ДОДАТОК 3. Умови використання: Угода про обробку даних

Набуває чинності 26 листопада 2025 року

Ця Угода про обробку даних застосовується між Вами й ESET, коли Ви обробляєте персональні дані як контролер даних через використання Послуг ESET, що надаються відповідно до Умов, і ESET обробляє такі персональні дані від Вашого імені як оператор даних.

Відповідно до вимог Регламенту ЄС 2016/679, затвердженого Європейським парламентом і Радою ЄС 27 квітня 2016 року, про захист фізичних осіб під час опрацювання персональних даних і про вільний обмін такими даними, який скасував дію Директиви 95/46/ЄС (далі — "GDPR"), ESET (далі — "Оператор") і Ви (далі — "Контролер") вступаєте в договірні відносини з метою визначити умови опрацювання персональних даних, спосіб їх захисту, а також обумовити інші права й обов’язки обох сторін під час опрацювання персональних даних суб’єктів від імені Контролера під час виконання умов цієї Угоди, яка є основним договором.

1. Обробка персональних даних. До Послуг, що надаються відповідно до цих Умов, входить опрацювання від імені Контролера даних, які прямо або опосередковано ідентифікують фізичну особу. Ці дані вказано в документі Політика конфіденційності (далі — "Персональні дані").

2. Уповноваження. Контролер уповноважує Оператора обробляти Персональні дані, зокрема згідно з такими інструкціями:

(i) "Мета опрацювання" — надання Послуг відповідно до Умов цієї Угоди й документації. Оператору дозволяється обробляти лише ті Персональні дані, які пов’язані з наданням послуг, запитаних Контролером, і лише від імені Контролера. На обробку всіх даних, які збираються в інших цілях, не розповсюджуються договірні відносини між Контролером і Оператором.

(ii) "Період опрацювання" — час між початком співпраці за цією Угодою і її припиненням.

(iii) Обсяг і категорії Персональних даних – будь-які Персональні дані, які надаються або надаються Контролером під час надання Послуг. Служби призначені лише для обробки загальних персональних даних. Однак Контролер несе повну відповідальність за визначення обсягу персональних даних.

(iv) "Суб’єкт даних" — фізична особа, що є вповноваженим користувачем пристроїв Контролера, для яких надаються Послуги.

(v) "Операції з обробки" — усі процеси, необхідні для обробки даних;

(vi) "Письмові вказівки" — інструкції в цій Угоді, Додатках, Політиці конфіденційності та документації. Контролер відповідає за правову допустимість обробки Персональних даних Оператором з огляду на відповідні норми законодавства про захист даних.

3. Обов’язки Оператора. Оператор зобов’язаний:

(i) обробка Персональних даних виключно на підставі Документованих інструкцій і відповідно до Мети обробки;

(ii) Надати вказівки особам, уповноваженим обробляти Персональні дані ("Уповноважені особи"), щодо їхніх прав і обов’язків відповідно до закону GDPR й відповідальності в разі його порушення, а також забезпечити, щоб Уповноважені особи взяли на себе зобов’язання зберігати конфіденційність і дотримуватися задокументованих інструкцій.

(iii) уживати всіх заходів, пов’язаних із безпекою опрацювання, згідно зі Статтею 32 GDPR, беручи до уваги наявний стан речей, витрати на впровадження, а також характер, обсяг, контекст і цілі опрацювання, ризик різної ймовірності й серйозності для прав і свобод фізичних осіб, щоб гарантувати під час опрацювання Персональних даних Контролера рівень безпеки, який відповідає ризику.

(iv) Допомагати Контролеру надавати відповіді на запити від Суб’єктів даних щодо їхніх прав з огляду на характер опрацювання. Обробник не може виправляти, видаляти або обмежувати обробку Персональних даних без відповідних інструкцій від Контролера. Усі запити від Суб’єкта даних щодо Персональних даних, які обробляються від імені Контролера, мають негайно надсилатися Контролеру.

