Политика конфиденциальности Sūti Gudri SIA – Договор на обработку данных 
 
Вступает в силу  с 01.04.2019 г.
Последние изменения -
 
Настоящий Договор на обработку данных (далее Договор) регулирует обработку персональных данных компанией Sūti Gudri, действующей  в качестве Обрабатывающего данные лица от имени своего клиента, действующего в качестве Контролера данных. Настоящий Договор становится обязательным для Обрабатывающего данные лица и Контролера данных в соответствии с Общим регламентом по защите данных.
 
1. ОПРЕДЕЛЕНИЯ И ПОНЯТИЯ ЗАКЛЮЧЕННОГО ДОГОВОРА 
1.1. Если контекст Договора не требует другого значения, то определения настоящего Договора, включая преамбулу и приложения, выделенные большими прописными буквами, имеют следующие значения:
 
Общий регламент по защите данных:  Регламент № 2016/679 Европейского парламента и Совета Европейского Союза «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС».
 
Контролер данных:  сторона настоящего Договора, физическое или юридическое лицо, государственный орган, агентство или другой орган, который индивидуально или совместно с другими определяет цели и средства обработки данных. 
 
Обрабатывающее данные лицо: сторона настоящего Договора, физическое или юридическое лицо, орган, агентство или другое учреждение, которое обрабатывает персональные данные от имени Контролера данных. 
 
Данные:  любая информация о физическом лице, чья идентичность установлена, или чью идентичность можно установить (субъект данных); физическое лицо, идентичность которого можно установить, - это лицо, чью идентичность можно установить прямо или косвенно, во-первых,  по идентификаторам, таким как имя, фамилия, персональный идентификационный номер, данным о месте нахождения и идентификатору Интернета, или по одному или нескольким физическим, физиологическим, генетическим, психическим, экономическим, культурным и социальным признакам идентичности физического лица.
 
Обработка данных: любая операция или набор операций, осуществляемых с персональными данными или совокупностью персональных данных, с применением автоматизированных средств или без таковых, например сбор, запись, организация, структурирование, хранение, модификация или изменение, извлечение, консультирование, использование, раскрытие посредством передачи, распространения или предоставления иным способом, а также упорядочение или комбинирование с другими данными, ограничение, стирание или уничтожение.
 
Автоматический вид: действия, полностью или частично выполняемые при помощи автоматизированных средств. 
 
Субъект данных: физическое лицо, данные которого обрабатываются в соответствии с настоящим Договором. 
 
Третье лицо: физическое или юридическое лицо, органы государственной власти, агентство или орган, отличный от субъекта данных, контролера, обрабатывающего данные лица или лиц, которые уполномочены проводить обработку персональных данных под непосредственным руководством контролера или обрабатывающего данные лица.
 
Технические и организационные средства: средства, предназначенные для защиты Данных от случайного или незаконного уничтожения, изменения, раскрытия, а также любой другой незаконной обработки. Упомянутые средства должны обеспечивать такой уровень безопасности, который соответствует типу сохраняемых данных и рискам, связанным с их обработкой. В настоящем Договоре
 
1.2. В настоящем Договоре:
 
(a) слова во множественном числе имеют то же значение, что и слова, используемые в единственном числе, и наоборот;
(b) использование конкретного рода (мужского или женского) в тексте Договора следует понимать, как использование любого из этих родов;
(c) слово «в том числе» или «включительно» соответственно означает «в том числе без любых ограничений» или «включая, но не ограничиваясь»; 
(d) названия частей настоящего Договора используются исключительно для удобства и не влияют на толкование Договора;
(e) ссылки на пункты, приложения и другие положения относятся к пунктам, приложениям и положениям настоящего Договора.
 
1.3. Договор является результатом переговоров и договоренностей между Сторонами, и поэтому Договор не может объясняться в пользу или во вред одной из Сторон на том основании, что любая из Сторон была или могла быть ответственной за подготовку проекта Договора или любой его части.
1.4.   Понятия, которым в Договоре не дано понятие, разъясняются в соответствии с регулирующими правовыми актами.
 
2. ПРЕДМЕТ И ЦЕЛИ ДОГОВОРА 
2.1. Настоящий Договор регулирует обработку персональных данных, которую осуществляет Обрабатывающее данные лицо от имени Контролера данных. Настоящий Договор становится обязательным для Обрабатывающего данные лица и Контролера данных в соответствии с Общим регламентом по защите данных.
2.2. Вид, предмет и цель обработки персональных данных, которую осуществляет Обрабатывающее данные лицо от имени Контролера данных, а также информация, связанная с видом обрабатываемых персональных данных и категориями субъектов данных, приведены в Приложении к настоящему Договору.
 
3. СРОК ДОГОВОРА
3.1. Настоящий Договор применяется настолько, насколько Обрабатывающее данные лицо обрабатывает персональные данные от имени Контролера данных.
3.2. По просьбе Контролера данных Обрабатывающее данные лицо после приостановки или окончания срока действия настоящего Договора должно прекратить осуществляемые им действия по обработке данных, и, если этого желает Контролер данных, и, если применяемыми правовыми актами не предусмотрено иное, удалить или передать все персональные данные Контролеру данных, удаляя одновременно все существующие копии этих данных. 
 
4. ОБЯЗАТЕЛЬСТВА ОБРАБАТЫВАЮЩЕГО ДАННЫЕ ЛИЦА
4.1. Обрабатывающее данные лицо внедрило соответствующие технические и организационные средства для обеспечения того, чтобы обработка персональных данных осуществлялась им в соответствии с положениями настоящего Договора и соответствовала требованиям законодательства о защите данных, в частности, требованиям Общего регламента по защите данных, и гарантировала защиту прав субъекта данных.
4.2. Обрабатывающее данные лицо обязуется обрабатывать персональные данные только в соответствии с письменными инструкциями, предоставленными Контролером данных, за исключением случаев, когда применяемыми правовыми актами не предусмотрено иное. В этом случае перед обработкой персональных данных Обрабатывающее данные лицо должно, насколько это разрешено правовыми актами, уведомить Контролера данных о таком законном требовании. Если Обрабатывающее данные лицо не получило указаний о том, как обрабатывать персональные данные в конкретной ситуации, или, если какое-либо из указаний нарушает применяемые к защите данных правовые акты, то Обрабатывающее данные лицо должно немедленно уведомить об этом Контролера данных.
4.3. Обрабатывающее данные лицо, учитывая вид обработки данных и используя в возможном объеме соответствующие Технические и организационные средства, помогает Контролеру данных исполнять обязанности Контролера данных и отвечать на запросы об использовании прав Субъекта данных. В соответствии с настоящим Договором права Субъекта данных включают право запрашивать информацию и, по желанию субъекта данных, исправлять, уничтожать персональные данные или приостанавливать действия по обработке персональных данных. 
 
4.4. Обрабатывающее данные лицо, учитывая вид обработки данных и имеющуюся информацию, помогает Контролеру данных выполнять определенные обязательства в соответствии с применимыми правовыми актами о защите данных. Конкретные обязательства охватывают безопасность обработки данных (статья 32 Общего регламента по защите данных), уведомление о нарушениях защиты персональных данных (статьи 33-33 Общего регламента по защите данных) и оценку воздействия на защиту данных, а также предварительное обсуждение (статьи 35-36 Общего регламента по защите данных).
4.5. Обрабатывающее данные лицо обязуется предоставлять Контролеру данных всю информацию и предоставлять ему всю необходимую помощь, чтобы доказать, что обязательства, принятые в соответствии с настоящим Договором, выполняются, а также создавать условия и помогать Контролеру данных или другому им уполномоченному аудитору проводить аудит, включая проверки на местах.
 
