fbpx

Додаток щодо Обробки Даних

Цей Додаток щодо обробки даних («Додаток») застосовується до Послуг, що надаються згідно з Ліцензійною Угодою платформи Surge Social LLC («Умови»), до якої додається цей Додаток («Угода») між Surge Social LLC («Surge Social» ) і ви («Замовник»). Цим Додаткова Угода включена до Угоди та є її частиною.

  1.   Призначення і застосування

Цей Додатковий договір є угодою сторін щодо обробки персональних даних компанією Surge Sociali згідно з Угодою. Умови цього Доповнення застосовуються, якщо GDPR застосовується до обробки персональних даних.

Умови цього Доповнення набувають чинності з дати реєстрації облікового запису в Surge Social.

  1. Визначення понять

Терміни, написані з великої літери, які використовуються, але не визначені в цьому Додатку, мають значення, викладені в Угоді. У цьому Додатку, якщо не зазначено інше:

«Уповноважений персонал» має значення, надане терміну в розділі 4.1.2.

«Контролер» означає організацію, яка визначає цілі та засоби обробки персональних даних.

«Особисті дані кінцевого користувача» має значення, надане цьому терміну в Угоді.

«Інцидент із даними» означає порушення безпеки, що призвело до випадкового чи незаконного знищення, втрати, зміни або несанкціонованого розкриття чи доступу до Особистих даних.

«Закони про захист даних» або «GDPR» означає Регламент (ЄС) 2016/679 Європейського Парламенту та Ради від 27 квітня 2016 року про захист фізичних осіб щодо обробки особистих даних і про вільне переміщення таких даних та скасування Директиви 95/46/EC.

«Особисті дані» означає Особисті дані кінцевого користувача, які є інформацією, що стосується ідентифікованої фізичної особи, яку можна ідентифікувати («суб’єкт даних»); фізична особа, яку можна ідентифікувати, — це особа, яку можна ідентифікувати прямо чи опосередковано, зокрема за ідентифікатором, таким як ім’я, ідентифікаційний номер, дані про місцезнаходження, онлайн-ідентифікатор або за одним чи кількома факторами, характерними для фізичних, фізіологічних, генетична, психічна, економічна, культурна чи соціальна ідентичність цієї фізичної особи.

«Обробка» означає будь-яку операцію або набір операцій, які виконуються з Персональними даними або по відношенню до них за допомогою автоматичних засобів чи ні, наприклад збір, запис, організація, структурування, зберігання, адаптація або зміна, пошук, консультація, використання, розголошення шляхом передачі, розповсюдження або іншим чином надання доступу, вирівнювання або комбінування, видалення або знищення.

«Обробник» означає фізичну або юридичну особу, яка обробляє Особисті дані від імені Контролера.

«Обмежена передача» означає передачу будь-яких Персональних даних, до яких застосовується GDPR, у будь-яку країну чи організацію, де така передача не була б дозволена GDPR за відсутності певної правової підстави, дозволеної GDPR.

«Послуги» означає Послуги, викладені в Умовах.

«Субпроцесор» означає третю сторону, яка обробляє Особисті дані кінцевого користувача від імені Обробника з метою надання частини Послуг.

  1.   Обробка Особистих даних

3.1  Ролі та обов’язки

3.1.1  Якщо GDPR застосовується до обробки персональних даних компанією Surge Social, Замовник для всіх цілей і з урахуванням усіх законів про захист даних є контролером Особистих даних, а Surge Sociali є обробником Особистих даних, за винятком випадків, коли Замовник діє як Обробник Особистих даних від імені третьої сторони, яка є Контролером цих даних, і в цьому випадку Surge Social буде лише Субпроцесором. Якщо Surge Social є Субпроцесором, Замовник заявляє та гарантує, що він має всі необхідні повноваження відповідного контролера для залучення Surge Social як субпроцесора. Незважаючи на будь-що протилежне, у всіх випадках Замовник визнає, погоджується та заявляє, що Surge Social не буде контролером Особистих даних.

3.1.2  Surge Social дотримується законів про захист даних лише в тій мірі, в якій вони застосовуються до обробки Особистих даних Surge Social від імені Замовника. Замовник повинен дотримуватися всіх законів про захист даних, які застосовуються до особистих даних. Для ясності Замовник повинен отримати всю необхідну згоду від суб’єктів Особистих даних для Surge Social на обробку Особистих даних і виконувати всі зобов’язання згідно із Законами про захист даних як Контролер Особистих даних і всі подібні зобов’язання.

