Последнее изменение: 02 ноября 2020 г.
Jibe и контрагент, согласившийся с настоящим дополнением (« Компания »), заключили соглашение об оказании Услуг процессора (с изменениями, внесенными время от времени, « Соглашение »).
Настоящее Дополнение об обработке данных (включая приложения « Дополнение об обработке данных ») заключено Jibe and Company и дополняет Соглашение. Настоящее Дополнение об обработке данных вступает в силу и заменяет любые ранее применимые условия, относящиеся к их предмету (включая любые условия обработки данных и безопасности, относящиеся к Услугам процессора), с Даты вступления в силу Условий.
Если вы принимаете настоящее Дополнение об обработке данных от имени Компании, вы гарантируете, что: (a) у вас есть все юридические полномочия связывать Компанию условиями настоящего Дополнения об обработке данных; (b) вы прочитали и поняли настоящее Дополнение по обработке данных; и (c) вы соглашаетесь от имени Компании с настоящим Дополнением об обработке данных. Если у вас нет законных полномочий связывать Компанию обязательствами, не принимайте настоящее Дополнение об обработке данных.
1. Введение
Настоящее Дополнение об обработке данных отражает соглашение сторон об условиях, регулирующих обработку и безопасность Персональных данных Компании в связи с Европейским законодательством о защите данных и определенным неевропейским законодательством о защите данных.
2. Определения и толкование
2.1 В этом Дополнении по обработке данных:
« Дополнительный продукт » означает продукт, услугу или приложение, предоставляемые Jibe или третьей стороной, которые: (a) не являются частью Услуг процессора; и (b) доступен для использования в пользовательском интерфейсе Служб процессора или иным образом интегрирован со Службами процессора.
« Дополнительные условия для неевропейского законодательства о защите данных » означают дополнительные условия, указанные в Приложении 3, которые отражают соглашение сторон об условиях, регулирующих обработку определенных данных в связи с определенным неевропейским законодательством о защите данных.
« Аффилированное лицо» означает юридическое лицо, которое прямо или косвенно контролирует, контролируется или находится под общим контролем с какой-либо стороной.
« Личные данные компании » означает персональные данные, которые Jibe обрабатывает от имени Компании при предоставлении Jibe Услуг обработчика.
« Инцидент с данными » означает нарушение безопасности Jibe, ведущее к случайному или незаконному уничтожению, потере, изменению, несанкционированному раскрытию или доступу к Персональным данным Компании в системах, управляемых или иным образом контролируемых Jibe. «Инциденты с данными» не включают в себя неудачные попытки или действия, которые не ставят под угрозу безопасность Персональных данных Компании, включая неудачные попытки входа в систему, эхо-запросы, сканирование портов, атаки типа «отказ в обслуживании» и другие сетевые атаки на брандмауэры или сетевые системы.
« Законодательство о защите данных » означает, в зависимости от обстоятельств: (a) Европейское законодательство о защите данных; и/или (b) неевропейским законодательством о защите данных.
« Инструмент субъекта данных » означает инструмент (если таковой имеется), предоставленный организацией Jibe субъектам данных, который позволяет Jibe отвечать прямо и стандартизированным образом на определенные запросы субъектов данных в отношении Персональных данных Компании (например, плагин для браузера).
« ЕЭП означает Европейскую экономическую зону.
« GDPR ЕС » означает Регламент (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 г. о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных, а также об отмене Директивы. 95/46/ЕС.
« Европейское законодательство о защите данных » означает, в зависимости от обстоятельств: (a) GDPR; и/или (b) Федеральный закон о защите данных от 19 июня 1992 г. (Швейцария).
« Европейское или национальное законодательство » означает, в зависимости от обстоятельств: (a) законодательство ЕС или государства-члена ЕС (если GDPR ЕС применяется к обработке Персональных данных Компании); и/или (b) законодательством Великобритании или части Великобритании (если GDPR Великобритании применяется к обработке Персональных данных Компании).
« GDPR » означает, в зависимости от обстоятельств: (a) GDPR ЕС; и/или (b) GDPR Великобритании.
« Jibe » означает Юридическое лицо Jibe, являющееся стороной Соглашения.
« Аффилированные субобработчики Jibe » имеют значение, указанное в Разделе 11.1 (Согласие на участие субобработчика).
« Субъект Jibe » означает Jibe Mobile Inc, Jibe Mobile Limited или любое другое аффилированное лицо Jibe Mobile Inc.
« Сертификация ISO 27001 » означает сертификацию ISO/IEC 27001:2013 или аналогичную сертификацию для Процессорных услуг.
« Неевропейское законодательство о защите данных » означает законы о защите данных или конфиденциальности, действующие за пределами ЕЭЗ, Швейцарии и Великобритании.
« Адрес электронной почты для уведомлений » означает адрес электронной почты (при наличии): (i) предоставленный Компанией Jibe или (ii) назначенный Компанией через пользовательский интерфейс Услуг процессора или другими средствами, предоставленными Jibe, для получения определенных уведомлений. от Jibe в отношении настоящего Дополнения по обработке данных. Для ясности, Компания несет ответственность за предоставление Jibe Адреса электронной почты для уведомлений и информирование Jibe о любых обновлениях Адреса электронной почты для уведомлений.
« Службы процессора » означают службы RCS Business Messaging (как описано на странице https://developers.google.com/business-communication/rcs-business-messaging ).
« Документация по безопасности » означает сертификат ISO 27001 и любые другие сертификаты или документацию по безопасности, которые Jibe может предоставить в связи с Услугами процессора.
« Меры безопасности » имеет значение, указанное в Разделе 7.1.1 (Меры безопасности Jibe).
