Соглашение об обработке данных

Настоящее Соглашение об обработке данных ("DPA") является частью Условий предоставления услуг между вами ("Контроллер данных" или "Клиент") и ultra-board.xyz ("Обработчик данных" или "Компания") в отношении обработки персональных данных в связи с нашей образовательной платформой и услугами.

1. Определения

Для целей настоящего DPA применяются следующие определения:

• "Контроллер данных": Юридическое или физическое лицо, которое определяет цели и средства обработки персональных данных.
• "Обработчик данных": ultra-board.xyz, которая обрабатывает персональные данные от имени Контроллера данных.
• "Персональные данные": Любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу.
• "Обработка": Любая операция, совершаемая с персональными данными, включая сбор, хранение, использование и удаление.
• "Субъект данных": Физическое лицо, к которому относятся персональные данные.
• "GDPR": Общий регламент по защите данных (ЕС) 2016/679.
• "Надзорный орган": Соответствующий орган по защите данных.

2. Сфера применения

Когда применяется настоящее Соглашение

Настоящее DPA применяется, когда:

• Вы используете нашу платформу для деловых или организационных целей.
• Вы загружаете или обрабатываете персональные данные третьих лиц через наши услуги.
• Вы выступаете в качестве Контроллера данных, а мы — в качестве вашего Обработчика данных.
• GDPR или другие применимые законы о защите данных требуют наличия соглашения об обработке данных.

Индивидуальные пользователи

Если вы используете нашу платформу как физическое лицо в личных целях, обработка ваших персональных данных регулируется нашей Политикой конфиденциальности, и настоящее DPA не применяется.

3. Детали обработки данных

Предмет обработки

Предметом обработки данных является предоставление услуг образовательной платформы, включая:

• Функциональность системы управления обучением
• Отслеживание прогресса и аналитика
• Услуги связи и поддержки
• Обработка платежей и выставление счетов

Продолжительность обработки

Обработка будет продолжаться в течение срока действия соглашения об оказании услуг и по мере необходимости для выполнения юридических обязательств или разрешения споров.

Характер и цель обработки

Мы обрабатываем персональные данные для:

• Предоставления доступа к образовательному контенту и функциям
• Отслеживания прогресса и завершения обучения
• Облегчения общения между пользователями
• Обработки платежей и управления подписками
• Предоставления клиентской и технической поддержки
• Соблюдения юридических и нормативных требований

Категории персональных данных

Типы персональных данных, которые мы можем обрабатывать, включают:

• Идентификационные данные: Имя, имя пользователя, дата рождения
• Контактные данные: Адрес электронной почты, номер телефона, почтовый адрес
• Данные учетной записи: Учетные данные для входа, контрольные вопросы
• Данные об обучении: Прогресс курса, результаты тестов, полученные сертификаты
• Данные связи: Сообщения, тикеты поддержки, сообщения на форуме
• Технические данные: IP-адрес, тип браузера, информация об устройстве
• Платежные данные: Платежная информация, история транзакций

Категории субъектов данных

Субъекты данных могут включать:

• Индивидуальные учащиеся и студенты
• Участники корпоративного обучения
• Члены образовательных учреждений
• Посетители веб-сайта и потенциальные клиенты
• Контакты службы поддержки

4. Обязательства Контроллера и Обработчика данных

Обязанности Контроллера данных

Как Контроллер данных, вы несете ответственность за:

• Обеспечение наличия у вас законных оснований для обработки персональных данных
• Получение необходимых согласий от субъектов данных
• Предоставление уведомлений о конфиденциальности субъектам данных
• Обеспечение точности данных и их своевременное обновление
• Принятие соответствующих технических и организационных мер
• Обработку запросов и жалоб субъектов данных
• Уведомление нас о любых соответствующих изменениях в требованиях к обработке

Обязанности Обработчика данных

Как Обработчик данных, мы обязуемся:

• Обрабатывать персональные данные только в соответствии с вашими документированными инструкциями
• Принимать соответствующие технические и организационные меры безопасности
• Обеспечивать конфиденциальность персональных данных
• Помогать с запросами субъектов данных и обязательствами по соблюдению требований
• Уведомлять вас о любых нарушениях безопасности персональных данных
• Удалять или возвращать персональные данные по окончании обработки
• Вести учет деятельности по обработке

5. Меры безопасности

Технические меры защиты

Мы внедряем стандартные отраслевые технические меры, включая:

• Шифрование данных при передаче и хранении
• Регулярное тестирование на безопасность и оценку уязвимостей
• Безопасные методы разработки и проверки кода
• Многофакторную аутентификацию для административного доступа
• Регулярный мониторинг безопасности и реагирование на инциденты
• Безопасное резервное копирование и процедуры аварийного восстановления

