Соглашение об обработке данных (DPA)

Настоящее Соглашение об обработке данных (Data Processing Agreement, далее — «DPA») заключается между Privata Solutions L.L.C. (далее — «Обработчик») и юридическим лицом, использующим сервис Privata Proteus в рамках корпоративной подписки (далее — «Контролёр»).

DPA является неотъемлемой частью договора оказания услуг между Сторонами и регулирует обработку персональных данных, передаваемых Контролёром Обработчику в связи с использованием Сервиса. Документ составлен с учётом требований Федерального закона № 152-ФЗ и Регламента (ЕС) 2016/679 (GDPR).

• Контролёр — лицо, определяющее цели и средства обработки персональных данных (заказчик Сервиса).
• Обработчик — лицо, обрабатывающее персональные данные по поручению Контролёра (Privata Solutions L.L.C.).
• Субпроцессор — третье лицо, привлекаемое Обработчиком для целей обработки персональных данных.
• Субъект данных — физическое лицо, к которому относятся обрабатываемые персональные данные.
• Инцидент безопасности — нарушение конфиденциальности, целостности или доступности персональных данных.

Обработчик обрабатывает персональные данные исключительно в объёме и на условиях, необходимых для предоставления Сервиса в соответствии с договором оказания услуг. Любая обработка данных за пределами указанных целей возможна только с предварительного письменного указания Контролёра.

Контролёр обязуется:

• обеспечивать законность сбора и передачи персональных данных Обработчику;
• определять состав, объём и цели обработки персональных данных;
• предоставлять субъектам данных необходимую информацию об обработке;
• незамедлительно уведомлять Обработчика о требованиях субъектов данных или регуляторов, требующих участия Обработчика.

Обработчик обязуется:

• обрабатывать персональные данные исключительно по документально оформленным указаниям Контролёра;
• обеспечивать конфиденциальность персональных данных и обязательность соответствующих обязательств для всех лиц, имеющих доступ;
• применять технические и организационные меры защиты данных;
• оказывать содействие Контролёру в выполнении обязанностей перед субъектами данных и регуляторами.

В рамках Сервиса Обработчик обрабатывает следующие данные:

• идентификационные и контактные данные пользователей Контролёра (ФИО, корпоративная электронная почта, должность);
• технические данные (IP-адрес, идентификаторы устройств, журналы подключений, метаданные сессий);
• записи сессий и журналы аудита (при включении соответствующих настроек Контролёром).

Категории субъектов данных: работники, подрядчики и иные представители Контролёра, имеющие доступ к Сервису.

Биометрические и специальные категории персональных данных Обработчик не обрабатывает.

Обработчик внедряет и поддерживает в актуальном состоянии комплекс технических и организационных мер защиты данных, соразмерных уровню риска:

• шифрование в каналах передачи (TLS 1.3) и при хранении (AES-256);
• хранение криптографических ключей в HSM с автоматической ротацией;
• контроль доступа на основе ролей, обязательная двухфакторная аутентификация для всех ролей;
• журналирование действий пользователей, экспорт событий в SIEM-системы;
• регулярное независимое тестирование защищённости (pen-test);
• обучение персонала, имеющего доступ к данным, и подписание соглашений о неразглашении.

Подробное описание архитектуры безопасности доступно на странице privata-proteus.com/security.

Контролёр настоящим даёт общее разрешение на привлечение Обработчиком субпроцессоров для обеспечения работы Сервиса (хостинг, инфраструктура, биллинг). Перечень действующих субпроцессоров предоставляется Контролёру по запросу.

Обработчик уведомляет Контролёра о намерении привлечь нового субпроцессора либо заменить действующего не позднее чем за 30 календарных дней до начала обработки. Контролёр вправе мотивированно возразить против привлечения; в этом случае Стороны добросовестно обсуждают альтернативные решения.

Обработчик возлагает на субпроцессоров обязательства по защите данных, эквивалентные настоящему DPA, и сохраняет ответственность за их действия перед Контролёром.

В случае инцидента безопасности, затрагивающего персональные данные Контролёра, Обработчик уведомляет Контролёра без необоснованной задержки и в любом случае не позднее 72 часов с момента обнаружения инцидента.

Уведомление содержит следующую информацию:

• описание характера инцидента;
• категории и приблизительный объём затронутых данных;
• предполагаемые последствия инцидента;
• принятые и предлагаемые меры реагирования;
• контактные данные ответственного представителя Обработчика.

Обработчик оказывает Контролёру разумное содействие в выполнении обязанностей по запросам субъектов данных (доступ, исправление, удаление, ограничение обработки, переносимость данных). Запросы, полученные Обработчиком напрямую от субъектов данных, передаются Контролёру без раскрытия информации, кроме случаев, прямо предусмотренных законодательством.

Контролёр вправе проверять соблюдение Обработчиком условий настоящего DPA. Аудит проводится в форме письменного запроса и предоставления Обработчиком подтверждающих документов: отчётов SOC 2, результатов независимого pen-test, описания внедрённых мер безопасности.

Очный аудит возможен по предварительному согласованию не чаще одного раза в год, за счёт Контролёра, в часы работы Обработчика и с соблюдением требований конфиденциальности.

Обработчик предоставляет Контролёру выбор региона хранения данных (Российская Федерация, Европейский союз, инфраструктура заказчика). Трансграничная передача осуществляется только в государства, обеспечивающие адекватную защиту прав субъектов данных, либо при наличии иных правовых оснований, предусмотренных применимым законодательством, включая стандартные договорные положения (SCC) для передач за пределы ЕЭЗ.

По прекращении договора оказания услуг Обработчик по выбору Контролёра возвращает или удаляет все персональные данные Контролёра в течение 30 календарных дней. По запросу Контролёру предоставляется акт удаления данных. Обработчик вправе сохранять данные в случаях, прямо предусмотренных применимым законодательством, при условии обеспечения их защиты.

В случае противоречия между настоящим DPA и иными положениями договора оказания услуг применяются условия DPA в части, относящейся к обработке персональных данных.

Обработчик вправе вносить изменения в DPA с предварительным уведомлением Контролёра не менее чем за 30 календарных дней до вступления изменений в силу. Контролёр вправе расторгнуть договор в случае существенных изменений, ухудшающих защиту персональных данных.