« Стандартные договорные положения » означают стандартные договорные положения Европейской комиссии по адресу https://privacy.google.com/businesses/gdprprocessorterms/sccs , которые представляют собой стандартные условия защиты данных для передачи персональных данных обработчикам, зарегистрированным в третьих странах, которые не обеспечить адекватный уровень защиты данных, как описано в статье 46 GDPR ЕС.
« Субобработчики » означают третьи стороны, уполномоченные в соответствии с настоящим Дополнением по обработке данных иметь логический доступ к Персональным данным Компании и обрабатывать их для предоставления части Услуг обработчика и любой соответствующей технической поддержки.
« Надзорный орган » означает, в зависимости от обстоятельств: (a) «надзорный орган» согласно определению в GDPR ЕС; и/или (b) «Уполномоченный», как это определено в GDPR Великобритании.
« Срок » означает период с Даты вступления в силу Условий до окончания предоставления Jibe Услуг процессора в соответствии с Соглашением.
« Дата вступления в силу условий » означает дату вступления в силу Соглашения.
« Сторонние субобработчики » имеет значение, указанное в Разделе 11.1 (Согласие на участие субобработчика).
« GDPR Великобритании » означает GDPR ЕС с поправками, включенными в законодательство Великобритании в соответствии с Законом Великобритании о Европейском союзе (отзыве) 2018 года, если он вступил в силу.
2.2 Термины « контролер », « субъект данных », « персональные данные », « обработка » и « обработчик », используемые в настоящем Дополнении по обработке данных, имеют значения, указанные в GDPR, а термины « импортер данных » и « данные экспортер » имеют значения, указанные в Стандартных договорных условиях.
2.3 Термины « включая », « включать » или любое подобное выражение будет истолковываться как иллюстративное и не будет ограничивать смысл слов, предшествующих этим терминам. Любые примеры в этом Дополнении по обработке данных являются иллюстративными, а не единственными примерами конкретной концепции.
2.4 Любая ссылка на нормативно-правовую базу, закон или иной законодательный акт является ссылкой на него с изменениями или изменениями, которые время от времени вступают в силу.
2.5 Если настоящие Условия обработки данных переведены на любой другой язык и есть расхождение между текстом на английском языке и переведенным текстом, текст на английском языке будет иметь преимущественную силу.
3. Срок действия настоящего Дополнения об обработке данных
Настоящее Дополнение об обработке данных вступает в силу с Даты вступления в силу Условий и, независимо от того, истек ли Срок, будет оставаться в силе до тех пор, пока Jibe не удалит все Персональные данные Компании, как описано в настоящем Дополнении об обработке данных, и автоматически не истечет.
4. Применение настоящего Дополнения об обработке данных
4.1 Применение европейского законодательства о защите данных . Разделы с 5 (Обработка данных) по 12 (Связь с Jibe; Записи обработки) (включительно) будут применяться только в той мере, в какой Европейское законодательство о защите данных применяется к обработке Персональных данных Компании, в том числе, если:
(a) обработка осуществляется в контексте деятельности учреждения Компании в ЕЭЗ или Великобритании; и/или
(b) Персональные данные компании — это персональные данные, относящиеся к субъектам данных, которые находятся в ЕЭЗ или Великобритании, и обработка связана с предложением им товаров или услуг или мониторингом их поведения в ЕЭЗ или Великобритании.
4.2 Применение к Процессорным службам . Настоящее Дополнение об обработке данных будет применяться только к Услугам обработчика, для которых стороны согласились с настоящим Дополнением об обработке данных (например: (a) Услуги обработчика, для которых Компания щелкнула, чтобы принять это Дополнение об обработке данных; или (b) если Соглашение включает настоящего Дополнения об обработке данных посредством ссылки на Услуги обработчика данных, являющиеся предметом Соглашения).
4.3 Включение дополнительных условий в неевропейское законодательство о защите данных . Дополнительные условия для неевропейского законодательства о защите данных дополняют настоящие Условия обработки данных.
5. Обработка данных
5.1 Роли и соответствие нормативным требованиям; Авторизация.
5.1.1 Обязанности процессора и контроллера. Стороны признают и соглашаются, что:
(a) Приложение 1 описывает предмет и подробности обработки Персональных данных Компании;
(b) Jibe является обработчиком Персональных данных Компании в соответствии с Европейским законодательством о защите данных;
(c) Компания является контролером или обработчиком, в зависимости от обстоятельств, Персональных данных Компании в соответствии с Европейским законодательством о защите данных; а также
(d) каждая сторона будет соблюдать применимые к ней обязательства в соответствии с Европейским законодательством о защите данных в отношении обработки Персональных данных Компании.
5.1.2 Авторизация сторонним контролером. Если Компания является обработчиком, Компания гарантирует Jibe, что инструкции и действия Компании в отношении Персональных данных Компании, включая назначение Jibe другим обработчиком, были санкционированы соответствующим контролером.
5.2 Инструкции Компании. Заключая настоящее Дополнение об обработке данных, Компания поручает Jibe обрабатывать Персональные данные Компании только в соответствии с применимым законодательством: (а) для предоставления Услуг обработчика и любой соответствующей технической поддержки; (b) как указано далее, посредством использования Компанией Услуг обработчика (в том числе в настройках и других функциях Услуг обработчика) и любой соответствующей технической поддержки; (c) как указано в форме Соглашения, включая настоящее Дополнение об обработке данных; и (d) как дополнительно задокументировано в любых других письменных инструкциях, предоставленных Компанией и признанных Jibe в качестве инструкций для целей настоящего Дополнения по обработке данных.
5.3 Соответствие Jibe инструкциям. Jibe будет соблюдать инструкции, описанные в Разделе 5.2 (Инструкции Компании) (в том числе в отношении передачи данных), за исключением случаев, когда европейские или национальные законы, которым подчиняется Jibe, требуют иной обработки Персональных данных Компании компанией Jibe, и в этом случае Jibe проинформирует Компанию ( если какой-либо такой закон не запрещает Jibe делать это по важным причинам общественного интереса).
5.4 Дополнительные продукты . Если Компания использует какой-либо Дополнительный продукт, Службы обработчика могут разрешить такому Дополнительному продукту доступ к Персональным данным Компании, как это требуется для взаимодействия Дополнительного продукта с Услугами обработчика. Настоящее Дополнение об обработке данных не распространяется на обработку персональных данных в связи с предоставлением любого Дополнительного продукта, используемого Компанией, включая персональные данные, передаваемые в этот Дополнительный продукт или из него.
6. Удаление данных
6.1 Удаление в течение срока действия.
6.1.1 Службы процессора с функцией удаления. В течение Срока, если:
(a) функциональные возможности Услуг обработчика включают в себя возможность удаления Компанией Персональных данных Компании;
(b) Компания использует Услуги процессора для удаления определенных Персональных данных Компании; а также
(c) удаленные Персональные данные Компании не могут быть восстановлены Компанией (например, из «корзины»),
то Jibe удалит такие Персональные данные Компании из своих систем в кратчайшие сроки, если только европейские или национальные законы не требуют хранения.
6.1.2 Услуги процессора без функции удаления. В течение Срока действия, если функциональные возможности Услуг обработчика не включают возможность для Компании удалить Персональные данные Компании, Jibe выполнит любой разумный запрос со стороны Компании, чтобы облегчить такое удаление, насколько это возможно, принимая во внимание характер и функциональные возможности Процессорных служб. Jibe может взимать плату (в зависимости от разумных затрат Jibe) за любое удаление данных в соответствии с настоящим Разделом 6.1.2 (Услуги процессора без функции удаления). Jibe предоставит Компании дополнительную информацию о любом применимом сборе и основе его расчета до удаления любых таких данных.
6.2 Удаление по истечении срока действия. По истечении Срока действия Компания дает указание Jibe удалить все Персональные данные Компании (включая существующие копии) из систем Jibe в соответствии с действующим законодательством. Jibe выполнит эту инструкцию, как только это станет практически возможным, если европейские или национальные законы не требуют хранения.
7. Безопасность данных
7.1 Меры безопасности и помощь Jibe.
7.1.1 Меры безопасности Jibe. Jibe будет внедрять и поддерживать технические и организационные меры для защиты Персональных данных Компании от случайного или незаконного уничтожения, потери, изменения, несанкционированного раскрытия или доступа, как описано в Приложении 2 (« Меры безопасности »). Jibe может время от времени обновлять или изменять Меры безопасности при условии, что такие обновления и модификации не приводят к ухудшению общей безопасности Услуг процессора.
7.1.2 Соблюдение требований безопасности со стороны Jibe Staff.Jibe гарантирует, что все лица, уполномоченные обрабатывать Персональные данные Компании, взяли на себя обязательство соблюдать конфиденциальность или несут соответствующие установленные законом обязательства конфиденциальности.
7.1.3 Служба безопасности Jibe. Компания соглашается с тем, что Jibe будет помогать Компании в обеспечении соблюдения любых обязательств Компании в отношении безопасности персональных данных и утечек персональных данных (принимая во внимание характер обработки Персональных данных Компании и информации, доступной Jibe), включая (если применимо) Обязательства компании в соответствии со статьями 32–34 (включительно) GDPR посредством:
(a) внедрение и поддержание Мер безопасности в соответствии с Разделом 7.1.1 (Меры безопасности Jibe);
(b) соблюдение условий Раздела 7.2 (Инциденты с данными); а также
(c) предоставление Компании Документации по обеспечению безопасности в соответствии с Разделом 7.5.1 (Проверки документации по обеспечению безопасности) и информации, содержащейся в настоящем Дополнении по обработке данных.
7.2 Инциденты с данными.
7.2.1 Уведомление об инциденте. Если Jibe станет известно об Инциденте с данными, Jibe обязуется: (a) незамедлительно и без неоправданной задержки уведомить Компанию об Инциденте с данными; и (b) незамедлительно принять разумные меры для сведения к минимуму вреда и защиты Персональных данных Компании.
7.2.2 Подробная информация об инциденте с данными. Уведомления, сделанные в соответствии с Разделом 7.2.1 (Уведомление об инциденте), будут описывать, насколько это возможно, детали инцидента с данными, включая шаги, предпринятые для снижения потенциальных рисков, и шаги, которые Jibe рекомендует Компании предпринять для устранения инцидента с данными.
7.2.3 Доставка уведомления. Jibe будет доставлять свое уведомление о любом инциденте с данными на адрес электронной почты для уведомлений или, по усмотрению Jibe (в том числе, если Компания не предоставила адрес электронной почты для уведомлений), с помощью другого прямого сообщения (например, по телефону). или при личной встрече). Компания несет единоличную ответственность за предоставление адреса электронной почты для уведомлений и обеспечение того, чтобы адрес электронной почты для уведомлений был актуальным и действительным.
7.2.4 Сторонние уведомления. Компания несет единоличную ответственность за соблюдение законов об уведомлении об инцидентах, применимых к Компании, и за выполнение любых обязательств по уведомлению третьих лиц, связанных с любым Инцидентом с данными.
7.2.5 Отсутствие признания вины со стороны Jibe. Уведомление Jibe или ответ на Инцидент с данными в соответствии с настоящим Разделом 7.2 (Инциденты с данными) не будет истолковываться как признание Jibe какой-либо вины или ответственности в отношении Инцидента с данными.
7.3 Ответственность и оценка безопасности компании.
7.3.1 Ответственность Компании за безопасность. Компания соглашается с тем, что без ущерба для обязательств Jibe в соответствии с Разделами 7.1 (Меры безопасности и помощь Jibe) и 7.2 (Инциденты с данными):
(a) Компания несет ответственность за использование Услуг процессора, в том числе:
(i) надлежащее использование Услуг процессора для обеспечения уровня безопасности, соответствующего риску для Персональных данных Компании; а также
(ii) защита учетных данных, систем и устройств для аутентификации учетной записи, которые Компания использует для доступа к Услугам процессора; а также
(b) Jibe не несет обязательств по защите Персональных данных Компании, которые Компания решает хранить или передавать за пределы систем Jibe и ее Субобработчиков.
7.3.2 Оценка безопасности компании. Компания признает и соглашается с тем, что (принимая во внимание современное состояние, затраты на реализацию и характер, объем, контекст и цели обработки Персональных данных Компании, а также риски для отдельных лиц) реализованы Меры безопасности и поддерживаемые Jibe в Разделе 7.1.1 (Меры безопасности Jibe), обеспечивают уровень безопасности, соответствующий риску для Персональных данных Компании.
7.4 Сертификация безопасности. Чтобы оценить и помочь обеспечить постоянную эффективность мер безопасности, Jibe будет поддерживать сертификацию ISO 27001.
7.5 Обзоры и аудиты соответствия.
7.5.1 Обзоры документации по безопасности. Чтобы продемонстрировать соблюдение Jibe своих обязательств в соответствии с настоящим Дополнением об обработке данных, Jibe предоставит Клиенту документацию по безопасности для ознакомления.
7.5.2 Права Компании на аудит.
(a) Jibe позволит Компании или стороннему аудитору, назначенному Компанией, проводить аудиты (включая проверки) для проверки соблюдения Jibe своих обязательств в соответствии с настоящим Дополнением по обработке данных в соответствии с Разделом 7.5.3 (Дополнительные коммерческие условия для аудитов). Jibe будет участвовать в таких аудитах, как описано в Разделе 7.4 (Сертификация безопасности) и в этом Разделе 7.5 (Проверки и аудиты соответствия).
(b) Если Стандартные договорные условия применяются в соответствии с Разделом 10.2 (Передача данных), Jibe позволит Компании или стороннему аудитору, назначенному Компанией, проводить проверки, как описано в Стандартных договорных условиях в соответствии с Разделом 7.5.3 (Дополнительные Деловые условия для аудиторских проверок).
(c) может также провести аудит для проверки соблюдения Jibe своих обязательств в соответствии с настоящим Дополнением по обработке данных путем проверки сертификата, выданного для сертификации ISO 27001 (который отражает результаты аудита, проведенного сторонним аудитором).
7.5.3 Дополнительные коммерческие условия для аудитов.
(a) Компания направит Jibe любой запрос на проведение аудита в соответствии с Разделом 7.5.2(a) или 7.5.2(b), как описано в Разделе 12.1 (Связь с Jibe).
(b) После получения Jibe запроса в соответствии с Разделом 7.5.3(a), Jibe и Компания заранее обсудят и согласуют разумную дату начала, объем и продолжительность, а также меры безопасности и конфиденциальности, применимые к любому аудиту в рамках Раздел 7.5.2(а) или 7.5.2(б).
(c) Jibe может взимать плату (в зависимости от разумных затрат Jibe) за любой аудит в соответствии с Разделом 7.5.2 (a) или 7.5.2 (b). Jibe предоставит Компании дополнительную информацию о любой применимой плате и основе его расчет, до любой такой проверки. Компания будет нести ответственность за любые сборы, взимаемые любым сторонним аудитором, назначенным Компанией для проведения такого аудита.
(d) Jibe может возражать против любого стороннего аудитора, назначенного Компанией для проведения любого аудита в соответствии с Разделом 7.5.2 (a) или 7.5.2 (b), если аудитор, по обоснованному мнению Jibe, не имеет надлежащей квалификации или независимости, конкурентом Jibe или иным образом явно неподходящим. Любое такое возражение со стороны Jibe потребует от Компании назначения другого аудитора или проведения аудита самостоятельно.
(e) Ничто в настоящем Дополнении по обработке данных не требует от Jibe раскрытия информации Компании или ее стороннему аудитору или предоставления Компании или стороннему аудитору доступа к:
(i) любые данные любого другого клиента Jibe Entity;
(ii) внутреннюю бухгалтерскую или финансовую информацию любой организации Jibe;
(iii) любую коммерческую тайну организации Jibe;
(iv) любую информацию, которая, по обоснованному мнению Jibe, может: (A) поставить под угрозу безопасность систем или помещений любой организации Jibe; или (B) заставить любую организацию Jibe нарушить свои обязательства в соответствии с Европейским законодательством о защите данных или свои обязательства в отношении безопасности и/или конфиденциальности перед Компанией или любой третьей стороной; или же
(v) любую информацию, к которой Компания или ее сторонний аудитор стремится получить доступ по любой причине, кроме добросовестного выполнения Компанией своих обязательств в соответствии с Европейским законодательством о защите данных.
7.5.4 Запрет на изменение стандартных договорных условий. Если Стандартные договорные условия применяются в соответствии с Разделом 10.2 (Передача данных), ничто в этом Разделе 7.5 (Проверки и проверки соблюдения) не меняет и не изменяет какие-либо права или обязанности Компании или Jibe в соответствии со Стандартными договорными условиями.
