Додатак за обраду података сопствених резервних копија

КАКО ИЗВРШИТИ ОВАЈ ДПА

1. Овај ДПА се састоји од два дела: главног дела ДПА и прилога 1, 2, 3, 4 и 5.
2. Овај ДПА је унапред потписан у име ОвнБацкуп-а.
3. Да би испунио овај ДПА, Клијент мора:
   1. Попуните одељак Име и адреса клијента на страници 2.
   2. Попуните податке у пољу за потпис и потпишите се на страни 6.
   3. Проверите да ли информације у Прилогу 3 („Детаљи обраде“) тачно одражавају субјекте и категорије података који се обрађују.
   4. Пошаљите попуњен и потписан ДПА у ОвнБацкуп на приваци@овнбацкуп.цом.

Након што ОвнБацкуп прими ваљано попуњен ДПА на ову адресу е-поште, овај ДПА ће постати правно обавезујући.
Потпис овог ДПА на страници 6 сматраће се потписивањем и прихватањем Стандардних уговорних клаузула (укључујући њихове додатке) и Додатка Уједињеног Краљевства, оба укључена овде референцом.

КАКО СЕ ОВАЈ ДПА ПРИМЕНИ

• Ако је ентитет клијента који потписује овај ДПА страна у Уговору, овај ДПА је додатак и чини део Уговора. У том случају, ОвнБацкуп ентитет који је страна у Уговору је страна у овом ДПА.
• Ако је ентитет клијента који потписује овај ДПА извршио Образац за наруџбу са ОвнБацкуп-ом или његовом филијалом у складу са Уговором, али сам није страна у Уговору, овај ДПА је додатак том Обрасцу поруџбине и применљивим Обрасцима наруџбине за обнављање, и ОвнБацкуп ентитет који је страна у таквом Обрасцу налога је страна у овом ДПА.
• Ако ентитет клијента који потписује овај ДПА није ни страна у Обрасцу за наруџбу нити у Уговору, овај ДПА није важећи и није правно обавезујући. Такав ентитет треба да захтева да ентитет клијента који је страна у Уговору изврши овај ДПА.
• Ако ентитет клијента који потписује ДПА није страна у обрасцу поруџбине нити у главном уговору о претплати директно са ОвнБацкуп-ом, већ је уместо тога корисник индиректно преко овлашћеног препродавца ОвнБацкуп услуга, овај ДПА није важећи и није правно обавезујући. Такав ентитет треба да контактира овлашћеног препродавца како би разговарао о томе да ли је потребна измена његовог споразума са тим препродавцем.
• У случају било каквог сукоба или недоследности између овог ДПА и било ког другог споразума између Купца и ОвнБацкуп-а (укључујући, без ограничења, Уговор или било који додатак за обраду података Уговору), услови овог ДПА ће контролисати и имати предност.

Овај Додатак о обради података, укључујући његове распореде и додатке, („ДПА“) чини део главног уговора о претплати или другог писменог или електронског уговора између ОвнБацкуп Инц. („ОвнБацкуп“) и правног лица клијента наведеног изнад за куповину онлајн услуга из ОвнБацкуп-а („Уговор“) за документовање договора страна у вези са обрадом личних података. Ако такав ентитет клијента и ОвнБацкуп нису склопили уговор, онда је овај ДПА ништав и без правног дејства.
Субјект клијента који је горе наведен улази у овај ДПА за себе и, ако неко од његових филијала делује као контролори личних података, у име тих овлашћених филијала. Сви изрази написани великим словима који нису овде дефинисани имаће значење дато у Уговору.
У току пружања СааС услуга Клијенту у складу са Уговором, ОвнБацкуп може да обрађује личне податке у име Клијента. Стране су сагласне са следећим условима у вези са таквом обрадом.

