Начать бесплатно
Главная / Документы / Соглашение об обработке данных

Соглашение об обработке данных

Последнее изменение: 20.03.2024
list icon close icon

Дата вступления в силу: 25.04.2022

Настоящее Соглашение об обработке данных (далее — «СОД» или «Соглашение»”) является частью договора между Клиентом и ECOMZ HOLDING LIMITED, компанией, зарегистрированной в соответствии с законодательством Кипра, регистрационный номер 309897, с зарегистрированным офисом по адресу: Георгиу Кариу, 6B, офис/квартира 6B, Дасуполи, Строволос, 2014 (Georgiou Karyou, 6B, office/flat 6B, Dasoupoli, Strovolos, 2014) (далее — компания Selzy или «Компания»”), и определяет условия предоставления Услуг (с возможными изменениями) и обработки Персональных данных Клиента в соответствии с требованиями Законов о защите данных 

Настоящее Соглашение об обработке данных вступает в силу с указанной Даты вступления в силу. 

Принимая настоящее Соглашение об обработке данных от имени Клиента, вы подтверждаете, что: (а) обладаете всеми необходимыми юридическими полномочиями для принятия на себя от лица Клиента обязательств, предусмотренных настоящим Соглашением; (б) ознакомлены с его условиями и понимаете их; (в) принимаете настоящее Соглашение от имени Клиента. Если у вас нет таких полномочий, пожалуйста, не подтверждайте принятие настоящего Соглашения об обработке данных. 

ОБЛАСТЬ ПРИМЕНЕНИЯ СОГЛАШЕНИЯ ОБ ОБРАБОТКЕ ДАННЫХ 

Настоящее Соглашение применяется в той мере, в какой Законы о защите данных распространяется на обработку Персональных данных Клиента, включая случаи, если: 

  1. обработка осуществляется в рамках деятельности, связанной с Клиентами, зарегистрированными через домены selzy.com, cp.selzy.com или unione.io. Для получения дополнительной информации об изменении местоположения обработки данных свяжитесь с нашей службой поддержки.
  2. обработка осуществляется в рамках деятельности представительства Клиента в Европейской экономической зоне (ЕЭЗ); и (или)
  3. Клиент предоставляет услуги субъектам данных, находящимся в ЕЭЗ.

Если юридическое лицо Клиента, подписавшее настоящее Соглашение, является стороной Условий обслуживания компании Selzy, это Соглашение является дополнением к Условиям обслуживания и их частью. 

Настоящее Соглашение не заменяет ранее действовавшие соглашения, касающиеся его предмета (включая поправки или дополнения к обработке данных, относящиеся к Сервисам). 

В случае противоречий между условиями настоящего Соглашения и Условиями обслуживания (https://www.selzy.com/en/terms/)  приоритет имеют условия настоящего Соглашения. За исключением внесённых в настоящее Соглашение изменений, Условия обслуживания остаются в силе и действуют в полном объёме. 

ПОРЯДОК ПОДПИСАНИЯ НАСТОЯЩЕГО СОГЛАШЕНИЯ: 

  1. Настоящее соглашение о конфиденциальности было предварительно подписано от имени компании Selzy.
  2. Для его оформления Клиенту необходимо: 

(a) заполнить поле для подписи и поставить подпись на странице 8;
(b) отправить подписанное Соглашение компании Selzy по электронной почте на адрес [email protected], указав, если применимо, Идентификационный номер Клиента (как указано в соответствующей Форме заказа или Счёте). 

После получения компанией Selzy надлежащим образом заполненного Соглашения на указанный адрес электронной почты оно станет юридически обязательным. 

НАСТОЯЩИМ СТОРОНЫ ДОГОВОРИЛИСЬ О НИЖЕСЛЕДУЮЩЕМ: 

1. ВВЕДЕНИЕ

Настоящее Соглашение об обработке данных отражает договорённость сторон об условиях обработки и обеспечения безопасности Персональных данных Клиента в соответствии с Законами о защите данных.  

1.1 ОПРЕДЕЛЕНИЯ И ТОЛКОВАНИЕ
«Аффилированные лица» ​означает любое юридическое лицо, которое находится под контролем компании Selzy, контролирует её или находится с ней под общим контролем. 

«Компания Selzy» означает компанию ECOMZ HOLDING LIMITED и её Аффилированные лица, участвующие в Обработке Персональных данных. 

«Персональные данные Клиента»​ означает персональные данные, обрабатываемые компанией Selzy от имени Клиента в рамках предоставления Услуг. 

«Инцидент с данными»​ означает нарушение безопасности компании Selzy, приводящее к случайному или незаконному уничтожению, утрате, изменению, несанкционированному раскрытию или доступу к Персональным данным Клиента в системах, находящихся под управлением или контролем компании Selzy. Инциденты с данными не включают неудачные попытки или действия, не компрометирующие безопасность Персональных данных Клиента, включая неудачные попытки входа, пинги, сканирование портов, DDoS-атаки и иные атаки на брандмауэры или сетевые системы. 

«Законы о защите данных»​ означает, в зависимости от обстоятельств: (а) Общий регламент о защите персональных данных (GDPR); и (или) (б) Федеральный закон о защите данных от 19 июня 1992 года (Federal Data Protection Act of 19 June 1992) Швейцария. 

