Соглашение об обработке данных

Версия PDF: Соглашение об обработке данных

Соглашение об обработке данных

МЕЖДУ:

The company whose information has been provided as part of the registration process and who will electronically sign this DataProcessing Agreement (hereinafter to be referred to as: the “Data Controller”),

А ТАКЖЕ

Hertza, L.L.C., a Nevada limited liability company, doing business as “ZeroBounce”, and having its principal place of business at 10 E. Yanonali St., Santa Barbara, California 93101 (hereinafter to be referred to as: the “Data Processor”).

НАСТОЯЩИМ СОГЛАШАЕМСЯ СОГЛАСНО:

1. Предмет настоящего Соглашения об обработке данных

1.1

This Data Processing Agreement applies exclusively to the processing of personal data that is subject to EU Data Protection Law in the scope of the Terms and Conditions of Use Agreement of even date hereof between the parties for the provision of the ZeroBounce services (“Services”) (hereinafter to be referred to as: the“Service Agreement”).

1.2

Термин «Закон о защите данных ЕС» означает Регламент (ЕС) 2016 / 679 Европейского парламента и Совета 27 апрель 2016 о защите физических лиц в отношении обработки персональных данных и о свободном перемещении. таких данных и отменяющую Директиву 95/46/ ЕС (Общие правила защиты данных).

1.3

Такие термины, как «Обработка», «Личные данные», «Контроллер данных» и «Обработчик» имеют значение, присвоенное им в Законе ЕС о защите данных.

1.4

Insofar as the Data Processor will be processing Personal Data subject to EU Data Protection Law on behalf of the Data Controller in the course of the performance of the Service Agreement with the Data Controller the terms of this Data Processing Agreement shall apply. The categories of Personal Data to be processed includes: first name; last name; gender; city; state; country; Internet Protocol (IP) Address information; and email addresses. The types of data subjects whose information will be processed are individuals. The purposes for which the personal data will be processed include: validation of email lists for deliverability; and removal of known email complainers, abusers and spam traps from email address lists.

2. Контроллер данных и обработчик данных

2.1

Контроллер данных будет определять объем, цели и способ, которым Персональные данные могут быть доступны или обработаны Обработчиком данных. Обработчик данных будет обрабатывать Персональные данные только в соответствии с письменными инструкциями Контроллера данных.

2.2

Обработчик данных будет обрабатывать Персональные данные только в соответствии с задокументированными инструкциями Контроллера данных таким образом - и в той мере, в какой - это подходит для предоставления Услуг, за исключением случаев, когда это требуется для соблюдения юридического обязательства, которому Данные Процессор подлежит. В таком случае Обработчик данных должен проинформировать Контроллера данных об этом юридическом обязательстве перед обработкой, если только этот закон явно не запрещает предоставление такой информации Контроллеру данных. Обработчик данных никогда не должен обрабатывать Персональные данные способом, несовместимым с документированными инструкциями Оператора данных. Обработчик данных должен немедленно проинформировать Контроллера данных, если, по его мнению, инструкция нарушает настоящий Регламент или другие положения Союза или государства-члена о защите данных.

2.3

Стороны заключили Соглашение о предоставлении услуг, чтобы воспользоваться опытом Оператора в области защиты и обработки Персональных данных для целей, изложенных в Разделе 1.4. Обработчику данных разрешается по своему усмотрению выбирать и использовать такие средства, которые он считает необходимыми для достижения этих целей, в соответствии с требованиями настоящего Соглашения об обработке данных.

2.4

Data Controller warrants that it has all necessary rights to provide the Personal Data to Data Processor for the Processing to be performed in relation to the Services. To the extent required by EU Data Protection Law, Data Controller is responsible for ensuring that any necessary data subject consents to this Processing are obtained, and for ensuring that a record of such consents is maintained. Should such a consent be revoked by the data subject, Data Controller is responsible for communicating the fact of such revocation to the Data Processor, and Data Processor remains responsible for implementing any Data Controller instruction with respect to the further processing of that Personal Data.

3. КОНФИДЕНЦИАЛЬНОСТЬ

3.1

Without prejudice to any existing contractual arrangements between the Parties, the Data Processor shall treat all Personal Data as strictly confidential and it shall inform all its employees, agents and/or approved sub- processors engaged in processing the Personal Data of the confidential nature of the Personal Data. The Data Processor shall ensure that all such persons or parties have signed an appropriate confidentiality agreement, are otherwise bound to a duty of confidentiality, or are under an appropriate statutory obligation of confidentiality.

4. БЕЗОПАСНОСТЬ

4.1

Принимая во внимание современное состояние дел, затраты на реализацию, характер, объем, контекст и цели обработки, а также риск различной вероятности и серьезности для прав и свобод физических лиц без ущерба для любых других стандартов безопасности по согласованию Сторон, Контроллер данных и Обработчик данных должны принять соответствующие технические и организационные меры для обеспечения уровня безопасности обработки Персональных данных, соответствующего риску. Эти меры должны включать при необходимости:

  1. меры по обеспечению доступа к Персональным данным только уполномоченному персоналу в целях, указанных в Разделе 1.4 настоящего Соглашения об обработке данных;
  2. при оценке надлежащего уровня безопасности учитываются, в частности, все риски, которые возникают при обработке, например, в результате случайного или незаконного уничтожения, потери или изменения, есанкционированного или незаконного хранения, обработки, доступа или раскрытия Личных данных;
  3. псевдонимация и шфрование персональных данных;
  4. способность обеспечивать постоянную конфиденциальность, целостность, доступность и отказоустойчивось систем и услуг обработки;
  5. способность своевременно восстанавливать доступность и доступ к персональным данным в случае физического или технического происшествия;
  6. процесс регулярного тестирования, оценки и оценки эффективности технических и организационных мер по обеспечению безопасности обработки персональных данных;
  7. меры по выявлению уязвимостей в отношении обработки персональных данных в системах, используемых для предоставления услуг контроллеру данных; или
  8. ZeroBounce принимает следующие меры безопасности для защиты личных данных от случайного или незаконного уничтожения или случайной потери, изменения, несанкционированного раскрытия или доступа:
    • All Personal Data received hereunder will be stored and processed in the EU;
    • In addition to the above, ZeroBounce is an active participant in the EU-US and Swiss-US Privacy Shield Programs;
    • ZeroBounce has restricted access to four personnel members with the ability to directly access files containing personal information on ZeroBounce servers, each of whom have agreed to maintain the confidentiality of any personal information;
    • All data uploads and downloads sent between ZeroBounce and its customers flow through third party CloudFlare’s servers in the EU;
    • In addition to the above, CloudFlare is an active participant in the EU-US Privacy Shield Program;
    • Команда поддержки ZeroBounce не имеет доступа к CloudFlare;
    • CloudFlare поддерживает свои собственные средства защиты, чтобы блокировать угрозы и ограничивать вредоносных ботов и сканеров. Смотрите https://support.cloudflare.com/hc/en-us/articles/205177068-Step-1-How-does-Cloudflare-work-
    • Any information that is uploaded by a ZeroBounce customer to ZeroBounce.net is transmitted via SSL through CloudFlare, and all files are stored in an encrypted file using a standard algorithm for protection of stored data defined by IEEE P1619 on ZeroBounce servers in the EU; and
    • If customer elects to receive files via email, such files shall be sent encrypted, with a password via a separate email.

4.2

Обработчик данных должен всегда иметь соответствующую письменную политику безопасности в отношении обработки Персональных данных с изложением в любом случае мер, изложенных в статье 4.1.

4.3

По запросу Контроллера данных Обработчик данных длжен продемонстрировать меры, принятые им в соответствии с настоящей статьей 4, чтобы позволить Контролеру данных проводить аудит и тестировать такие меры. Контроллер данных имеет право направить Обработчику данных уведомление не менее чем за 14 дней о проведении или проведенных третьей стороной, которая заключила соглашение о конфиденциальности с Обработчиком данных, аудиторских проверок помещений Обработчика данных. и операции, связанные с Персональными данными. Обработчик данных должен сотрудничать с такими аудитами, проводимыми Контроллером данных или от его имени, и должен предоставлять аудиторам Контроллера данных разумный доступ к любым помещениям и устройствам, связанным с обработкой персональных данных. Обработчик данных должен предоставить Контроллеру данных и / или аудиторам Контроллера данных доступ к любой информации, относящейся к обработке Персональных данных, которая может быть разумно запрошена Контроллером данных для проверки соблюдения Оператором данных настоящего Соглашения об обработке данных.

5. Улучшения безопасности

5.1

The Parties acknowledge that security requirements are constantly changing and that effective security requires frequent evaluation and regular improvements of outdated security measures. The Data Processor will therefore evaluate the measures as implemented in accordance with Article 4 on an on-going basis and will tighten, supplement and improve these measures in order to maintain compliance with the requirements set out in Article 4. The Parties will negotiate in good faith the cost, if any, to implement material changes required by specific updated security requirements set forth in the EU Data Protection Law or by data protection authorities of competent jurisdiction.