5. ДРУГИЕ ОБРАБАТЫВАЮЩЕЕ ДАННЫЕ ЛИЦА 
5.1. Контролер данных подтверждает, что Обрабатывающее данные лицо может брать на помощь другие компании, указанные в Приложении к Договору, в качестве других Обрабатывающих данные лиц. Обрабатывающее данные лицо уведомляет Контролера данных о любых запланированных изменениях, связанных с использованием других обрабатывающих данные лиц или об их замене, но Контролер данных вправе не соглашаться с такими изменениями.
5.2. Обрабатывающее данные лицо гарантирует и по запросу Контролера данных посредством документов подтверждает, что другие обрабатывающие данные лица взяли на себя обязательства в соответствии с письменными договорами, согласно которым в дополнение к их обязательствам по настоящему Договору они должны выполнять соответствующие обязательства по обработке данных. Обрабатывающее данные лицо несет полную ответственность перед Контролером данных за обязательства других обрабатывающих данные лиц.
5.3. Контролер данных может попросить, чтобы Обрабатывающее данные лицо проверило другое обрабатывающее данные лицо, или предоставило доказательства того, что такая проверка была проведена, или, если имеется такая возможность, получает или помогает Контролеру данных получить заключение внешнего аудитора о работе другого обрабатывающего данные лица для обеспечения соблюдения требований правовых актов, применяемых в области защиты данных.
 
6. ПЕРЕДАЧА ДАННЫХ ТРЕТЬИМ ЛИЦАМ

6.1. Обязательство обрабатывать персональные данные согласно Договору, может осуществляться только в государстве-члене Европейского Союза (ЕС) или Европейской экономической зоны (ЕЭЗ). Любая передача персональных данных в страну, которая не является государством-членом ЕС или ЕЭЗ, может быть осуществляться только с предварительного письменного согласия Контролера данных, и только в том случае, если применяются особые условия, указанные в применимом законодательстве о защите данных, главе V Общего регламента по защите данных.
6.2. Контролер данных в любое время может отозвать свое согласие на передачу данных третьим лицам в соответствии с пунктом 6.1 настоящего Договора. В этом случае Обрабатывающее данные лицо должно немедленно прекратить передачу данных и, по запросу Контролера данных, предоставить письменное подтверждение в таком прекращении.
 
7. БЕЗОПАСНОСТЬ ИНФОРМАЦИИ И КОНФИДЕНЦИАЛЬНОСТЬ 
7.1. Обрабатывающее данные лицо гарантирует надлежащую защиту персональных данных в соответствии с настоящим Договором в целях защиты персональных данных от уничтожения, изменения, незаконного распространения или незаконного доступа. Персональные данные защищаются и от других форм незаконной обработки.
7.2. Обрабатывающее данные лицо подготавливает и постоянно обновляет свои технические, организационные и физические средства для соответствия требованиям действующим правовым актам о защите данных.
7.3. Обрабатывающее данные лицо обязуется без предварительного письменного согласия Контролера данных не раскрывать персональные данные, обрабатываемые в соответствии с настоящим Договором, или иным образом не предоставлять доступ Третьей стороне, за исключением других обрабатывающих данные лиц, которые оказывают помощь в соответствии с настоящим Договором.
 
7.4. Обрабатывающее данные лицо гарантирует, что все лица, связанные с обработкой персональных данных, будут связаны обязательством о гарантировании конфиденциальности, или к ним будут применяться требования конфиденциальности, установленные соответствующими законами.  
 
8. ПРИМЕНЯЕМОЕ ПРАВО И РАЗРЕШЕНИЕ СПОРОВ 

8.1. Настоящий Договор составлен и разъяснен, руководствуясь законодательством Эстонской Республики, за исключением принципов коллизионного права, когда в противном случае могут применяться другие правовые нормы.
8.2. Стороны пришли к договоренности, что единственным и исключительным местом, где рассматриваются все споры, возникающие в связи с настоящим Договором, является юрисдикцией судов Эстонской Республики.
 