«Дата вступления в силу»​ означает, в зависимости от обстоятельств: 

дату предоставления Клиентом должным образом подписанного в порядке, установленном в разделе «ПОРЯДОК ПОДПИСАНИЯ НАСТОЯЩЕГО СОГЛАШЕНИЯ».

 «Общий регламент» / «Общий регламент о защите персональных данных» (GDPR) означает Регламент Европейского Парламента и Совета Европейского Союза 2016/679 от 27 апреля 2016 г. о защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС. 

«Адрес электронной почты для уведомлений» означает адрес электронной почты (при наличии), указанный Клиентом через пользовательский интерфейс предоставления Услуг или иным способом, предоставляемым компанией Selzy, для получения уведомлений, относящихся к настоящему Соглашению. 

«Персональные данные»​ означает любую информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу («субъекту данных»); идентифицируемым считается лицо, которое может быть идентифицировано прямо или косвенно, в частности, по идентификационному номеру или одному или нескольким признакам, характерным для его физической, физиологической, психической, экономической, культурной или социальной идентичности.  

«Обработка персональных данных» означает любую операцию или набор операций, которые выполняются с Персональными данными, будь то автоматическими средствами или без таковых, включая сбор, запись, организация, хранение, адаптация или изменение, извлечение, консультирование, использование, раскрытие путём передачи, распространения или иным образом предоставление доступа, соотнесение или комбинирование, блокирование, стирание или уничтожение (термины «Обработка», «Обработки» и «Обработанный» имеют соответствующее значение). 

«Меры безопасности» означает меры, направленные на защиту персональных данных от случайного или незаконного уничтожения, утраты, изменения, несанкционированного раскрытия или доступа, а также от иных незаконных форм обработки. Описание таких мер содержится в документе (или его соответствующей части, в зависимости от Услуг, приобретаемых Клиентом у компании Selzy) и в Приложении № 2 к настоящему Соглашению в действующей редакции. 

«Услуги» ​означает предоставление лицензии на использование программного обеспечения Selzy или UniOne, а также услуги по техническому обслуживанию, поддержке, консультации, профессиональные услуги, предоставление программного обеспечения как услуги (SaaS) и любые иные услуги, оказываемые компанией Selzy в рамках Соглашения, в рамках которых компания Selzy выступает в качестве Обработчика Персональных данных Клиента. 

«Субподрядчики по обработке данных» означает третьи лица, уполномоченные компанией Selzy осуществлять логический доступ к Персональным данным Клиента и их обработку в целях предоставления отдельных элементов Услуг и соответствующей технической поддержки. 

 «Срок действия»​ означает период времени с даты вступления в силу до прекращения предоставления компанией Selzy Услуг Клиенту в соответствии с Соглашением. 

Для целей настоящего Соглашения термины ​«Контролёр данных»​, ​«Субъект данных»​, ​«Персональные данные»​, ​«Обработка»​, ​«Обработчик данных»​ и ​«Надзорный орган»​ должны иметь значение, указанное в Общем регламенте о защите персональных данных (GDPR). 

2. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1 Роли и соответствие нормативным требованиям; Разрешение.

2.1.1 Обязанности Обработчика и Контролёра.
Стороны признают и соглашаются, что:

  • ​Приложение № 1 к Стандартным условиям договора описывает предмет, порядок и условия обработки Персональных данных Клиента;
  • Компания Selzy выступает в качестве обработчика Персональных данных Клиента в соответствии с Законами о защите данных;
  • Клиент является контролёром либо обработчиком Персональных данных Клиента в зависимости от обстоятельств и в соответствии с Законами о защите данных; и
  • каждая из сторон обязуется соблюдать применимые к ней требования Законов о защите данных в отношении обработки Персональных данных Клиента.
  • Клиент обязуется при использовании или получении Услуг Обрабатывать персональные данные в соответствии с требованиями Законов о защите данных, а также гарантирует, что его поручения в отношении Обработки персональных данных соответствуют требованиям указанного законодательства.
  • Клиент несёт полную ответственность за точность, качество и законность Персональных данных, а также за способы их получения.

2.2 Разрешение стороннего Контролёра.
Если Клиент выступает в качестве обработчика, он гарантирует компании Selzy, что его поручения и действия в отношении Персональных данных Клиента, включая назначение компании Selzy в качестве дополнительного обработчика, были санкционированы соответствующим контролёром.

2.3 Стороны соглашаются, что в рамках обработки персональных данных компания Selzy или её Аффилированные лица могут привлекать Субподрядчиков по обработке данных в соответствии с условиями раздела 7 «Субподрядчики по обработке данных» настоящего Соглашения.

2.4 Заключая настоящее Соглашение об обработке данных, Клиент поручает компании Selzy обрабатывать Персональные данные Клиента только в соответствии с действующим законодательством:
(a) для предоставления Услуг и любой связанной с ними технической поддержки; (б) в порядке, необходимом для использования Клиентом Услуг (включая их настройки и функциональные возможности), а также любой связанной технической поддержки; (в) в порядке и на условиях, предусмотренных настоящим Соглашением об обработке данных; и (г) на основании иных письменных поручений Клиента, принятых компанией Selzy в качестве поручений для целей настоящего Соглашения об обработке данных.

2.5 Удаление по истечении Срока действия.
По окончании Срока действия настоящего Соглашения Клиент поручает компании Selzy удалить все Персональные данные Клиента (включая их существующие копии) из систем Selzy в соответствии с действующим законодательством. Компания Selzy обязуется выполнить это поручение в разумные сроки, но не позднее 30 дней, за исключением случаев, когда законодательство США, ЕС или государства-члена ЕС требует хранения данных.