5.2

Если поправка к Соглашению об оказании услуг необходима для выполнения инструкции Контроллера данных для Обработчика данных для улучшения мер безопасности, которые могут потребоваться в связи с изменениями в применимом законодательстве о защите данных, вемя от времени, Стороны должны согласовать поправку к Услуге. Добросовестное согласие.

6. Передача данных

6.1

The Data Processor shall not disclose Personal Data received hereunder to a third party or transfer it to a non- EU/European Economic Area (EEA) country without Data Controller’s authorization. The Data Processor shall immediately notify the Data Controller of any (planned) permanent or temporary transfers of Personal Data to a country outside of the EU/EAA without an adequate level of protection and shall only perform such a (planned) transfer after obtaining authorization from the Data Controller, which may be refused at its own discretion.

6.2

В той степени, в которой Контроллер данных или бработчик данных полагаются на определенный установленный законом механизм для нормализации международной передачи данных, которая впоследствии изменяется, отзывается или считается недействительной в суде компетентной юрисдикции, Контроллер данных и Оператор данных соглашаются добросовестно сотрудничать с целью незамедлительного прекращения передачи или использовать подходящий альтернативный механизм, который может законно поддержать передачу.

7. Информационные обязательства и управление инцидентами

7.1

Когда Обработчику данных становится известно об инциденте, который влияет на Обработку Персональных данных, являющихся предметом Соглашения о предоставлении услуг, он должен незамедлительно уведомить Контроллера данных об инциденте, должен всегда сотрудничать с Контроллером данных и должен следовать инструкции Контроллера данных в отношении таких инцидентов, чтобы позволить Контролеру данных провести тщательное расследование инцидента, сформулировать правильный ответ и предпринять соответствующие дальейшие шаги в отношении инцидента.

7.2

Термин «инцидент», используемый в статье 7.1, следует понимать как означающий в любом случае:

  1. a complaint or a request with respect to the exercise of a data subject’s rights under EU Data ProtectionLaw;
  2. расследование или изъятие персональных данных государственными должностными лицами или конкретное указание на то, что такое расследование или изъятие неизбежны;
  3. любой несанкционированный или случайный доступ, обработка, удаление, потеря или любая форма незаконной обработки Персональных данных;
  4. любое нарушение безопасности и / или конфиденциальности, как указано в статьях 3 и 4 настоящего Соглашения об обработке данных, приводящее к случайному или незаконному уничтожению, потере, изменению, несанкционированному раскрытию или доступу к Персональным данным, или любые признаки того, что такое нарушение имело место или должно было произойти;
  5. где, по мнению обработчика данных, реализация инструкции, полученной от контроллера данных, будет нарушать применимые законы, которым подчиняется контроллер данных или процессор данных.

7.3

The Data Processor shall at all times have in place written procedures which enable it to promptly respond to the Data Controller about an incident. Where an incident is reasonably likely to require a data breach notification by the Data Controller under the EU Data Protection Law, the Data Processor shall implement its written procedures in such a way that it is in a position to notify the Data Controller no later than 24 hours of having become aware of such an incident.

7.4

Любые уведомления, направляемые Контролеру данных в соответствии с настоящей Статьей 7, должны быть адресованы сотруднику по защите данных или другому сотруднику Контроллера данных, контактные данные которого предоставляются в процессе регистрации, и должны содержать:

  1. описание характера инцидента, включая, где это возможно, категории и приблизительное количество соответствующих субъектов данных, а также категории и приблизительное количество соответствующих записей личных данных;
  2. имя и контактные данные сотрудника по защите данных обработчика данных или другого контактного лица, где можно полчить дополнительную информацию;
  3. описание вероятных последствий инцидента; а также
  4. описание мер, принятых или предлагаемых для обработки обработчиком данных для устранения инцидента, включая, где это уместно, меры по смягчению его возможных неблагоприятных последствий.

8. Заключение контрактов с субпроцессорами

8.1

Контроллер данных разрешает Обработчику данных привлекать субпроцессоров в странах для выполнения связанных с Сервисом действий, указанных в разделе 1.4. Обработчик данных должен информировать Контроллера данных о любом добавлении или замене таких субпроцессоров, предоставляя Контролеру данных возможность возражать против таких изменений.

