Соглашение об обработке данных (DPA)

Последнее обновление:

Настоящее Соглашение об обработке данных («DPA») является частью Условий и положений между non-natus.com IT School («Обработчик» или «Школа») и вами («Контролер» или «Пользователь») и применяется там, где и в той мере, в какой non-natus.com IT School обрабатывает Персональные данные от имени Пользователя в ходе предоставления своих услуг.

Настоящее DPA предназначено для удовлетворения требований статьи 28(3) Общего регламента по защите данных (ЕС) 2016/679 («GDPR»).

1. Определения

Термины, используемые в настоящем DPA, имеют значения, присвоенные им в GDPR, если иное не определено в настоящем документе.

«Персональные данные» означают любую информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу («Субъект данных»).
«Обработка» означает любую операцию или набор операций, которые выполняются с Персональными данными, независимо от того, автоматизированы они или нет.
«Контролер» означает физическое или юридическое лицо, государственный орган, агентство или другой орган, который самостоятельно или совместно с другими определяет цели и средства Обработки Персональных данных. Для целей настоящего DPA Пользователь является Контролером.
«Обработчик» означает физическое или юридическое лицо, государственный орган, агентство или другой орган, который обрабатывает Персональные данные от имени Контролера. Для целей настоящего DPA non-natus.com IT School является Обработчиком.

2. Обработка Персональных данных

2.1 Объем и цель: Обработчик должен обрабатывать Персональные данные только по документально подтвержденным инструкциям Контролера, в том числе в отношении передачи Персональных данных в третью страну или международную организацию, если это не требуется законодательством Союза или государства-члена, которому подчиняется Обработчик. Характер и цель Обработки, типы Персональных данных, категории Субъектов данных и продолжительность Обработки изложены в Приложении 1 к настоящему DPA.

2.2 Соблюдение законов: Контролер должен обеспечить, чтобы его инструкции по Обработке Персональных данных соответствовали всем применимым законам, включая GDPR. Контролер несет ответственность за законность Обработки Персональных данных.

3. Обязательства Обработчика

Обработчик должен:

3.1 Конфиденциальность: Обеспечить, чтобы лица, уполномоченные обрабатывать Персональные данные, взяли на себя обязательства по соблюдению конфиденциальности или находились под соответствующим установленным законом обязательством по соблюдению конфиденциальности.
3.2 Безопасность: Реализовать соответствующие технические и организационные меры для обеспечения уровня безопасности, соответствующего риску, как того требует статья 32 GDPR. Эти меры должны включать, среди прочего, по мере необходимости: (a) псевдонимизацию и шифрование Персональных данных; (b) способность обеспечивать постоянную конфиденциальность, целостность, доступность и отказоустойчивость систем и служб обработки; (c) способность своевременно восстанавливать доступность и доступ к Персональным данным в случае физического или технического инцидента; (d) процесс регулярного тестирования, оценки и оценки эффективности технических и организационных мер для обеспечения безопасности Обработки.
3.3 Субобработчики: Не привлекать другого обработчика (Субобработчика) без предварительного специального или общего письменного разрешения Контролера. В случае общего письменного разрешения Обработчик должен информировать Контролера о любых предполагаемых изменениях, касающихся добавления или замены других Субобработчиков, тем самым предоставляя Контролеру возможность возразить против таких изменений. В случае привлечения Субобработчика Обработчик должен сделать это посредством письменного договора, налагающего на Субобработчика те же обязательства по защите данных, что и изложенные в настоящем DPA. Обработчик несет полную ответственность перед Контролером за выполнение обязательств этого Субобработчика.
3.4 Права Субъекта данных: Учитывая характер Обработки, оказывать содействие Контролеру с помощью соответствующих технических и организационных мер, насколько это возможно, для выполнения обязательства Контролера по реагированию на запросы об осуществлении прав Субъекта данных, изложенных в Главе III GDPR.
3.5 Содействие Контролеру: Оказывать содействие Контролеру в обеспечении соблюдения обязательств в соответствии со статьями 32–36 GDPR, учитывая характер Обработки и информацию, доступную Обработчику. Это включает содействие в оценке воздействия на защиту данных и предварительные консультации с надзорными органами.
3.6 Уведомление о нарушении данных: Уведомлять Контролера без неоправданной задержки после того, как ему станет известно о нарушении Персональных данных. Такое уведомление должно, как минимум: (a) описывать характер нарушения Персональных данных, включая, по возможности, категории и приблизительное количество затронутых Субъектов данных и категории и приблизительное количество затронутых записей Персональных данных; (b) сообщать имя и контактные данные сотрудника по защите данных или другого контактного лица, у которого можно получить дополнительную информацию; (c) описывать вероятные последствия нарушения Персональных данных; (d) описывать меры, принятые или предлагаемые к принятию Обработчиком для устранения нарушения Персональных данных, включая, при необходимости, меры по смягчению его возможных неблагоприятных последствий.
3.7 Удаление или возврат данных: По выбору Контролера удалить или вернуть все Персональные данные Контролеру после прекращения предоставления услуг, связанных с Обработкой, и удалить существующие копии, если законодательство Союза или государства-члена не требует хранения Персональных данных.
3.8 Аудиты и инспекции: Предоставлять Контролеру всю информацию, необходимую для демонстрации соблюдения обязательств, изложенных в настоящем DPA, и разрешать и способствовать проведению аудитов, включая инспекции, проводимые Контролером или другим аудитором, уполномоченным Контролером. Обработчик должен немедленно информировать Контролера, если, по его мнению, инструкция нарушает GDPR или другие положения Союза или государства-члена о защите данных.

4. Обязательства Контролера

Контролер гарантирует, что:

Он соблюдал и будет продолжать соблюдать все применимые законы о защите данных, включая GDPR, при использовании услуг Обработчика и собственной Обработке Персональных данных.
У него есть законное основание для Обработки Персональных данных и для предоставления инструкций Обработчику.
Он проинформировал Субъектов данных об Обработке их Персональных данных в соответствии с применимыми законами.

5. Международные передачи

Любая передача Персональных данных в третью страну или международную организацию Обработчиком должна осуществляться только на основании документально подтвержденных инструкций Контролера и в соответствии с Главой V GDPR (например, решение об адекватности, Стандартные договорные условия).

6. Срок действия и прекращение

Настоящее DPA остается в силе до тех пор, пока Обработчик обрабатывает Персональные данные от имени Контролера в соответствии с основным соглашением об оказании услуг. Прекращение основного соглашения приведет к прекращению настоящего DPA. Обязательства в отношении конфиденциальности, возврата/удаления данных и ответственности остаются в силе после прекращения действия.

7. Применимое право

Настоящее DPA регулируется законодательством Польши. Любые споры, возникающие из настоящего DPA, подлежат разрешению в судах города Лодзь, Польша.

Приложение 1: Детали обработки

A. Предмет обработки:
Предоставление услуг IT-образования, включая администрирование курсов, поддержку студентов и функциональность веб-сайта, как указано в Условиях и положениях.

B. Продолжительность обработки:
На время предоставления услуг Обработчиком Контролеру и до удаления или возврата данных согласно инструкциям Контролера или требованиям законодательства.

C. Характер и цель обработки:
Для предоставления студентам (Субъектам данных, от имени которых действует Контролер, или самому Контролеру, если это индивидуальный студент) возможности записываться и участвовать в IT-курсах, управлять записями студентов, предоставлять учебные материалы, облегчать общение, обрабатывать платежи, оказывать поддержку клиентам и улучшать услуги.

D. Тип Персональных данных:

Обрабатываемые Персональные данные могут включать, но не ограничиваются:

Идентификационные данные: Полное имя, имя пользователя или аналогичный идентификатор.
Контактные данные: Адрес для выставления счетов, адрес доставки, адрес электронной почты, номера телефонов.
Финансовые данные: Реквизиты платежной карты или информация о банковском счете (обычно обрабатывается сторонними платежными системами).
Данные о транзакциях: Подробная информация о платежах вам и от вас, а также другие сведения о курсах, которые вы приобрели у нас.
Технические данные: IP-адрес, данные для входа в систему, тип и версия браузера, настройки часового пояса и местоположение, типы и версии плагинов браузера, операционная система и платформа, а также другие технологии на устройствах, которые вы используете для доступа к этому веб-сайту.
Данные профиля: Ваши интересы, предпочтения, отзывы и ответы на опросы. Прогресс и успеваемость на курсе.
Данные об использовании: Информация о том, как вы используете наш веб-сайт, продукты и услуги.
Маркетинговые и коммуникационные данные: Ваши предпочтения в получении маркетинговых материалов от нас и наших третьих лиц, а также ваши предпочтения в общении.
Предоставленный контент: Любая информация, которую вы добровольно предоставляете, например, в контактных формах, заданиях или сообщениях на форуме.

E. Категории Субъектов данных:

Обрабатываемые Персональные данные касаются следующих категорий Субъектов данных:

Потенциальные студенты, интересующиеся курсами.
Зачисленные студенты, участвующие в курсах.
Посетители веб-сайта.
Лица, обращающиеся к нам за поддержкой или информацией.