2.6 Удаление учётной записи и архивирование.
Общий срок хранения Персональных данных составляет 30 дней, за исключением данных о доставке и статистике открытий, которые хранятся не менее 180 дней с даты отправки. Компания Selzy оставляет за собой право удалить или заархивировать любую неактивную учётную запись (и связанные с ней Персональные данные Клиента), если в течение более 12 месяцев с неё не было отправлено ни одного электронного письма.

3. ПРАВА СУБЪЕКТОВ ДАННЫХ

3.1 Если Клиент при использовании или получении Услуг не имеет возможности исправить, дополнить, заблокировать или удалить Персональные данные в соответствии с требованиями Законов о защите данных, то компания Selzy обязуется (принимая во внимание характер обработки Персональных данных Клиента и, если применимо, статью 11 Общего регламента) помогать Клиенту в выполнении любых обязательств по реагированию на запросы субъектов данных, включая (если применимо) обязательство Клиента отвечать на запросы об осуществлении прав субъекта данных, изложенных в главе III Общего регламента, путём предоставления функциональных возможностей Услуг.

3.2 Компания Selzy обязуется, насколько это разрешено законом, незамедлительно уведомить Клиента, если получит запрос от Субъекта данных о доступе к его персональным данным, их исправлении, дополнении, ограничении, удалении или осуществлении иных прав, предусмотренных Общим регламентом. Компания Selzy обязуется не отвечать на такие запросы без предварительного письменного согласия Клиента, за исключением случаев подтверждения того, что запрос относится к Клиенту. Компания Selzy обязуется оказывать Клиенту содействие в обработке запросов Субъекта данных о доступе к его персональным данным или осуществлении иных прав, предусмотренных Общим регламентом, в той мере, в какой это разрешено законом и в какой Клиент не имеет доступа к таким Персональным данным при использовании Услуг.

4. ПЕРСОНАЛ

4.1 Компания Selzy должна обеспечить информирование персонала и подрядчиков, участвующих в обработке Персональных данных, об их конфиденциальном характере, а также прохождение ими соответствующей подготовки в отношении их обязанностей и принятие на себя обязательств о сохранении конфиденциальности, изложенных в Приложении № 2 к настоящему Соглашению. Эти обязательства сохраняются в силе и продолжают действовать после прекращения сотрудничества указанных лиц с компанией Selzy.

5. БЕЗОПАСНОСТЬ ДАННЫХ

5.1 Компания Selzy обязуется применять административные, физические и технические меры для обеспечения безопасности, конфиденциальности и целостности Персональных данных в соответствии с Приложением № 2 к настоящему Соглашению.

5.2 Меры безопасности компании Selzy. Компания Selzy обязуется внедрять и поддерживать технические, физические и организационные меры для защиты конфиденциальности и целостности Персональных данных Клиента от случайного или незаконного уничтожения, потери, изменения, несанкционированного раскрытия или доступа, как это описано в Приложении № 2 к настоящему Соглашению (далее – «Меры безопасности»). Как указано в Приложении № 2 к настоящему Соглашению, Меры безопасности включают: (а) обеспечение постоянной конфиденциальности, целостности, доступности и устойчивости систем и сервисов компании Selzy; (б) своевременное восстановление доступа к персональным данным после инцидента; и (в) регулярные проверки эффективности. Компания Selzy может периодически актуализировать или изменять Меры безопасности при условии, что такие изменения не снижают общий уровень безопасности Услуг.

5.3 Соблюдение мер безопасности сотрудниками компании Selzy. Компания Selzy принимает необходимые меры для обеспечения соблюдения Мер безопасности своими сотрудниками, подрядчиками и Субподрядчиками по обработке данных в той мере, в какой это относится к их обязанностям. В частности, компания Selzy гарантирует, что все лица, уполномоченные на обработку Персональных данных Клиентов, приняли на себя обязательства по соблюдению конфиденциальности или связаны соответствующим законодательным требованием о конфиденциальности в соответствии с Приложением № 2 к настоящему Соглашению.

5.4 Содействие компании Selzy в обеспечении безопасности. Клиент соглашается, что компания Selzy будет оказывать ему поддержку в выполнении обязательств по обеспечению безопасности персональных данных и реагированию на их утечки, включая (если применимо) соблюдение требований статей 32–34 Общего регламента, путём:

  • внедрения и поддержания Мер безопасности в соответствии с Приложение № 2 к настоящему Соглашению; и
  • исполнения условий раздела 7 («Инциденты с данными»).

6. СУБПОДРЯДЧИКИ ПО ОБРАБОТКЕ ДАННЫХ

6.1 Согласие на привлечение Субподрядчиков по обработке данных. Клиент, в частности, соглашается с тем, что компания Selzy привлекает ряд сторонних Субподрядчиков по обработке данных в связи с предоставлением Услуг, доступ к которым также возможен по адресу: Политика конфиденциальности компании Selzy.

Компания Selzy заключила с каждым Субподрядчиком по обработке данных соглашение, содержащее обязательства по защите данных, не менее строгие, чем те, которые изложены в настоящем Соглашении, в отношении защиты Персональных данных Клиента в той мере, в какой это применимо к характеру Услуг, предоставляемых таким Субподрядчиком по обработке данных. 

