Договор об обработке данных (DPA)

Настоящий Договор об обработке данных (далее — «DPA») заключается между:

Контролёр данных (Заказчик):
Соответствующий пользователь (далее — «Клиент»), зарегистрировавшийся в emlyx и использующий Сервис.

Обработчик данных (Исполнитель):
PROXALY OÜ
Sepapaja tn 6, 15551 Tallinn, Estland
Эл. почта: info@proxaly.com
(далее — «Поставщик»)

Клиент и Поставщик далее именуются по отдельности «Сторона», а совместно — «Стороны».

Настоящий DPA дополняет Общие условия использования и Политику конфиденциальности emlyx и становится неотъемлемой частью договора при регистрации Клиента.

1.1 Поставщик обрабатывает персональные данные по поручению Клиента в рамках предоставления сервиса отправки электронной почты «emlyx». Поставщик действует при этом как обработчик данных в понимании ст. 28 GDPR.

1.2 Срок обработки данных по поручению соответствует сроку действия основного договора (использование Сервиса в соответствии с Условиями). DPA автоматически прекращает действие с прекращением основного договора, без ущерба для обязательств по удалению данных в соответствии с разделом 9 настоящего DPA.

2.1 Обработка осуществляется исключительно в целях оказания сервиса отправки электронной почты, в частности:

• Приём и передача электронных писем Клиента сервису доставки электронной почты
• Хранение журналов электронной почты и информации о статусе доставки
• Предоставление панели управления для администрирования и просмотра данных электронной почты
• Опционально: отслеживание открытий/переходов (если активировано Клиентом)

2.2 Обработка осуществляется исключительно в рамках указаний Клиента (см. раздел 5) и не преследует собственных целей Поставщика.

3.1 В рамках обработки данных по поручению обрабатываются следующие категории персональных данных:

• Адреса электронной почты получателей
• Информация об отправителе (имя, адрес электронной почты)
• Тема электронного письма
• Содержание электронного письма (HTML-Body)
• Статус доставки (доставлено, не удалось, отклонено и т.д.)
• Временные метки (время отправки, время доставки)
• Опционально: данные отслеживания открытий/переходов (время открытия, ссылки, на которые был осуществлён переход, IP-адрес, User-Agent)

3.2 Особые категории персональных данных в понимании ст. 9 GDPR не являются предметом обработки. Клиент обязан обеспечить, чтобы через Сервис не обрабатывались особые категории персональных данных, за исключением случаев, когда он располагает достаточным правовым основанием и принял соответствующие защитные меры.

4.1 Обработка затрагивает следующих лиц:

• Получатели электронных писем, отправленных Клиентом через Сервис (например, клиенты Клиента, подписчики рассылок, посетители сайта, деловые партнёры)

4.2 Конкретное определение субъектов данных возлагается на Клиента как контролёра данных.

5.1 Клиент несёт ответственность в рамках настоящего DPA за соблюдение положений законодательства о защите данных, в частности, за правомерность обработки данных и обеспечение прав субъектов данных (ст. 12–22 GDPR).

5.2 Клиент даёт Поставщику указания относительно вида, объёма и порядка обработки данных. Указания закреплены в настоящем DPA и в Условиях использования. Отдельные указания, выходящие за рамки обработки, определённой в настоящем DPA, требуют письменной формы (электронной почты достаточно).

5.3 Клиент имеет право проверять соблюдение Поставщиком положений настоящего DPA и требований законодательства о защите данных (см. раздел 8).

5.4 Клиент незамедлительно уведомляет Поставщика при обнаружении ошибок или нарушений при обработке персональных данных.

6.1 Связанность указаниями

Поставщик обрабатывает персональные данные исключительно на основании документированных указаний Клиента (ст. 28 п. 3 лит. a GDPR), за исключением случаев, когда он обязан к обработке в силу законодательства Союза или государства-члена. В таком случае Поставщик предварительно информирует Клиента об этом правовом обязательстве, если соответствующее законодательство не запрещает такое информирование в силу важного общественного интереса.

Если Поставщик полагает, что указание Клиента нарушает положения законодательства о защите данных, он обязан незамедлительно уведомить об этом Клиента. Поставщик вправе приостановить выполнение соответствующего указания до его подтверждения или изменения Клиентом.

6.2 Конфиденциальность

Поставщик обеспечивает, чтобы лица, участвующие в обработке персональных данных, были обязаны соблюдать конфиденциальность или подчинялись надлежащему законному обязательству о неразглашении (ст. 28 п. 3 лит. b GDPR).

6.3 Технические и организационные меры

Поставщик принимает все необходимые в соответствии со ст. 32 GDPR технические и организационные меры для защиты обрабатываемых персональных данных. Конкретные меры описаны в Приложении 1 (Технические и организационные меры) к настоящему DPA.

Поставщик регулярно проверяет эффективность этих мер и при необходимости приводит их в соответствие с современным уровнем техники. Изменения допустимы при условии, что уровень защиты не снижается.

6.4 Субподрядчики по обработке данных

Привлечение субподрядчиков по обработке данных регулируется разделом 7 настоящего DPA.

6.5 Содействие в реализации прав субъектов данных

Поставщик оказывает Клиенту, по мере возможности, содействие с помощью надлежащих технических и организационных мер в выполнении его обязательств по рассмотрению обращений субъектов данных о реализации их прав в соответствии с главой III GDPR (ст. 28 п. 3 лит. e GDPR), в частности, в отношении запросов на получение информации, исправление, удаление и перенос данных.

Если субъект данных обращается с запросом непосредственно к Поставщику, Поставщик незамедлительно передаёт этот запрос Клиенту.

6.6 Содействие в выполнении обязательств по защите данных

Поставщик оказывает Клиенту содействие с учётом характера обработки и имеющейся у него информации в выполнении обязательств, предусмотренных ст. 32–36 GDPR, в частности:

• Обеспечение безопасности обработки (ст. 32 GDPR)
• Уведомление надзорного органа о нарушении защиты персональных данных (ст. 33 GDPR)
• Уведомление субъектов данных (ст. 34 GDPR)
• Проведение оценки воздействия на защиту данных (ст. 35 GDPR)

Поставщик незамедлительно уведомляет Клиента при обнаружении нарушения защиты персональных данных.

6.7 Удаление и возврат данных

Порядок удаления и возврата персональных данных регулируется разделом 9 настоящего DPA.

6.8 Права контроля и получения информации

Права Клиента на контроль и получение информации регулируются разделом 8 настоящего DPA.

7.1 Клиент настоящим предоставляет Поставщику общее письменное разрешение на привлечение дополнительных обработчиков данных (субподрядчиков) для выполнения его договорных обязательств (ст. 28 п. 2 GDPR).

7.2 На момент заключения настоящего DPA Поставщик привлекает следующих субподрядчиков:

7.3 Поставщик уведомит Клиента о любом планируемом изменении, касающемся привлечения или замены субподрядчиков. Уведомление направляется по электронной почте или через панель управления не менее чем за 14 дней до планируемого изменения.

7.4 Клиент имеет право выразить возражение против планируемого изменения в течение 14 дней после получения уведомления. Возражение должно быть обоснованным (в частности, опасениями, связанными с защитой данных). В случае обоснованного возражения Стороны предпринимают попытку достичь взаимоприемлемого решения. Если это не удаётся, Клиент имеет право на досрочное расторжение договора к моменту планируемого изменения.

7.5 Поставщик обеспечивает заключение с каждым субподрядчиком договора, который возлагает на него обязательства по защите данных не менее строгие, чем те, которые установлены в настоящем DPA (ст. 28 п. 4 GDPR). Поставщик несёт ответственность перед Клиентом за соблюдение субподрядчиком обязательств по защите данных.

8.1 Поставщик предоставляет Клиенту всю необходимую информацию для подтверждения соблюдения обязательств, предусмотренных ст. 28 GDPR, и обеспечивает возможность проведения проверок, включая инспекции, осуществляемые Клиентом или назначенным им аудитором (ст. 28 п. 3 лит. h GDPR).

8.2 Проведение инспекций на месте возможно при следующих условиях:

• Клиент уведомляет об инспекции в письменной форме не менее чем за 30 дней
• Инспекция проводится в обычные рабочие часы и не должна непропорционально нарушать деятельность предприятия
• Аудитор обязан соблюдать конфиденциальность
• Инспекции ограничены одним разом в календарный год, за исключением случаев, когда имеется конкретное основание (например, инцидент в области защиты данных, запрос надзорного органа)

8.3 В качестве альтернативы Поставщик может предоставить актуальные сертификаты, аудиторские заключения или свидетельства независимых органов, если они достаточно подтверждают соблюдение обязательств по настоящему DPA.

