрытая по требованию закона
- Информация, переданная с предварительного письменного согласия
16.3. Срок действия
Обязательства конфиденциальности действуют в течение срока действия договора и бессрочно после его окончания.
17. Общие Положения
17.1. Применимое право
Настоящее DPA регулируется законодательством Турецкой Республики. Для деятельности по обработке в рамках GDPR также применяется законодательство ЕС о защите данных.
17.2. Юрисдикция
Для разрешения споров компетентны суды и исполнительные органы Стамбула.
17.3. Изменения
- Изменения к настоящему DPA должны быть оформлены в письменной форме.
- Обновления, необходимые в связи с изменениями законодательства, вступают в силу незамедлительно.
17.4. Делимость
Признание недействительным любого положения не влияет на другие положения.
17.5. Неотказ от прав
Неиспользование какого-либо права не означает отказ от этого права.
17.6. Полное соглашение
Настоящее DPA и его приложения составляют полное соглашение по вопросам обработки персональных данных.
18. Приложения
Приложения, являющиеся неотъемлемыми частями настоящего DPA:
- Приложение А: Технические и организационные меры безопасности
- Приложение Б: Список утверждённых субобработчиков
- Приложение В: Стандартные договорные условия ЕС (СДУ)
Для Стандартных договорных условий: Стандартные договорные условия в соответствии с Имплементационным решением Европейской комиссии (ЕС) 2021/914 от 4 июня 2021 года включены в настоящее DPA. Выбранный модуль: Модуль 2 (Контролёр данных -> Обработчик данных)
Контактная информация
Evaste (Group Taiga)
Адрес: Левент, Стамбул, Турция
Запросы DPA: dpa@evaste.co
Ответственный за защиту данных: dpo@evaste.co
Общие вопросы: info@evaste.co
Веб-сайт: https://evaste.co