Угода про обробку замовлень (AVV]
відповідно до ст. 28 абз. 3 Загального регламенту про захист даних (GDPR]
§ 1 Предмет і тривалість замовлення
(1] Ця угода регулює права та обов'язки сторін у зв'язку з обробкою персональних даних підрядником (обробником замовлень] за дорученням клієнта (контролера]. Вона застосовується до всіх видів діяльності, під час яких співробітники підрядника або треті особи, залучені ним, можуть контактувати з персональними даними контролера.
(2] Термін дії цієї угоди визначається терміном дії основного договору про використання програмного забезпечення "BusWay". Вона автоматично закінчується після припинення основного договору, якщо не існує законодавчих зобов'язань щодо зберігання.
§ 2 Вид і мета обробки
(1] Обробник надає контролеру платформу Software-as-a-Service (SaaS]. Обробка включає збір, зберігання, оцінку та надання даних для підтримки операційних процесів.
(2] Метою обробки є цифровий інструктаж Route/Line, навігація водіїв, управління інформацією про маршрути, а також технічне забезпечення роботи програмного забезпечення.
§ 3 Вид даних і коло зацікавлених осіб
(1] Категорії зацікавлених осіб: Співробітники клієнта (водії, диспетчери, адміністратори].
(2] Вид оброблюваних персональних даних:
- Ідентифікаційні дані (ім'я користувача, адреса електронної пошти, ім'я та прізвище].
- Дані про місцезнаходження та пересування (GPS-координати під час активного використання програми, історія маршрутів].
- Метадані пристрою (IP-адреса, ідентифікатор пристрою, версія операційної системи, версія програми].
- Дані про використання (мітки часу входів, створені або пройдені маршрути, журнали синхронізації].
§ 4 Обов'язки обробника
(1] Обробник обробляє персональні дані виключно в рамках укладених угод і за вказівкою контролера, якщо він не зобов'язаний іншим чином обробляти їх відповідно до законодавчих положень.
(2] Обробник гарантує, що всі особи, які мають право на обробку персональних даних, зобов'язані зберігати конфіденційність або підпадають під відповідний законодавчий обов'язок зберігати таємницю.
(3] Обробник вживає всіх необхідних заходів відповідно до ст. 32 GDPR (безпека обробки], щоб забезпечити рівень захисту, що відповідає ризику.
(4] Обробник всіма силами підтримує контролера у виконанні обов'язків, зазначених у ст. 32-36 GDPR (наприклад, повідомлення про порушення захисту персональних даних].
§ 5 Обов'язки контролера
(1] Контролер несе одноосібну відповідальність за оцінку допустимості обробки відповідно до ст. 6 абз. 1 GDPR, а також за захист прав зацікавлених осіб (наприклад, інформування співробітників про GPS-відстеження].
(2] Контролер, як правило, дає свої вказівки шляхом використання функцій програмного забезпечення (наприклад, створення або видалення користувачів]. Усні вказівки повинні бути негайно підтверджені в письмовій формі або в текстовій формі (електронною поштою].
§ 6 Технічно-організаційні заходи (ТОМ]
(1] Обробник вжив відповідних технічних та організаційних заходів для захисту даних від несанкціонованого доступу, втрати або зміни.
- Конфіденційність: Шифрування передачі даних (SSL/TLS], захист паролем (хешування], контроль доступу.
- Цілісність: Контроль введених даних, протоколювання системних доступів, розділення даних клієнтів (логічне розділення].
- Доступність: Регулярне резервне копіювання, надлишкова серверна інфраструктура, плани на випадок надзвичайних ситуацій (Disaster Recovery].
- Навантаження: Використання масштабованої хмарної інфраструктури та регулярна перевірка безпеки системи.
§ 7 Субпідрядні відносини
(1] Контролер надає обробнику загальний дозвіл на залучення інших обробників (субпідрядників] для виконання договірних зобов'язань.
(2] Обробник інформує контролера про будь-які заплановані зміни щодо залучення або заміни інших обробників. Контролер має право на заперечення.
(3] Актуальні субпідрядники, які використовуються, перелічені в додатку до цього договору.
§ 8 Права контролю
(1] Контролер має право перевіряти дотримання законодавчих положень і положень цього договору обробником у розумних межах. Оскільки це SaaS-рішення, доказ може бути наданий переважно за допомогою сертифікатів або атестатів незалежних третіх сторін.
§ 9 Видалення та повернення даних
(1] Після завершення надання послуг з обробки обробник видаляє всі персональні дані або повертає їх контролеру, якщо немає законодавчого зобов'язання щодо зберігання.
§ 10 Заключні положення
(1] Якщо окремі частини цієї угоди є недійсними, це не впливає на дійсність інших положень.
(2] Застосовується право Федеративної Республіки Німеччина. Місцем юрисдикції є місцезнаходження обробника.
Обробник використовує наступних постачальників послуг для виконання своїх послуг:
| Послуга | Постачальник послуг | Розташування сервера |
|---|---|---|
| Хостинг, база даних і бекенд | Strato AG | Берлін / Карлсруе, DE |
| Картографічні дані та геокодування | Google Cloud EMEA | Дублін, IE (ЄС] |
| Реселлер / Merchant of Record | Paddle.com Market Ltd | Лондон, UK (Рішення про адекватність] |