Соглашение об обработке данных — flydeal24.ru
Главная Тарифы Как это работает Контакты
Войти
или продолжить через
Google Facebook

Соглашение об обработке данных

Последнее обновление: 1 марта 2026 г.

Настоящее Соглашение об обработке данных («DPA») заключается между пользователем сервиса оповещений о выгодных авиапредложениях flydeal24.ru («Оператор», «вы» или «ваш») и компанией Back Hills Assets LLC, учрежденной и зарегистрированной в штате Делавэр, Соединённые Штаты Америки («Обработчик», «flydeal24.ru», «мы», «нас» или «наш»).

Настоящее DPA является неотъемлемой частью Условий использования («Соглашение») между Оператором и Обработчиком и регулирует обработку персональных данных Обработчиком от имени Оператора в связи с предоставлением сервиса оповещений о выгодных авиапредложениях flydeal24.ru («Сервис").

Настоящее DPA предназначено для обеспечения соблюдения статьи 28 Общего регламента по защите данных (ЕС) 2016/679 («GDPR») и всех иных применимых законов о защите данных и подлежит толкованию в соответствии с GDPR.

Используя Сервис, Оператор соглашается с условиями настоящего DPA. Если Оператор не согласен с настоящим DPA, он не должен использовать Сервис.

1. Определения

Для целей настоящего DPA нижеприведенные термины имеют следующие значения. Все термины, написанные с заглавной буквы и не определенные в настоящем документе, имеют значения, присвоенные им в GDPR или Соглашении.

  • «Оператор» означает физическое или юридическое лицо, государственный орган, учреждение или иной орган, который самостоятельно или совместно с другими определяет цели и средства обработки персональных данных в значении, предусмотренном статьей 4(7) GDPR. В контексте настоящего DPA Оператором является пользователь Сервиса.
  • «Обработчик» означает физическое или юридическое лицо, государственный орган, учреждение или иной орган, который обрабатывает персональные данные от имени Оператора в значении, предусмотренном статьей 4(8) GDPR. В контексте настоящего DPA Обработчиком является Back Hills Assets LLC.
  • "Персональные данные" означают любую информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу ("Субъект данных"), как это определено в статье 4(1) GDPR. Идентифицируемым физическим лицом считается лицо, которое может быть идентифицировано прямо или косвенно, в частности посредством такого идентификатора, как имя, идентификационный номер, данные о местоположении, онлайн-идентификатор, либо одного или нескольких признаков, характерных для физической, физиологической, генетической, психической, экономической, культурной или социальной идентичности такого физического лица.
  • "Обработка" означает любую операцию или совокупность операций, совершаемых с персональными данными или наборами персональных данных, с использованием средств автоматизации или без использования таких средств, включая сбор, запись, систематизацию, структурирование, хранение, адаптацию или изменение, извлечение, ознакомление, использование, раскрытие посредством передачи, распространения или предоставления иным образом, сопоставление или объединение, ограничение, удаление или уничтожение, как это определено в статье 4(2) GDPR.
  • "Субъект данных" означает идентифицированное или идентифицируемое физическое лицо, к которому относятся персональные данные.
  • "Субобработчик" означает любое третье лицо, привлеченное Обработчиком (или любым последующим субобработчиком) для обработки персональных данных от имени Контролера.
  • "Нарушение безопасности персональных данных" означает нарушение безопасности, приводящее к случайному или неправомерному уничтожению, утрате, изменению, несанкционированному раскрытию персональных данных, переданных, хранящихся или обрабатываемых иным образом, либо к несанкционированному доступу к таким данным, как это определено в статье 4(12) GDPR.
  • «Надзорный орган» означает независимый государственный орган, учрежденный государством — членом ЕС в соответствии со статьей 51 GDPR. Применимый Надзорный орган определяется государством — членом ЕС, в котором находится обычное место жительства Субъекта данных, его место работы или место предполагаемого нарушения.
  • «Стандартные договорные положения» (SCCs) означают договорные положения, утвержденные Европейской комиссией в соответствии со статьей 46(2)(c) GDPR для передачи персональных данных в страны за пределами Европейской экономической зоны (EEA), в отношении которых отсутствует решение о достаточности.
  • «EEA» означает Европейскую экономическую зону, включающую государства — члены Европейского союза, а также Исландию, Лихтенштейн и Норвегию.

2. Сфера применения и цель обработки

2.1 Сфера применения

Настоящее Соглашение об обработке данных применяется ко всем операциям по обработке персональных данных, осуществляемым Обработчиком от имени Оператора в связи с предоставлением Сервиса. Обработчик обрабатывает персональные данные исключительно в объеме, необходимом для исполнения своих обязательств по Соглашению, и в соответствии с документированными инструкциями Оператора.

2.2 Цель обработки

Обработчик обрабатывает персональные данные от имени Оператора для следующих конкретных целей:

  • Создание, ведение и управление учетными записями пользователей, включая аутентификацию, обеспечение безопасности и восстановление доступа к учетной записи.
  • Хранение и обработка предпочтений в отношении поездок (аэропорты вылета, предпочтительные направления, диапазоны бюджета, гибкость дат поездки) для формирования персонализированных уведомлений о выгодных предложениях на авиабилеты.
  • Отправка уведомлений и оповещений о выгодных предложениях на авиабилеты по электронной почте.
  • Обработка платежей по подписке и администрирование расчетов через авторизованных платежных провайдеров.
  • Предоставление клиентской поддержки и ответы на запросы, связанные с Сервисом.
  • Формирование обезличенной и агрегированной аналитики для мониторинга, поддержания и улучшения Сервиса.
  • Обеспечение безопасности, целостности и доступности Сервиса и лежащей в его основе инфраструктуры.
  • Соблюдение применимых правовых обязательств, включая налоговые, бухгалтерские и регуляторные требования.

2.3 Срок обработки

Обработчик осуществляет обработку персональных данных в течение срока действия Соглашения, если иное не согласовано в письменной форме или не требуется применимым законодательством. После прекращения действия Соглашения применяются положения Раздела 13 (Возврат и удаление данных).

3. Категории субъектов персональных данных

Персональные данные, обрабатываемые в рамках настоящего DPA, относятся к следующим категориям субъектов персональных данных:

  • Зарегистрированные пользователи: Физические лица, создавшие учетную запись на платформе flydeal24.ru, включая пользователей тарифных планов Free, Basic, Pro и Ultra.
  • Посетители сайта: Физические лица, посещающие сайт flydeal24.ru, данные которых могут собираться с помощью файлов cookie и аналогичных технологий, как описано в нашей Политике использования файлов cookie.
  • Контакты службы поддержки клиентов: Физические лица, обращающиеся в flydeal24.ru за поддержкой, с запросами или отзывами, персональные данные которых обрабатываются в связи с такими обращениями.

4. Виды персональных данных

В рамках настоящего DPA обрабатываются следующие категории персональных данных:

  • Идентификационные данные: Адрес электронной почты (используется в качестве идентификатора учетной записи).
  • Контактные данные: Адрес электронной почты.
  • Данные учетной записи: Идентификатор учетной записи, хешированный пароль, дата создания учетной записи, тип тарифного плана и статус учетной записи.
  • Данные о предпочтениях в путешествиях: Предпочитаемый(е) аэропорт(ы) вылета, предпочтения по направлениям (регионы, страны или конкретные города), диапазоны бюджета, гибкость дат поездки, предпочтения по продолжительности поездки, пользовательские конфигурации маршрутов (план Pro).
  • Данные о предпочтениях в коммуникации: Выбранные каналы уведомлений (email), настройки частоты уведомлений, статус согласия на получение рекламных сообщений.
  • Данные об оплате и подписке: Тип плана, даты начала и окончания подписки, даты расчётного цикла, идентификаторы транзакций, последние четыре цифры платёжной карты, платёжная система карты, срок действия карты, страна выставления счёта. Полные данные платёжной карты обрабатываются исключительно Stripe и не хранятся Обработчиком.
  • Данные об использовании: Посещённые страницы, использованные функции, просмотренные предложения и взаимодействия с ними, открытые и нажатые уведомления, продолжительность сеанса и временные метки взаимодействий.
  • Технические данные: IP-адрес, тип и версия браузера, операционная система, тип устройства, разрешение экрана, языковые настройки устройства и уникальные идентификаторы устройства.
  • Данные поддержки: Содержание обращений в службу поддержки, переписка и отзывы, предоставленные Субъектом данных.

Обработчик не обрабатывает в рамках настоящего DPA специальные категории персональных данных (как определено в статье 9 GDPR) или персональные данные, относящиеся к судимостям и правонарушениям (как определено в статье 10 GDPR).

5. Обязанности Обработчика

Обработчик обязуется:

5.1 Инструкции по обработке

  • Осуществлять обработку персональных данных только на основании документированных указаний Оператора, в том числе в отношении передачи персональных данных в третью страну или международной организации, если только такая обработка не требуется в соответствии с правом Союза или государства-члена, которому подчиняется Обработчик. В таком случае Обработчик уведомляет Оператора о таком правовом требовании до начала обработки, если только соответствующее право не запрещает такое уведомление по важным основаниям общественного интереса.
  • Незамедлительно информировать Оператора, если, по мнению Обработчика, какое-либо указание нарушает GDPR или иные положения Союза или государства-члена о защите данных.

5.2 Конфиденциальность

  • Обеспечивать, чтобы все лица, уполномоченные обрабатывать персональные данные, приняли на себя обязательства по соблюдению конфиденциальности или были связаны надлежащей установленной законом обязанностью соблюдать конфиденциальность.
  • Ограничивать доступ к персональным данным только тем сотрудникам, подрядчикам и представителям, которым такой доступ необходим для выполнения своих обязанностей в связи с Сервисом и которые прошли обучение по обязательствам в области защиты данных.

5.3 Безопасность

  • Внедрять надлежащие технические и организационные меры для обеспечения уровня безопасности, соответствующего риску, в соответствии со статьей 32 GDPR, как более подробно описано в Разделе 8 (Меры безопасности данных) настоящего DPA.

5.4 Привлечение субобработчиков

  • Не привлекать другого обработчика (субобработчика) без предварительного общего или специального письменного разрешения Оператора, как более подробно описано в Разделе 7 (Субобработчики) настоящего DPA.

5.5 Содействие Оператору

  • Оказывать Оператору содействие, с учетом характера обработки, посредством надлежащих технических и организационных мер, насколько это возможно, в выполнении обязанности Оператора по ответу на запросы об осуществлении прав Субъекта данных в соответствии с Главой III GDPR (право на доступ, исправление, удаление, ограничение обработки, переносимость данных и возражение).
  • Оказывать Оператору содействие в обеспечении соблюдения обязательств, предусмотренных статьями 32–36 GDPR (безопасность обработки, уведомление о нарушениях безопасности персональных данных, сообщение о нарушениях безопасности персональных данных субъектам данных и оценки воздействия на защиту данных), с учетом характера обработки и информации, доступной Обработчику.

5.6 Подтверждение соблюдения

  • Предоставлять Оператору всю информацию, необходимую для подтверждения соблюдения обязательств, установленных статьей 28 GDPR и настоящим Соглашением об обработке данных, а также допускать проведение и содействовать проведению аудитов, включая инспекции, осуществляемых Оператором или иным аудитором, уполномоченным Оператором, как более подробно описано в Разделе 10 (Аудиты и инспекции) настоящего Соглашения об обработке данных.

6. Обязательства Оператора

Оператор обязан:

  • Обеспечить наличие законного основания для обработки персональных данных, а также получение или предоставление всех необходимых согласий, разрешений и уведомлений в соответствии с применимым законодательством о защите данных.
  • Предоставлять Обработчику документированные инструкции в отношении обработки персональных данных и незамедлительно информировать Обработчика о любых изменениях таких инструкций.
  • Обеспечить, чтобы персональные данные, предоставляемые Обработчику, были точными, полными и актуальными.
  • Соблюдать свои обязательства в качестве Оператора в соответствии с GDPR и применимым законодательством о защите данных.
  • Незамедлительно уведомлять Обработчика о любом запросе Субъекта данных, который непосредственно относится к операциям по обработке, осуществляемым Обработчиком.

7. Субобработчики

7.1 Общее разрешение

Контролер настоящим предоставляет Обработчику общее письменное разрешение на привлечение субобработчиков для обработки персональных данных в рамках настоящего Соглашения об обработке данных при соблюдении условий, изложенных в настоящем Разделе 7.