8. Оценка воздействия и консультации
Компания соглашается с тем, что Jibe будет помогать Компании в обеспечении соблюдения любых обязательств Компании в отношении оценок воздействия на защиту данных и предварительных консультаций (с учетом характера обработки и информации, доступной Jibe), включая (если применимо) обязательства Компании в соответствии со Статьями 35. и 36 GDPR, посредством:
(a) предоставление Документации по обеспечению безопасности в соответствии с Разделом 7.5.1 (Проверки документации по обеспечению безопасности);
(b) предоставление информации, содержащейся в настоящем Дополнении по обработке данных; а также
(c) предоставление или иное предоставление в соответствии со стандартной практикой Jibe других материалов, касающихся характера Услуг обработчика и обработки Персональных данных Компании (например, материалы справочного центра).
9. Права субъекта данных
9.1 Ответы на запросы субъектов данных. Если Jibe получит запрос от субъекта данных в отношении Персональных данных Компании, Jibe:
(a) если запрос сделан с помощью Инструмента субъекта данных, ответить непосредственно на запрос субъекта данных в соответствии со стандартной функциональностью этого Инструмента субъекта данных; или же
(b) если запрос сделан не через Инструмент субъекта данных, посоветовать субъекту данных отправить свой запрос в Компанию, и Компания будет нести ответственность за ответ на такой запрос.
9.2 Помощь в запросе субъекта данных Jibe. Компания соглашается с тем, что Jibe будет помогать Компании в выполнении любых обязательств Компании отвечать на запросы субъектов данных (принимая во внимание характер обработки Персональных данных Компании и, если применимо, статью 11 GDPR), включая (если применимо) Обязанность компании отвечать на запросы об осуществлении прав субъекта данных в главе III GDPR путем:
(a) обеспечение функциональности Сервисов процессора;
(b) соблюдение обязательств, изложенных в Разделе 9.1 (Ответы на запросы субъектов данных); а также
(c) если это применимо к Услугам обработчика, предоставление инструментов субъекта данных.
10. Передача данных
10.1 Средства хранения и обработки данных. Компания соглашается с тем, что Jibe может, в соответствии с Разделом 10.2 (Передача данных), хранить и обрабатывать Персональные данные Компании в любой стране, в которой у Jibe или любого из ее Субобработчиков есть объекты.
10.2 Передача данных.
Если хранение и/или обработка Персональных данных Компании включает передачу Персональных данных Компании из ЕЭЗ, Швейцарии или Великобритании в любую третью страну, которая не подлежит решению о достаточности в соответствии с Европейским законодательством о защите данных:
(a) считается, что Компания (как экспортер данных) заключила Стандартные договорные условия с Jibe (как импортер данных);
(b) передача будет осуществляться в соответствии со Стандартными договорными условиями; а также
(в) ссылки на Google LLC и Клиента в Стандартных договорных условиях относятся к Jibe и Компании соответственно.
10.3 Информация о центре обработки данных. Информация о расположении центров обработки данных Google доступна на странице www.google.com/about/datacenters/locations/index.html .
11. Подпроцессоры
11.1 Согласие на участие субобработчика. Компания специально разрешает привлечение Аффилированных лиц Jibe в качестве субобработчиков (« Аффилированные субобработчики Jibe »). Кроме того, Компания, как правило, разрешает привлечение любых других третьих лиц в качестве субобработчиков (« Сторонние субобработчики »). Если Стандартные договорные положения применяются в соответствии с Разделом 10.2 (Передача данных), вышеуказанные разрешения представляют собой предварительное письменное согласие Компании на передачу Jibe субподряда на обработку Персональных данных Компании.
11.2 Информация о субпроцессорах. По письменному запросу Компании Jibe предоставит информацию о Субобработчиках и их местонахождении. Любые такие запросы должны быть отправлены в Jibe, используя контактную информацию, указанную в Разделе 12.1 (Связь с Jibe).
11.3 Требования к взаимодействию с подпроцессором. При привлечении любого субпроцессора Jibe будет:
(a) гарантировать посредством письменного договора, что:
(i) Субобработчик получает доступ к Персональным данным Компании и использует их только в объеме, необходимом для выполнения обязательств, переданных ему субподрядом, и делает это в соответствии с Соглашением (включая настоящее Дополнение об обработке данных) и, если применимо, в соответствии с Разделом 10.2 (Передача данных). ), Стандартные договорные условия; а также
(ii) если GDPR применяется к обработке Персональных данных Компании, обязательства по защите данных в статье 28(3) GDPR возлагаются на Субобработчика; а также
(b) нести полную ответственность за все обязательства, взятые на субподряд, а также за все действия и бездействие Субобработчика.
11.4 Возможность возражать против изменений субобработчика.
(a) Когда в течение Срока действия будет привлечен какой-либо новый сторонний субобработчик, Jibe проинформирует Компанию о привлечении (включая имя и местонахождение соответствующего субобработчика и действия, которые он будет выполнять), отправив электронное письмо на адрес электронной почты для уведомлений по адресу не менее чем за 30 дней до того, как новый сторонний вспомогательный обработчик обработает какие-либо Персональные данные Компании.
(b) Компания может возражать против любого нового Стороннего субобработчика, расторгнув Соглашение немедленно после письменного уведомления Jibe, при условии, что Компания предоставит такое уведомление в течение 90 дней с момента получения информации о найме нового Стороннего субобработчика, как описано в Раздел 11.4(а). Это право на прекращение является единственным и исключительным средством правовой защиты Компании, если Компания возражает против любого нового Стороннего субобработчика.