8.2

Notwithstanding any authorization by the Data Controller with the meaning of the preceding paragraph, the Data Processor shall remain fully liable vis-à-vis the Data Controller for the performance of any such sub- processor that fails to fulfill its data protection obligations.

8.3

Согласие Контроллера данных в соответствии со статьей 8.1 не отменяет того факта, что согласие требуется в соответствии со статьей 6 для привлечения субпроцессоров в стране за пределами Европейской экономической зоны без надлежащего уровня защиты.

8.4

Обработчик данных должен гарантировать, что субпроцессор связан теми же обязательствами по защите данных, что и Обработчик данных в соответствии с настоящим Соглашением об обработке данных, должен контролировать их соблюдение и, в частности, должен налагать на своих субпроцессоров обязательство по внедрению соответствующих технических и организационные меры таким образом, чтобы обработка соответствовала требованиям Закона о защите данных ЕС.

8.5

The Data Controller may request that the Data Processor audit a sub-processor or provide confirmation that such an audit has occurred (or, where available, obtain or assist customer in obtaining a third-party audit report concerning the sub-processor’s operations) to ensure compliance with its obligations imposed by the Data Processor in conforming with this Data Processing Agreement.

9. Возврат или уничтожение личных данных

9.1

После прекращения действия настоящего Соглашения об обработке данных, по письменному заросу Контроллера данных или после выполнения всех целей, согласованных в контексте Услуг, при которых дальнейшая обработка не требуется, Обработчик данных должен, по усмотрению Контроллера данных, удалить , уничтожить или вернуть все Персональные данные Контроллеру данных и уничтожить или вернуть любые существующие копии.

9.2

Обработчик данных должен уведомить все третьи стороны, поддерживающие его собственную обработку Персональных данных, о прекращении действия Соглашения об обработке данных и обеспечить, чтобы все такие третьи стороны либо уничтожили Персональные данные, либо вернули Персональные данные Контроллеру данных в усмотрение Контроллера данных.

10. Помощь контроллеру данных

10.1

The Data Processor shall assist the Data Controller by appropriate technical and organizational measures, insofar as this is possible, for the fulfilment of the Data Controller’s obligation to respond to request for exercising the data subject’s rights under the GDPR.

10.2

Обработчик данных должен помочь Контролеру данных в обеспечении соблюдения обязательств в соответствии с Разделом 4 (Безопасность) и предварительных консультаций с надзорными органами, требуемых в соответствии со статьей 36 GDPR, с учетом характера обработки и информации, доступной для Обработчик данных.

10.3

Обработчик данных должен предоставлять Контроллеру данных всю информацию, необходимую для демонстрации соблюдения обязательств Оператора данных, а также для проведения аудитов, включая проверки, проводимых Контроллером данных или другим аудитором, уполномоченным Контроллером данных, и вносить в них свой вклад.

11. Ответственность и возмещение

11.1

The Data Processor indemnifies the Data Controller and holds the Data Controller harmless against all claims, actions, third party claims, losses, damages and expenses incurred by the Data Controller and arising directly or indirectly out of or in connection with a breach of this Data Processing Agreement and/or the EU Data Protection Law by the Data Processor. The Data Controller indemnifies the Data Processor and holds the Data Processor harmless against all claims, actions, third party claims, losses, damages and expenses incurred by the Data Processor and arising directly or indirectly out of or in connection with a breach of this Data Processing Agreement and/or the EU Data Protection Law by the Data Controller.

12. Срок действия и прекращение действия

12.1

This Data Processing Agreement shall come into effect on the date the Data Controller signs this Data Processing Agreement, which may be through electronic means.

12.2

Прекращение действия или истечение срока действия настоящего Соглашения об обработке данных не освобождает Обработчика данных от его обязательств по конфиденциальности в соответствии со Статьей 3.

12.3

Обработчик данных должен обрабатывать Персональные данные до даты прекращения действия Соглашения о предоставлении услуг, если Контроллер данных не дает иных указаний, или до тех пор, пока такие данные не будут возвращены или уничтожены по поручению Контроллера данных.

13. Разное

13.1

В случае любого несоответствия между положениями настоящего Соглашения об обработке данных и положениями Соглашения о предоставлении услуг, положения настоящего Соглашения об обработке данных имеют преимущественную силу.

13.2

Настоящее Соглашение об обработке данных регулируется законодательством штата Невада в США. Любые споры, возникающие из настоящего Соглашения об обработке данных или в связи с ним, должны рассматриваться исключительно в компетентном суде Лас-Вегаса, Невада.