3.1.3  Під час надання деяких послуг Surge Social, отримавши інструкції від Замовника, може передавати Особисті дані стороннім Обробникам даних та іншим чином взаємодіяти з ними. Замовник погоджується з тим, що, якщо така передача відбувається, Замовник несе відповідальність за укладення окремих договірних угод із такими сторонніми Обробниками даних, які зобов’язують їх виконувати зобов’язання відповідно до Вимог щодо захисту даних. Щоб уникнути сумнівів, такі сторонні Обробники даних не є Субпроцесорами.

3.2  Обсяг обробки

3.2.1  Замовник доручає Surge Social обробляти Персональні дані: (a) для надання Послуг; (b) як зазначено в Угоді, включаючи цей Додаток; (c) відповідно до використання Замовником Послуг; і (d) як додатково задокументовано в будь-яких інших письмових інструкціях Замовника, які Surge Social визнає інструкціями для цілей Угоди.

3.2.2  Інструкції Замовника щодо обробки Особистих даних компанією Surge Social мають відповідати всім законам про захист даних. Замовник не повинен давати вказівки Surge Social здійснювати будь-яку обмежену передачу.

3.2.3  Незважаючи на Розділ 3.2.1 вище, Surge Social може обробляти Особисті дані, якщо це вимагається будь-яким застосовним законодавством, на яке поширюється Surge Social. У цьому випадку Surge Social має (наскільки це дозволено законодавством) повідомити Замовника про цю юридичну вимогу перед виконанням Обробки.

3.2.4  Характером і метою обробки Особистих даних компанією Surge Social є надання Послуг відповідно до Угоди. Тип Особистих даних, категорії суб’єктів даних, а також обов’язки та права Замовника викладені в Угоді, зокрема в цьому Додатку.

  1.   Безпека

4.1  Заходи безпеки

4.1.1  Компанія Surge Social вжила відповідних технічних і організаційних заходів для забезпечення відповідного рівня безпеки Особистих даних, враховуючи витрати на впровадження, а також характер, обсяг, контекст і цілі обробки. володіння, що відповідає ризикам для відповідних окремих суб’єктів даних, які можуть виникнути внаслідок випадкового чи незаконного знищення, втрати, зміни, несанкціонованого розкриття або доступу до Особистих даних.

4.1.2  Surge Social гарантує, що доступ до Особистих даних, якими володіє Surge Social, надається лише тим особам, яким потрібен доступ для виконання зобов’язань Surge Social за Угодою (разом «Уповноважений персонал»).

4.1.3  Весь Уповноважений персонал пройшов або буде навчений поводженню з Особистими даними, поінформований про конфіденційний характер Особистих даних і буде зв’язаний відповідними зобов’язаннями щодо конфіденційності під час доступу до них, і вони не оброблятимуть Особистіі дані, окрім як відповідно до інструкцій Замовника.

4.2  Інцидент даних

4.2.1  Дізнавшись про Інцидент із даними, Surge Social: (a) повідомить Замовника про Інцидент із даними без невиправданої затримки; (b) докласть розумних зусиль для виявлення причини такого Інциденту даних; і (c) якщо Інцидент із даними не був спричинений Замовником чи будь-яким Користувачем, вжити тих заходів, які Surge Social вважає необхідними та розумними, щоб усунути причину Інциденту з даними, якщо причиною Інциденту з даними є розумний контроль Surge  Social.

  1.   Субпроцесори

5.1   Загальне

5.1.1  Surge Social не залучає Субпроцесорів (за винятком незалежних підрядників) без попереднього конкретного чи загального письмового дозволу Замовника та вимагатиме, щоб такі Субпроцесори дотримувалися положень, суттєво подібних до тих, що містяться в цьому Додатку, залежно від обставин. Список поточних Субпроцесорів Surge Sociali наведено в Додатку A, і Замовник цим дозволяє Surge Social використовувати такі Субпроцесори.

5.1.2  Surge Social може на власний розсуд залучити додаткових третіх сторін як субпроцесорів. Якщо Surge Social вирішує залучати Субпроцесорів у загальному порядку, Surge Social інформуватиме Замовника про будь-яких нових Субпроцесорів принаймні за 30 днів до надання дозволу Субпроцесору на обробку персональних даних, і КЗамовник може заперечити проти нового Субпроцесора, надіславши письмове повідомлення Surge Social протягом 15 днів після отримання. такого повідомлення. Якщо Замовник заперечує проти нового Субпроцесора відповідно до цього Розділу 5.1.2: (i) Surge Social на власний розсуд надаватиме Послуги без обробки Особистих даних новим Субпроцесором; або (ii) Замовник може припинити надання Послуг, для яких потрібен новий Субпроцесор.