12. Связаться с Jibe; Обработка записей
12.1 Как связаться с Jibe. Компания может связаться с Jibe в связи с настоящим Дополнением об обработке данных через контактное лицо Jibe по защите данных RCS, с которым можно связаться через http://issuetracker.google.com , или с помощью таких других средств, которые могут время от времени предоставляться Jibe.
12.2 Записи обработки Jibe. Компания признает, что Jibe в соответствии с GDPR обязана: (a) собирать и вести учет определенной информации, включая имя и контактные данные каждого обработчика и/или контролера, от имени которого действует Jibe, и (если применимо) такого обработчика или местный представитель контролера и сотрудник по защите данных; и (b) предоставлять такую информацию любому Надзорному органу. Соответственно, по запросу и в применимых случаях Компания будет предоставлять такую информацию Jibe через пользовательский интерфейс Услуг процессора или с помощью таких других средств, которые могут быть предоставлены Jibe, и будет использовать такой пользовательский интерфейс или другие средства для обеспечения того, чтобы вся предоставленная информация была поддерживается точным и актуальным.
13. Ответственность
13.1 Ограничение ответственности. Независимо от каких-либо других положений Соглашения, общая ответственность любой из сторон перед другой стороной в соответствии с настоящим Дополнением об обработке данных или в связи с ним будет ограничена максимальной денежной суммой или суммой, основанной на платежах, на которой ограничивается ответственность этой стороны в соответствии с Соглашением ( и, следовательно, любое исключение требований конфиденциальности или возмещения убытков из ограничения ответственности по Соглашению не будет применяться к искам по Соглашению, касающимся европейского законодательства о защите данных или неевропейского законодательства о защите данных). Ничто в этом Разделе 13 (Ответственность) не исключает и не ограничивает ответственность любой из сторон за: (a) смерть или телесные повреждения в результате ее небрежности или небрежности ее сотрудников или агентов; (b) мошенничество или умышленное введение в заблуждение; или (c) вопросы, ответственность за которые не может быть исключена или ограничена в соответствии с применимым законодательством.
13.2 Ответственность в случае применения Стандартных договорных условий. Если в соответствии с Разделом 10.2 (Передача данных) применяются Стандартные договорные положения, то общая совокупная ответственность каждой стороны и ее Аффилированных лиц перед другой стороной и ее Аффилированными лицами по Соглашению или в связи с ним и Стандартными договорными положениями в совокупности будет регулироваться Раздел 13.1 (Ограничение ответственности).
14. Сторонние бенефициары
Если Аффилированное лицо стороны является стороной Стандартных договорных пунктов, которые применяются в соответствии с Разделом 10.2 (Передача данных), то такое Аффилированное лицо будет сторонним бенефициаром Разделов 6.2 (Удаление по истечении срока), 7.5 (Проверки и проверки соблюдения ), 9.1 (Ответы на запросы субъектов данных), 10.2 (Передача данных), 11.1 (Согласие на привлечение субобработчика) и 13.2 (Ответственность в случае применения Стандартных договорных условий). В той мере, в какой этот Раздел 14 (Сторонние бенефициары) противоречит или не соответствует любому другому пункту Соглашения, применяется настоящий Раздел 14 (Сторонние бенефициары).
15. Действие настоящего Дополнения об обработке данных
В случае возникновения каких-либо противоречий или несоответствий между Стандартными договорными пунктами, Дополнительными условиями для неевропейского законодательства о защите данных, настоящим Дополнением об обработке данных и остальной частью Соглашения применяется следующий порядок приоритетности:
(a) Стандартные договорные условия;
(b) Дополнительные условия для неевропейского законодательства о защите данных;
(c) остальные положения настоящих Условий обработки данных; а также
(d) оставшуюся часть Соглашения.
Если настоящее Соглашение (включая любое Дополнение) переведено на любой другой язык, и переведенный текст противоречит или не согласуется с текстом на английском языке, текст на английском языке будет иметь преимущественную силу.
С учетом поправок, внесенных в настоящее Дополнение об обработке данных, Соглашение остается в полной силе.
16. Изменения в этом Дополнении по обработке данных
16.1 Изменения URL-адресов Время от времени Jibe может изменять любой URL-адрес, указанный в настоящем Дополнении по обработке данных, и содержимое любого такого URL-адреса, за исключением того, что Jibe может изменять только Стандартные договорные условия в соответствии с Разделами 16.2(b) - 16.2(d). ) (Changes to Data Processing Terms) or to incorporate any new version of the Standard Contractual Clauses that may be adopted under the European Data Protection Legislation, in each case in a manner that does not affect the validity of the Standard Contractual Clauses under the European Data Protection Legislation.
16.2 Changes to Data Processing Terms. Jibe may change this Data Processing Addendum if the change:
(a) is expressly permitted by this Data Processing Addendum, including as described in Section 16.1 (Changes to URLs);
(b) reflects a change in the name or form of a legal entity;
(c) is required to comply with applicable law, applicable regulation, a court order, or guidance issued by a governmental regulator or agency; или же
(d) does not (i) result in a degradation of the overall security of the Processor Services; (ii) expand the scope of or remove any restrictions on, (x) in the case of the Additional Terms for Non-European Data Protection Legislation, Jibe's rights to use or otherwise process the data in scope of the Additional Terms for Non-European Data Protection Legislation or (y) in the case of the remainder of these Data Processing Terms, Jibe's processing of Company Personal Data, as described in Section 5.3 (Jibe's Compliance with Instructions); and (iii) otherwise have a material adverse impact on Company's rights under this Data Processing Addendum, as reasonably determined by Jibe.
