Соглашение об обработке данных (DPA)

Настоящее Соглашение об обработке данных («DPA») является частью Условий использования между вами («Клиент», контролёр) и Empire Luxury International Corporation (DBA Neuro Empire) («NeuroCRM», обработчик) и регулирует обработку персональных данных, содержащихся в Контенте клиента. При противоречии по вопросам защиты данных DPA имеет преимущество перед Условиями.

1. Роли и сфера действия

В отношении Контента клиента Клиент является контролёром (или обработчиком, действующим за своих клиентов), а NeuroCRM — обработчиком (или субобработчиком). NeuroCRM обрабатывает Контент клиента только для предоставления Сервиса и по документированным указаниям Клиента, которые включают Условия, настоящее DPA и использование функций Сервиса. Самостоятельным контролёром NeuroCRM выступает лишь в отношении ограниченных данных аккаунта, биллинга и безопасности (см. Политику конфиденциальности).

2. Детали обработки

Предмет: предоставление Сервиса NeuroCRM. Срок: срок подписки Клиента и период завершения. Характер и цель: хостинг, хранение и операции обработки, необходимые для предоставления Сервиса в настроенном Клиентом виде. Категории субъектов: контакты, лиды, клиенты, сотрудники и иные лица, данные которых вносит Клиент. Категории данных: определяются Клиентом, обычно идентификационные и контактные данные, деловые записи и сообщения; специальные категории данных вносить нельзя без письменного согласования.

3. Указания Клиента и соответствие

NeuroCRM обрабатывает Контент клиента только по документированным указаниям, в т.ч. о передаче, если иное не требуется применимым правом (тогда NeuroCRM сообщит Клиенту, если это не запрещено). NeuroCRM уведомит Клиента, если, по его мнению, указание нарушает применимое право о защите данных. Клиент отвечает за правомерность Контента клиента и наличие необходимых уведомлений и согласий.

4. Конфиденциальность персонала

NeuroCRM обеспечивает, что уполномоченный персонал связан обязательствами конфиденциальности и обрабатывает данные только по указаниям.

5. Меры безопасности

NeuroCRM применяет надлежащие технические и организационные меры, соответствующие риску: шифрование при передаче и токенов доступа при хранении, логическую изоляцию тенантов, контроль доступа и журналирование, отказоустойчивость и резервное копирование, регулярный пересмотр. Сводка — по запросу и в Политике конфиденциальности.

6. Субпроцессоры

Клиент даёт общее разрешение на привлечение субпроцессоров. Актуальный список — на /legal/subprocessors. NeuroCRM налагает на каждого субпроцессора обязательства не менее защищающие, чем в этом DPA, и остаётся ответственным за их действия. NeuroCRM уведомляет не менее чем за 30 дней о новом или заменяющем субпроцессоре; Клиент может возразить по обоснованным основаниям защиты данных, и если возражение не урегулировано, Клиент может прекратить затронутый Сервис и получить возврат предоплаты.

7. Запросы субъектов и содействие

С учётом характера обработки NeuroCRM в коммерчески разумных пределах содействует Клиенту в ответах на запросы субъектов и в исполнении обязанностей по безопасности, уведомлению об утечках, оценке воздействия (DPIA) и предварительным консультациям. Получив запрос напрямую от субъекта, NeuroCRM перенаправит его Клиенту и не будет отвечать, кроме как по указанию или по закону.

8. Уведомление об утечке персональных данных

NeuroCRM уведомит Клиента без неоправданной задержки и в любом случае в течение 24 часов с момента, когда ему стало известно о подтверждённой или обоснованно предполагаемой утечке Контента клиента, и предоставит доступную информацию для исполнения Клиентом его обязанностей, с обновлениями по ходу расследования. Такое уведомление не является признанием вины или ответственности. Решение о том, уведомлять ли регуляторов или субъектов, и сами уведомления — обязанность Клиента как контролёра; NeuroCRM оказывает разумное содействие.

9. Международная передача

Если обработка включает передачу данных из ЕЭЗ, Великобритании или Швейцарии в страну без решения об адекватности, стороны включают Стандартные договорные условия Еврокомиссии (2021/914), Модуль 2 (контролёр → обработчик), дополненные сведениями этого DPA, вместе с UK IDTA Addendum и швейцарскими адаптациями, где применимо; либо NeuroCRM опирается на EU-US Data Privacy Framework при наличии сертификации. NeuroCRM применяет дополнительные меры при необходимости. При противоречии SCC имеют преимущество в необходимой степени.

10. Российский контур данных (152-ФЗ)

Для персональных данных лиц в Российской Федерации NeuroCRM поддерживает обособленный российский контур с первичной записью и хранением на серверах в России в соответствии с 152-ФЗ и обрабатывает такие данные по поручению Клиента (ст. 6 ч. 3 152-ФЗ). Этот контур и его порядок уведомления об утечках (предварительно в течение 24 часов и по результатам в течение 72 часов в Роскомнадзор) действуют независимо от цепочки GDPR. См. Политику обработки персональных данных (РФ).

11. Аудит

NeuroCRM предоставит информацию, необходимую для подтверждения соответствия этому DPA, и обеспечит возможность аудита. Для минимизации сбоев NeuroCRM может выполнять запросы аудита путём предоставления актуальных сертификаций или отчётов третьих лиц (например, ISO 27001 или SOC 2 Type II), где доступны. Очные или детальные аудиты ограничены одним разом в год (кроме случаев после инцидента), требуют уведомления не менее чем за 30 дней, согласованного объёма, конфиденциальности и проводятся в рабочее время без необоснованного вмешательства.

12. Возврат и удаление

После прекращения по выбору Клиента, сделанному в течение 30 дней, NeuroCRM вернёт Контент клиента в распространённом формате или удалит его и по запросу подтвердит удаление в разумный срок, кроме случаев, когда хранение требуется законом. Резервные копии перезаписываются по штатному циклу ротации.

13. Ответственность и приоритет

Ответственность каждой стороны по этому DPA подчиняется ограничениям и исключениям Условий использования, включая повышенный предел для нарушений защиты данных. Настоящее DPA, включая включённые SCC, имеет преимущество перед противоречащими положениями Условий по вопросам защиты данных. DPA регулируется правом и порядком разрешения споров Условий, применимыми к Клиенту.