  1.   Аудіти

6.1   Аудіти GDPR

6.1.1  Якщо обробка Особистих даних підпадає під дію GDPR, за власний рахунок Замовника Surge Social надає Замовнику таку інформацію Surge Social, яка обґрунтовано необхідна для демонстрації дотримання зобов’язань, викладених у статті 28 GDPR, і дозволяє та сприяє до аудитів, включаючи інспекції, які проводяться Замовником або іншим аудитором, уповноваженим Замовником.

  1.   Видалення та повернення Особистих даних

7.1.1  Після завершення надання Послуг і за вибором Замовника Surge Social видаляє або повертає всі Особисті дані Замовнику, а також видаляє всі Особисті дані, якщо це не заборонено Законами про захист даних.

  1.   Права Суб’єктів даних

8.1.1  Surge Social за власний рахунок Замовника виконує запити Суб’єктів даних щодо доступу, виправлення та обмеження обробки Особистих даних відповідно до Законів про захист даних, функціональності Послуг і ролі Surge Social як Обробника.

  1.   Оцінка впливу

9.1.1  Якщо обробка Особистих даних підпадає під дію GDPR, за власний рахунок Замовника Surge Social надасть розумну допомогу Замовнику у виконанні його зобов’язань щодо проведення оцінки впливу на конфіденційність і консультації з регуляторними органами щодо будь-якої обробки Особистих даних. Дані, отримані відповідно до цієї Угоди.

  1.   Відшкодування

10.1.1 Замовник зобов’язаний повністю відшкодувати збитки, зберегти відшкодування та захистити за свій рахунок Surge Social від усіх зобов’язань, збитків, претензій, витрат і обґрунтованих витрат, включаючи судові збори, які може понести Surge Social або за які Surge Social може нести відповідальність у межах, що виникають  від будь-якої Обробки Особистих даних відповідно до інструкцій Замовника, будь-якого порушення Замовником цього Доповнення чи будь-яких Законів про захист даних, або будь-яких дій чи бездіяльності Замовника щодо його зобов’язань як Контролера Особистих даних.

 

ДОДАТОК A: Субпроцесори Surge Social

Surge Social використовує наступні Субпроцесори для допомоги в наданні Послуг від імені Замовників Surge Social:

  •   Amazon Web Services (Хостинг даних) – https://aws.amazon.com/compliance/eu-data-protection/
  •   Sendgrid – Постачальник послуг електронної пошти – https://www.sendgrid.com/resource/general-data-protection-regulation/
  •   Twilio (Провайдер послуг SMS) – https://www.twilio.com/gdpr
  •   Google, Inc. (API карт і аналітика) – https://cloud.google.com/security/gdpr/
  •   Facebook, Inc. (Соціальна мережа) – https://www.facebook.com/business/gdpr
  •   Zapier, Inc. (Автоматизація веб-додатків) – https://zapier.com/help/gdpr/
  •   Periscope Data (Аналітика даних) – https://www.periscopedata.com/gdpr
  •   Segment (Управління аналітикою) – https://segment.com/docs/legal/privacy/
  •   FullStory (Аналітика користувачів) – https://help.fullstory.com/gdpr
  •   BugSnag (Повідомлення про помилку) – https://www.bugsnag.com/security/
  •   Logentries.com, Inc. (Системне журналювання) – https://docs.logentries.com/docs/security/
  •   Recurly (Обробка кредитних карток) – https://recurly.com/legal/
  •   Stripe (Оплати) – https://stripe.com/ca/privacy
  •   PayPal (Оплати) – https://www.paypal.com/gdpr
  •   Intercom Inc. (Живий чат) – https://docs.intercom.com/privacy
  •   Active Campaign (CRM) – https://www.activecampaign.com/gdpr
  •   Close.io (CRM) – https://close.io/gdpr/
  •   ClickFunnels (Маркетинг сайту) – https://signup.clickfunnels.com/gdpr-policy
  •   Typeform (Форми даних) – https://admin.typeform.com/to/dwk6gt
  •   FirstPromoter (Партнерське програмне забезпечення) – https://firstpromoter.com/gdpr
  •   Shopify, Inc. (Онлайн-магазин) – https://help.shopify.com/manual/your-account/GDPR
  •   Whiplash Merchandising (Доставка) – https://docs.getwhiplash.com/pages/gdpr-and-data-privacy

 

Додаткову інформацію про конфіденційність і дотримання правил Surge Social можна знайти за адресою:

Ліцензійна угода

Будь-які запитання щодо цього Доповнення щодо обробки даних слід надсилати на адресу: support@surgesocial.com

Останнє оновлення: May 25, 2018