7.2 Действующие субобработчики

Обработчик в настоящее время привлекает следующих субобработчиков:

  • Amazon Web Services, Inc. (AWS)
    Цель: Облачная инфраструктура, хостинг, хранение данных и вычислительные сервисы.
    Обрабатываемые данные: Все категории персональных данных, перечисленные в Разделе 4, которые хранятся и обрабатываются в инфраструктуре AWS.
    Местонахождение: Европейский союз (регион EU-West, преимущественно Ирландия).
    Гарантии: Дополнение AWS об обработке данных в соответствии с GDPR; сертификаты ISO 27001, ISO 27017, ISO 27018, SOC 1/2/3.
  • Stripe, Inc.
    Цель: Обработка платежей для выставления счетов по подписке (планы Basic, Pro и Ultra).
    Обрабатываемые данные: Данные платежной карты (обрабатываются непосредственно Stripe), платежная информация, идентификаторы транзакций, метаданные подписки.
    Местонахождение: Европейский союз и Соединенные Штаты.
    Гарантии: Соглашение Stripe об обработке данных; сертификация PCI DSS Level 1; Рамочная программа конфиденциальности данных ЕС–США; Стандартные договорные условия.
  • Postmark (ActiveCampaign, LLC)
    Цель: Отправка транзакционных и уведомительных электронных писем, включая оповещения о выгодных предложениях на авиабилеты и письма, связанные с сервисом.
    Обрабатываемые данные: Адрес электронной почты, имя, содержимое электронного письма (детали оповещений о предложениях), метаданные доставки и взаимодействия.
    Местонахождение: Соединенные Штаты с обязательствами по обработке данных в отношении данных из ЕС.
    Гарантии: Соглашение об обработке данных; Стандартные договорные условия; сертификация SOC 2 Type II.

7.3 Уведомление об изменениях

Обработчик обязан письменно (в том числе по электронной почте) уведомлять Оператора о любых планируемых изменениях в перечне субобработчиков, включая добавление новых или замену существующих субобработчиков, не менее чем за 14 календарных дней до вступления таких изменений в силу. Уведомление должно содержать наименование субобработчика, характер обработки и место обработки данных.

7.4 Право на возражение

Оператор вправе возразить против привлечения нового или замещающего субобработчика, письменно уведомив об этом Обработчика в течение 14 календарных дней с момента получения уведомления, указанного в Разделе 7.3. Возражение должно быть основано на разумных основаниях, связанных с защитой данных. Если Оператор заявляет возражение:

  • Обработчик обязан приложить разумные усилия для предоставления Оператору альтернативного решения, исключающего использование субобработчика, против привлечения которого было заявлено возражение.
  • Если разумно доступная альтернатива отсутствует, и Обработчик обоснованно определяет, что такой субобработчик необходим для предоставления Сервиса, любая из сторон вправе расторгнуть Соглашение, направив письменное уведомление за 30 дней.

7.5 Обязательства субобработчиков

Если Обработчик привлекает субобработчика, Обработчик обязан:

  • Проводить надлежащую проверку, чтобы убедиться, что субобработчик способен обеспечить уровень защиты данных, требуемый настоящим DPA и GDPR.
  • Возлагать на субобработчика посредством письменного договора те же обязательства по защите данных, которые установлены настоящим DPA, в частности предоставление достаточных гарантий внедрения надлежащих технических и организационных мер.
  • Нести перед Оператором полную ответственность за исполнение субобработчиком его обязательств по договору субобработки.

8. Меры безопасности данных

Обработчик обязуется внедрить и поддерживать следующие технические и организационные меры безопасности в соответствии со статьёй 32 GDPR для защиты персональных данных от случайного или неправомерного уничтожения, утраты, изменения, несанкционированного раскрытия или доступа:

8.1 Технические меры

  • Шифрование при передаче: Все данные, передаваемые между пользователями и Сервисом, шифруются с использованием Transport Layer Security (TLS) 1.3.
  • Шифрование при хранении: Все персональные данные, хранящиеся на серверах и в базах данных, шифруются при хранении с использованием шифрования AES-256.
  • Хеширование паролей: Пароли пользователей хранятся с использованием криптографического хеширования bcrypt с высоким коэффициентом вычислительной сложности, что обеспечивает невозможность восстановления паролей в открытом виде.
  • Межсетевые экраны и сетевая безопасность: Производственные системы защищены межсетевыми экранами и сегментацией сети. Доступ к внутренним сетям ограничен уполномоченным персоналом через VPN с многофакторной аутентификацией.
  • Обнаружение вторжений и мониторинг: Для выявления и реагирования на потенциальные угрозы безопасности в режиме реального времени используются системы непрерывного мониторинга и обнаружения вторжений.
  • Управление уязвимостями: Регулярно проводятся сканирования на уязвимости и тесты на проникновение. Исправления безопасности оперативно применяются ко всем системам и программному обеспечению.
  • Автоматизированное резервное копирование: Регулярно выполняется автоматизированное шифрованное резервное копирование. Резервные копии хранятся с избыточностью в пределах ЕС и периодически тестируются для обеспечения возможности восстановления данных.
  • Журналирование и аудиторские журналы: Доступ к персональным данным журналируется, а аудиторские журналы ведутся для выявления несанкционированного доступа или аномальной активности.
  • Безопасная разработка: Сервис разрабатывается в соответствии с практиками безопасной разработки программного обеспечения, включая проверку кода, статический анализ, сканирование зависимостей и тестирование безопасности.