6.2 Список действующих Субподрядчиков по обработке данных и уведомление о новых. Компаний Selzy предоставляет Клиенту доступ к актуальному списку Субподрядчиков по обработке данных.Такой список Субподрядчиков по обработке данных включает их идентификационные, и доступен Клиенту на веб-сайте компании Selzy, а также по адресу: Политика конфиденциальности компании Selzy​. Компания Selzy не обязана уведомлять Клиента о привлечении новых Субподрядчиков по обработке данных, и Клиенту следует самостоятельно знакомиться с обновлениями Политики конфиденциальности компании Selzy.

6.3 Требования к привлечению Субподрядчиков по обработке данных. При привлечении любого Субподрядчика по обработке данных компания Selzy обеспечивает посредством договора, что:

  • получение таким Субподрядчиком по обработке данных доступа к Персональным данным Клиента и использование их только в объёме, необходимом для выполнения обязательств, переданных ему на субподряд, в соответствии с Соглашением (включая настоящее СОД); и
  • если к обработке Персональных данных Клиента применяются положения Общего регламента, то обязательства по защите данных, изложенные в статье 28(3) Общего регламента, распространяются на этого Субподрядчика по обработке данных.

6.4 Право на возражение против привлечения новых Субподрядчиков по обработке данных.
Клиент может возразить против привлечения любого нового Субподрядчика по обработке данных, уведомив компанию Selzy в письменной форме. Если Клиент возражает против привлечения нового Субподрядчика по обработке данных, компания Selzy предпримет разумные усилия, чтобы предоставить Клиенту доступ к изменениям в Услугах или порекомендует коммерчески обоснованное изменение конфигурации Клиента или использования Услуг, чтобы избежать Обработки Персональных данных новым Субподрядчиком по обработке данных, против которого подано возражение, без необоснованного обременения Клиента. Если компания Selzy не сможет внести такие изменения в течение разумного срока, который не должен превышать 30 (тридцати) дней, Клиент может, направив компании Selzy письменное уведомление, расторгнуть соответствующий Заказ только в отношении тех Услуг, которые не могут быть предоставлены компанией Selzy без использования нового Субподрядчика по обработке данных, против которого подано возражение. 

7. ИНЦИДЕНТЫ С ДАННЫМИ

7.1 Уведомление об инциденте. Если компании Selzy становится известно об Инциденте с данными, компания Selzy обязана: (a) незамедлительно, без неоправданной задержки (в течение 72 часов с момента обнаружения инцидента), уведомить Клиента об Инциденте с данными; и (б) оперативно предпринять разумные меры для минимизации ущерба и обеспечения безопасности Персональных данных Клиента.

7.2 Информация об Инциденте с данными. В уведомлениях должно содержаться максимально подробное описание Утечки данных (насколько это возможно), включая принятые меры по снижению потенциальных рисков и рекомендации компании Selzy для Клиента по устранению последствий Инцидента с данными.

7.3 Доставка уведомления. Компания Selzy направит уведомление о любом Инциденте с данными на адрес электронной почты для уведомлений, указанный Клиентом. Если Клиент не предоставил такой адрес, компания Selzy по своему усмотрению может использовать другие способы связи (например, телефонный звонок или личную встречу). Клиент несёт полную ответственность за предоставление актуального и действующего адреса электронной почты для уведомлений.

7.4 Уведомления третьих лиц. Клиент несёт единоличную ответственность за соблюдение применимых к нему законов об уведомлении о нарушениях, а также за выполнение обязательств по уведомлению третьих лиц о любом Инциденте с данными.

8. ПРОВЕРКИ СОБЛЮДЕНИЯ ПРИМЕНИМЫХ ТРЕБОВАНИЙ

8.1 Чтобы подтвердить исполнение компанией Selzy своих обязательствам по настоящему Соглашению об обработке данных (СОД), компания Selzy предоставит Клиенту по его запросу дополнительную информацию о мерах безопасности, реализуемых в соответствии с Приложением № 2 к настоящему Соглашению.

8.2 По запросу Клиента и при соблюдении обязательств по конфиденциальности, установленных настоящим Соглашением, компания Selzy предоставит информацию об исполнении своих обязательств и мерах безопасности, реализуемых в соответствии с Приложением № 2, Клиенту, при условии, что он не является конкурентом компании Selzy (или независимому стороннему аудитору Клиента, при условии, что он также не является конкурентом компании Selzy).

9. ОЦЕНКА ВОЗДЕЙСТВИЯ НА ЗАЩИТУ ДАННЫХ

По запросу Клиента компания Selzy будет оказывать поддержку в выполнении его обязательств по проведению оценки воздействия на защиту данных и предварительных консультаций, включая (если применимо) соблюдение требований статей 35 и 36 Общего регламента, в той мере, в какой у Клиента отсутствует необходимая информация, и в пределах имеющихся у компании Selzy данных. Компания Selzy окажет Клиенту разумное содействие в процессе взаимодействия или предварительных консультаций с Надзорным органом при выполнении им соответствующих функций. 

10. ПЕРЕДАЧА ДАННЫХ

10.1 В большинстве случаев Персональные данные Клиентов будут обрабатываться компанией ECOMZ HOLDING LIMITED, зарегистрированной в Республике Кипр в рамках Европейской экономической зоны, и размещаться в центрах обработки данных Amazon Web Services или TET (Lattelecom) в Германии или Латвии, которые полностью соответствуют требованиям Общего регламента.

10.2 Трансграничная передача данных. Selzy может обрабатывать персональные данные Клиентов в Соединённых Штатах Америки или Российской Федерации при соблюдении соответствующих гарантий, установленных статьёй 46 Общего регламента (см. пункт 10.3).

10.3 Если Клиент находится в Соединённых Штатах Америки, его персональные данные могут храниться в центрах обработки данных Amazon Web Services в США, которые полностью соответствуют требованиям Общего регламента. Если Клиент находится в Российской Федерации, его персональные данные могут быть переданы для обработки компанией Selzy в защищённый центр обработки данных на территории Российской Федерации. Обработка данных в Российской Федерации обеспечивается соответствующими гарантиями в соответствии со статьёй 46 Общего регламента, в частности, стандартными положениями о защите данных, утверждёнными Европейской комиссией в рамках процедуры проверки. Для передачи данных от контролёров в ЕС к обработчикам за пределами ЕС применимы меры безопасности, указанные в Приложении № 2 к настоящему Соглашению. Европейская комиссия признала, что стандартные договорные положения обеспечивают достаточный уровень защиты персональных данных при их трансграничной передаче. Вы имеете право запросить информацию о соответствующих договорных гарантиях. (Для этого свяжитесь с нашим Специалистом по защите данных).

11. ВСТУПЛЕНИЕ В СИЛУ И СРОК ДЕЙСТВИЯ

11.1 Настоящее Соглашение вступает в силу с Даты вступления в силу и, вне зависимости от истечения Срока действия, остаётся в силе до удаления компанией Selzy всех Персональных данных Клиента, как это описано в настоящем Соглашении.

12. ПРИМЕНИМОЕ ЗАКОНОДАТЕЛЬСТВО

12.1 Настоящее Соглашение (включая любые недоговорные вопросы и обязательства, вытекающие из него или связанные с ним) регулируется и толкуется в соответствии с законодательством Республики Кипр.

12.2 Любой спор, разногласие, разбирательство или претензия Сторон, относящиеся к настоящему Соглашению (включая любые недоговорные вопросы и обязательства, вытекающие из него или связанные с ним), подпадают под юрисдикцию судов Республики Кипр.

12.3 Для передачи данных за пределы ЕЭЗ, перечисленных в пункте 10.3, защищённых соответствующими гарантиями в соответствии со статьёй 46 Общего регламента, в частности, стандартными положениями о защите данных, принятыми Комиссией в соответствии с процедурой проверки, ведущим надзорным органом является Республика Кипр в соответствии со статьёй 56 Общего регламента, если обработка осуществляется в контексте деятельности учреждения в странах ЕЭЗ, отличных от Республики Кипр, и (или) если Клиенты оказывают услуги субъектам данных в странах ЕЭЗ, отличных от Республики Кипр.

Надзорный орган Республики Кипр в рамках ЕЭЗ компетентен выступать в качестве ведущего надзорного органа за трансграничной обработкой, осуществляемой обработчиком, в соответствии с процедурой, предусмотренной статьёй 60 Общего регламента.  

13. ИЗМЕНЕНИЕ СОГЛАШЕНИЯ

13.1 Компания Selzy может изменить настоящее Соглашение, если такое изменение:

  • прямо разрешено настоящим Соглашением;
  • отражает изменение названия или организационно-правовой формы юридического лица;
  • требуется для соблюдения применимого законодательства, нормативных актов, судебного приказа или руководства государственного регулирующего органа; или
  • не приводит: (i) к снижению общей безопасности Услуг; (ii) к расширению сферы применения или снятию ограничений на обработку компанией Selzy Персональных данных Клиента; (iii) к иному существенному негативному влиянию на права Клиента, как обоснованно определено компанией Selzy.

13.2 Уведомление об изменениях. Если компания Selzy намеревается изменить настоящее Соглашение, она обязана уведомить Клиента не менее чем за 30 дней (или за более короткий срок, если это требуется для соблюдения законодательства) до вступления изменений в силу, направив уведомление: (a) на адрес электронной почты, указанный для уведомлений; или (б) через пользовательский интерфейс для получения Услуг. Если Клиент возражает против внесённых изменений, он вправе расторгнуть Соглашение, направив письменное уведомление компании Selzy в течение 30 дней с момента получения уведомления.

Приложение № 1

ПРЕДМЕТ И ХАРАКТЕРИСТИКИ ОБРАБОТКИ ДАННЫХ

1. Характер и цель Обработки

Компания Selzy будет Обрабатывать Персональные данные Клиента по мере необходимости для предоставления Услуг в соответствии с Соглашением, а также в соответствии с дальнейшими поручениями Клиента при использовании Услуг. 

2. Продолжительность Обработки

В соответствии с разделом 11 Соглашения компания Selzy будет Обрабатывать Персональные данные в течение срока действия Соглашения, если иное не оговорено в письменной форме. 

3. Категории Субъектов данных

Клиент может предоставлять Персональные данные для использования в Услугах, объём которых определяется и контролируется Клиентом по его собственному усмотрению. Эти данные могут включать, помимо прочего, следующие категории субъектов данных: 

  • потенциальные клиенты, заказчики, деловые партнёры и поставщики Клиента (которые являются физическими лицами);
  • сотрудники или контактные лица потенциальных клиентов, заказчиков, деловых партнёров и поставщиков Клиента;
  • сотрудники, агенты, консультанты и фрилансеры Клиента (которые являются физическими лицами);
  • Пользователи Клиента, уполномоченные Клиентом на использование Услуг.

4. Типы Персональных данных

Клиент может предоставлять Персональные данные для использования в Услугах, объём которых определяется и контролируется Клиентом по его собственному усмотрению. Эти данные могут включать, помимо прочего, следующие категории Персональных данных: 

  • имя и фамилия; 
  • титул; 
  • страна;
  • адрес электронной почты;
  • номер телефона;
  • почтовый адрес;
  • должность; 
  • работодатель; 
  • контактная информация (компания, адрес электронной почты, телефон, адрес фактического местоположения компании); 
  • идентификационные данные; 
  • IP-адреса и доменное имя;
  • данные о локализации. 

5. Специальные категории данных (при необходимости):

Н.П. 

6. Операции по обработке

Персональные данные будут обрабатываться в рамках следующих основных процессов (укажите при необходимости):

  • ИТ, цифровые, технологические или телекоммуникационные услуги, включая предоставление технологических продуктов или услуг, телекоммуникационные и сетевые услуги, цифровые услуги, хостинг, облачные сервисы и услуги поддержки, а также лицензирование программного обеспечения; в том числе, помимо прочего:
  • сбор, запись, организация, структурирование, хранение, извлечение, использование, раскрытие, удаление и уничтожение Персональных данных Клиента с целью предоставления Услуг и любой связанной с ними технической поддержки Клиенту в соответствии с настоящим Соглашением об обработке данных. Услуги включают: Услуги SaaS email/SMS/Viber маркетинга, Услуги транзакционных рассылок, Услуги email-маркетинга и т. д.

 

Приложение № 2

МЕРЫ БЕЗОПАСНОСТИ

Компания Selzy обязуется внедрять и поддерживать меры безопасности, изложенные в этом Приложении № 2. Компания Selzy может периодически актуализировать или изменять Меры безопасности при условии, что такие изменения не снижают общий уровень безопасности Услуг. 

1. ОСНОВНЫЕ ПРАВИЛА КОМПАНИИ SELZY В ОТНОШЕНИИ ЗАЩИТЫ ДАННЫХ

1.1 Все ИТ-системы компании Selzy защищены от несанкционированного доступа. 

1.2 Все ИТ-системы компании Selzy используются исключительно в соответствии с применимыми корпоративными политиками. 

1.3 Все сотрудники компании Selzy и любые третьи лица, уполномоченные использовать ИТ-системы, включая Субподрядчиков по обработке данных, должны ознакомиться с настоящей Политикой и всегда соблюдать её. 

1.4 Все линейные менеджеры обеспечивают, чтобы сотрудники и Субподрядчики по обработке данных под их руководством, всегда соблюдали Политику в соответствии с требованиями пункта 2.3. 

1.5 Все данные, хранящиеся в ИТ-системах, надёжно обрабатываются в соответствии со всеми применимыми положениями Общего регламента ЕС 2016/679 о защите персональных данных («Общий регламент») и иными действующими законами о защите данных. 

1.6 Все данные, хранящиеся в ИТ-системах, классифицируются соответствующим образом. Все классифицированные данные обрабатываются надлежащим образом в соответствии с их классификацией. 

1.7 Все данные, хранящиеся в ИТ-системах, доступны только Пользователям, имеющим законную необходимость доступа к таким данным. 

1.8 Все данные, хранящиеся в ИТ-системах, защищены от несанкционированного доступа и обработки. 

1.9 Все данные, хранящиеся в ИТ-системах, защищены от утраты и повреждения.  

1.10 Информация о всех нарушениях безопасности, связанных с ИТ-системами или данными, хранящимися в них, доводится до сведения Отдела ИТ, и в отношении таких событий проводится расследование. 

2. МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ

2.1 Все программное обеспечение, используемое в ИТ-системах (включая, но не ограничиваясь, операционные системы, отдельные программные приложения и встроенное ПО), поддерживается в актуальном состоянии. Все соответствующие обновления, исправления, патчи и другие промежуточные версии своевременно применяются. 

2.2 При выявлении недостатка безопасности в любом программном обеспечении он немедленно устраняется. В противном случае программное обеспечение может быть изъято из ИТ-систем до его полного исправления. 

2.3 Сотрудники Selzy не вправе самостоятельно устанавливать какое-либо программное обеспечение, независимо от способа его получения (на физическом носителе или через загрузку), без разрешения Руководителя Отдела ИТ. Любое программное обеспечение должно быть одобрено Руководителем Отдела ИТ. Оно может быть установлено только в том случае, если не представляет угрозы безопасности ИТ-систем и, если установка не нарушает лицензионных соглашений, применимых к данному ПО. 

3. МЕРЫ АНТИВИРУСНОЙ БЕЗОПАСНОСТИ

3.1 ИТ-системы компании Selzy (включая все компьютеры и серверы) защищены соответствующим антивирусом, брандмауэром и другим подходящим программным обеспечением для обеспечения интернет-безопасности. Все такое программное обеспечение поддерживается в актуальном состоянии с учётом последних обновлений программного обеспечения и определений. 

3.2 Все ИТ-системы компании Selzy, защищённые антивирусным программным обеспечением, проходят полную проверку не реже одного раза в неделю. 