16.3 Notification of Changes. If Jibe intends to change this Data Processing Addendum under Section 16.2(c) or (d), Jibe will inform Company at least 30 days (or such shorter period as may be required to comply with applicable law, applicable regulation, a court order or guidance issued by a governmental regulator or agency) before the change will take effect by either: (a) sending an email to the Notification Email Address; or (b) alerting Company through the user interface for the Processor Services. If Company objects to any such change, Company may terminate the Agreement by giving written notice to Jibe within 90 days of being informed by Jibe of the change.
Appendix 1: Subject Matter and Details of the Data Processing
Subject Matter
Jibe's provision of the Processor Services and any related technical support to Company.
Duration of the Processing
The Term plus the period from expiry of the Term until deletion of all Company Personal Data by Jibe in accordance with this Data Processing Addendum.
Nature and Purpose of the Processing
Jibe will process Company Personal Data for the purpose of providing the Processor Services and any related technical support to Company in accordance with this Data Processing Addendum (including, as applicable to the Processor Services and the instructions described in Section 5.2 (Company's Instructions), collecting, recording, organising, structuring, storing, altering, retrieving, using, disclosing, combining, erasing and destroying Company Personal Data).
Types of Personal Data
Personal data relating to individuals provided to Jibe via the Processing Services, by (or at the direction of) Company or by Company end users.
Categories of Data Subjects
Data subjects include the individuals about whom data is provided to Jibe via the Processing Services by (or at the direction of) Company or by Company end users.
Appendix 2: Security Measures
As from the Terms Effective Date, Jibe will implement and maintain the Security Measures in this Appendix 2. Jibe may update or modify such Security Measures from time to time, provided that such updates and modifications do not result in the degradation of the overall security of the Processor Services.
1. Data Centre & Network Security
(a) Data Centres.
Infrastructure. Jibe maintains geographically distributed data centres. Jibe stores all production data in physically secure data centres.
Redundancy. Infrastructure systems have been designed to eliminate single points of failure and minimise the impact of anticipated environmental risks. Dual circuits, switches, networks or other necessary devices help provide this redundancy. The Processor Services are designed to allow Jibe to perform certain types of preventative and corrective maintenance without interruption. All environmental equipment and facilities have documented preventative maintenance procedures that detail the process for and frequency of performance in accordance with the manufacturer's or internal specifications. Preventative and corrective maintenance of the data centre equipment is scheduled through a standard process according to documented procedures.
Power. The data centre electrical power systems are designed to be redundant and maintainable without impact to continuous operations, 24 hours a day, and 7 days a week. In most cases, a primary as well as an alternate power source, each with equal capacity, is provided for critical infrastructure components in the data centre. Backup power is provided by various mechanisms such as uninterruptible power supply (UPS) batteries, which supply consistently reliable power protection during utility brownouts, blackouts, over voltage, under voltage, and out-of-tolerance frequency conditions. If utility power is interrupted, backup power is designed to provide transitory power to the data centre, at full capacity, for up to 10 minutes until the diesel generator systems take over. The diesel generators are capable of automatically starting up within seconds to provide enough emergency electrical power to run the data centre at full capacity typically for a period of days.
Server Operating Systems. Jibe servers use hardened operating systems which are customised for the unique server needs of the business. Data is stored using proprietary algorithms to augment data security and redundancy. Jibe employs a code review process to increase the security of the code used to provide the Processor Services and enhance the security products in production environments.
Businesses Continuity. Jibe replicates data over multiple systems to help to protect against accidental destruction or loss. Jibe has designed and regularly plans and tests its business continuity planning/disaster recovery programs.
(b) Networks & Transmission.
Data Transmission. Data centres are typically connected via high-speed private links to provide secure and fast data transfer between data centres. This is designed to prevent data from being read, copied, altered or removed without authorisation during electronic transfer or transport or while being recorded onto data storage media. Jibe transfers data via Internet standard protocols.
External Attack Surface. Jibe employs multiple layers of network devices and intrusion detection to protect its external attack surface. Jibe considers potential attack vectors and incorporates appropriate purpose built technologies into external facing systems.
Intrusion Detection. Intrusion detection is intended to provide insight into ongoing attack activities and provide adequate information to respond to incidents. Jibe's intrusion detection involves:
Tightly controlling the size and make-up of Jibe's attack surface through preventative measures;
Employing intelligent detection controls at data entry points; and
Employing technologies that automatically remedy certain dangerous situations.
Incident Response. Jibe monitors a variety of communication channels for security incidents, and Jibe's security personnel will react promptly to known incidents.
Encryption Technologies. Jibe makes HTTPS encryption (also referred to as SSL or TLS connection) available. Jibe servers support ephemeral elliptic curve Diffie Hellman cryptographic key exchange signed with RSA and ECDSA. These perfect forward secrecy (PFS) methods help protect traffic and minimise the impact of a compromised key, or a cryptographic breakthrough.
2. Access and Site Controls
(a) Site Controls.
On-site Data Centre Security Operation. Jibe's data centres maintain an on-site security operation responsible for all physical data centre security functions 24 hours a day, 7 days a week. The on-site security operation personnel monitor Closed Circuit TV (“ CCTV ”) cameras and all alarm systems. On-site security operation personnel perform internal and external patrols of the data centre regularly.
Data Centre Access Procedures. Jibe maintains formal access procedures for allowing physical access to the data centres. The data centres are housed in facilities that require electronic card key access, with alarms that are linked to the on-site security operation. All entrants to the data centre are required to identify themselves as well as show proof of identity to on-site security operations. Only authorised employees, contractors and visitors are allowed entry to the data centres. Only authorised employees and contractors are permitted to request electronic card key access to these facilities. Data centre electronic card key access requests must be made in advance and in writing, and require the approval of the requestor's manager and the data centre director. All other entrants requiring temporary data centre access must: (i) obtain approval in advance from the data centre managers for the specific data centre and internal areas they wish to visit; (ii) sign in at on-site security operations; and (iii) reference an approved data centre access record identifying the individual as approved.