9. ОГРАНИЧЕНИЕ ОТВЕТСТВЕННОСТИ И ВОЗМЕЩЕНИЕ УЩЕРБА 
9.1. Если не заключено другое соглашение, то стороны несут ответственность в соответствии с общими применимыми правовыми нормами, указанными в главе 8 Договора. Несмотря на вышесказанное, стороны не несут ответственности за эксплуатационные расходы, упущенную выгоду, потерю престижа, любые другие косвенные убытки и за любые последствия убытков. Потеря данных считается косвенным убытком.
9.2. Общая ответственность Обрабатывающего данные лица в соответствии с настоящим Договором и всеми предусмотренными обязательствами в любом случае ограничивается суммой в 3000 евро. В любом случае Контролер данных не несет ответственности за эксплуатационные расходы, упущенную выгоду, потерю престижа, любые другие косвенные убытки и за любые последствия убытков. Потеря данных по общему соглашению сторон считается косвенным убытком.
 
10. ПРОЧИЕ УСЛОВИЯ 
Разделение правил
10.1. Если какое-либо из положений настоящего Договора признано незаконным, недействительным или невыполнимым судом или арбитражем, то другие положения настоящего Договора остаются в силе и действуют в полной мере. Любое положение настоящего Договора, признанное незаконным, недействительным или неисполнимым только частично или в определенной степени, останется в силе в той мере, в какой оно не было признано незаконным, недействительным или невыполнимым. Стороны заменяют такие незаконные, недействительные или неосуществимые положения настоящего Договора на законные, действительные и подлежащие исполнению положения, которые, насколько это возможно, максимально приближены к намерениям Сторон, и которые существовали на момент составления настоящего Договора. Стороны приложат все возможные усилия для обеспечения надлежащего исполнения положений настоящего Договора.
Отсутствие противоречивых договоренностей
10.2. Настоящий Договор является документом, согласованным и подготовленным совместно Сторонами. Настоящий Договор заменяет все предыдущие договоренности Сторон об объекте Договора и является полным и единственным уведомлением Сторон о положениях Договора. Настоящий пункт не ограничивает право определять ответственность за отступление второй Стороны.
10.3. Каждая из Сторон обязуется после исполнения Договора не заключать никаких соглашений, которые невозможно было бы связать с обязательствами Стороны в соответствии с настоящим Договором.
Изменения и дополнения к Договору
10.4. Любые приложения, изменения или дополнения к настоящему Договору (включая изменение или дополнение этого пункта) действительны только в том случае, если они оформлены в письменном виде и подписаны всеми Сторонами.
Расходы
10.5. Каждая из Сторон сама оплачивает свои расходы, связанные с обсуждением, подготовкой, подписанием, вступлением в силу и выполнением настоящего Договора. 
 
Приложение № 1 к Договору на обработку данных
Предмет и цель обработки данных -  предоставление услуг или задач Контролеру данных указанным в дальнейшем Обрабатывающим данные лицом:
Предоставление услуг - покупка (заказ) услуг Субъекта данных для обработки, администрирования;
Для идентификации Субъекта данных в информационных системах Обрабатывающего данные лица;
 
Для идентификации Субъекта данных, присоединяясь к своей учетной записи на веб-сайте Обрабатывающего данные лица (если Обрабатывающее данные лицо предоставляет такую возможность); проблемы, связанные с внедрением, предоставлением, использованием, урегулированием услуг; для связи с Субъектом данных с изменениями условий предоставления услуг; исполнение других договорных обязательств;
для целей прямого маркетинга; бизнес-анализа и статистического анализа, общих исследований, которые позволяют улучшить услуги и улучшить их качество; для аудита.
 
Виды обработки персональных данных. Обрабатываемые персональные данные включают:
контактную информацию лица, такую как имя, фамилия, номер телефона или номер мобильного телефона, адрес электронной почты, домашний адрес; место работы.
Категории Субъектов данных. Представители Контролера данных и конечные пользователи, такие как сотрудники, кандидаты на рабочее место, подрядчики, коллеги, партнеры, а также клиенты Контролера данных и другие лица, которые должны быть введены Обрабатывающим данные лицом в центральную систему Контролера данных.
Операции по обработке данных. Ввод, исправление и удаление персональных данных, а также создание и защита резервных копий серверов, которые могут содержать персональные данные.