GDPR угоди платформи
Контролер
Зареєстрований користувач, як визначено в Умовах використання сайту MyOwnConference, до якого додається цей документ.
Процесор
Власник сайту, як визначено в Умовах використання сайту MyOwnConference, до якого додається цей документ.
Угода
Угода про довірення обробки персональних даних, регульована цим документом. Інші терміни з великої літери мають значення, визначені в Умовах використання сайту MyOwnConference, до якого додається цей документ.
§1
1.1. Контролер заявляє, що він контролює персональні дані Гостей, які складаються з даних, зазначених у Додатку А нижче (далі "Персональні дані").
1.2. Сторони підтверджують, що уклали Угоду про використання сайту (далі "Угода про співпрацю"). Виконання Угоди про співпрацю Процесором вимагає обробки Персональних даних, які керуються Контролером.
1.3. Згідно з цією Угодою, Контролер довіряє Процесору обробку Персональних даних відповідно до Загального регламенту захисту даних (GDPR) у межах, зазначених у Додатку А нижче, і виключно для виконання Угоди про співпрацю.
1.4. Процесор підтверджує обізнаність з GDPR і забезпечує дотримання його положень, гарантує впровадження відповідних технічних та організаційних заходів для виконання вимог GDPR та захисту прав осіб.
1.5. Процесор має право здійснювати операції з обробки Персональних даних, зазначені у Додатку Б нижче.
1.6. Процесор не буде використовувати послуги інших процесорів без попередньої детальної або загальної письмової згоди Контролера. У разі загальної письмової згоди Процесор повідомить Контролера про будь-які заплановані зміни щодо інших процесорів щонайменше за 21 день до початку обробки новим процесором. Відсутність явного рішення Контролера на ту дату означає відсутність згоди Контролера.
1.7. За згодою Контролера, як зазначено в пункті 6 вище, Процесор може використовувати послуги іншого процесора за умови, що угода про довірення обробки Персональних даних укладена на умовах, не менш обмежувальних, ніж ця Угода та положення GDPR.
1.8. Якщо Процесор використовує послуги іншого процесора для виконання певних операцій з обробки від імені Контролера, цей інший процесор повинен захищати дані таким самим чином, як вимагається цією Угодою. Якщо інший процесор не виконує свої обов’язки щодо захисту даних, Процесор бере на себе повну відповідальність за відповідність іншого процесора цій Угоді.
1.9. Процесор гарантує ефективне виконання прав Контролера, зазначених у цій Угоді, положеннях GDPR, та відповідних законодавств ЄС, держав-членів та Польщі.
1.10. Процесор інформує Контролера, що інші процесори обробляють персональні дані Гостей, довірені Контролером. Контролер погоджується на таку організацію.
1.11. Європейська комісія та Сполучені Штати домовилися про нову Трансатлантичну рамку захисту даних, щоб полегшити потоки даних і вирішити питання, що виникли після рішення Schrems II у липні 2020 року. Для отримання додаткової інформації відвідайте Прес-центр Європейської комісії.
1.12. Контролер несе повну відповідальність за:
1.12.1. Виконання всіх зобов’язань, зазначених у законах про захист персональних даних, що застосовуються до Контролера, зокрема щодо осіб, чиї дані обробляються Процесором.
1.12.2. Вибір обсягу оброблюваних персональних даних і визначення мети та засобів обробки.
1.12.3. Несення всіх наслідків невиконання вищезазначених зобов’язань, включаючи відповідальність перед Процесором.
§2
2.1. Процесор гарантує не обробляти Персональні дані для цілей, що виходять за межі цієї Угоди, за винятком пункту 4(1) нижче.
2.2. Процесор буде обробляти Персональні дані та надавати допомогу відповідно до загальних положень законів про захист персональних даних, включаючи GDPR, інші закони ЄС та польські закони.
2.3. Процесор дотримуватиметься таких принципів:
2.3.1. Обробляти Персональні дані виключно на документовану вимогу Контролера, включаючи передачі до інших держав або міжнародних організацій, якщо це не вимагається законами ЄС або держави-члена, у такому разі Процесор повідомить Контролера щонайменше за 21 день заздалегідь, якщо закон не забороняє надавати таку інформацію з причин суспільного інтересу.
2.3.2. Забезпечити, щоб уповноважений персонал зберігав конфіденційність або підлягав статутним зобов’язанням конфіденційності.
2.3.3. Запровадити всі необхідні заходи відповідно до статей 30, 32, 35 та 36 GDPR, інформуючи Контролера щодня та подаючи початкові оцінки перед початком обробки Персональних даних.
2.3.4. Дотримуватися умов обслуговування інших процесорів, зазначених у пунктах 1(6-9).
2.3.5. Забезпечити відповідні технічні та організаційні заходи, що дозволяють Контролеру відповідати на запити суб’єктів даних щодо їхніх прав згідно з GDPR.
2.3.6. Забезпечити виконання зобов’язань за статтями 30-36 GDPR, виходячи з природи обробки та доступної інформації.
2.3.7. Надсилати всі запити та комунікації від суб’єктів даних до Контролера протягом 12 годин в електронному вигляді, і протягом 3 днів поштою.