8.2 Организационные меры

  • Контроль доступа: Реализован ролевой контроль доступа (RBAC) в соответствии с принципом наименьших привилегий. Доступ к персональным данным предоставляется только тем сотрудникам, которым он необходим для выполнения их должностных обязанностей.
  • Соглашения о конфиденциальности: Все сотрудники и подрядчики, имеющие доступ к персональным данным, связаны письменными обязательствами о соблюдении конфиденциальности.
  • Обучение по защите данных: Персонал, участвующий в обработке персональных данных, регулярно проходит обучение по принципам защиты данных, требованиям GDPR и внутренним политикам Обработчика в области защиты данных.
  • План реагирования на инциденты: Документированный план реагирования на инциденты поддерживается в актуальном состоянии и тестируется, чтобы обеспечить оперативное и эффективное реагирование на нарушения безопасности персональных данных и иные инциденты безопасности.
  • Непрерывность деятельности и аварийное восстановление: Планы обеспечения непрерывности деятельности и аварийного восстановления поддерживаются в актуальном состоянии и периодически тестируются для обеспечения доступности и устойчивости систем обработки.
  • Управление рисками поставщиков: В отношении субобработчиков проводятся проверки должной осмотрительности и осуществляется постоянный мониторинг, чтобы обеспечить соблюдение ими надлежащих стандартов защиты данных и безопасности.

9. Уведомление о нарушении безопасности данных

9.1 Уведомление Оператора

В случае Нарушения безопасности персональных данных Обработчик обязан уведомить Оператора без неоправданной задержки и в любом случае не позднее чем через 48 часов после того, как ему стало известно о таком нарушении. Уведомление направляется по электронной почте на зарегистрированный адрес электронной почты Оператора и включает:

  • Описание характера Нарушения безопасности персональных данных, включая, по возможности, категории и примерное количество затронутых Субъектов данных, а также категории и примерное количество затронутых записей персональных данных.
  • Имя и контактные данные контактного лица Обработчика по вопросам защиты данных, у которого можно получить дополнительную информацию.
  • Описание вероятных последствий Нарушения безопасности персональных данных.
  • Описание мер, принятых или предлагаемых Обработчиком для устранения Нарушения безопасности персональных данных, включая, при необходимости, меры по смягчению его возможных неблагоприятных последствий.

9.2 Постоянное сотрудничество

Если невозможно предоставить всю информацию одновременно, Обработчик обязан предоставлять информацию поэтапно без неоправданной дальнейшей задержки. Обработчик обязан:

  • Сотрудничать с Оператором и предпринимать все разумные меры для содействия расследованию, минимизации последствий и устранению Нарушения безопасности персональных данных.
  • Незамедлительно предпринимать меры для локализации Нарушения безопасности персональных данных и минимизации его последствий.
  • Сохранять доказательства, относящиеся к Нарушению безопасности персональных данных, для целей криминалистического расследования.
  • Оказывать Оператору содействие в выполнении его обязанностей по уведомлению Надзорного органа в соответствии со статьей 33 GDPR и Субъектов данных в соответствии со статьей 34 GDPR, если применимо.
  • Не делать никаких публичных заявлений и не направлять уведомлений в отношении Нарушения безопасности персональных данных без предварительного письменного согласия Оператора, если иное не требуется применимым законодательством.

9.3 Ведение учета

Обработчик обязан вести учет всех Нарушений безопасности персональных данных, включая факты, относящиеся к нарушению, его последствия и принятые меры по устранению, в соответствии со статьей 33(5) GDPR.

10. Запросы Субъектов данных

10.1 Содействие

Обработчик обязан содействовать Оператору в исполнении его обязанности по ответу на запросы Субъектов данных об осуществлении их прав в соответствии с Главой III GDPR, включая право на доступ, исправление, удаление, ограничение обработки, переносимость данных и возражение.

10.2 Уведомление

Если Обработчик получает запрос от Субъекта данных в отношении персональных данных, обрабатываемых от имени Оператора, Обработчик обязан незамедлительно уведомить Оператора (и в любом случае не позднее чем в течение 5 рабочих дней) и не вправе отвечать на такой запрос напрямую, если только он не уполномочен на это Оператором или не обязан сделать это в силу применимого законодательства.

10.3 Технические меры

Обработчик обязан внедрить соответствующие технические и организационные меры, позволяющие Оператору эффективно отвечать на запросы Субъектов данных, включая возможность поиска, извлечения, экспорта, исправления и удаления персональных данных по указанию Оператора.

11. Аудиты и инспекции

11.1 Право на аудит

Обработчик обязан предоставить Оператору всю информацию, необходимую для подтверждения соблюдения обязательств, установленных статьей 28 GDPR и настоящим Соглашением об обработке данных, а также допускать и содействовать проведению аудитов, включая инспекции, осуществляемых Оператором или независимым аудитором, уполномоченным Оператором.

11.2 Процедуры аудита

Аудиты проводятся при соблюдении следующих условий:

  • Оператор обязан направить Обработчику предварительное письменное уведомление о любом планируемом аудите не менее чем за 30 календарных дней.
  • Аудиты проводятся в обычные рабочие часы и таким образом, чтобы свести к минимуму нарушение деятельности Обработчика.
  • Оператор (или его аудитор) обязан соблюдать разумные требования Обработчика в отношении безопасности и конфиденциальности.
  • Аудиты ограничиваются максимум одним аудитом за календарный год, за исключением случаев, когда имеются разумные основания подозревать существенное нарушение настоящего DPA или GDPR, либо если аудит требуется надзорным органом.
  • Контролер несет расходы на проведение аудита, если только аудит не выявит существенное несоблюдение требований со стороны Обработчика, и в таком случае Обработчик несет разумные расходы.

11.3 Сертификации и отчеты

Вместо аудита на месте Обработчик может по своему усмотрению предоставить Контролеру соответствующие отчеты о стороннем аудите, сертификаты (например, ISO 27001 или SOC 2) либо иную документацию, подтверждающую соблюдение требований к защите данных, установленных настоящим DPA.

12. Международная передача данных

12.1 Общий принцип

Обработчик должен преимущественно хранить и обрабатывать персональные данные в пределах Европейской экономической зоны (ЕЭЗ). Обработчик не вправе передавать персональные данные в страну за пределами ЕЭЗ или международной организации, если не были внедрены надлежащие гарантии в соответствии с главой V GDPR.

12.2 Механизмы передачи

Если персональные данные передаются за пределы ЕЭЗ (например, субобработчикам, находящимся в Соединенных Штатах), Обработчик обязан обеспечить наличие одной или нескольких из следующих гарантий:

  • Решение о достаточности: Европейская комиссия установила, что третья страна или международная организация обеспечивает надлежащий уровень защиты данных в соответствии со статьей 45 GDPR.
  • Стандартные договорные условия: Передача осуществляется на основании Стандартных договорных условий, принятых Европейской комиссией в соответствии со статьей 46(2)(c) GDPR, в их актуальной редакции.
  • EU-US Data Privacy Framework: В применимых случаях получатель подтвердил свое участие в EU-US Data Privacy Framework, который был признан Европейской комиссией обеспечивающим надлежащий уровень защиты.
  • Дополнительные меры: Если это требуется по результатам оценки уровня защиты в стране-получателе, Обработчик внедряет дополнительные технические меры (такие как шифрование и псевдонимизация) и организационные меры, чтобы обеспечить переданным данным уровень защиты, по существу эквивалентный уровню, гарантируемому в пределах ЕЭЗ.

12.3 Оценка воздействия передачи

Обработчик проводит и документирует оценку воздействия передачи для каждой международной передачи, оценивая законодательство и практику страны-получателя, чтобы определить, необходимы ли дополнительные меры для обеспечения по существу эквивалентного уровня защиты данных.

13. Срок действия и прекращение

13.1 Срок действия

Настоящее Соглашение об обработке данных вступает в силу с момента принятия Соглашения Оператором и остается в силе в течение всего периода обработки Обработчиком персональных данных от имени Оператора.

13.2 Сохранение действия

Обязательства Обработчика по настоящему Соглашению об обработке данных сохраняют силу после прекращения действия Соглашения в той мере, в какой это необходимо для завершения возврата или удаления персональных данных и соблюдения применимого законодательства.

14. Возврат и удаление данных

14.1 Выбор Оператора

После прекращения действия Соглашения или по письменному запросу Оператора Обработчик по выбору Оператора обязан:

  • Вернуть все персональные данные Оператору в структурированном, общепринятом и машиночитаемом формате (например, JSON или CSV); или
  • Удалить все персональные данные и все существующие копии, если только законодательство Союза или государства-члена не требует хранения персональных данных.

14.2 Срок

Обработчик завершает возврат или удаление персональных данных в течение 30 календарных дней с момента получения инструкции Оператора или, при отсутствии конкретных инструкций, в течение 30 календарных дней с даты прекращения действия Соглашения.

14.3 Подтверждение удаления

После завершения удаления Обработчик предоставляет Контролеру письменное подтверждение того, что все персональные данные были надежно удалены, в том числе из резервных копий и архивных систем, за исключением случаев, когда их хранение требуется применимым законодательством. Если применяются требования законодательства о хранении данных, Обработчик информирует Контролера о конкретных сохраняемых данных, правовом основании такого хранения и предполагаемом сроке хранения.

14.4 Удаление резервных копий

Персональные данные, содержащиеся в системах регулярного резервного копирования, подлежат удалению в соответствии со стандартным графиком ротации резервных копий Обработчика, который не должен превышать 90 календарных дней. В течение периода хранения такие данные в резервных копиях продолжают защищаться в соответствии с настоящим DPA и не подлежат активной обработке.

15. Ответственность

15.1 Ответственность Обработчика

В соответствии со статьей 82 GDPR Обработчик несет ответственность за любой ущерб, причиненный обработкой, которая не соответствует обязанностям GDPR, специально возложенным на обработчиков, либо в случаях, когда Обработчик действовал вне рамок законных инструкций Контролера или вопреки им.

15.2 Ограничение ответственности

Положения настоящего DPA об ответственности подлежат ограничениям, установленным в Соглашении, за исключением случаев, когда применимое законодательство (включая GDPR) не допускает такого ограничения.

15.3 Возмещение убытков

Каждая сторона обязуется возместить другой стороне любые расходы, требования, убытки или издержки, понесенные другой стороной либо в отношении которых у другой стороны может возникнуть ответственность, вследствие неисполнения первой стороной или ее работниками, агентами либо субобработчиками любого из обязательств по настоящему DPA или GDPR.

16. Изменения

Настоящее Соглашение об обработке данных может время от времени изменяться Обработчиком для отражения изменений в практике обработки данных, составе субобработчиков, правовых требованиях или мерах безопасности. Обработчик уведомит Оператора о любых существенных изменениях не менее чем за 30 календарных дней до их вступления в силу. Если Оператор не согласен с изменениями, он вправе расторгнуть Соглашение в соответствии с его условиями. Продолжение использования Сервиса Оператором после даты вступления изменений в силу означает принятие пересмотренной редакции Соглашения об обработке данных.

17. Соотношение с Соглашением

В случае любого конфликта или несоответствия между положениями настоящего Соглашения об обработке данных и Соглашения положения настоящего Соглашения об обработке данных имеют преимущественную силу в вопросах защиты данных. Во всех остальных отношениях условия Соглашения продолжают применяться.

18. Применимое право

Настоящее Соглашение об обработке данных регулируется и толкуется в соответствии с законодательством штата Делавэр, США, без учета его коллизионных норм и с учетом обязательных положений GDPR и иного применимого законодательства ЕС о защите данных. Любые споры, возникающие из настоящего Соглашения об обработке данных или в связи с ним, подлежат исключительной юрисдикции компетентных судов штата Делавэр, США, с учетом любых императивных положений права ЕС о защите прав потребителей.

19. Контакты

По любым вопросам, запросам или сообщениям, касающимся настоящего Соглашения об обработке данных, пожалуйста, свяжитесь с нами:

  • Эл. почта: [email protected]
  • Компания: Back Hills Assets LLC
  • Адрес: Street Moscow 1

Вы также можете обратиться в местный орган по защите данных по любым вопросам, связанным с защитой данных. Найти свой местный орган можно на сайте Европейского комитета по защите данных.