On-site Data Centre Security Devices. Jibe's data centres employ an electronic card key and biometric access control system that is linked to a system alarm. The access control system monitors and records each individual's electronic card key and when they access perimeter doors, shipping and receiving, and other critical areas. Unauthorised activity and failed access attempts are logged by the access control system and investigated, as appropriate. Authorised access throughout the business operations and data centres is restricted based on zones and the individual's job responsibilities. The fire doors at the data centres are alarmed. CCTV cameras are in operation both inside and outside the data centres. The positioning of the cameras has been designed to cover strategic areas including, among others, the perimeter, doors to the data centre building, and shipping/receiving. On-site security operations personnel manage the CCTV monitoring, recording and control equipment. Secure cables throughout the data centres connect the CCTV equipment. Cameras record on-site via digital video recorders 24 hours a day, 7 days a week. The surveillance records are retained for at least 7 days based on activity.
(b) Access Control.
Infrastructure Security Personnel. Jibe has, and maintains, a security policy for its personnel, and requires security training as part of the training package for its personnel. Jibe's infrastructure security personnel are responsible for the ongoing monitoring of Jibe's security infrastructure, the review of the Processor Services, and responding to security incidents.
Access Control and Privilege Management. Company's administrators and users must authenticate themselves via a central authentication system or via a single sign on system in order to use the Processor Services.
Internal Data Access Processes and Policies – Access Policy. Jibe's internal data access processes and policies are designed to prevent unauthorised persons and/or systems from gaining access to systems used to process personal data. Jibe aims to design its systems to: (i) only allow authorised persons to access data they are authorised to access; and (ii) ensure that personal data cannot be read, copied, altered or removed without authorisation during processing, use and after recording. The systems are designed to detect any inappropriate access. Jibe employs a centralised access management system to control personnel access to production servers, and only provides access to a limited number of authorised personnel. LDAP, Kerberos and a proprietary system utilising SSH certificates are designed to provide Jibe with secure and flexible access mechanisms. These mechanisms are designed to grant only approved access rights to site hosts, logs, data and configuration information. Jibe requires the use of unique user IDs, strong passwords, two factor authentication and carefully monitored access lists to minimise the potential for unauthorised account use. The granting or modification of access rights is based on: the authorised personnel's job responsibilities; job duty requirements necessary to perform authorised tasks; and a need to know basis. The granting or modification of access rights must also be in accordance with Jibe's internal data access policies and training. Approvals are managed by workflow tools that maintain audit records of all changes. Access to systems is logged to create an audit trail for accountability. Where passwords are employed for authentication (eg login to workstations), password policies that follow at least industry standard practices are implemented. These standards include restrictions on password reuse and sufficient password strength.
3. Data
(a) Data Storage, Isolation & Authentication.
Jibe stores data in a multi-tenant environment on Jibe-owned servers. Data, the Processor Services database and file system architecture are replicated between multiple geographically dispersed data centres. Jibe logically isolates each customer's data. A central authentication system is used across all Processor Services to increase uniform security of data.
(b) Decommissioned Disks and Disk Destruction Guidelines.
Certain disks containing data may experience performance issues, errors or hardware failure that lead them to be decommissioned (“ Decommissioned Disk ”). Every Decommissioned Disk is subject to a series of data destruction processes (the “ Data Destruction Guidelines ”) before leaving Jibe's premises either for reuse or destruction. Decommissioned Disks are erased in a multi-step process and verified complete by at least two independent validators. The erase results are logged by the Decommissioned Disk's serial number for tracking. Finally, the erased Decommissioned Disk is released to inventory for reuse and redeployment. If, due to hardware failure, the Decommissioned Disk cannot be erased, it is securely stored until it can be destroyed. Each facility is audited regularly to monitor compliance with the Data Destruction Guidelines.
4. Personnel Security
Jibe personnel are required to conduct themselves in a manner consistent with the company's guidelines regarding confidentiality, business ethics, appropriate usage, and professional standards. Jibe conducts reasonably appropriate backgrounds checks to the extent legally permissible and in accordance with applicable local labor law and statutory regulations.
Personnel are required to execute a confidentiality agreement and must acknowledge receipt of, and compliance with, Jibe's confidentiality and privacy policies. Personnel are provided with security training. Personnel handling Company Personal Data are required to complete additional requirements appropriate to their role. Jibe's personnel will not process Company Personal Data without authorisation
5. Subprocessor Security
Before onboarding Subprocessors, Jibe conducts an audit of the security and privacy practices of Subprocessors to ensure Subprocessors provide a level of security and privacy appropriate to their access to data and the scope of the services they are engaged to provide. Once Jibe has assessed the risks presented by the Subprocessor then, subject always to the requirements in Section 11.3 (Requirements for Subprocessor Engagement), the Subprocessor is required to enter into appropriate security, confidentiality and privacy contract terms.
Appendix 3: Additional Terms for Non-European Data Protection Legislation
The following Additional Terms for Non-European Data Protection Legislation supplement these Data Processing Terms:
- CCPA Service Provider Addendum at privacy.google.com/businesses/gdprprocessorterms/ccpa (dated 27 August 2020)
- LGPD Processor Addendum at privacy.google.com/businesses/gdprprocessorrterms/lgpd (dated 27 August 2020)
Jibe Data Processing Terms, Version 2.0
27 August 2020