ДЕФИНИЦИЈЕ

• „ЦЦПА“ означава Калифорнијски закон о приватности потрошача, Цал. Цив. Код § 1798.100 ет. сек., са изменама и допунама Калифорнијског закона о правима приватности из 2020. и заједно са свим проведбеним прописима. „Контролер“ означава ентитет који одређује сврхе и средства обраде личних података и сматра се да се такође односи на „пословање“ како је дефинисано у ЦЦПА.
• „Клијент“ означава горенаведено лице и његове филијале.
• „Закони и прописи о заштити података“ означавају све законе и прописе Европске уније и њених држава чланица, Европског економског простора и њених држава чланица, Уједињеног Краљевства, Швајцарске, Сједињених Држава, Канаде, Новог Зеланда и Аустралије, и њихове одговарајуће политичке јединице, применљиве на обраду личних података. Ово укључује, али није ограничено на, следеће, у мери у којој је применљиво: ГДПР, Закон о заштити података Уједињеног Краљевства, ЦЦПА, Закон о заштити података потрошача Вирџиније („ВЦДПА“), Закон о приватности у Колораду и сродни прописи („ЦПА“ ”), Закон о приватности потрошача Јуте („УЦПА“) и Закон Конектиката о приватности личних података и надгледању на мрежи („ЦПДПА“). „Субјек података“ означава идентификовану особу или особу која се може идентификовати на коју се лични подаци односе и укључује „потрошача“ како је дефинисано у законима и уредбама о заштити података. „Европа“ значи Европску унију, Европски економски простор, Швајцарску и Уједињено Краљевство.
• Додатне одредбе које се примењују на пренос личних података из Европе садржане су у Прилогу 5. У случају да се Додатак 5 уклони, Корисник гарантује да неће обрађивати личне податке који су подложни европским законима и прописима о заштити података.
• „ГДПР“ означава Уредбу (ЕУ) 2016/679 Европског парламента и Савета од 27. априла 2016. о заштити физичких лица у вези са обрадом личних података и о слободном кретању таквих података, као и о стављању ван снаге Директиве 95/46/ЕЦ (Општа уредба о заштити података).
• „ОвнБацкуп Гроуп“ означава ОвнБацкуп и његове подружнице укључене у обраду личних података.
• „Лични подаци“ означавају сваку информацију која се односи на (и) идентификовано или идентификовано физичко лице и, (ии) идентификовано или идентификовано правно лице (где су такве информације заштићене на сличан начин као лични подаци, лични подаци или информације које могу да идентификују личности према применљивим подацима Закони и прописи о заштити), где су за сваки (и) или (ии) такви подаци Подаци о кориснику.
• „Услуге обраде личних података“ означавају СааС услуге наведене у Прилогу 2, за које ОвнБацкуп може да обрађује личне податке.
• „Обрада“ означава сваку операцију или скуп операција које се обављају на личним подацима, било аутоматским средствима или не, као што су прикупљање, евидентирање, организација, структурирање, складиштење, прилагођавање или измена, проналажење, консултације, коришћење, откривање преносом, ширење или на други начин стављање на располагање, усклађивање или комбиновање, ограничавање, брисање или уништавање. „Обрађивач“ означава ентитет који обрађује личне податке у име контролора, укључујући, ако је применљиво, било ког „провајдера услуга“ како је тај термин дефинисан у ЦЦПА.
• „Стандардне уговорне клаузуле“ означавају Анекс имплементационе одлуке Европске комисије (ЕУ) 2021/914 хттпс://еур-лек.еуропа.еу/ели/дец_импл/2021/914/ој) од 4. јуна 2021. о стандардним уговорним клаузулама за пренос личних података обрађивачима основаним у трећим земљама у складу са Уредбом (ЕУ) 2016/679 Европског парламента и Савета Европске уније и подложни потребним изменама за Швајцарску даље описаним у Прилогу 5.
• „Подпроцесор“ означава било ког процесора кога је ОвнБацкуп ангажовао, члан ОвнБацкуп групе или други подпроцесор.
• „Надзорни орган“ означава владино или овлашцено регулаторно тело које има обавезујућа законска овлашћења над Клијентом.
• „Додатак Уједињеног Краљевства“ значи Додатак Уједињеног Краљевства о међународном преносу података стандардним уговорним клаузулама Комисије ЕУ (доступан од 21. марта 2022. на хттпс://ицо.орг.ук/фор-органисатионс/гуидето-дата-протецтион/гуиде-то -тхе-генерал-дата-протецтион-регулатион-гдпр/интернатионал-дата-трансферагреемент-анд-гуиданце/), попуњен као што је описано у Прилогу 5.
• „Закон о заштити података Уједињеног Краљевства“ означава Уредбу 2016/679 Европског парламента и Савета о заштити физичких лица у вези са обрадом личних података и о слободном кретању таквих података јер је део закона Енглеске и Велса, Шкотске и Северне Ирске на основу члана 3 Закона о повлачењу Европске уније из 2018., који се повремено може мењати и допуњавати законима и прописима Уједињеног Краљевства о заштити података

