Соглашение об обработке данных
Настоящее Соглашение об обработке данных («DPA«) является частью Условий обслуживания Adapty (как определено ниже), заключенных между Заказчиком и Adapty, которое регулирует использование Заказчиком и предоставление услуг Adapty.
Заказчик и Adapty далее совместно именуются как «Стороны«, а по отдельности как «Сторона«. Подробности о Сторонах изложены в Приложении 1.
В случае конфликта или несоответствия с условиями Условий обслуживания Adapty, это DPA будет иметь преимущество над другими условиями в Условиях обслуживания Adapty в той мере, в которой имеется такой конфликт или несоответствие.
Термины с заглавной буквы, которые не определены иначе здесь, имеют значение, установленное в Условиях обслуживания Adapty.
ФОН
DPA, включая все Приложения, определяет обязательства Сторон по защите данных в отношении Личных данных, обрабатываемых Adapty от имени Заказчика, как описано в Приложении 1 к этому DPA в соответствии с Применимым законом о конфиденциальности.
1. Определения
1.1. Условия обслуживания Adapty означают условия обслуживания, доступные по адресу https://adapty.io/terms/ или другое письменное или электронное соглашение между Клиентом и Adapty.
1.2. Применимое законодательство о конфиденциальности означает все законы, статуты, нормативные акты, постановления, коды, правила, рекомендации, приказы или любое другое правовое обязательство, изданное любым государственным органом, регулирующим сбор, использование, передачу и раскрытие Личных Данных.
1.3. Контроллер данных означает физическое лицо или организацию, которые определяют цели и средства обработки Личных Данных или иным образом ответственны за принятие решений относительно обработки Личных Данных.
1.4. Обработчик данных означает физическое или юридическое лицо или другой орган, который обрабатывает Личные Данные от имени Контроллера.
1.5. Запрос субъекта данных будет иметь значение, установленное в пункте 3.2 этого DPA.
1.6. Субъект данных означает непосредственно или косвенно идентифицированное или идентифицируемое лицо, к которому относятся Личные Данные.
1.7. GDPR означает Регламент Европейского парламента и Совета ЕС № 2016/679 о защите физических лиц в отношении обработки Личных Данных и о свободном перемещении таких данных, и отменяющий Директиву 95/46/EC.
1.8. UK GDPR означает сохраняемую версию законодательства ЕС общего регламента по защите данных ((ЕС) 2016/679) (EU GDPR), так как она является частью законодательства Англии и Уэльса, Шотландии и Северной Ирландии в силу раздела 3 Закона о выходе из Европейского Союза 2018 года и как изменено приложением 1 к Закону о защите данных, конфиденциальности и электронных коммуникациях (Изменения и т.д.) (EU Exit) Regulations 2019 (SI 2019/419).
1.9. Личные данные означают любую информацию, которая относится к идентифицированному или идентифицируемому физическому лицу и регулируется Применимым законодательством о конфиденциальности, предоставленным Клиентом для обработки, включая информацию, относящуюся к идентифицированному или идентифицируемому индивиду.
1.10. Нарушение Личных Данных будет иметь значение, установленное в пункте 6.1 этого DPA.
1.11. Обработка, процессы, и процесс означают любую деятельность, которая включает использование Личных Данных или как может быть установлено Применимым законодательством о конфиденциальности обработки, процессов или процесса. Это включает любую операцию или набор операций, которые выполняются над Личными Данных или над наборами Личных Данных, независимо от того, осуществляются они автоматически или нет, такие как сбор, регистрация, организация, структурирование, хранение, адаптация или изменение, получение, консультация, использование, раскрытие путем передачи, распространения или иного предоставления, согласование или объединение, ограничение, удаление или уничтожение. Обработка также включает передачу Личных Данных третьим лицам.
1.12. Стандартные договорные условия (SCC) означают стандартные договорные условия, одобренные Европейской комиссией (по мере обновления, изменения, замены или отмены с течением времени Европейской комиссией). Если Европейская комиссия заменит Стандартные договорные условия измененными или новыми стандартными договорными условиями, то в той мере, в которой соответствующий надзорный орган одобрит использование таких измененных или новых стандартных договорных условий, ссылки здесь на «Стандартные договорные условия» будут читаться как относящиеся к таким измененным или новым стандартным договорным условиям.
1.13. Субподрядчик означает третье лицо — обработчик данных, привлекаемое Adapty, которому был дан или потенциально может быть доступ к, или обрабатывает Личные Данные.
1.14. Уведомление о смене субподрядчика будет иметь значение, установленное в пункте 4.1 этого DPA.
2. Обработка персональных данных
2.1. Роли сторон. Стороны признают и согласны с тем, что в отношении обработки персональных данных Заказчик является контроллером, а Adapty является процессором.
2.2. Подробности обработки данных. Предмет, продолжительность, характер и цель(и) обработки персональных данных, а также тип персональных данных и категории субъектов данных указаны в Приложении 1.
2.3. Объем обработки. Adapty воздержится от обработки персональных данных, которые выходят за рамки установленного Заказчиком документированного разумного и обыденного указания, как указано в Условиях обслуживания Adapty или в этом Соглашении о защите данных, если такая обработка не требуется действующим законодательством, которому подлежит Adapty.
2.4. Указания Заказчика. Указания Заказчика по обработке персональных данных должны соответствовать применимому законодательству о конфиденциальности. Заказчик несет единоличную ответственность за точность, качество и законность персональных данных, а также за способы, которыми Заказчик получает персональные данные. Без ограничения Заказчик будет нести единоличную ответственность за обеспечение наличия соответствующей законной основы и права на обработку персональных данных в соответствии с условиями Условий обслуживания Adapty и этого Соглашения о защите данных. Заказчик конкретно признает и соглашается с тем, что его использование Услуг не нарушит права какого-либо субъекта данных.
2.5. Законная основа обработки. Заказчик признает и соглашается с тем, что Услуги Adapty зависят и основаны на продемонстрированной законной основе, которую должен получить Заказчик и на которую полагается Adapty. Заказчик представляет, что такая законная основа существует.
2.6. Конфиденциальность детей. При обработке персональных данных детей (как было описано в применимом законодательстве о конфиденциальности) Заказчик обязан соблюдать дополнительные требования, установленные политиками платформы, нормативными актами и применимым законодательством о конфиденциальности, направленными на защиту детей. Некоторые из этих законов специально ориентированы на детей (такие как COPPA), в то время как другие более широкие, но включают специальные защиты для детей (такие как GDPR и аналогичные региональные законы).
3. Запросы субъектов данных
3.1. Ответы на запросы субъектов данных. Заказчик несет исключительную ответственность за соблюдение любых обязательств в соответствии с законодательными нормами, касающимися запросов на осуществление прав субъектов данных в соответствии с применимым законодательством о конфиденциальности. Стороны согласны и подтверждают, что Adapty не имеет возможности отвечать на запросы субъектов данных.
3.2. Запросы субъектов данных. Adapty будет, в той степени, в которой это разрешено законом, незамедлительно уведомлять Заказчика, если она получает какие-либо запросы от субъекта данных на осуществление прав субъектов данных в соответствии с применимым законодательством о конфиденциальности (каждый из таких запросов — это «Запрос субъекта данных»).
Сотрудничество в реализации прав субъекта данных. Adapty предоставит разумную и своевременную помощь (включая соответствующие технические и организационные меры) Заказчику, чтобы помочь Заказчику ответить на данные.
3.3. Запрос субъекта. Если Заказчик запрашивает у Adapty помощь в ответе на какой-либо запрос, то Adapty будет, насколько это возможно, прилагать коммерчески разумные усилия, чтобы помочь Заказчику в ответе на такой запрос, в той степени, в которой Adapty имеет на это законное право и ответ на такой запрос требуется в соответствии с применимым законодательством о конфиденциальности.
3.4. Расходы. В той степени, в которой это разрешено законом, Заказчик несет ответственность за любые расходы, возникающие в результате предоставления Adapty такой помощи, включая любые сборы, связанные с предоставлением дополнительных функций. В таких случаях Adapty уведомит вас об этих расходах заранее.
4. Субподряд
4.1. Назначение суб-обработчика. Заказчик уполномочивает Adapty назначать суб-обработчиков в соответствии с этим разделом и любыми ограничениями в DPA. Заказчик признает и соглашается с тем, что Adapty может привлекать суб-обработчиков без предварительного согласия Заказчика. Условием допуска третьего лица-суб-обработчика к обработке персональных данных является заключение Adapty письменного соглашения с каждым суб-обработчиком, содержащего обязательства по защите данных, которые обеспечивают как минимум такой же уровень защиты персональных данных, как и в этом DPA. Adapty уведомит Заказчика в письменной форме о любых предполагаемых изменениях, касающихся добавления или замены суб-обработчиков, до таких изменений суб-обработчиков (именуемое далее “Уведомление об изменении суб-обработчика”). Заказчик может возразить против таких изменений суб-обработчика в соответствии с пунктом 4.2 этого DPA.
4.2. Текущий список суб-обработчиков. Текущий список суб-обработчиков, которые Adapty привлекает к обработке, приведен в Приложении 3 к этому DPA. В течение десяти (10) дней после любых изменений, касающихся добавления или замены суб-обработчика, Adapty обновит список суб-обработчиков в этом DPA.
4.3. Ответственность. В отношении каждого суб-обработчика Adapty должен: (i) принять разумные меры для того, чтобы суб-обработчик был обязан обеспечить уровень защиты персональных данных, требуемый DPA, и (ii) оставаться полностью ответственным перед Заказчиком за выполнение обязательств по защите данных суб-обработчиком в случае, если суб-обработчик не выполняет такие обязательства.
4.4. Право возражения в отношении суб-обработчиков. Заказчик может обоснованно возразить против любого предполагаемого изменения, касающегося добавления или замены суб-обработчика (например, если предоставление персональных данных суб-обработчику может нарушить применимые законы о защите данных или ослабить защиту таких персональных данных), уведомив Adapty немедленно в письменном виде в течение десяти (10) дней после получения уведомления об изменении суб-обработчика. В таком уведомлении Заказчика должны быть разъяснены разумные основания для возражения.
Если Заказчик уведомит Adapty о таком возражении, стороны обсудят вопрос добросовестно с целью достижения коммерчески разумного решения. Если такие возражения не могут быть разрешены в течение пятнадцати (15) дней, поскольку обработка не может продолжаться надлежащим образом без привлечения такого суб-обработчика, Adapty имеет право отказаться от дальнейшей обработки в соответствии с этим DPA и прекратить Условия обслуживания Adapty без ответственности за такое прекращение.
5. Трансграничная передача персональных данных
5.1. Передача из ЕС. В той мере, в какой обработка Персональных Данных защищена GDPR, Стороны настоящим согласны, что такая передача подлежит SCC, который включен в этот DPA по ссылке и представляет собой неотъемлемую часть настоящего. Опции и Приложения SCC считаются заполненными на основе Приложения 4 к этому DPA.
5.2. Передачи из Швейцарии. В той мере, в какой обработка Персональных Данных защищена Федеральным законом Швейцарии от 19 июня 1992 года о защите данных (“FADP”), Стороны настоящим согласны, что такая передача подлежит SCC с необходимыми адаптациями, чтобы SCC соответствовали швейцарскому законодательству и тем самым были подходящими для обеспечения адекватного уровня защиты для передачи данных из Швейцарии в третью страну в соответствии со статьей 6, параграф 2, буква а FADP. Список адаптаций предоставлен в пункте 4.3. передачи персональных данных в страну с неадекватным уровнем защиты данных на основе устаревших стандартных контрактных положений и образцов контрактов от 27 августа 2021 года Федерального комиссара по защите данных и информации (доступно по https://www.edoeb.admin.ch/edoeb/en/home/data-protection/handel-und-wirtschaft/transborder-data-flows.html). Пример 2 случая 2 должен применяться.
5.3. Передачи из Великобритании. В той мере, в какой обработка Персональных Данных защищена UK GDPR, Стороны настоящим согласны, что такая передача подлежит международному дополнению к стандартным контрактным положениям Европейской Комиссии для международных передач данных, доступным по https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf, как было принято, изменено или обновлено Офисом информационного комиссара Великобритании, Парламентом или Государственным секретарем.
6. Технические и организационные меры
6.1. Технические и организационные меры. Adapty принимает и поддерживает соответствующие технические и организационные меры для обеспечения соответствующего уровня безопасности, конфиденциальности и целостности Персональных Данных, включая, если это уместно и применимо, меры, предусмотренные статьей 32 GDPR, как указано в Приложении 2 к этому DPA, для защиты Персональных Данных от:
- случайного или незаконного уничтожения, и
- потери, изменения, неавторизованного раскрытия или доступа к Персональным Данных (каждое из которых именуется как «Утечка Персональных Данных»).
6.2. Контроль соблюдения. Adapty регулярно контролирует соблюдение мер, предусмотренных в Приложении 2 к этому DPA.6.3. Помощь в обеспечении соблюдения. Учитывая характер Обработки и Персональные Данные, доступные Adapty, Adapty помогает Клиенту в обеспечении соблюдения обязательств в соответствии со статьями 32-36 GDPR.
7. Нарушение персональных данных
7.1. Уведомление о нарушении персональных данных. Если Adapty узнает о нарушении персональных данных, Adapty должна, в пределах, разрешённых законом, уведомить клиента без ненужной задержки по электронной почте, после того как Adapty или любой Подработчик узнает о нарушении персональных данных, касающемся персональных данных клиента, и предоставить разумную информацию (в пределах, разумно находящейся и/или контролируемой Adapty).
7.2. Сотрудничество. Adapty должна предоставить сотрудничество, принимая во внимание характер обработки и доступную информацию Adapty, чтобы помочь клиенту выполнить любые обязательства по информированию субъектов данных или органов защиты данных о нарушении персональных данных в соответствии с Применимым законодательством о конфиденциальности. Adapty также должна предпринять любые разумно необходимые меры и действия для устранения или смягчения последствий нарушения персональных данных и должна держать клиента в курсе всех значительных событий, связанных с нарушением персональных данных.
8. Аудит
8.1. Право Заказчика проводить аудит. Adapty предоставляет Заказчику всю информацию, разумно необходимую для демонстрации соблюдения обязательств, установленных в данном Соглашении о защите данных (DPA), и способствует проведению аудитов, включая инспекции, проводимые Заказчиком или другим аудитором, уполномоченным Заказчиком, в отношении выполнения обязательств согласно этому DPA.
8.2. Сотрудничество Adapty при проведении аудита. Adapty предоставляет Заказчику всю информацию, системы и персонал, разумно необходимые для Заказчика или его сторонних аудиторов для проведения такого аудита, при условии, что Заказчик:
8.2.1. уведомляет за сорок пять (45) дней до проведения аудита; и
8.2.2. проводит аудит в обычные рабочие часы; и
8.2.3. предпринимает все разумные меры для предотвращения ненужных нарушений работы Adapty. Такой аудит должен быть строго в рамках информации, связанной с обработкой персональных данных.
8.3. Параметры аудита. Стороны взаимно согласовывают объем, время и продолжительность аудита или инспекции.
8.4. Конфиденциальность. Все аудиты по этому DPA подлежат обязательствам по конфиденциальности. Заказчик должен поделиться полным отчетом об аудите с Adapty и не должен делиться им с третьими лицами, кроме своих бухгалтеров и юридических советников, которые обязаны соблюдать конфиденциальность. Заказчик не должен использовать такой отчет об аудите для каких-либо других целей, кроме как для оценки соблюдения Adapty этого DPA.
8.5. Расходы. Заказчик несет расходы на такой аудит, если Стороны не договорятся об ином.
8.6. Частота аудитов. Заказчик не может осуществлять свои права на аудит более одного раза в любой двенадцати (12) календарных месяцов, за исключением случаев:
8.6.1. если и когда это требуется по указанию компетентного органа по защите данных; или
8.6.2. если это необходимо в связи с нарушением безопасности персональных данных, понесенным Adapty и (или) Субобработчиками.
9. Конфиденциальность
9.1. Adapty примет все разумные меры для обеспечения надежности любого персонала, уполномоченного обрабатывать персональные данные, и гарантирует, что такой персонал будет подвержен соответствующим обязательствам по соблюдению конфиденциальности и всегда будет действовать в соответствии с применимым законодательством о защите данных.
10. Удаление или Возврат Личной Информации
10.1. При (i) прекращении действия данного DPA, или (ii) письменном запросе Заказчика, или (iii) отсутствии необходимости Adapty обрабатывать Персональные Данные для выполнения своих обязательств по Условиям обслуживания Adapty и данному DPA, или (iv) отказе Adapty от обработки в соответствии с пунктом 4.4 данного DPA, Adapty, по усмотрению Заказчика, обязуется удалить, уничтожить или вернуть все Персональные Данные Заказчику и уничтожить или вернуть любые имеющиеся копии, за исключением случаев, когда Adapty требуется в соответствии с Применимым законом о конфиденциальности сохранить копию Персональных Данных на определенный срок. По истечении такого срока хранения Adapty немедленно удалит или уничтожит все оставшиеся Персональные Данные.
10.2. В случае, если Персональные Данные были обработаны любыми Подрядчиками, Adapty обеспечит, чтобы в указанных случаях такие Подрядчики также вернули, удалили или уничтожили все Персональные Данные, которые они хранят, в соответствии с условиями, изложенными в этом разделе.
11. Права потребителей Калифорнии на конфиденциальность
11.1. “Личные данные”, “Потребитель” и другие термины с заглавной буквы в этом разделе 11 будут иметь значения, изложенные в Законе о конфиденциальности потребителей Калифорнии 2018 года, Cal. Civ. Code §§ 1798.100 et. Seq, с изменениями время от времени (“CCPA”).
11.2. Настоящим согласовано, что любое обмен личными данными между Сторонами осуществляется исключительно с целью выполнения деловой цели, и Adapty не получает и не обрабатывает никаких личных данных как вознаграждение за Услуги.
11.3. Таким образом, Клиент несет единоличную ответственность за соблюдение CCPA в отношении его использования Услуг. Лишь Клиент несет ответственность и обязательства за то, что обмен или передача личных данных Субъектов данных в ходе предоставления Услуг не является Продажей личных данных.
11.4. Adapty не будет хранить, использовать или передавать личные данные в коммерческих целях, кроме как для предоставления Услуг, указанных в Условиях предоставления услуг Adapty.
12. Условие
12.1. Этот DPA вступает в силу с даты, указанной в Условиях обслуживания Adapty. Этот DPA будет оставаться в силе до момента, пока Условия обслуживания Adapty остаются в силе.
13. Делимость
13.1. Если какое-либо положение этого DPA станет или окажется полностью или частично недействительным, неэффективным или не подлежащим принудительному исполнению, то действительность, эффективность и возможность принудительного исполнения других положений этого DPA останутся неизменными.
13.2. Любое такое недействительное, неэффективное или не подлежащее принудительному исполнению положение будет, в той мере, в которой это разрешено законом, считаться замененным таким действительным, эффективным и подлежащим принудительному исполнению положением, которое наиболее точно отражает экономическое намерение и цель недействительного, неэффективного или неприемлемого положения в отношении его предмета, масштаба, времени, места и сферы применения.
13.3. Указанное правило будет применяться с аналогичными изменениями для заполнения любых пробелов, которые могут быть найдены в этом DPA.
14. Полное соглашение
14.1. Стороны явно заявляют, что данный DPA (включая расписания, на которые ссылаются в настоящем) и документы, на которые ссылаются в настоящем, составляют полное соглашение между Сторонами и отменяют любые предыдущие проекты, соглашения, обязательства, понимания, условия и договоренности, независимо от любого противоречащего порядка приоритета, любого рода между Сторонами, независимо от того, оформлены ли они в письменной форме, в отношении предмета данного DPA.
15. Применимое право и юрисдикция
15.1. DPA регулируется законом в соответствии с условиями, изложенными в Условиях обслуживания Adapty.
15.2. Стороны настоящим подчиняются выбору юрисдикции, предусмотренному в Соглашении, в отношении любых споров или требований как бы ни возникали в рамках данного DPA, включая споры по поводу его существования, действительности или прекращения, а также последствий его недействительности.
16. Разное
16.1. В случае конфликта или неопределенности между:
16.1.1. любым положением DPA и любым положением Условий использования Adapty, положения DPA имеют преимущество;
16.1.2. любым положением настоящего Соглашения и любым подписанным SCC, положения подписанного SCC имеют преимущество.
График 1. Параметры обработки данных
i. Техническая информация
Эта категория включает технические данные, связанные с устройством, используемым Конечным пользователем для доступа к цифровым услугам Клиента (таким как мобильные игры или приложения). Такая информация может включать, например, IP-адрес, модель устройства, операционную систему и настройки языка.
ii. Идентификаторы
Эта категория включает различные идентификаторы, связанные с устройством или экземпляром приложения Конечного пользователя. Такие идентификаторы могут включать, например, Идентификатор Apple для рекламодателей (IDFA), Идентификатор для поставщиков (IDFV), Идентификатор рекламы Google и другие подобные идентификаторы.
ii. Данные об использовании Эта категория относится к информации о том, как Конечные пользователи взаимодействуют с услугами Клиента. Она включает, но не ограничивается следующими данными: события в приложении; действия Конечного пользователя, такие как клики по объявлениям Клиента; просмотры (импрессии) объявлений Клиента; временные метки загрузки и установки приложения; запуски приложений; покупки в приложении (включая время и сумму покупки); любые дополнительные события или данные о взаимодействии, которые Клиент решит отслеживать и анализировать в зависимости от характеристик своего сервиса.
iv. Контактная информация
Эта категория включает личные данные, которые непосредственно идентифицируют или относятся к отдельному Конечному пользователю и необходимы для связи или функциональности, специфичной для пользователя. Такие данные могут включать, например, адрес электронной почты, имя, фамилию и другие атрибуты, которые Клиент намеренно передает Adapty.
Adapty не будет продавать Персональные данные Клиента
График 2. Технические и организационные меры, включая технические и организационные меры для обеспечения безопасности данных
Если да, пожалуйста, предоставьте конкретные детали
• Регулярные обновления операционных систем, оборудования и любого стороннего программного обеспечения для избежания уязвимостей безопасности.
• Использование межсетевых экранов и систем предотвращения вторжений (IPS), чтобы ограничить доступ и защитить серверы Adapty.
• Обеспечение безопасной связи удаленного доступа с использованием многофакторной аутентификации.
• Резервное копирование данных клиентов ежедневно, по ротационному расписанию.
Расписание 3. Список субподрядчиков
Расписание 4. Условия SCC
1. Модуль, применимый к передаче Личных Данных Контроллера, происходящих из ЕС в рамках Соглашения, - Модуль 2 – “Контроллер к Обработчику”.
2. Выбираются следующие опции, где Решение Комиссии (ЕС) 2021/914 допускает выбор вариантов в Положениях ЕС СДП:
3. Приложение IA к SCC должно считаться заполненным следующим образом:
- Экспортёр данных является Заказчиком, и данные Экспортёра аналогичны тем, что указаны в Приложении 1 (Часть A) к DPA.
Деятельность, связанная с переданными данными по SCC: передача Личных данных Экспортёру данных для того, чтобы позволить Экспортёру данных предоставлять Услуги в соответствии с Условиями обслуживания Adapty. - Импортёр данных – это Adapty, и данные Adapty аналогичны тем, что указаны в Приложении 1 (Часть A) к DPA.
Деятельность, связанная с переданными данными по SCC: получение Личных данных от Экспортёра данных для предоставления Услуг в соответствии с Условиями обслуживания Adapty.
4. Приложение IB к SCC будет таким же, как Приложение 1 к DPA, и дополнительно следующая информация включена для завершения Приложения IB: частота передачи непрерывная.
5. Приложение IC заполнено следующим образом: Наблюдательный орган Республики Ирландия.
6. Приложение II к SCC будет таким же, как Приложение 2 к DPA.
7. Приложение III к SCC будет таким же, как Приложение 3 к DPA.
