NeuroCRMالحاقیهٔ پردازش دادهها
این الحاقیهٔ پردازش دادهها («DPA») بخشی از شرایط خدمات میان شما («مشتری»، کنترلکننده) و Empire Luxury International Corporation (با نام تجاری Neuro Empire) («NeuroCRM»، پردازشگر) را تشکیل میدهد و بر پردازش دادههای شخصیِ موجود در محتوای مشتری حاکم است. در صورت بروز تعارض در موضوعات مربوط به حفاظت از داده، این DPA بر شرایط اولویت دارد.
1. نقشها و دامنه
در مورد محتوای مشتری، مشتری کنترلکننده است (یا پردازشگری که برای مشتریان خودش عمل میکند) و NeuroCRM پردازشگر است (یا پردازشگر فرعی). NeuroCRM محتوای مشتری را تنها برای ارائهٔ سرویس و بر اساس دستورالعملهای مستندِ مشتری پردازش میکند، که شامل شرایط، این DPA و استفاده از قابلیتهای سرویس است. NeuroCRM تنها در مورد دادهٔ محدودِ حساب، صورتحساب و امنیتیِ توصیفشده در سیاست حریم خصوصی، بهعنوان یک کنترلکنندهٔ مستقل عمل میکند.
2. جزئیات پردازش
موضوع: ارائهٔ سرویس NeuroCRM. مدت: مدت اشتراک مشتری بهعلاوهٔ هرگونه دورهٔ پایانی. ماهیت و هدف: عملیات میزبانی، ذخیرهسازی و پردازشِ لازم برای ارائهٔ سرویس به همان صورتی که مشتری پیکربندی کرده است. دستههای صاحبان داده: مخاطبان، سرنخها، مشتریان، کارکنان و سایر افرادی که مشتری دادههای آنها را وارد میکند. دستههای دادههای شخصی: همانگونه که مشتری تعیین میکند، معمولاً دادههای شناسایی و تماس، سوابق تجاری و ارتباطات؛ مشتری نباید دادههای دستهٔ ویژه را وارد کند مگر آنکه بهصورت کتبی توافق شده باشد.
3. دستورالعملهای مشتری و انطباق
NeuroCRM محتوای مشتری را تنها بر اساس دستورالعملهای مستند، از جمله برای انتقالها، پردازش خواهد کرد، مگر آنکه قانون قابل اعمال الزام کند (که در آن صورت NeuroCRM مشتری را مطلع میکند مگر آنکه ممنوع باشد). NeuroCRM در صورتی که به نظرش یک دستورالعمل قانون قابل اعمال حفاظت از داده را نقض کند، به مشتری اطلاع خواهد داد. مشتری مسئول قانونی بودن محتوای مشتری و داشتن همهٔ اطلاعیهها و رضایتهای لازم است.
4. محرمانگی کارکنان
NeuroCRM تضمین میکند که کارکنانِ مجاز به پردازش محتوای مشتری به تعهدات محرمانگی پایبند هستند و دادهها را تنها طبق دستورالعمل پردازش میکنند.
5. تدابیر امنیتی
NeuroCRM تدابیر فنی و سازمانی مناسبی را برای تضمین سطح امنیتی متناسب با ریسک اجرا میکند، از جمله رمزگذاری در حین انتقال و رمزگذاری توکنهای دسترسی در حالت ذخیره، تفکیک منطقی مستأجران، کنترلهای دسترسی و ثبت رویداد، تابآوری و پشتیبانگیری، و بازبینی منظم. خلاصهای از این موارد در صورت درخواست و در سیاست حریم خصوصی در دسترس است.
6. پردازشگران فرعی
مشتری مجوز عمومی به NeuroCRM میدهد تا پردازشگران فرعی را به کار گیرد. فهرست فعلی در /legal/subprocessors قرار دارد. NeuroCRM بر هر پردازشگر فرعی تعهدات حفاظت از دادهای تحمیل میکند که از این DPA کمتر محافظتکننده نباشد و در قبال عملکرد آنها مسئول باقی میماند. NeuroCRM دستکم ۳۰ روز پیش از هرگونه پردازشگر فرعیِ جدید یا جایگزین اطلاعرسانی میکند؛ مشتری میتواند بر مبنای دلایل معقول مرتبط با حفاظت از داده اعتراض کند، و اگر طرفین نتوانند اعتراض را حل کنند، مشتری میتواند سرویس متأثر را فسخ کرده و بازپرداخت هزینههای پیشپرداختشدهٔ استفادهنشده را دریافت کند.
7. درخواستهای صاحبان داده و مساعدت
با در نظر گرفتن ماهیت پردازش، NeuroCRM با تدابیر مناسب و تا حدی که از نظر تجاری معقول باشد، به مشتری در پاسخگویی به درخواستهای صاحبان داده و در انطباق با تعهداتش در مورد امنیت، اطلاعرسانی نقض، ارزیابیهای تأثیر حفاظت از داده و مشورت پیشین مساعدت خواهد کرد. اگر NeuroCRM درخواستی را مستقیماً از یک صاحب داده دریافت کند، آن را به مشتری ارجاع میدهد و جز طبق دستورالعمل یا الزام قانون پاسخ نمیدهد.
