ПРИЛОЖЕНИЕ No 3 к Условиям использования: Соглашение об обработке данных

Вступает в силу с 26 ноября 2025 года

Настоящее Соглашение об обработке данных применяется между Вами и компанией ESET всякий раз, когда Вы обрабатываете персональные данные как контролер данных с помощью услуг ESET, предоставляемых в соответствии с настоящими Условиями, и ESET обрабатывает такие персональные данные от вашего имени как оператор обработки данных.

В соответствии с требованиями Регламента (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 года о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных, аннулирующих Директиву 95/46/EC («ОРЗД»), ESET («Оператор обработки») и Вы («Контролер») вступают в договорные отношения по обработке данных, чтобы определить условия обработки персональных данных, способ их защиты, а также определить другие права и обязанности обеих сторон при обработке персональных данных субъектов данных от имени Контролера в ходе выполнения Предмета настоящих Условий в качестве основного договора.

1. Обработка персональных данных. Услуги, предоставляемые в соответствии с настоящими Условиями, включают в себя обработку информации, относящейся к идентифицированному или идентифицируемому физическому лицу, от имени Контролера, как указано в политике конфиденциальности («Персональные данные»).

2. Авторизация. Контролер уполномочивает Оператора обработки обрабатывать Персональные данные, включая следующие инструкции:

(i) «Цель обработки» означает предоставление Услуг в соответствии с настоящими Условиями и документацией. Оператор обработки имеет только право обрабатывать Персональные данные от имени Контролера в отношении предоставления услуг, запрошенных Контролером. Вся информация, собранная для дополнительных целей, обрабатывается вне договорных отношений между Контролером и Оператором обработки.

(ii) «Период обработки» означает период от вступления в сотрудничество, в соответствии с настоящими Условиями, до прекращения их действия.

(iii) «Охват и категории Персональных данных» означает любые Персональные данные, которые предоставил Контролер или к которым он отрыл доступ в процессе предоставления Услуг. Услуги подразумевают обработку только персональных данных общего типа. Однако Контролер самостоятельно отвечает за определение объема персональных данных.

(iv) «Субъект данных» означает физическое лицо в качестве авторизованного пользователя устройств Контролера, для которого предоставляются Услуги.

(v) «Операции обработки» означают все без исключения операции, необходимые для обработки.

(vi) «Документированные инструкции» означают инструкции, описанные в настоящих Условиях, Приложениях к ним, Политике конфиденциальности и документации. Контролер несет ответственность за юридическую допустимость обработки Персональных данных Оператором обработки в отношении соответствующих применимых положений законодательства о защите данных.

3. Обязанности Оператора обработки. Оператор обработки обязан:

(i) обрабатывать Персональные данные только на основании Документированных инструкций и в соответствии с целями обработки;

(ii) Проинструктировать лиц, уполномоченных обрабатывать Персональные данные («Уполномоченные лица»), об их правах и обязанностях в соответствии с ОРЗД и об их ответственности в случае нарушения, а также обеспечить обязательство со стороны Уполномоченных лиц соблюдать конфиденциальность и следовать документированным инструкциям.

(iii) принять все меры, связанные с безопасностью обработки данных, которые требуются в соответствии со статьей 32 GDPR, с учетом современных технологий, затрат на осуществление и характера, объема, контекста и целей обработки, а также риска различной вероятности и тяжести для прав и свобод физических лиц, чтобы обеспечить уровень безопасности при обработке персональных данных Контролера, соответствующий указанному риску;

(iv) Учитывая характер обработки, помогать Контролеру отвечать на запросы Субъектов данных, связанные с их правами. Оператор обработки не должен исправлять, удалять или ограничивать обработку Персональных данных без соответствующего указания от Контролера. Все запросы Субъектов данных, связанные с Персональными данными, обрабатываемыми от имени Контролера, должны без промедления перенаправляться Контролеру.

(v) содействовать Контролеру в уведомлении наблюдательного органа и Субъекта данных касательно утечки Персональных данных; Оператор обработки должен уведомлять Контролера о любом нарушении в обработке Персональных данных или безопасности персональных данных незамедлительно после обнаружения. Оператор обработки должен в разумной мере принимать участие в расследовании и исправлении такого нарушения, а также принять разумные меры для ограничения дальнейших негативных последствий.

(vi) по усмотрению Контролера удалить или вернуть все Персональные данные Контролеру после окончания Периода обработки. Контролер обязуется проинформировать Оператора обработки о своем решении в течение десяти (10) дней после окончания Периода обработки. Это положение не влияет на право Оператора обработки хранить Персональные данные в необходимой степени в целях создания архивов в интересах общества, в статистических целях, а также в целях создания, осуществления или защиты юридических исков.

(vii) вести актуальный реестр всех категорий операций обработки, которые он выполнял от имени Контролера;

(viii) сделать доступной Контролеру всю информацию, необходимую для демонстрации соответствия в рамках настоящих Условий, Приложений к ним, Политики конфиденциальности и документации. В случае необходимости аудита или контроля обработки Персональных данных со стороны Контролера Контролер обязан в письменном виде проинформировать Оператора обработки по крайней мере за тридцать (30) дней до запланированного аудита или контроля.

4. Привлечение другого оператора обработки. Оператор обработки в целом имеет право привлекать другого оператора обработки для выполнения определенных операций обработки, таких как предоставление облачного хранилища и инфраструктуры для Службы, в соответствии с настоящими Условиями, Приложениями к нему, Политикой конфиденциальности и Документацией. Даже в этом случае Оператор обработки остается единственным контактным лицом и стороной, ответственной за соблюдение соответствия требованиям. Настоящим Оператор обработки обязуется информировать Контролера о любых случаях добавления или замены другого оператора обработки, чтобы обеспечить возможность возразить против такого изменения. Субоператоры обработки, привлекаемые в настоящее время, указаны в Политике конфиденциальности Оператора обработки.

5. Территория обработки. Оператор обработки гарантирует, что обработка происходит в Европейском экономическом пространстве или в стране, обозначенной как безопасная по решению Европейской комиссии на основании решения Контролера. По запросу Контролера применяются стандартные договорные условия в случае передачи и обработки, осуществляемых за пределами Европейского экономического пространства или страны, обозначенной как безопасная по решению Европейской комиссии.

6. Безопасность. Оператор обработки сертифицирован по стандарту ISO 27001 и использует платформу ISO 27001 для реализации многоуровневой стратегии защиты при применении мер безопасности на уровне сети, операционных систем, баз данных, приложений, персонала и операционных процессов. Соответствие нормативным и договорным требованиям регулярно оценивается и анализируется аналогично другой инфраструктуре и операцииам Оператора обработки, а также постоянно принимаются необходимые меры для соблюдения соответствия. Оператор обработки организовал защиту данных с помощью ISMS на основе ISO 27001. Документация по безопасности включает в себя в основном программные документы для обеспечения информационной безопасности, физической безопасности и защиты оборудования, управления инцидентами, обработки утечек данных, инцидентов безопасности и т. д.

7. Технические и организационные меры. Оператор обработки должен защищать Персональные данные от случайного и незаконного повреждения и уничтожения, непреднамеренной утраты, несанкционированного доступа и раскрытия. Для этого Оператор обработки должен принять адекватные технические и организационные меры, соответствующие режиму обработки и риску, который несет обработка для прав Субъектов данных, в соответствии с требованиями ОРЗД. Подробное описание технических и организационных мер приведено в Политике безопасности.

8. Контактная информация Оператора обработки. Все уведомления, запросы, требования и другие сообщения, касающиеся защиты персональных данных, должны направляться в ESET, spol. s.r.o., на имя: Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk.