quos-mollitia.comСоглашение об обработке данных (DPA)
Последнее обновление:
Настоящее Соглашение об обработке данных ("DPA") является частью Условий обслуживания или другого письменного или электронного соглашения между IT Школой quos-mollitia.com ("Обработчик" или "Мы") и вами ("Контролер" или "Вы") на предоставление образовательных услуг ("Услуги") и отражает соглашение сторон в отношении обработки Персональных данных.
Настоящее DPA вступает в силу с даты вашего согласия с нашими Условиями обслуживания. Если вы не согласны с настоящим DPA, вы не можете пользоваться Услугами.
1. Определения
Термины, такие как "Персональные данные", "Субъект данных", "Обработка", "Контролер", "Обработчик" и "Нарушение безопасности персональных данных", имеют значения, присвоенные им в Общем регламенте по защите данных (ЕС) 2016/679 ("GDPR") или применимых законах о защите данных.
- "Законы о защите данных" означают все применимые законы и нормативные акты, касающиеся обработки Персональных данных и конфиденциальности, включая, но не ограничиваясь, GDPR и Закон Великобритании о защите данных 2018 года.
- "Персональные данные Контролера" означают Персональные данные, обрабатываемые Обработчиком от имени Контролера в связи с Услугами.
2. Обработка Персональных данных
2.1. Роли сторон: Стороны признают и соглашаются, что в отношении обработки Персональных данных Контролера, Контролер является Контролером, а IT Школа quos-mollitia.com является Обработчиком.
2.2. Инструкции Контролера: Обработчик должен обрабатывать Персональные данные Контролера только от имени и в соответствии с документированными инструкциями Контролера. Контролер поручает Обработчику обрабатывать Персональные данные Контролера для предоставления Услуг, как описано в Условиях обслуживания и настоящем DPA.
2.3. Детали обработки:
- Предмет: Обработка Персональных данных IT Школой quos-mollitia.com в контексте предоставления образовательных Услуг.
- Продолжительность: На срок действия Соглашения и до тех пор, пока IT Школа quos-mollitia.com предоставляет Услуги Контролеру, или как того требует законодательство.
- Характер и цель: Предоставление, управление и улучшение образовательных услуг, включая регистрацию пользователей, предоставление курсов, отслеживание прогресса, общение, поддержку и выставление счетов.
- Типы Персональных данных: Имя, адрес электронной почты, контактные данные, платежная информация, прогресс по курсу, пользовательский контент, связанный с курсами, IP-адреса, информация о браузере и другие данные, предоставленные пользователем или сгенерированные при использовании Услуг.
- Категории Субъектов данных: Пользователи Услуг, включая студентов, потенциальных студентов и лиц, обращающихся в IT Школу quos-mollitia.com.
2.4. Соблюдение законов: Каждая сторона должна соблюдать свои обязательства по всем применимым Законам о защите данных в отношении любых Персональных данных, которые она обрабатывает в соответствии с настоящим DPA.
3. Обязательства Обработчика
Обработчик обязан:
- Обеспечить, чтобы лица, уполномоченные обрабатывать Персональные данные Контролера, взяли на себя обязательство о конфиденциальности или находились под соответствующим установленным законом обязательством о конфиденциальности.
- Применять соответствующие технические и организационные меры для обеспечения уровня безопасности, соответствующего риску, с учетом уровня техники, затрат на реализацию, а также характера, объема, контекста и целей обработки, а также риска различной вероятности и серьезности для прав и свобод физических лиц. Эти меры могут включать, среди прочего, по мере необходимости: псевдонимизацию и шифрование персональных данных; способность обеспечивать постоянную конфиденциальность, целостность, доступность и устойчивость систем и услуг обработки; способность восстанавливать доступность и доступ к персональным данным своевременно в случае физического или технического инцидента; процесс регулярного тестирования, оценки и анализа эффективности технических и организационных мер для обеспечения безопасности обработки.
- С учетом характера обработки, оказывать содействие Контролеру соответствующими техническими и организационными мерами, насколько это возможно, для выполнения обязательства Контролера по реагированию на запросы об осуществлении прав Субъекта данных, изложенных в Главе III GDPR.
- Оказывать содействие Контролеру в обеспечении соблюдения обязательств в соответствии со статьями 32-36 GDPR, с учетом характера обработки и информации, доступной Обработчику.
- По выбору Контролера удалить или вернуть все Персональные данные Контролера Контролеру после прекращения предоставления услуг, связанных с обработкой, и удалить существующие копии, если законодательство Союза или государства-члена не требует хранения персональных данных.
- Предоставлять Контролеру всю информацию, необходимую для демонстрации соблюдения обязательств, изложенных в статье 28 GDPR, и разрешать и способствовать проведению аудитов, включая инспекции, проводимые Контролером или другим аудитором, уполномоченным Контролером. Обработчик должен информировать Контролера, если, по его мнению, инструкция нарушает Законы о защите данных.
4. Субобработчики
4.1. Назначение Субобработчиков: Контролер признает и соглашается, что Обработчик может привлекать сторонних Субобработчиков в связи с предоставлением Услуг. Обработчик заключил или заключит письменные соглашения с каждым Субобработчиком, содержащие обязательства по защите данных, не менее защитные, чем те, которые содержатся в настоящем DPA, в отношении защиты Персональных данных Контролера в той мере, в какой это применимо к характеру Услуг, предоставляемых таким Субобработчиком.
4.2. Список текущих Субобработчиков и уведомление о новых Субобработчиках: Обработчик предоставит Контролеру список текущих Субобработчиков по запросу. Обработчик предоставит уведомление о любых новых Субобработчиках до того, как разрешит любым новым Субобработчикам обрабатывать Персональные данные Контролера в связи с предоставлением соответствующих Услуг.
4.3. Право на возражение против новых Субобработчиков: Контролер может возразить против использования Обработчиком нового Субобработчика, уведомив Обработчика в письменной форме в течение десяти (10) рабочих дней после получения уведомления от Обработчика. Если Контролер возражает против нового Субобработчика, Обработчик приложит разумные усилия, чтобы предоставить Контролеру изменение в Услугах или рекомендовать коммерчески разумное изменение конфигурации или использования Услуг Контролером, чтобы избежать обработки Персональных данных возражаемым новым Субобработчиком без необоснованного обременения Контролера. Если Обработчик не может предоставить такое изменение в течение разумного периода времени, который не должен превышать тридцати (30) дней, Контролер может расторгнуть соответствующий(ие) Заказ(ы) только в отношении тех Услуг, которые не могут быть предоставлены Обработчиком без использования возражаемого нового Субобработчика.
4.4. Ответственность: Обработчик несет ответственность за действия и бездействие своих Субобработчиков в той же степени, в какой Обработчик нес бы ответственность, если бы выполнял услуги каждого Субобработчика непосредственно в соответствии с условиями настоящего DPA, за исключением случаев, когда иное указано в Соглашении.
5. Передача данных
Обработчик может передавать и обрабатывать Персональные данные Контролера по всему миру, где Обработчик, его аффилированные лица или его Субобработчики осуществляют операции по обработке данных. Обработчик должен обеспечить, чтобы такие передачи осуществлялись в соответствии с Законами о защите данных и настоящим DPA. Если Персональные данные Контролера передаются за пределы Европейской экономической зоны (ЕЭЗ) или Великобритании в страну, которая не считается обеспечивающей адекватный уровень защиты данных, Обработчик должен обеспечить наличие соответствующих гарантий, таких как Стандартные договорные условия (SCC), утвержденные Европейской комиссией или Управлением Комиссара по информации Великобритании, в зависимости от обстоятельств.
6. Безопасность данных и уведомление о нарушении
Обработчик будет поддерживать соответствующие технические и организационные меры безопасности для защиты Персональных данных Контролера от случайного или незаконного уничтожения, потери, изменения, несанкционированного раскрытия или доступа. В случае Нарушения безопасности персональных данных, затрагивающего Персональные данные Контролера, Обработчик уведомит Контролера без неоправданной задержки после того, как ему станет известно о нарушении.
7. Ограничение ответственности
Ответственность каждой стороны, возникающая из или связанная с настоящим DPA (будь то по договору, деликту или любой другой теории ответственности), регулируется разделом "Ограничение ответственности" Условий обслуживания, и любая ссылка в таком разделе на ответственность стороны означает совокупную ответственность этой стороны и всех ее Аффилированных лиц по Соглашению и всем DPA.
8. Общие положения
Настоящее DPA регулируется законодательством Соединенного Королевства. Любой спор, возникающий из настоящего DPA, подлежит юрисдикции судов Соединенного Королевства. В случае любого противоречия между настоящим DPA и Условиями обслуживания, условия настоящего DPA имеют преимущественную силу в отношении вопросов защиты данных.
9. Контактная информация
Если у вас есть какие-либо вопросы относительно настоящего DPA, пожалуйста, свяжитесь с нами по адресу:
- Электронная почта: [email protected] (Тема: Запрос по DPA)
- Почта: 61 Gordon Terrace, Barton In Fabis, NG11 5EH, Великобритания