8. اطلاعرسانی نقض دادههای شخصی
NeuroCRM بدون تأخیر بیمورد، و در هر صورت ظرف ۲۴ ساعت از آگاهی از یک نقض تأییدشده یا منطقاً مظنونِ دادههای شخصی که محتوای مشتری را متأثر میسازد، به مشتری اطلاع خواهد داد و اطلاعات در دسترس را برای کمک به مشتری در ایفای تعهدات اطلاعرسانیاش، همراه با بهروزرسانیها با پیشرفت تحقیقات، فراهم خواهد کرد. چنین اطلاعرسانیای بهمنزلهٔ پذیرش تقصیر یا مسئولیت نیست. تعیین اینکه آیا باید به نهادهای نظارتی یا صاحبان داده اطلاعرسانی شود و انجام چنین اطلاعرسانیهایی، مسئولیت مشتری بهعنوان کنترلکننده است؛ NeuroCRM همکاری معقول فراهم میکند.
9. انتقالهای بینالمللی
در جایی که پردازش مستلزم انتقال دادههای شخصی از EEA، بریتانیا یا سوئیس به کشوری بدون تصمیم کفایت باشد، طرفین بندهای قراردادی استاندارد کمیسیون اروپا (2021/914)، ماژول دوم (کنترلکننده به پردازشگر) را که با اطلاعات این DPA تکمیل شده، همراه با الحاقیهٔ انتقال بینالمللی دادهٔ بریتانیا و انطباقهای سوئیسی در صورت اعمال، درج میکنند؛ بهطور جایگزین NeuroCRM میتواند در جایی که گواهیشده باشد، بر چارچوب حریم خصوصی دادهٔ اتحادیهٔ اروپا–ایالات متحده (EU-US Data Privacy Framework) تکیه کند. NeuroCRM تدابیر تکمیلی را بهصورت مقتضی اعمال میکند. در صورت تعارض، SCC تنها تا حدی که لازم است اولویت دارند.
10. حلقهٔ دادهٔ روسیه (152-FZ)
برای دادههای شخصیِ افراد در فدراسیون روسیه، NeuroCRM یک حلقهٔ روسیِ جداگانه را با ثبت و ذخیرهسازی اولیه روی سرورهای واقع در روسیه، مطابق قانون فدرال شمارهٔ 152-FZ، نگه میدارد و چنین دادههایی را بر اساس دستورالعمل مشتری طبق مادهٔ ۶(۳) قانون 152-FZ پردازش میکند. این حلقه و جریان اطلاعرسانی نقضِ آن (مقدماتی ظرف ۲۴ ساعت و نتایج ظرف ۷۲ ساعت به Roskomnadzor) مستقل از زنجیرهٔ GDPR عمل میکند. به سیاست پردازش دادههای شخصی (روسیه) مراجعه کنید.
11. حسابرسی
NeuroCRM اطلاعات لازم برای اثبات انطباق با این DPA را در دسترس قرار میدهد و امکان حسابرسی را فراهم میکند. برای به حداقل رساندن اختلال، NeuroCRM میتواند درخواستهای حسابرسی را با ارائهٔ گواهینامهها یا گزارشهای شخص ثالثِ جاری (مانند ISO 27001 یا SOC 2 Type II) در جایی که در دسترس باشد، برآورده کند. حسابرسیهای حضوری یا تفصیلی به یک بار در سال محدود است (بهجز پس از یک نقض)، نیازمند دستکم ۳۰ روز اطلاعرسانی، دامنهٔ مورد توافق دوجانبه و محرمانگی است و در ساعات کاری بدون دخالت غیرمعقول انجام میشود.
12. بازگرداندن و حذف
پس از فسخ، به انتخاب مشتری که ظرف ۳۰ روز انجام شود، NeuroCRM محتوای مشتری را در قالبی متداول بازخواهد گرداند یا آن را حذف میکند و در صورت درخواست، حذف را ظرف مدتی معقول گواهی میکند، مگر تا حدی که نگهداری بر اساس قانون الزامی باشد. پشتیبانهای روتین در چرخهٔ چرخش استانداردْ بازنویسی میشوند.
13. مسئولیت و اولویت
مسئولیت هر طرف بر اساس این DPA مشمول محدودیتها و استثنائات مندرج در شرایط خدمات، از جمله سقف افزایشیافته برای نقضهای حفاظت از داده، است. این DPA، از جمله SCCهای درجشده در آن، بر مفاد متعارض شرایط در موضوعات حفاظت از داده اولویت دارد. این DPA تابع قانون و مفاد حلوفصل اختلافِ شرایطِ قابل اعمال بر مشتری است.