Организационные меры защиты

Наши организационные меры включают:

• Обучение сотрудников по вопросам защиты данных и безопасности
• Соглашения о конфиденциальности для всех сотрудников
• Регулярный пересмотр и обновление политик безопасности
• Процедуры реагирования на инциденты и уведомления о нарушениях
• Управление поставщиками и оценка безопасности третьих сторон
• Политики хранения и удаления данных

6. Субобработка

Уполномоченные субобработчики

Вы признаете и соглашаетесь с тем, что мы можем привлекать субобработчиков для помощи в предоставлении наших услуг. Текущие субобработчики включают:

• Amazon Web Services: Облачный хостинг и инфраструктура
• Google Cloud Platform: Аналитика и обработка данных
• Stripe: Обработка платежей
• Intercom: Поддержка клиентов и коммуникация
• Mailchimp: Доставка электронной почты и автоматизация маркетинга

Требования к субобработчикам

Все субобработчики обязаны:

• Обеспечивать такой же уровень защиты данных, как указано в настоящем DPA
• Обрабатывать персональные данные только для указанных целей
• Принимать соответствующие меры безопасности
• Проходить регулярные аудиты и оценки безопасности
• Немедленно уведомлять нас о любых инцидентах безопасности

Изменения в составе субобработчиков

Мы предоставим уведомление за 30 дней до добавления новых субобработчиков. Вы можете возразить против новых субобработчиков, и если мы не сможем решить ваши проблемы, вы можете прекратить действие затронутых услуг.

7. Права субъектов данных

Помощь с запросами субъектов данных

Мы будем помогать вам в ответе на запросы субъектов данных, включая:

• Запросы на доступ: Предоставление копий персональных данных
• Запросы на исправление: Исправление неточных данных
• Запросы на удаление: Удаление персональных данных, когда это требуется по закону
• Запросы на переносимость: Предоставление данных в машиночитаемом формате
• Запросы на ограничение: Ограничение обработки, когда это требуется
• Запросы на возражение: Прекращение обработки на законных основаниях

Сроки ответа

Мы ответим на запросы о помощи в течение:

• 48 часов для срочных запросов
• 5 рабочих дней для стандартных запросов
• 10 рабочих дней для сложных запросов, требующих технической работы

8. Уведомление о нарушении данных

Реагирование на инциденты

В случае нарушения безопасности персональных данных мы:

• Уведомим вас без неоправданной задержки, по возможности в течение 72 часов
• Предоставим подробности о характере и масштабе нарушения
• Опишем меры, принятые для локализации и устранения нарушения
• Оценим вероятные последствия и риски для субъектов данных
• Будем предоставлять регулярные обновления по ходу расследования

Документация о нарушении

Мы ведем подробный учет всех нарушений данных, включая:

• Хронологию событий и обнаружения
• Типы и объем затронутых данных
• Затронутые субъекты данных
• Принятые меры по устранению
• Извлеченные уроки и улучшения процессов

9. Международная передача данных

Гарантии при передаче

При передаче персональных данных за пределы Европейской экономической зоны мы обеспечиваем соответствующие гарантии посредством:

• Стандартных договорных условий, утвержденных Европейской комиссией
• Решений об адекватности, принятых соответствующими органами по защите данных
• Схем сертификации и утвержденных кодексов поведения
• Обязательных корпоративных правил, где это применимо

Оценка воздействия при передаче

Мы регулярно оцениваем эффективность механизмов передачи и при необходимости внедряем дополнительные гарантии для обеспечения эквивалентной защиты.

10. Аудиты и соответствие

Право на аудит

Вы имеете право проводить аудиты и проверки для подтверждения нашего соответствия настоящему DPA. Мы будем:

• Оказывать разумную помощь и содействие
• Предоставлять соответствующую информацию и документацию
• Разрешать доступ к нашим объектам при разумном уведомлении
• Отвечать на результаты аудита и внедрять согласованные улучшения

Сертификаты третьих сторон

Мы поддерживаем соответствующие сертификаты безопасности и проходим регулярные аудиты третьих сторон для демонстрации соответствия отраслевым стандартам.

11. Удаление и возврат данных

Окончание обработки

По окончании наших отношений по обработке данных мы:

• Удалим все персональные данные в течение 90 дней, если по закону не требуется их хранение
• Вернем персональные данные в общеупотребительном формате по запросу
• Предоставим сертификат об удалении по завершении процесса
• Обеспечим, чтобы субобработчики также удалили или вернули персональные данные

Законное хранение

Мы можем хранить персональные данные дольше, если это требуется по закону, включая:

• Требования финансового и налогового соответствия
• Судебные разбирательства и разрешение споров
• Регуляторные расследования и аудиты
• Договорные обязательства перед третьими сторонами