Loading…
Настоящее Дополнение об обработке данных ("DPA") заключается между RegulatoryBridge Global Ltd. ("Обработчик" или "RegulatoryBridge") и клиентом, который принимает Условия обслуживания или подписывает Бланк заказа ("Контролёр" или "Клиент").
DPA применяется к обработке RegulatoryBridge персональных данных от имени Клиента в связи с Услугами. Клиент является контролёром (или, в применимых случаях, обработчиком, действующим от имени собственных клиентов-контролёров). RegulatoryBridge является обработчиком (или, в применимых случаях, субобработчиком). Если персональные данные обрабатываются обеими сторонами в совместных целях, стороны заключат отдельное соглашение о совместном контроле в соответствии со ст. 26 GDPR.
«Применимое законодательство о защите данных» означает GDPR; UK GDPR + Закон о защите данных 2018 года; California CCPA/CPRA; Brazil LGPD; India DPDPA; Singapore PDPA; Japan APPI; Swiss FADP; а также любой другой закон о конфиденциальности, применимый к обработке в рамках настоящего DPA.
Термины с заглавной буквы, используемые, но не определённые здесь, имеют значения, указанные в Условиях обслуживания или Применимом законодательстве о защите данных (в зависимости от того, что применимо к конкретному термину).
Предмет, характер, цель, продолжительность, категории субъектов данных и категории персональных данных изложены в Приложении A.
RegulatoryBridge будет обрабатывать персональные данные только в соответствии с документированными указаниями Клиента, как указано в (a) Бланке заказа, (b) настоящем DPA и (c) любых дополнительных письменных указаниях, принятых RegulatoryBridge. Мы уведомим Клиента, если, по нашему мнению, указание нарушает Применимое законодательство о защите данных, и можем приостановить обработку до принятия Клиентом решения.
Весь персонал и подрядчики RegulatoryBridge, имеющие доступ к персональным данным, связаны письменными обязательствами о конфиденциальности или находятся под соответствующей законодательно установленной обязанностью соблюдать конфиденциальность, а также регулярно проходят обучение по защите данных и безопасности.
Мы будем внедрять и поддерживать соответствующие технические и организационные меры для обеспечения уровня безопасности, соответствующего риску, с учётом современного уровня развития технологий, затрат на внедрение, а также характера, объёма, контекста и целей обработки. Текущие меры описаны в Приложении B и согласованы с семействами средств контроля ISO/IEC 27001:2022 и SOC 2 Type II.
Клиент уполномочивает RegulatoryBridge привлекать субобработчиков, перечисленных на странице Субобработчики (и отражённых в Приложении C). Каждый субобработчик связан письменными условиями, предусматривающими обязательства по защите данных, как минимум столь же защищающие, как и в настоящем DPA. Мы будем предоставлять уведомление не менее чем за 30 дней о новых субобработчиках. Клиент может возразить по обоснованным причинам в течение этого срока, и стороны будут вести добросовестные переговоры; если решение не будет достигнуто, Клиент может прекратить действие затронутой Услуги.
С учётом характера обработки RegulatoryBridge будет оказывать разумное содействие посредством соответствующих технических и организационных мер, чтобы позволить Клиенту выполнить его обязательство по реагированию на запросы субъектов данных, осуществляющих свои права. Если субъект данных обращается напрямую в RegulatoryBridge с запросом, касающимся данных Клиента, мы незамедлительно перенаправим запрос Клиенту.
RegulatoryBridge уведомит Клиента без неоправданной задержки — и в любом случае в течение 48 часов с момента, когда нам станет известно, — о любом нарушении безопасности персональных данных, затрагивающем персональные данные Клиента. Уведомление будет включать информацию, указанную в статье 33(3) GDPR (или эквивалентной норме другого Применимого законодательства о защите данных), в той мере, в какой она будет известна на тот момент. Мы будем оказывать Клиенту разумное содействие в выполнении его собственных обязательств по уведомлению надзорных органов и субъектов данных.
Если персональные данные передаются из ЕЭЗ / Великобритании / Швейцарии в третью страну, не пользующуюся решением об адекватности, стороны включают посредством ссылки Стандартные договорные положения ЕС (Имплементационное решение Комиссии (ЕС) 2021/914), Модуль 2 (Контролёр → Обработчик) или Модуль 3 (Обработчик → Обработчик), в зависимости от применимости, вместе с Дополнением о международной передаче данных Великобритании для передач из Великобритании и признанными FDPIC Швейцарии адаптациями для передач из Швейцарии.
Для передач из Индии (DPDPA), Бразилии (LGPD), Японии (APPI) и Сингапура (PDPA) стороны будут полагаться на механизмы, признанные в соответствующем законодательстве (согласие, адекватность, договорные гарантии), а также на специфические для страны дополнения, доступные по запросу.
RegulatoryBridge предоставит Клиенту всю информацию, разумно необходимую для подтверждения соблюдения настоящего DPA, а также допустит проведение аудитов, включая проверки, проводимые Клиентом или уполномоченным Клиентом аудитором, и будет содействовать им. Для минимизации дублирования и операционных нарушений:
По выбору Клиента при прекращении Услуг RegulatoryBridge возвратит все персональные данные Клиенту или удалит их, в том числе из резервных копий, в течение 90 дней, если только хранение не требуется Применимым законодательством о защите данных. Клиент может экспортировать Клиентский контент в течение Срока подписки с помощью стандартных инструментов экспорта, описанных в Документации.
Ответственность каждой стороны по настоящему DPA подчиняется ограничениям ответственности, изложенным в Условиях обслуживания, за исключением случаев, когда Применимое законодательство о защите данных требует, чтобы она не ограничивалась.
Настоящее DPA вступает в силу с указанной выше даты вступления в силу и остаётся в силе до тех пор, пока RegulatoryBridge обрабатывает персональные данные от имени Клиента. Разделы, которые по своему характеру должны сохранять силу после расторжения (безопасность, конфиденциальность, аудит, уведомление о нарушениях, произошедших до расторжения), сохранят силу.
Настоящее DPA регулируется правом Ireland, без ущерба для императивных норм права страны обычного проживания субъекта данных. Споры разрешаются в соответствии с Условиями обслуживания.
Предмет: Предоставление Услуг, описанных в Бланке заказа, включая регуляторное представительство, услуги DPO, реагирование на нарушения и сопутствующее программное обеспечение.
Продолжительность: Срок подписки плюс период хранения, указанный в Разделе 12 настоящего DPA.
Характер и цель обработки: Хранение, доступ, организация, структурирование, передача и иная обработка персональных данных для предоставления Услуг.
Категории субъектов данных: Конечные пользователи Клиента, сотрудники, подрядчики, потенциальные клиенты, поставщики и любые другие физические лица, чьи персональные данные включены в Клиентский контент.
Категории персональных данных: Контактные идентификаторы (имя, рабочий адрес электронной почты, должность); поведенческие данные (взаимодействия с Услугами); артефакты комплаенса (записи DSAR, инциденты нарушений, записи о согласии); контент, загруженный Клиентом (который может включать другие категории в зависимости от конфигурации Клиента).
Данные особых категорий: Как правило, отсутствуют. Если Клиент решает загрузить персональные данные особых категорий или чувствительные персональные данные, Клиент несёт ответственность за обеспечение надлежащего правового условия в соответствии со статьёй 9 GDPR или эквивалентной нормой.
Частота обработки: Непрерывно, в течение Срока подписки.
Актуальный список авторизованных субобработчиков публикуется и поддерживается по адресу /sub-processors. Список на момент принятия Бланка заказа включён сюда посредством ссылки. Обновления сообщаются в порядке, изложенном в Разделе 7.
src/lib/legal-entity.ts.