Настоящее Соглашение об обработке данных («Соглашение об обработке данных» или «Соглашение») заключается между:
| Поиск | Описание |
|---|---|
| Название компании | [ПОЛНОЕ ЮРИДИЧЕСКОЕ ИМЯ КЛИЕНТА] |
| Зарегестрированный адрес | [АДРЕС] |
| НДС / Номер компании | [Номер плательщика НДС] |
| Контактная информация по вопросам защиты данных | [Электронная почта/Контакты сотрудника по защите данных] |
| Представитель, подписавший документ | [ИМЯ, ДОЛЖНОСТЬ] |
| Поиск | Описание |
|---|---|
| Название компании | Xygeni Security, SL |
| Зарегестрированный адрес | C/Pasión 4, 2 Планта, 47001 Вальядолид, Испания |
| НДС | B09620287 |
| Контактная информация по вопросам защиты данных | info@xygeni.io |
| Представитель, подписавший документ | [ИМЯ, ДОЛЖНОСТЬ] |
Контроллер и Обработчик данных далее именуются по отдельности «Сторона», а совместно — «Стороны».
Настоящее Соглашение об обработке данных является частью Генерального соглашения об оказании услуг или Условий предоставления услуг («Основное соглашение») между Сторонами, регулирующих предоставление компанией Xygeni услуг по обеспечению безопасности приложений. software supply chain security услуги («Услуги»). В случае противоречия между настоящим Соглашением об обработке данных и Основным соглашением, настоящее Соглашение об обработке данных имеет преимущественную силу в отношении вопросов защиты данных.
Для целей настоящего DPA:
Стороны признают и соглашаются, что:
В тех случаях, когда Xygeni обрабатывает персональные данные в собственных целях (например, для управления учетными записями, выставления счетов, анализа улучшения качества обслуживания), она выступает в качестве независимого контролера данных. Такая обработка регулируется Политикой конфиденциальности Xygeni и выходит за рамки настоящего Соглашения об обработке данных.
Предмет, характер, продолжительность и цель обработки, а также типы обрабатываемых персональных данных и категории субъектов данных изложены в Приложении 1 (Подробная информация об обработке) к настоящему Соглашению об обработке данных.
Обработчик данных обязуется обрабатывать данные клиента только в той мере, в какой это необходимо для предоставления услуг, описанных в основном соглашении, и в соответствии с документально оформленными инструкциями контроллера, если иное не требуется в соответствии с применимым законодательством. В таком случае Обработчик данных обязан уведомить контроллера о таком юридическом требовании до начала обработки, если иное не запрещено законом по важным соображениям общественного интереса.
Контроллер поручает Обработчику обрабатывать данные клиента в той мере, в какой это необходимо для: (а) предоставления Услуг в соответствии с Основным соглашением; (б) выполнения инструкций Контроллера, периодически направляемых в письменной форме; и (в) выполнения обязательств Обработчика в соответствии с настоящим Соглашением об обработке данных.
Обработчик данных обязан незамедлительно уведомить Контроллера, если, по обоснованному мнению Обработчика, указание Контроллера нарушает применимое законодательство о защите данных. В таком случае Обработчик данных имеет право прекратить обработку данных в соответствии с таким указанием до тех пор, пока Контроллер не уточнит или не изменит это указание.
Контролер гарантирует и подтверждает, что: (а) он имеет законное основание в соответствии со статьей 6 GDPR (и, где применимо, статьей 9) для обработки соответствующих персональных данных; (б) он предоставил все необходимые уведомления и получил все необходимые согласия; и (в) передача данных клиента обработчику не нарушает никаких применимых законов.
Обработчик данных обязуется обрабатывать данные клиента только в соответствии с документально оформленными инструкциями контроллера, за исключением случаев, когда это требуется применимым законодательством ЕС или государства-члена. Обработчик данных не должен обрабатывать данные клиента в собственных целях или раскрывать их третьим лицам, за исключением случаев, когда это необходимо для предоставления Услуг или когда это требуется по закону.
Обработчик данных должен обеспечить, чтобы лица, уполномоченные обрабатывать данные клиента, имели commitОни обязаны соблюдать конфиденциальность или несут соответствующую установленную законом обязанность соблюдать конфиденциальность. Доступ к данным клиента ограничивается теми сотрудниками, подрядчиками и субподрядчиками, которым этот доступ необходим для предоставления услуг.
Обработчик данных обязан внедрить и поддерживать надлежащие технические и организационные меры для защиты данных клиента от несанкционированной или незаконной обработки, а также от случайной потери, уничтожения, повреждения, изменения или раскрытия, принимая во внимание следующие факторы:
Такие меры должны включать, как минимум, те, которые указаны в Приложении 2 (Технические и организационные меры безопасности) к настоящему Соглашению об обработке данных. Сертификация Процессора по стандарту ISO 27001 подтверждает наличие базовой системы управления информационной безопасностью. Процессор обязан поддерживать сертификацию по стандарту ISO 27001 или эквивалентную сертификацию в течение всего срока действия настоящего Соглашения об обработке данных.
Принимая во внимание характер обработки, Обработчик данных обязан оказывать Контроллеру соответствующие технические и организационные меры, насколько это возможно, для выполнения обязательства Контроллера отвечать на запросы об осуществлении обработки данных.cisправа субъектов данных в соответствии с применимым законодательством о защите данных (включая права доступа, исправления, удаления, ограничения, переносимости и возражения в соответствии со статьями 15–22 GDPR).
Обработчик данных обязан: (а) незамедлительно уведомлять Контроллера данных о получении запроса от Субъекта данных в отношении Данных Клиента; (б) не отвечать на такие запросы, за исключением случаев, когда это предусмотрено документально подтвержденными инструкциями Контроллера данных или требуется в соответствии с применимым законодательством; и (в) оказывать Контроллеру данных разумную помощь в ответе на такие запросы в установленные законом сроки (30 дней в соответствии со статьей 12 GDPR).
Обработчик данных обязан оказывать Контроллеру данных содействие в обеспечении соблюдения обязательств, предусмотренных статьями 32–36 GDPR, принимая во внимание характер обработки и информацию, доступную Обработчику данных, в том числе в отношении:
После расторжения или истечения срока действия Основного соглашения, или по запросу Контролера, Обработчик данных по своему выбору обязан удалить или вернуть Контролеру все имеющиеся у него Данные Клиента, а также удалить существующие копии, если только применимое законодательство ЕС или государства-члена не требует хранения Персональных данных. Обработчик данных обязан подтвердить завершение удаления в письменной форме в течение 30 дней с момента наступления соответствующего события.
Процессор standard Применяется график хранения данных (изложенный в Приложении 1), если Контролер не запросит удаление данных ранее.
Обработчик данных обязан предоставлять Контроллеру всю информацию, необходимую для подтверждения соблюдения обязательств, изложенных в настоящем Соглашении об обработке данных, а также обязан разрешать и содействовать проведению аудитов, включая проверки, осуществляемые Контроллером или аудитором, уполномоченным Контроллером.
Обработчик может выполнить это обязательство, предоставив:
Обработчик данных обязан незамедлительно уведомить Контроллера данных, но в любом случае в течение 48 часов с момента обнаружения нарушения защиты персональных данных, затрагивающего данные Клиента. Такое уведомление должно включать, в той мере, в какой это возможно на тот момент:
В тех случаях, когда невозможно предоставить всю вышеуказанную информацию одновременно, она может предоставляться поэтапно без неоправданной дальнейшей задержки. Обработчик данных обязан сотрудничать с Контроллером и предпринимать такие разумные шаги, которые может потребоваться Контроллеру для содействия в расследовании, смягчении последствий и устранении нарушений.
Стороны признают, что обязанность в соответствии со статьей 33 GDPR уведомить компетентный надзорный орган (Испанское агентство по защите данных — AEPD или другой соответствующий орган) в течение 72 часов с момента обнаружения нарушения защиты персональных данных лежит на Контроллере как на контроллере данных. Уведомление, направленное Обработчиком Контроллеру в соответствии с настоящим пунктом, призвано позволить Контроллеру выполнить это нормативное обязательство. Уведомление Обработчика не является признанием вины или ответственности.
Контролер предоставляет Обработчику общее разрешение на привлечение субподрядчиков, перечисленных в Приложении 3 (Утвержденные субподрядчики) к настоящему Соглашению об обработке данных. Обработчик обязуется возложить на каждого субподрядчика обязательства по защите данных, эквивалентные тем, которые изложены в настоящем Соглашении об обработке данных, в частности, предоставить достаточные гарантии для внедрения соответствующих технических и организационных мер.
Обработчик данных обязан уведомить Контроллера о любых планируемых изменениях, касающихся добавления или замены субподрядчиков, путем: (а) обновления списка субподрядчиков, опубликованного по адресу https://xygeni.io/legal/subprocessors, с указанием пересмотренной даты «Последнего обновления»; и (б) предоставления письменного уведомления Контроллеру данных не менее чем за десять (10) дней до вступления изменений в силу. Контроллер данных может возразить против изменений по разумным основаниям, связанным с защитой данных, в течение семи (7) дней с момента такого уведомления. Если Контроллер данных возражает, и Стороны не могут разрешить возражение, Контроллер данных может расторгнуть Основное соглашение, уведомив об этом в разумные сроки, без штрафных санкций.
Если Обработчик данных привлекает субподрядчика, Обработчик данных остается полностью ответственным перед Контроллером за выполнение обязательств этого субподрядчика в той мере, в какой субподрядчик не выполняет свои обязательства по защите данных.
Для каждого субпроцессора процессор должен:
Обработчик данных не должен передавать данные клиента в страну за пределами Европейской экономической зоны (ЕЭЗ), за исключением следующих случаев:
В случаях, когда требуются стандартные договорные положения (SCC), по запросу Контроллера Процессор обязан заключить соответствующие SCC с Контроллером и/или с соответствующим Субпроцессором. Применимым модулем SCC является Модуль два (от Контроллера к Процессору) для передачи данных от Контроллера к Процессору и Модуль три (от Процессора к Субпроцессору) для дальнейшей передачи данных Процессором Субпроцессорам.
Компетентным надзорным органом в целях соблюдения стандартных договорных положений является Испанское агентство по защите данных (Agencia Española de Protección de Datos — AEPD), если иное не согласовано в письменной форме.
Обработчик данных обязан вести и предоставлять Контроллеру данных по запросу актуальную информацию обо всех международных передачах данных Клиента и применимом механизме передачи для каждой из них.
9. Оценка воздействия на защиту данных
В случаях, когда обработка данных может представлять высокий риск для прав и свобод физических лиц, и контролеру данных необходимо провести оценку воздействия на защиту данных (DPIA) в соответствии со статьей 35 GDPR, обработчик данных обязан предоставить контролеру данных разумную помощь и информацию, необходимые для проведения оценки DPIA. Обработчик данных обязан отвечать на разумные запросы контролера данных, касающиеся оценки DPIA, в течение 15 рабочих дней.
По запросу Контролера Обработчик обязан вести учет операций по обработке, осуществляемых от имени Контролера в соответствии со статьей 30(2) GDPR, включая: наименование и контактные данные Обработчика и любых субподрядчиков; категории обработки, осуществляемой от имени Контролера; передачу персональных данных в третью страну; и общее описание технических и организационных мер безопасности.
Ответственность каждой Стороны перед другой Стороной в соответствии с настоящим Соглашением об обработке данных или в связи с ним подлежит ограничениям и исключениям, изложенным в Основном соглашении. В случае, если субъект данных понес ущерб в результате обработки, нарушающей применимое законодательство о защите данных, каждая Сторона несет ответственность за ущерб, причиненный ее обработкой, нарушающей GDPR, в соответствии со статьями 82–83 GDPR. Ничто в настоящем пункте не ограничивает ответственность любой из Сторон перед субъектами данных в соответствии с применимым законодательством.
Настоящее соглашение об отсрочке платежа вступает в силу с даты заключения основного соглашения (или с даты подписания настоящего соглашения, если она наступает позднее) и остается в силе в течение всего срока действия основного соглашения. Расторжение основного соглашения по любой причине автоматически влечет за собой расторжение настоящего соглашения об отсрочке платежа.
После расторжения договора обязательства Обработчика данных в соответствии с пунктом 5.6 (удаление или возврат данных) остаются в силе, и Обработчик данных обязан завершить удаление или возврат данных Заказчика в течение 30 дней с момента расторжения договора. Пункты, касающиеся конфиденциальности, ответственности, применимого права и аудита, также остаются в силе после расторжения договора.
Настоящее Соглашение об оказании услуг регулируется и толкуется в соответствии с законодательством Испании. Стороны подчиняются неисключительной юрисдикции судов Мадрида для разрешения любых споров, возникающих из настоящего Соглашения об оказании услуг или в связи с ним. В той мере, в которой какое-либо положение настоящего Соглашения об оказании услуг противоречит Специальным договорным положениям, преимущественную силу имеют Специальная договорная юрисдикция.
Полное согласие: Настоящее Соглашение об обработке данных, вместе с приложениями к нему и основным соглашением, представляет собой полное соглашение между Сторонами в отношении предмета настоящего Соглашения и заменяет все предыдущие соглашения, договоренности или заявления, касающиеся обработки данных.
Поправки: Настоящее соглашение об отсрочке платежа может быть изменено только по письменному соглашению, подписанному уполномоченными представителями обеих сторон.
Делимость: Если какое-либо положение настоящего Соглашения об избежании двойного налогообложения будет признано недействительным или не имеющим юридической силы, остальные положения останутся в полной силе.
Приоритет: В случае противоречия между настоящим Соглашением об отсрочке платежа и Приложениями, преимущественную силу имеет текст настоящего Соглашения об отсрочке платежа, если в Приложении прямо не указано иное. В случае противоречия между настоящим Соглашением об отсрочке платежа и стандартными договорными положениями (где это применимо), преимущественную силу имеют стандартные договорные положения.
Предметом обработки является предоставление компанией Xygeni следующих услуг: application security posture management, software supply chain security анализ, обнаружение уязвимостей, CI/CD мониторинг безопасности и сопутствующие услуги, как описано в Основном соглашении.
Сбор, организация, структурирование, хранение, анализ, извлечение, использование, раскрытие путем передачи, выравнивание или объединение, ограничение, удаление или уничтожение данных клиента.
Обработка данных клиента осуществляется исключительно в целях предоставления услуг контроллеру, включая: выявление и сообщение об уязвимостях в системе безопасности; анализ рисков в цепочке поставок программного обеспечения; CI/CD pipeline security мониторинг; обнаружение аномалий; и поддержка клиентов.
Обработчик данных обязуется обрабатывать данные клиента в течение всего срока действия основного соглашения. После расторжения соглашения обработчик данных обязуется хранить данные клиента в течение 3 месяцев после даты окончания подписки, после чего они будут удалены, если только контроллер данных не запросит более раннее удаление. Данные пробной учетной записи хранятся в течение 1 месяца после истечения срока действия пробного периода.
| Категория | Примеры |
|---|---|
| данные учетной записи пользователя | Имя, адрес электронной почты, имя пользователя, хеш пароля, роль, организация |
| Данные об активности и использовании | Login события, вызовы API, журналы активности сканирования, временные метки, IP-адреса |
| Метаданные результатов проверки безопасности | Названия репозиториев, пути к файлам (где находятся найденные данные), метаданные зависимостей, pipeline ссылки на конфигурацию |
| Данные связи | Заявки в службу поддержки, электронная переписка, касающаяся предоставляемых услуг. |
К субъектам данных относятся: сотрудники, подрядчики и другие уполномоченные пользователи Контроллера, получающие доступ к Услугам; участники (разработчики, боты, агенты сборки) репозиториев и pipelineотслеживаемые Службами; а также представители и контактные лица Контролера.
Данные Услуги не предназначены для обработки персональных данных особых категорий, как это определено в статье 9 GDPR. Контролер гарантирует, что не будет передавать персональные данные особых категорий в рамках Услуг без предварительного письменного соглашения с Xygeni и внедрения соответствующих дополнительных мер защиты.
Компания Xygeni внедряет следующие технические и организационные меры для защиты данных клиентов в соответствии с сертифицированной по стандарту ISO 27001 системой управления информационной безопасностью Xygeni:
