Угода про обробку даних
Ця Угода про обробку даних (“DPA“) є складовою частиною та формує частину Умов обслуговування Adapty (як визначено нижче), укладених між Клієнтом та Adapty, які регулюють використання Клієнтом та надання Послуг від Adapty.
Клієнт та Adapty надалі спільно іменуються як “Сторони“, а окремо – як “Сторона“. Деталі Сторін викладені в Графіку 1.
У випадку будь-якого конфлікту або невідповідності з умовами Умов обслуговування Adapty, ця DPA матиме перевагу над іншими умовами в Умовах обслуговування Adapty в межах такого конфлікту або невідповідності.
Великі літери, що не визначені тут інакше, матимуть значення, наведене в Умовах обслуговування Adapty.
ПЕРЕДМОВА
DPA, включаючи всі Графіки, уточнює зобов’язання щодо захисту даних Сторін щодо Персональних Даних, які обробляються Adapty від імені Клієнта, як викладено в Графіку 1 до цієї DPA відповідно до Відповідного Закону про Конфіденційність.
1. Визначення
1.1. Умови обслуговування Adapty означають умови обслуговування, доступні за https://adapty.io/terms/ або інша письмова чи електронна угода між Клієнтом та Adapty.
1.2. Відповідний закон про конфіденційність означає всі закони, статті, регуляції, постанови, коди, правила, рекомендації, накази або будь-яке інше законне право, видане будь-яким державним органом, що регулює збір, використання, передачу та розкриття Персональних Даних.
1.3. Контролер даних означає фізичну особу або юридичну особу, яка визначає цілі та засоби обробки Персональних Даних або іншим чином відповідає за прийняття рішень щодо обробки Персональних Даних.
1.4. Обробник даних означає фізичну чи юридичну особу, або інший суб’єкт, який обробляє Персональні Дані від імені Контролера.
1.5. Запит суб’єкта даних матиме значення, наведене в пункті 3.2 цієї DPA.
1.6. Суб’єкт даних означає безпосередньо або опосередковано ідентифіковану або таку, що може бути ідентифікована особу, до якої належать Персональні Дані.
1.7. GDPR означає Регламент Європейського парламенту та Ради ЄС № 2016/679 про захист фізичних осіб в зв’язку з обробкою Персональних Даних та про вільний рух таких даних, а також скасування Директиви 95/46/ЄС.
1.8. UK GDPR означає збережену версію законодавства ЄС Загального регламенту про захист даних ((ЄС) 2016/679) (EU GDPR), оскільки вона є частиною законодавства Англії та Уельсу, Шотландії та Північної Ірландії відповідно до статті 3 Закону про вихід із Європейського Союзу 2018 року та зі змінами, внесеними до Дат Шлях 1 до Закону про захист даних, конфіденційність та електронні комунікації (зміни тощо) (Вихід ЄС) 2019 року (SI 2019/419).
1.9. Персональні Дані означають будь-яку інформацію, що стосується ідентифікованої або такої, що може бути ідентифікована фізичної особи, і є регульованою відповідно до Відповідного закону про конфіденційність, наданого Клієнтом для обробки, включаючи інформацію щодо ідентифікованої або такої, що може бути ідентифікована особи.
1.10. Порушення Персональних Даних матиме значення, зазначене в пункті 6.1 цієї DPA.
1.11. Обробка, процеси та процес означають будь-яку діяльність, що передбачає використання Персональних Даних або як може бути інакше визначено обробкою, процесами чи процесом відповідно до Відповідного закону про конфіденційність. Це включає будь-яку операцію або набір операцій, які виконуються над персональними даними або над наборами персональних даних, незалежно від того, автоматизованими чи ні, такими як збір, запис, організація, структуризація, зберігання, адаптація або зміна, вилучення, консультація, використання, розкриття шляхом передачі, поширення або іншим чином надання, вирівнювання або комбінування, обмеження, знищення або знищення. Обробка також включає передачу Персональних Даних третім особам.
1.12. Стандартні договорні положення (SCC) означають стандартні договірні положення, схвалені Європейською комісією (якщо обновлено, змінено, замінено чи відмінено час від часу Європейською комісією). Якщо Європейська комісія замінює Стандартні договорні положення на змінені або нові стандартні договірні положення, тоді, в тій мірі, в якій відповідний контрольний орган схвалює використання таких змінених або нових стандартних договорних положень, посилання в цьому документі на “Стандартні договірні положення” будуть тлумачитися як такі змінені або нові стандартні договірні положення.
1.13. Суб-обробник означає третього суб’єкта-обробника даних, залученого Adapty, який має або потенційно матиме доступ до, або обробляє Персональні Дані.
1.14. Повідомлення про зміну суб-обробника матиме значення, зазначене в пункті 4.1 цієї DPA.
2. Обробка персональних даних
2.1. Ролі Сторін. Сторони визнають і погоджуються, що щодо Обробки Персональних Даних, Клієнт є Контролером, а Adapty є Процесором.
2.2. Деталі обробки даних. Предмет, термін, природа та мета(и) обробки Персональних Даних, а також тип Персональних Даних та категорії Суб’єктів Даних зазначені в Графіку 1.
2.3. Обсяг обробки. Adapty зобов’язується уникати обробки Персональних Даних, які виходять за межі, визначені у документованих розумних та звичних інструкціях Клієнта, згідно з Умовами обслуговування Adapty або цією DPA, за винятком випадків, коли така обробка є обов’язковою відповідно до чинного законодавства, якому підлягає Adapty.
2.4. Інструкції Клієнта. Інструкції Клієнта щодо обробки Персональних Даних мають відповідати Відповідному Закону про конфіденційність. Клієнт несе повну відповідальність за точність, якість і законність Персональних Даних та способів, якими Клієнт отримав Персональні Дані. Без обмежень, Клієнт зобов’язується лише забезпечити наявність відповідної законної основи та права, щоб уможливити обробку Персональних Даних відповідно до умов Умов обслуговування Adapty та цієї DPA. Клієнт конкретно визнає і погоджується, що його використання Послуг не порушить права жодного Суб’єкта Даних.
2.5. Правова основа обробки. Клієнт визнає і погоджується, що Послуги Adapty залежать і базуються на продемонстрованій законній основі, яка має бути отримана Клієнтом і на яку сподівається Adapty. Клієнт стверджує, що така законна основа існує.
2.6. Конфіденційність дітей. Під час обробки Персональних Даних дітей (як це описано в Відповідному Законі про конфіденційність), Клієнт зобов’язується дотримуватися додаткових вимог, встановлених політиками платформ, регламентами та Відповідним Законом про конфіденційність, спрямованими на захист дітей. Деякі з цих законів специфічно орієнтовані на дітей (таких як COPPA), тоді як інші є більш загальними, але включають специфічні заходи захисту для дітей (такі як GDPR та аналогічні регіональні закони).
3. Запити суб'єктів даних
3.1. Відповіді на Запити Суб’єктів Даних. Замовник нестиме повну відповідальність за дотримання будь-яких юридичних зобов’язань щодо запитів на здійснення прав Суб’єктів Даних відповідно до Застосовного Закону про Конфіденційність. Сторони погоджуються і визнають, що Adapty не має можливості відповідати на Запити Суб’єктів Даних.
3.2. Запити Суб’єкта Даних. Adapty, в межах законодавчо дозволеного, оперативно сповістить Замовника, якщо отримує будь-які запити від Суб’єкта Даних на здійснення прав Суб’єкта Даних відповідно до Застосовного Закону про Конфіденційність (кожен такий запит — “Запит Суб’єкта Даних”).
Співпраця в реалізації прав Суб’єкта Даних. Adapty надасть розумну та своєчасну допомогу (включаючи відповідні технічні та організаційні заходи) Замовнику, щоб дати можливість Замовнику відповісти на Дані.
3.3. Запит Суб’єкта. Якщо Замовник попросить Adapty допомогти у відповіді на будь-який запит, тоді Adapty, в межах можливостей, докладе комерційно обґрунтованих зусиль, щоб допомогти Замовнику у відповіді на такий запит, в межах, дозволеному законодавством, і якщо відповідь на такий запит є необхідною відповідно до Застосовного Закону про Конфіденційність.
3.4. Витрати. В межах, законодавчо дозволеному, Замовник нестиме відповідальність за будь-які витрати, що виникають через надання такої допомоги від Adapty, включаючи будь-які збори, пов’язані з наданням додаткових функцій. У таких випадках Adapty сповістить вас про ці витрати заздалегідь.
4. Підпроцес
4.1. Призначення суб-обробника. Клієнт уповноважує Adapty призначати суб-обробників відповідно до цього розділу та будь-яких обмежень у DPA. Клієнт визнає і погоджується з тим, що Adapty може залучати суб-обробників без попередньої згоди Клієнта. Як умову для дозволу третьому сторонньому суб-обробнику обробляти Персональні Дані, Adapty укладе письмову угоду з кожним суб-обробником, яка міститиме зобов’язання щодо захисту даних, що забезпечують щонайменше той же рівень захисту Персональних Даних, що й у DPA. Adapty повідомить Клієнта письмово про будь-які заплановані зміни, що стосуються додавання або заміни суб-обробників, до таких змін (так зване “Повідомлення про зміни суб-обробника”). Клієнт може заперечити проти таких змін суб-обробника відповідно до пункту 4.2 цього DPA.
4.2. Актуальний список суб-обробників. Актуальний список суб-обробників, яких Adapty залучає до обробки, надано у Додатку 3 до цього DPA. Протягом десяти (10) днів після будь-яких змін, що стосуються додавання або заміни суб-обробника, Adapty оновить список суб-обробників у цьому DPA.
4.3. Відповідальність. Стосовно кожного суб-обробника Adapty має: (i) вжити розумних заходів для забезпечення того, щоб суб-обробник зобов’язувався надавати рівень захисту Персональних Даних, який вимагається DPA, та (ii) залишатися повністю відповідальним перед Клієнтом за виконання зобов’язань суб-обробника щодо захисту даних, коли суб-обробник не виконує такі зобов’язання.
4.4. Право заперечення щодо суб-обробників. Клієнт може розумно заперечити Adapty проти будь-яких запланованих змін, що стосуються додавання або заміни суб-обробника (наприклад, якщо надання персональних даних суб-обробнику може порушити застосовні закони про захист даних або зменшити захист для таких персональних даних), повідомивши Adapty негайно письмово протягом десяти (10) днів після отримання повідомлення про зміни суб-обробника. Таке повідомлення Клієнта має пояснити розумні підстави для заперечення.
Якщо Клієнт повідомить Adapty про таке заперечення, сторони обговорять питання добросовісно з метою досягнення комерційно розумного рішення. Якщо такі заперечення не можуть бути вирішені протягом п’ятнадцяти (15) днів, оскільки обробка не може продовжуватися належним чином без залучення такого суб-обробника, Adapty має право відмовити у подальшій обробці відповідно до цього DPA та розірвати Умови обслуговування Adapty без відповідальності за таке розірвання.
5. Трансфер особистих даних через кордон
5.1. Передача з ЄС. У тій мірі, в якій обробка Персональних Даних захищена GDPR, Сторони цим погоджуються, що така передача підлягає SCC, який входить до цього DPA за посиланням і становить його складову частину. Варіанти та Додатки SCC вважаються заповненими на основі Додатка 4 до цього DPA.
5.2. Переведення з Швейцарії. У тій мірі, в якій обробка Персональних Даних захищена Федеральним актом Швейцарії від 19 червня 1992 року про захист даних (“FADP”), Сторони цим погоджуються, що така передача підлягає SCC з адаптаціями, які необхідні для того, щоб SCC відповідали швейцарському законодавству і були придатними для забезпечення адекватного рівня захисту передачі даних з Швейцарії до третьої країни відповідно до статті 6 пункту 2 літери а FADP. Перелік адаптацій надано в пункті 4.3. передачі персональних даних до країни з недостатнім рівнем захисту даних на основі визнаних типовими контрактними положеннями та моделі контрактів від 27 серпня 2021 року Федеральним комісаром з захисту даних і інформації (доступно за https://www.edoeb.admin.ch/edoeb/en/home/data-protection/handel-und-wirtschaft/transborder-data-flows.html). Опція 2 справи 2 застосовуватиметься.
5.3. Передачі з Великої Британії. У тій мірі, в якій обробка Персональних Даних захищена UK GDPR, Сторони цим погоджуються, що така передача підлягає міжнародному доповненню до стандартних контрактних положень Європейської Комісії для міжнародних передач даних, доступному за https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf, як його прийнято, змінено або оновлено Офісом інформаційного комісара Великої Британії, Парламентом або Міністром держави.
6. Технічні та організаційні заходи
6.1. Технічні та організаційні заходи. Adapty впроваджує та підтримує відповідні технічні та організаційні заходи для забезпечення належного рівня безпеки, конфіденційності та цілісності Персональних Даних, включаючи, за потреби та застосування, заходи, згадані в статті 32 GDPR, як визначено в Додатку 2 до цього DPA, для захисту Персональних Даних від:
- випадкового або незаконного знищення, та
- втрати, зміни, несанкціонованого розкриття або доступу до Персональних Даних (всі разом згадуються як “Порушення Персональних Даних”).
6.2. Контроль відповідності. Adapty регулярно здійснює моніторинг дотримання заходів, передбачених у Додатку 2 до цього DPA.6.3. Допомога в забезпеченні відповідності. Беручи до уваги характер Обробки та Персональні Дані, доступні Adapty, Adapty допомагає Замовнику забезпечити дотримання зобов’язань відповідно до статей 32-36 GDPR.
7. Порушення персональних даних
7.1. Сповіщення про порушення персональних даних. Якщо Adapty дізнається про порушення персональних даних, Adapty має, наскільки це дозволяє закон, сповістити Клієнта без ненадоликого затримки електронною поштою, коли Adapty або будь-який Субпідрядник дізнаються про порушення персональних даних, що стосується Персональних даних Клієнта, та надати розумну інформацію (наскільки це в розумних межах відомо і/або контролюється Adapty).
7.2. Співпраця. Adapty надасть співпрацю, враховуючи характер обробки та інформацію, доступну Adapty, щоб допомогти Клієнту виконати будь-які зобов’язання щодо інформування Осіб, яких це стосується, або органів захисту даних про порушення персональних даних відповідно до застосовного Закону про конфіденційність. Adapty також вжине усіх розумно необхідних заходів і дій для усунення або зменшення наслідків порушення персональних даних і буде тримати Клієнта в курсі всіх суттєвих подій, пов’язаних з порушенням персональних даних.
8. Аудит
8.1. Право Клієнта на проведення аудиту. Adapty надає Клієнту всю інформацію, що розумно необхідна для підтвердження відповідності зобов’язанням, викладеним у цій DPA, і сприяє аудитам, включаючи перевірки, що проводяться Клієнтом або іншим аудитором, уповноваженим Клієнтом, щодо виконання зобов’язань за цією DPA.
8.2. Співпраця Adapty щодо проведення аудиту. Adapty має надати Клієнту всю інформацію, системи та персонал, які розумно необхідні для проведення такого аудиту Клієнтом або його сторонніми аудиторами, за умови, що Клієнт:
8.2.1. повідомить за сорок п’ять (45) днів до аудиту; і
8.2.2. проводить свій аудит у звичайний робочий час; і
8.2.3. вживає всі розумні заходи для запобігання непотрібним перешкодам для роботи Adapty. Такий аудит має бути строго в межах інформації, що стосується обробки Персональних даних.
8.3. Параметри аудиту. Сторони повинні взаємно погоджувати обсяг, терміни та тривалість аудиту або перевірки.
8.4. Конфіденційність. Усі аудити за цією DPA підлягають зобов’язанням щодо конфіденційності. Клієнт повинен поділитися повним звітом про аудит з Adapty і не повинен ділитися ним з будь-якою третьою стороною, крім своїх бухгалтерів і юридичних консультантів, які зобов’язані дотримуватися конфіденційності. Клієнт не повинен використовувати такий звіт про аудит для жодної іншої мети, ніж оцінка відповідності Adapty цій DPA.
8.5. Витрати. Клієнт понесе витрати на проведення такого аудиту, якщо сторони не погодять інше.
8.6. Частота аудиту. Клієнт не повинен реалізовувати свої права на аудит більше одного разу в будь-який період тривалістю дванадцять (12) календарних місяців, за винятком:
8.6.1. якщо та коли це вимагає інструкція компетентного органу захисту даних; або
8.6.2. якщо це необхідно через порушення Персональних даних, яке пережив Adapty та (або) Підрядники.
9. Конфіденційність
9.1. Adapty вживатиме всіх розумних заходів для забезпечення надійності будь-якого персоналу, уповноваженого обробляти Персональні Дані, та забезпечить, що цей персонал підлягає відповідним зобов’язанням щодо конфіденційності та завжди діє у відповідності з Відповідним Законом про Конфіденційність.
10. Видалення або Повернення Персональних Даних
10.1. Після (i) розірвання цього DPA, або (ii) письмового запиту Клієнта, або (iii) коли Adapty більше не потрібен для обробки Персональних Даних для виконання своїх зобов’язань відповідно до Умов служби Adapty та цього DPA, або (iv) відмови Adapty у обробці відповідно до пункту 4.4 цього DPA, Adapty, на розсуд Клієнта, або видалить, знищить, або поверне всі Персональні Дані Клієнту та знищить або поверне будь-які існуючі копії, за винятком випадків, коли Adapty зобов’язаний відповідно до Відповідного Закону про Приватність зберігати копію Персональних Даних на визначений період часу. Після закінчення такого періоду зберігання Adapty негайно видалить або знищить усі залишкові Персональні Дані.
10.2. У разі, якщо Персональні Дані оброблялися будь-якими Під-Обробниками, Adapty забезпечить, щоб у визначених випадках такі Під-Обробники також повернули, видалили або знищили всі Персональні Дані, що вони мають, відповідно до умов, викладених у цьому розділі.
11. Права споживачів Каліфорнії щодо конфіденційності
11.1. “Персональна інформація”, “Споживач” та інші терміни з великої літери в цьому розділі 11 матимуть значення, визначене в Законі штату Каліфорнія про конфіденційність споживачів 2018 року, Cal. Civ. Code §§ 1798.100 et. Seq, з поправками, що вносяться час від часу (“CCPA”).
11.2. Укладено угоду, що будь-який обмін Персональними даними між Сторонами здійснюється виключно з метою виконання Бізнес-мети, і Adapty не отримує і не обробляє жодні Персональні дані в якості винагороди за Послуги.
11.3. Замовник несе відповідальність за дотримання вимог CCPA щодо використання Послуг. Це є виключно відповідальністю та ризиком Замовника визначити, чи обмін або передача Персональних даних Суб’єктів даних під час виконання Послуг є Продажем Персональних даних.
11.4. Adapty не матиме права зберігати, використовувати або розкривати Персональні дані в комерційних цілях, окрім надання Послуг, зазначених в Умовах обслуговування Adapty.
12. Умова
12.1. Цей DPA набирає чинності з дати набрання чинності Умовами надання послуг Adapty. Цей DPA залишатиметься в силі доти, поки Умови надання послуг Adapty діють.
13. Роздільність
13.1. Якщо будь-яке положення цього DPA є або стане, повністю або частково, недійсним, неефективним або таким, що не підлягає виконанню, тоді дійсність, ефективність і можливість виконання інших положень цього DPA залишаються незачиненими.
13.2. Будь-яке таке недійсне, неефективне або таке, що не підлягає виконанню положення, у тій мірі, в якій це дозволено законом, вважається таким, що замінюється на дійсне, ефективне і таке, що підлягає виконанню положення, яке найбільш точно відображає економічний намір і мету недійсного, неефективного або такого, що не підлягає виконанню положення стосовно його предмета, масштабу, часу, місця і сфери застосування.
13.3. Вказане правило буде застосовуватися mutatis mutandis для заповнення будь-якої прогалини, яка може бути виявлена в цьому DPA.
14. Повна угода
14.1. Сторони явно заявляють, що ця ДСО (включаючи Додатки, на які тут посилаються) та документи, на які тут посилаються, становлять повну угоду між Сторонами і скасовують будь-які попередні проекти, угоди, зобов’язання, розуміння, умови та домовленості, незважаючи на будь-яке суперечливе замовлення пріоритету, будь-якого характеру між Сторонами, незалежно від того, чи був він у письмовій формі, стосовно предмета цієї ДСО.
15. Правоздатне право та юрисдикція
15.1. DPA регулюється законодавством, як зазначено в Умовах обслуговування Adapty.
15.2. Сторони цим підпорядковуються вибору юрисдикції, зазначеному в Угоді, стосовно будь-яких суперечок або вимог в будь-якому випадку , що виникають відповідно до цього DPA, включаючи суперечки стосовно його існування, дійсності або припинення чи наслідків його недійсності.
16. Різне
16.1. У випадку конфлікту або неоднозначності між:
16.1.1. будь-яким положенням DPA та будь-яким положенням Умов обслуговування Adapty, положення DPA матимуть перевагу;
16.1.2. будь-яким положенням цієї Угоди та будь-яким виконаним SCC, положення виконаного SCC матимуть перевагу.
Графік 1. Параметри обробки даних
i.Технічна інформація
Ця категорія включає технічні дані, пов'язані з пристроєм, що використовується Кінцевим Користувачем для доступу до цифрових послуг Клієнта (таких як мобільні ігри або застосунки). Така інформація може включати, наприклад, IP-адресу, модель пристрою, операційну систему та налаштування мови.
ii. Ідентифікатори
Ця категорія включає різні ідентифікатори, пов'язані з пристроєм або екземпляром застосунку Кінцевого Користувача. Такі ідентифікатори можуть включати, наприклад, Ідентифікатор Apple для Рекламодавців (IDFA), Ідентифікатор для Постачальників (IDFV), Ідентифікатор Реклами Google та інші подібні ідентифікатори.
iii. Дані про використанняЦя категорія стосується інформації про те, як Кінцеві Користувачі взаємодіють з послугами Клієнта. Вона включає, але не обмежується наступними даними: події в застосунках; дії Кінцевого Користувача, такі як кліки на рекламу Клієнта; перегляди (враження) рекламних оголошень Клієнта; дати завантаження та установки застосунку; запуски застосунку; покупки в застосунку (включаючи час покупки та суму); будь-які додаткові дані про події або взаємодії, які Клієнт вирішить відстежувати та аналізувати на основі природи своїх послуг.
iv. Контактна інформація
Ця категорія включає особисті дані, які безпосередньо ідентифікують або стосуються окремого Кінцевого Користувача та необхідні для зв'язку або специфічної функціональності для користувача. Такі дані можуть включати, наприклад, електронну адресу, ім'я, прізвище та інші атрибути, які Клієнт навмисно передавав Adapty.
Adapty не буде продавати Персональні дані Клієнта
Графік 2. Технічні та організаційні заходи, включаючи технічні та організаційні заходи для забезпечення безпеки даних
Якщо так, будь ласка, надайте конкретні деталі
• Регулярне оновлення операційних систем, апаратного забезпечення та будь-якого стороннього програмного забезпечення для уникнення вразливостей безпеки.
• Використання брандмауерів і систем запобігання вторгненням (IPS) для обмеження доступу та захисту серверів Adapty.
• Захист віддаленого доступу за допомогою багатофакторної аутентифікації.
• Резервне копіювання даних клієнтів щодня відповідно до ротаційного графіка.
Графік 3. Список субпідрядників
Графік 4. Умови SCC
1. Модуль, що застосовується до передачі Персональних даних Керуючого, що походять з ЄС відповідно до Угоди, є Модуль 2 – “Керуючий до Обробника”.
2. Наступні варіанти обрано, де Виконавче рішення Комісії (ЄС) 2021/914 дозволяє вибір варіантів у Положеннях ЄС ДП:
3. Додаток IA до SCCs вважається заповненим наступним чином:
- Експортер Даних є Клієнтом, а деталі Експортера такі ж, як зазначено в Графіку 1 (Частина A) до DPA.
Дії, що стосуються даних, переданих відповідно до SCC: передача Персональних Даних до Імпортера Даних для того, щоб надати Імпортеру Даних можливість надавати Послуги відповідно до Умов Послуги Adapty. - Імпортер Даних є Adapty, а деталі Adapty ті ж, що зазначені в Графіку 1 (Частина A) до DPA.
Дії, що стосуються даних, переданих відповідно до SCC: отримання Персональних Даних від Експортера Даних для надання Послуг відповідно до Умов Послуги Adapty.
4. Додаток IB до SCCs буде таким же, як Графік 1 до DPA, а також включає наступні дані для завершення Додатку IB: частота передачі є безперервною.
5. Додаток IC заповнений наступним чином: Наглядовий орган Республіки Ірландія.
6. Додаток II до SCCs буде таким же, як Графік 2 до DPA.
7. Додаток III до SCCs буде таким же, як Графік 3 до DPA.