8.4 Расходы на инспекцию несёт Клиент, за исключением случаев, когда инспекция выявит существенные нарушения Поставщиком настоящего DPA.

9.1 В течение срока действия договора данные, обрабатываемые по поручению Клиента, хранятся на протяжении всего периода действия договорных отношений. Это включает, в частности:

• Журналы электронной почты (статус доставки, метаданные): до удаления учётной записи
• Содержание электронных писем (HTML-Body): до удаления учётной записи
• Данные отслеживания открытий/переходов: до удаления учётной записи

9.2 После прекращения действия основного договора Поставщик удаляет все обработанные по поручению Клиента персональные данные в течение 30 дней, если не существует законодательного обязательства по их хранению (ст. 28 п. 3 лит. g GDPR).

9.3 Клиент имеет возможность экспортировать свои данные через панель управления до прекращения действия договора. Поставщик — при наличии технической возможности — будет стремиться предоставить Клиенту после прекращения действия договора срок не менее 7 дней для экспорта данных.

9.4 Удаление распространяется также на данные у субподрядчиков. Поставщик обеспечивает, чтобы субподрядчики были обязаны удалить данные в установленные сроки.

9.5 Поставщик подтверждает Клиенту полное удаление данных по запросу в письменной форме.

10.1 Передача персональных данных в третью страну (за пределы ЕЭП) или международной организации осуществляется исключительно при наличии одного из оснований, предусмотренных ст. 44–49 GDPR.

10.2 При привлечении субподрядчика Resend (США) передача данных в США осуществляется на следующих основаниях:

• Приоритетное: решение Европейской комиссии о достаточности уровня защиты для Рамочной программы ЕС–США по защите данных (ст. 45 GDPR)
• Дополнительное / резервное: стандартные договорные положения ЕС (Standard Contractual Clauses, SCC) в соответствии со ст. 46 п. 2 лит. c GDPR в редакции Имплементационного решения (ЕС) 2021/914

10.3 Поставщик обеспечивает при передаче данных в третьи страны надлежащий уровень защиты данных, соответствующий уровню защиты GDPR. При необходимости принимаются дополнительные меры (например, шифрование, псевдонимизация).

10.4 В случае отмены или утраты действия решения о достаточности уровня защиты Поставщик незамедлительно обеспечит альтернативные гарантии в соответствии со ст. 46 GDPR или прекратит передачу данных.

11.1 Настоящий DPA подчиняется законодательству Федеративной Республики Германия, если обязательные нормы права Европейского Союза в области защиты данных не имеют приоритета.

11.2 В случае противоречий между настоящим DPA и Условиями использования или иными соглашениями между Сторонами положения настоящего DPA в части защиты персональных данных имеют преимущественную силу.

11.3 Если отдельные положения настоящего DPA окажутся недействительными или неосуществимыми, действительность остальных положений не затрагивается. Стороны заменят недействительное положение нормой, максимально соответствующей цели защиты данных недействительного положения.

11.4 Изменения и дополнения настоящего DPA требуют письменной формы (электронной почты достаточно). Устные дополнительные соглашения не действуют.

11.5 Настоящий DPA вступает в силу с момента регистрации Клиента в emlyx.

1. Конфиденциальность (ст. 32 п. 1 лит. b GDPR)

1.1 Контроль доступа

• Аутентификация на основе API-токена для доступа к сервису отправки электронной почты
• Ролевое разграничение доступа в панели управления
• Защита паролей с использованием bcrypt-хеширования
• API-токены хранятся в зашифрованном виде AES-256

1.2 Контроль разделения

• Разделение данных клиентов с помощью уникальных идентификаторов проектов
• Логическое разделение данных клиентов на уровне базы данных

2. Целостность (ст. 32 п. 1 лит. b GDPR)

2.1 Контроль передачи

• TLS-шифрование для всех передач данных (HTTPS)
• Шифрованная связь с субподрядчиками

2.2 Контроль ввода

• Протоколирование операций отправки электронной почты с временными метками
• Отслеживаемость через панель управления (журналы электронной почты)

3. Доступность и устойчивость (ст. 32 п. 1 лит. b, c GDPR)

• Хостинг в Hetzner Cloud (центры обработки данных в Германии)
• Автоматическое резервное копирование баз данных
• Мониторинг доступности системы

4. Процедура регулярной проверки (ст. 32 п. 1 лит. d GDPR)

• Регулярная проверка и обновление технических и организационных мер
• Приведение в соответствие с современным уровнем техники