(v) Допомагати Контролеру повідомляти про порушення захисту Персональних даних наглядовим органам і Суб’єкту даних. Оператор повинен повідомити Контролера про будь-яке порушення, що стосується обробки або безпеки персональних даних, негайно після виявлення. Оператор зобов’язаний належним чином сприяти дослідженню й усуненню такого порушення та вживати розумних заходів для обмеження подальших негативних наслідків.

(vi) На розсуд Контролера видаляти всі Персональні дані або повертати їх Контролеру після завершення періоду обробки. Контролер зобов’язується повідомити Оператора про своє рішення протягом десяти (10) днів після закінчення Періоду обробки. Це положення не впливає на право Оператора зберігати Персональні дані в необхідному обсязі для архівних цілей з міркувань суспільного інтересу, для наукових досліджень, з метою збору статистики або для подання, виконання й захисту позовних заяв.

(vii) Вести актуальний реєстр усіх категорій обробки, які він здійснював від імені Контролера,

(viii) Надавати всю необхідну інформацію, що засвідчує дотримання положень Умов, Додатків до них, Політики конфіденційності й документації, доступних для Контролера. Якщо Контролер проводитиме перевірку або аудит процесу обробки Персональних даних, Контролер зобов’язаний повідомити про це Оператора в письмовій формі принаймні за десять (30) днів до запланованої перевірки або аудиту.

4. Залучення стороннього оператора. Оператор, як правило, має право залучати сторонніх операторів для певних процедур опрацювання, зокрема для надання хмарного сховища даних і хмарної інфраструктури з метою виконання положень цих Умов, Додатків до них, Політики конфіденційності й документації. Але навіть у цьому разі Оператор лишається єдиною контактною особою та стороною, відповідальною за виконання вимог Угоди. Цим Оператор зобов’язується інформувати Контролера про нових або заміну старих операторів, щоб такі зміни можна було оскаржити. Субоператори, які зараз беруть участь, визначено в Політиці конфіденційності Оператора.

5. Територія, на якій здійснюється обробка. Оператор докладатиме всіх зусиль, щоб обробка відбувалася в Європейській економічній зоні або країні, визначеній як безпечна за рішенням Європейської комісії, на підставі рішення Контролера. Стандартні договірні положення застосовуються в разі передачі й обробки даних за межами Європейської економічної зони або країни, визначеної як безпечна згідно з рішенням Європейської комісії за запитом Оператора.

6. Безпека. Оператор отримав сертифікат ISO 27001 і використовує інфраструктуру ISO 27001, щоб упровадити багатошарову стратегію захисту для засобів безпеки на рівні мережі, операційних систем, баз даних, додатків, персоналу й операційних процесів. Відповідність нормативним вимогам і умовам Угоди регулярно оцінюється та перевіряється, як й інші елементи інфраструктури й операції Оператора. Оператор уживає необхідних кроків для їх дотримання на постійній основі. Оператор організував засоби безпеки даних за допомогою ISMS на основі ISO 27001. Документація з безпеки охоплює в основному політики щодо захисту інформації, фізичної безпеки та безпеки обладнання, запобігання порушенням, усунення витоків даних й порушень безпеки тощо.

7. Технічні й організаційні заходи. Оператор захищає Персональні дані від випадкового та незаконного пошкодження та знищення, випадкової втрати, зміни, несанкціонованого доступу й розголошення. З цією метою Оператор вживає відповідних технічних і організаційних заходів, які відповідають режиму обробки й ризику, який становить обробка для прав Суб’єктів даних відповідно до вимог GDPR. Детальний опис технічних і організаційних заходів викладено в Політиці безпеки.

8. Контактна інформація Оператора. Усі сповіщення, запити, претензії й інші повідомлення щодо захисту персональних даних надсилаються на адресу ESET, spol. s.r.o., до уваги: Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk.