Сторони та обсяг
Ці умови обробки даних (DPA) формують зобов’язання згідно зі статтею 28 GDPR між Давидом Соболевським, який керує Konfi Cloud як індивідуальний постачальник послуг у Польщі (обробник), і бізнес-клієнтом, який прийняв умови Konfi Cloud (контролер).
Ці умови автоматично застосовуються до будь-яких персональних даних, які клієнт або його кінцеві користувачі вводять, завантажують або іншим чином обробляють у робочому просторі Konfi Cloud. Підписана копія доступна за запитом на support@getkonfi.com; наведена нижче вбудована версія продукту є стандартною пропозицією, яка діє до тих пір, поки не буде підписано зустрічним підписом.
Тема, тривалість і категорії
- Предмет: надання площини керування Konfi Cloud SaaS та відповідної підтримки оператора.
- Тривалість: доки у клієнта є активний обліковий запис Konfi Cloud або робочий простір, а також протягом будь-якого періоду зберігання після припинення, узгодженого в письмовій формі.
- Природа та мета обробки: розміщення, зберігання, організація, отримання, відображення, передача та інша обробка даних клієнта, щоб клієнт та його кінцеві користувачі могли використовувати Konfi Cloud.
- Категорії суб’єктів даних: співробітники клієнта, підрядники, кінцеві клієнти, постачальники та будь-які інші особи, чиї персональні дані клієнт вирішив розмістити в робочому просторі.
- Категорії персональних даних: ідентифікаційні та контактні дані, облікові дані облікового запису та метадані автентифікації, бізнес-дані та дані про замовлення, платіжні та податкові дані, повідомлення служби підтримки та будь-які інші особисті дані, які клієнт вирішує обробляти.
Інструкції з обробки
Konfi Cloud обробляє персональні дані лише відповідно до задокументованих інструкцій контролера, як зазначено в цих умовах DPA, основних умовах Konfi Cloud, політиці конфіденційності, конфігурації, яку клієнт обирає в робочому просторі, і будь-яких письмових інструкціях, прийнятих постачальником послуг.
Якщо чинне законодавство вимагає від постачальника послуг обробляти персональні дані іншим чином, постачальник послуг інформуватиме контролера перед обробкою, якщо цей закон не забороняє таку інформацію з важливих міркувань суспільного інтересу.
Субпроцесори
Контролер уповноважує постачальника послуг використовувати субпроцесори, перелічені на сторінці Субпроцесори. Постачальник послуг підтримуватиме цей список в актуальному стані та надсилатиме попереднє сповіщення про будь-яке плановане додавання чи заміну субпроцесора через веб-сайт, сповіщення в продукті або електронною поштою до контактів адміністратора робочої області.
Контролер може заперечити проти нового субпроцесора на обґрунтованих підставах, пов’язаних із GDPR, протягом 30 днів після повідомлення. Якщо сторони не можуть вирішити заперечення, контролер може припинити надання відповідних послуг і отримати пропорційне відшкодування попередньо сплачених невикористаних зборів за ці послуги.
Заходи безпеки
- Шифрування персональних даних у дорозі (TLS) і в спокої, якщо це пропонують базові постачальники.
- Ідентифікація та керування доступом із дозволами на основі ролей, застосування MFA для ролей оператора та адміністратора та журнал аудиту привілейованих дій.
- Захист мережі та програм, включаючи перевірку додатків Firebase, обмеження швидкості, підписані веб-хуки та ізоляцію між рівнем керування та даними середовища виконання клієнта.
- Операційні заходи, включаючи робочий доступ з найменшими привілеями, періодичну ротацію облікових даних, моніторинг уразливостей, резервне копіювання та реагування на інциденти.
- Персонал, який діє під керівництвом постачальника послуг, зобов’язаний дотримуватися конфіденційності.
Запити суб'єктів даних
Постачальник послуг допомагатиме контролеру, беручи до уваги характер обробки та доступну інформацію, у виконанні його зобов’язань щодо відповіді на запити суб’єктів даних згідно з Розділом III GDPR.
Якщо суб’єкт даних звертається безпосередньо до постачальника послуг із запитом, який стосується даних у робочому просторі клієнта, постачальник послуг, якщо це розумно, перенаправить суб’єкта даних до відповідного контролера або перешле запит.
Інциденти безпеки та допомога
Постачальник послуг допоможе контролеру в забезпеченні дотримання статей 32–36 GDPR (безпека обробки, повідомлення про порушення, оцінка впливу на захист даних і попередні консультації), беручи до уваги характер обробки та наявну інформацію.
Постачальник послуг повідомить контролера без зайвої затримки після того, як йому стане відомо про порушення персональних даних, що впливає на дані клієнта, і надасть інформацію, необхідну контролеру для виконання своїх зобов’язань щодо сповіщення.
Аудити
Постачальник послуг надасть контролеру інформацію, необхідну для демонстрації відповідності статті 28 GDPR, і дозволить проводити аудити, включаючи перевірки, які проводить контролер або інший аудитор, уповноважений контролером, з дотриманням розумних обмежень щодо конфіденційності та безпеки.
Першим рівнем аудиту зазвичай є документація та сертифікати, доступні від відповідних субпроцесорів. Безпосередній аудит на місці може бути організований із завчасним повідомленням і за рахунок контролера, якщо аудит не виявить суттєвого порушення постачальником послуг.
Міжнародні перекази
Деякі суб’єкти обробки персональних даних обробляють персональні дані за межами Європейської економічної зони, переважно в Сполучених Штатах. Передачі ґрунтуються на рішеннях Європейської комісії щодо достатності, якщо вони застосовуються (включно з Рамковою угодою щодо конфіденційності даних між ЄС і США, якщо постачальник сертифікований), і на Стандартних договірних положеннях із додатковими заходами, якщо вони не застосовуються.
Деталі розташування обробки кожного субпроцесора та механізму передачі перераховані на сторінці Субпроцесори.
Термін, припинення та видалення
Після припинення надання послуг постачальник послуг за вибором контролера видаляє або повертає персональні дані, оброблені від імені контролера, і видаляє існуючі копії, якщо чинне законодавство не вимагає подальшого зберігання. Стандартні вікна зберігання описані в політиці конфіденційності.
Ці умови DPA залишаються в силі, доки постачальник послуг обробляє персональні дані від імені контролера.
Контакт
Запитання щодо цих умов DPA або запит на отримання підписаної копії можна надсилати на support@getkonfi.com.