Заявление об Общем регламенте ЕС по защите персональных данных (GDPR)

Приложение об обработке данных

  1. Определения
    В рамках данного приложения об обработке данных G.D.P.R. означает «Общий регламент ЕС по защите персональных данных» (Регламент (ЕС) 2016/679), а термины «контролер», «обработчик данных», «субъект данных», «персональные данные», «нарушение правил защиты персональных данных» и «обработка» имеют такое же значение, как определено в статье 4 Общего регламента ЕС по защите персональных данных.
  2. В контексте данного приложения клиент компании PFU (EMEA) LIMITED является контролером персональных данных, а компания PFU (EMEA) LIMITED является обработчиком.
  3. Все другие представленные здесь термины должны быть определены в других разделах настоящего Приложения об обработке данных.
  4. Обработка данных
    1. Осуществляя свою деятельность, обработчик подтверждает следующее:
      1. продолжительность, предмет, характер и цель обработки основываются на статье 6 (b) GDPR «Выполнение договора»;
      2. типы обрабатываемых персональных данных должны включать только те, которые предоставляются обработчику непосредственно контроллером данных;
      3. категории субъектов персональных данных включают ваших представителей, пользователей и любых других лиц, которые идентифицируются или могут быть идентифицированы с помощью ваших персональных данных; и
      4. ваши обязанности и права в качестве контролера данных в отношении ваших персональных данных определяются GDPR.
    2. Компания PFU (EMEA) Limited обязуется:
      1. обрабатывать ваши персональные данные только в соответствии с вашими указаниями, в том числе в отношении передачи ваших персональных данных, за исключением случаев, предусмотренных статьей 28(3)(a) GDPR;
      2. гарантировать, что ее уполномоченные сотрудники, которые обрабатывают ваши персональные данные в соответствии с настоящим Соглашением, взяли на себя обязательство соблюдать конфиденциальность или несут соответствующие установленные законом обязательства конфиденциальности в отношении обработки ваших персональных данных;
      3. принимать соответствующие технические и организационные меры по защите ваших персональных данных;
      4. сообщать вам обо всех изменениях относительно назначения субподрядчиков по обработке данных и предоставлять вам 14 дней для предоставления возражений по такому назначению;
      5. помогать вам с помощью соответствующих технических и организационных мер, если для этого имеется объективная возможность, чтобы вы могли выполнять свои обязательства по ответу на запросы об осуществлении прав субъектом данных согласно главе III GDPR;
      6. помогать вам выполнять обязательства в соответствии со статьями 32–36 GDPR, принимая во внимание характер обработки и информацию, доступную компании PFU (EMEA) LIMITED;
      7. по окончании действия договора удалить персональные данные в соответствии с Соглашением, за исключением случаев, когда хранение персональных данных требуется по законодательству Европейского Союза или страны — члена ЕС;
      8. предоставить вам доступ ко всей информации, необходимой для подтверждения соблюдения обработчиком своих обязательств согласно статье 28 GDPR; и
    3. Вы уполномочиваете компанию PFU (EMEA) LIMITED передавать свои обязательства по обработке данных по настоящему Соглашению аффилированным лицам компании PFU (EMEA) LIMITED и другим третьим лицам, список которых PFU (EMEA) LIMITED предоставит вам по вашему письменному запросу. Компания PFU (EMEA) LIMITED обязуется делать это только посредством заключения с таким субподрядчиком по обработке данных письменного соглашения, которое накладывает на субподрядчика такие же обязательства по защите данных, что и на PFU (EMEA) LIMITED в соответствии с настоящим Соглашением. Если субподрядчик по обработке данных не выполняет эти обязательства, компания PFU (EMEA) LIMITED несет полную ответственность перед вами за выполнение субподрядчиком обязательств по защите персональных данных.
    4. Компания PFU (EMEA) LIMITED обязуется своевременно уведомлять вас о выявлении нарушений мер защиты ваших персональных данных. Такое уведомление должно включать на момент уведомления или как можно скорее после уведомления соответствующие сведения о нарушении мер защиты персональных данных, где это возможно, включая количество затронутых записей, категорию и приблизительное количество затронутых пользователей, ожидаемые последствия нарушения и любые фактические или предлагаемые средства правовой защиты, где это уместно, для смягчения возможных неблагоприятных последствий нарушения.