2.3.8. Швидко реагувати на запити Контролера, що стосуються цієї Угоди, надаючи докази протягом 3 днів.
2.3.9. Припинити обробку Персональних даних та або видалити, або повернути всі дані після закінчення Угоди або за вимогою Контролера, якщо закони ЄС або держави-члена не вимагають збереження даних.
2.3.10. Надавати всю необхідну інформацію для демонстрації відповідності статті 28 GDPR та дозволити аудит Контролера або уповноваженого аудитора.
2.4. Процесор буде:
2.4.1. Дотримуватися інструкцій Контролера щодо обсягу, мети та засобів обробки Персональних даних.
2.4.2. Запроваджувати повні заходи захисту для оброблюваних Персональних даних, забезпечуючи захист від несанкціонованого доступу, пошкодження або знищення.
2.4.3. Дозволяти тільки уповноваженому персоналу обробляти дані на ІТ-системах та пристроях.
2.4.4. Вести облік персоналу, залученого до обробки Персональних даних.
2.5. Процесор негайно повідомлятиме Контролера про будь-які порушення захист
у Персональних даних в електронному вигляді протягом 12 годин. Повідомлення про порушення буде містити:
2.5.1. Опис порушення, включаючи категорії даних, які постраждали, та приблизну кількість суб’єктів даних та записів.
2.5.2. Контактну інформацію відповідального за захист даних або відповідної контактної особи.
2.5.3. Можливі наслідки порушення.
2.5.4. Заходи, вжиті або запропоновані для вирішення порушення та пом'якшення його наслідків.
2.6. Процесор документуватиме всі обставини та збирає докази для допомоги Контролеру в розслідуванні порушення, включаючи природу, масштаб, наслідки, час, відповідальних осіб та постраждалих осіб. Процесор вестиме облік інцидентів, деталізуючи кожне порушення, його наслідки та контрзаходи.
§3
3.1. Процесор усуватиме недоліки, виявлені під час перевірок, аудитів та інспекцій, у встановлений Контролером термін, не пізніше ніж через 7 днів після повідомлення.
3.2. Процесор надаватиме всю необхідну інформацію Контролеру для демонстрації відповідності правовим зобов’язанням за рахунок Процесора.
§4
4.1. Процесор несе повну відповідальність перед Контролером за невиконання зобов’язань щодо захисту даних, включаючи зобов’язання будь-яких субпроцесорів. Ця відповідальність включає несанкціоноване розкриття або використання Персональних даних.
4.2. Процесор негайно повідомлятиме Контролера про будь-які процедури, рішення або заплановані перевірки, пов’язані з обробкою Персональних даних, протягом 3 днів після їх виникнення.
4.3. Процесор документуватиме діяльність з обробки Персональних даних та відповідність цій Угоді, GDPR та відповідним законам. Документація надаватиметься Контролеру на вимогу протягом 3 днів.
§5
5.1. Процесор зберігатиме конфіденційність усієї інформації, даних, матеріалів, документів та Персональних даних, отриманих від Контролера.
5.2. Процесор не використовуватиме, не розкриватиме або не надаватиме конфіденційні дані без письмової згоди Контролера, за винятком випадків, передбачених законом або цією Угодою.
5.3. Обидві сторони забезпечать, щоб методи комунікації, використовувані для обробки конфіденційних даних, забезпечували адекватний захист від несанкціонованого доступу.
§6
6.1. Ця Угода є чинною протягом періоду, необхідного для виконання Угоди про співпрацю, і закінчується після її припинення. У будь-якому випадку ця Угода залишається в силі до досягнення мети обробки даних, зазначеної в §1(3).
§7
7.1. Ця Угода є невід'ємною частиною Угоди про співпрацю.
7.2. Питання, не передбачені цією Угодою, регулюються відповідним законодавством Польщі, включаючи GDPR.
Додаток А: Обсяг персональних даних учасників
1. Електронна пошта;
2. Адреса вебсайту доповідача;
3. Нікнейм;
4. Пароль;
5. Ім'я та прізвище;
6. Номер телефону;
7. Країна;
8. Посада та назва компанії;
9. Часовий пояс;
10. Фотографія (аватар);
11. Інформаційна примітка;
12. IP-адреса;
13. Операційна система;
14. Назва та версія браузера;
15. Тип пристрою;
16. Час входу та виходу з зустрічі;
17. Роль учасника;
18. Активність вкладки браузера;
19. Встановлення з'єднання;
20. Резюме з'єднання;
21. Проблеми зі з'єднанням;
22. Відповіді на запити;
23. Дії, що підтверджують участь у зустрічі або відсутність;
24. Початок та закінчення трансляції;
25. Початок та закінчення відтворення відео;
26. Зміна положення відтворення;
27. Кінець відтворення відео;
28. Початок показу слайдів;
29. Зміна слайду;
30. Кінець показу слайдів;
31. Початок перегляду файлу.
Додаток Б: Операції з обробки персональних даних
1. Збір через Інтернет;
2. Зберігання;
3. Електронна передача Контролеру;
4. Аналіз та видалення дублювань.
(Останнє редагування: 13 червня 2024. Версія: 3.12)