3.3 Все физические носители (например, USB-накопители или диски любого типа), используемые сотрудниками для передачи файлов, должны быть проверены на вирусы, прежде чем передавать какие-либо файлы. Такая проверка на вирусы выполняется Руководителем Отдела ИТ. 

3.4 Сотрудникам компании Selzy разрешается передавать файлы с использованием облачных систем хранения только с разрешения Руководителя Отдела ИТ. Все файлы, загруженные из любой облачной системы хранения, проверяются на вирусы в процессе загрузки. 

3.5 Любые файлы, отправляемые третьим лицам за пределы Компании, будь то по электронной почте, на физических носителях или другими способами (например, в общем облачном хранилище), проверяются на наличие вирусов перед отправкой или в процессе отправки.  

4. МЕРЫ АППАРАТНОЙ БЕЗОПАСНОСТИ

4.1 Локальные ИТ-системы компании Selzy расположены в помещениях, которые надёжно запираются (авторизованным пользователям предоставляется доступ с помощью смарт-карты).  

4.2 Все локальные ИТ-системы, не предназначенные для обычного использования Пользователями (включая, но не ограничиваясь этим, серверы, сетевое оборудование и сетевую инфраструктуру), расположены в защищённых помещениях с климат-контролем в запираемых шкафах, доступ к которым могут получить только назначенные сотрудники Отдела ИТ. 

4.3 Все мобильные устройства (включая, но не ограничиваясь, ноутбуки, планшеты и смартфоны), предоставляемые Компанией, всегда перевозятся безопасно и с ними бережно обращаются. 

5. БЕЗОПАСНОСТЬ ДОСТУПА

5.1 Права доступа ко всем ИТ-системам определяются на основе уровня полномочий сотрудников в организационной структуре компании Selzy и требований, предъявляемых к их должностным обязанностям. Сотрудникам не предоставляется доступ к каким-либо ИТ-системам или электронным данным, которые не являются обоснованно необходимыми для выполнения их должностных обязанностей. 

5.2 Все ИТ-системы (и, в частности, мобильные устройства, включая, но не ограничиваясь ими, ноутбуки, планшеты и смартфоны) защищены надёжным паролем или парольным кодом или другой формой безопасной системы входа в систему, которую Отдел ИТ может счесть подходящей и одобрить.  

5.3 Ко всем паролям применяются следующие меры безопасности: 

  • содержать не менее 8 знаков;
  • содержать комбинацию прописных и строчных букв, цифр и символов;
  • изменяться не реже, чем каждые 90 дней;
  • отличаться от предыдущего пароля;
  • быть неочевидными или легко угадываемыми (например, дни рождения или другие памятные даты, запоминающиеся имена, события или места и т. д.); и
  • быть созданными отдельными Пользователями.

 5.4 Все ИТ-системы с дисплеями и устройствами пользовательского ввода (например, мышь, клавиатура, сенсорный экран и т. д.) защищены паролем, который активируется после 5 минут бездействия. 

6. БЕЗОПАСНОСТЬ ХРАНЕНИЯ ДАННЫХ

6.1 Все данные, и в частности персональные данные, надёжно хранятся с использованием паролей. 

6.2 Никакие персональные данные не хранятся ни на одном мобильном устройстве (включая, но не ограничиваясь этим, ноутбуки, планшеты и смартфоны), независимо от того, принадлежит ли такое устройство компании Selzy или нет.  

6.3 Никакие данные, в частности персональные, не передаются на какой-либо компьютер или устройство, лично принадлежащие сотруднику, за исключением случаев, когда данный сотрудник является Субподрядчиком по обработке данных, работающим от имени компании Selzy, и этот сотрудник принял на себя обязательства Политику защиты данных Компании и требования Общего регламента. 

7. ЗАЩИТА ДАННЫХ

7.1 Все персональные данные (как определено в Общем регламенте), собираемые, хранимые и обрабатываемые компанией Selzy, собираются, хранятся и обрабатываются строго в соответствии с принципами и положениями Общего регламента и Политикой защиты данных Компании. 

7.2 Все Пользователи, обрабатывающие данные от имени компании Selzy, подчиняются Политике защиты данных Компании и обязаны соблюдать её требования. В частности: 

  • все электронные письма, содержащие конфиденциальные или чувствительные персональные данные, шифруются с использованием протокола TLS SSL;
  • все электронные письма, содержащие конфиденциальные или чувствительные персональные данные, помечаются грифом «конфиденциально»;
  • конфиденциальные и чувствительные персональные данные могут передаваться только по защищённым сетям; передача по незащищённым сетям недопустима ни при каких обстоятельствах;
  • все конфиденциальные и чувствительные персональные данные, подлежащие физической передаче, в том числе на съёмных электронных носителях, передаются в подходящем контейнере с грифом «конфиденциально»;
  • если на экране компьютера просматриваются какие-либо конфиденциальные или чувствительные персональные данные и соответствующий компьютер должен быть оставлен без присмотра на какой-либо период времени, сотрудник должен заблокировать компьютер и экран, прежде чем покинуть его.

7.3 По любым вопросам, связанным с защитой данных, следует обращаться к нашему Специалисту по защите данных ([email protected]).  

8. ЦЕНТРЫ ОБРАБОТКИ ДАННЫХ И СЕТЕВАЯ БЕЗОПАСНОСТЬ ХОСТИНГ-ПРОВАЙДЕРА

Компания Selzy использует Amazon Web Services (AWS) для хранения и анализа данных, включая Облачную инфраструктуру AWS в регионах Германии и Латвии. 

9. ДОСТУПНОСТЬ

В AWS имеется определение критически важных системных компонентов, необходимых для поддержания доступности нашей системы и восстановления работы в случае сбоя. Резервные копии критически важных системных компонентов хранятся в нескольких изолированных местах, называемых Зонами доступности. Каждая Зона доступности спроектирована таким образом, чтобы работать независимо и с высокой надёжностью. Зоны доступности соединены между собой, что позволяет легко разрабатывать приложения, автоматически переключающиеся между Зонами доступности без прерывания работы. Высокая устойчивость систем и, следовательно, доступность услуг зависят от их архитектуры. Благодаря Зонам доступности и репликации данных клиенты AWS могут минимизировать время восстановления, достичь высокой частоты создания резервных копий и обеспечить максимальную доступность услуг. 

10. ТЕХНИЧЕСКОЕ ОБСЛУЖИВАНИЕ ИНФРАСТРУКТУРЫ

Техническое обслуживание оборудования.​ В AWS осуществляется контроль и профилактическое обслуживание электрического и механического оборудования для поддержания его бесперебойной работы в центрах обработки данных AWS. Процедуры технического обслуживания выполняются квалифицированными специалистами в соответствии с задокументированным графиком работ. 

Управление средой​. В AWS осуществляется мониторинг электрических и механических систем и оборудования, что позволяет немедленно выявлять проблемы. Для этого используются инструменты непрерывного аудита и данные, предоставляемые нашими Системами управления зданиями и электрического мониторинга. Для поддержания постоянной работоспособности оборудования проводится профилактическое обслуживание. 

11. УПРАВЛЕНИЕ И РИСКИ

Управление рисками в центрах обработки данных. Центр управления безопасностью AWS регулярно проводит анализ угроз и уязвимостей центров обработки данных. Оценка и устранение потенциальных уязвимостей осуществляется в рамках мероприятий по управлению рисками центров обработки данных. Этот процесс дополняет корпоративную систему оценки рисков, которая предназначена для выявления и управления рисками, затрагивающими бизнес в целом. При этом учитываются региональные нормативные риски и риски среды. 

Сертификация безопасности сторонними организациями. Тестирование центров обработки данных AWS внешними аудиторами, описанное в наших отчётах, подтверждает, что в AWS надлежащим образом внедрены меры безопасности в соответствии с установленными стандартами, необходимыми для получения соответствующих сертификатов. В зависимости от требований программ обеспечения соответствия внешние аудиторы могут проверять утилизацию носителей информации, анализировать записи с камер видеонаблюдения, инспектировать входы и коридоры центра обработки данных, тестировать электронные системы контроля доступа и изучать оборудование центра. 

Сети и передача данных​. 

Передача данных. Центры обработки данных компании Selzy подключены по частным каналам, защищённым сетевыми брандмауэрами AWS, что обеспечивает безопасную передачу данных. Это сделано для защиты конфиденциальности, целостности и доступности сети, а также предотвращения несанкционированного считывания, копирования, изменения или удаления данных во время электронной передачи. 

Меры реагирования на Утечку данных. Компания Selzy отслеживает различные каналы связи на предмет нарушений безопасности, а сотрудники службы безопасности оперативно реагируют на известные инциденты. 

Защита от атак извне​. Компания Selzy анализирует потенциальные векторы атак и внедряет соответствующие специализированные запатентованные технологии во внешние системы. 

Технологии шифрования. Компания Selzy использует HTTPS-шифрование (также называемое SSL или TLS-соединением). 

12. БЕЗОПАСНОСТЬ СУБПОДРЯДЧИКА ПО ОБРАБОТКЕ ДАННЫХ

Перед привлечением Субподрядчиков по обработке данных компания Selzy проводит аудит их методов обеспечения безопасности и конфиденциальности, чтобы убедиться, что они предоставляют уровень защиты, соответствующий их доступу к данным и объёму оказываемых услуг. После оценки рисков, связанных с Субподрядчиком по обработке данных, он обязан заключить договор, содержащий условия безопасности, конфиденциальности и защите данных, отвечающий соответствующим требованиям раздела 6 СОД. 

Раздел:
1. ВВЕДЕНИЕ 2. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ 3. ПРАВА СУБЪЕКТОВ ДАННЫХ 4. ПЕРСОНАЛ 5. БЕЗОПАСНОСТЬ ДАННЫХ 6. СУБПОДРЯДЧИКИ ПО ОБРАБОТКЕ ДАННЫХ 7. ИНЦИДЕНТЫ С ДАННЫМИ 8. ПРОВЕРКИ СОБЛЮДЕНИЯ ПРИМЕНИМЫХ ТРЕБОВАНИЙ 9. ОЦЕНКА ВОЗДЕЙСТВИЯ НА ЗАЩИТУ ДАННЫХ 10. ПЕРЕДАЧА ДАННЫХ 11. ВСТУПЛЕНИЕ В СИЛУ И СРОК ДЕЙСТВИЯ 12. ПРИМЕНИМОЕ ЗАКОНОДАТЕЛЬСТВО 13. ИЗМЕНЕНИЕ СОГЛАШЕНИЯ ПРЕДМЕТ И ХАРАКТЕРИСТИКИ ОБРАБОТКИ ДАННЫХ МЕРЫ БЕЗОПАСНОСТИ