ОБРАДА ЛИЧНИХ ПОДАТАКА

• Обим. Стране су сагласне да се овај ДПА примењује искључиво на обраду личних података у оквиру услуга обраде личних података.
• Улоге страна. Стране су сагласне да је, у погледу обраде личних података, Корисник контролор, а ОвнБацкуп Обрађивач.
• ОвнБацкуп обрада личних података. ОвнБацкуп ће третирати личне податке као поверљиве информације и обрађивати личне податке у име и само у складу са документованим упутствима Клијента у следеће сврхе: (и) Обрада у складу са Уговором и примењивим Налозима; (ии) Обрада коју је покренуло особље Клијента приликом коришћења СааС услуга; и (иии) Обрада у складу са другим документованим разумним упутствима које даје Клијент (нпр. путем е-поште) када су таква упутства у складу са условима Уговора.
• Ограничења обраде. ОвнБацкуп неће: (и) „продати“ или „делити“ личне податке, како су такви услови дефинисани у законима и уредбама о заштити података; (ии) задржава, користи, открива или обрађује личне податке за било коју комерцијалну или другу сврху осим за обављање СааС услуга; или (иии) задржати, користити или открити личне податке ван директног пословног односа између Купца и ОвнБацкуп-а. ОвнБацкуп ће се придржавати важећих ограничења у складу са законима и прописима о заштити података о комбиновању личних података са личним подацима које ОвнБацкуп прима од, или у име других особа или лица, или које ОвнБацкуп прикупља из било какве интеракције између њега и било ког појединца.
• Обавештење о незаконитим упутствима; Неовлашћена обрада. ОвнБацкуп ће одмах обавестити Купца ако, по његовом мишљењу, инструкција Купца крши било који Закон или Уредбу о заштити података. Купац задржава право, након обавештења, да предузме разумне и одговарајуће кораке да заустави и исправи неовлашћено коришћење личних података, укључујући коришћење личних података које није дозвољено овим ДПА.
• Детаљи обраде. Предмет обраде личних података од стране ОвнБацкуп-а је извођење СааС услуга у складу са Уговором. Трајање обраде, природа и сврха обраде, врсте личних података и категорије субјеката података који се обрађују у складу са овим ДПА су даље наведени у Прилогу 3 (Детаљи обраде).
• Процена утицаја на заштиту података. На захтев Клијента, ОвнБацкуп ће разумно помоћи Клијенту у испуњавању Клијентове обавезе према законима и прописима о заштити података да изврши процену утицаја на заштиту података у вези са коришћењем СааС услуга од стране Клијента, у мери у којој Клијент иначе нема приступ релевантним информацијама и такве информације су доступне ОвнБацкупу. ОвнБацкуп ће разумно помоћи Клијенту у његовој сарадњи или претходним консултацијама са Надзорним органом у вези са таквом проценом утицаја на заштиту података у мери у којој је то потребно према важећим законима и прописима о заштити података.
• Обавезе купаца у вези са личним подацима. У свом коришћењу СааС услуга, Клијент ће се придржавати закона и прописа о заштити података, укључујући све примењиве захтеве за слање обавештења и/или добијање сагласности од субјеката података за обраду од стране ОвнБацкуп-а. Клијент ће осигурати да су његова упутства за обраду личних података у складу са законима и прописима о заштити података.
• Купац је искључиво одговоран за тачност, квалитет и законитост личних података и начин на који је корисник прибавио личне податке. Клијент ће осигурати да његово коришћење СааС услуга неће кршити права било ког субјекта података који је одустао од продаје, дељења или другог откривања личних података, у мери у којој је то применљиво. Клијент ће осигурати да Подаци о Клијенту не садрже никакве податке који се квалификују као лични здравствени подаци заштићени чланом Л.1111-8 Француског закона о јавном здрављу

ЗАХТЕВ ЗА ПОДАЦИ О КУПАЦИМА

• Захтеви субјеката података. ОвнБацкуп ће, у мери у којој је то законом дозвољено, одмах обавестити Купца ако ОвнБацкуп прими захтев од субјекта података да искористи право на приступ субјекта података, право на исправку, право на ограничење обраде, право на брисање („право на заборав“) , право преносивости података, право на приговор на обраду или право да не буде предмет аутоматизованог индивидуалног одлучивања, при чему је сваки такав захтев „Захтев субјекта података“. Узимајући у обзир природу обраде, ОвнБацкуп ће помоћи Клијенту одговарајућим техничким и организационим мерама, у мери у којој је то могуће, у испуњавању обавезе Клијента да одговори на Захтев субјекта података у складу са законима и прописима о заштити података. Поред тога, у мери у којој Клијент, у свом коришћењу СааС услуга, нема могућност да одговори на Захтев субјекта података, ОвнБацкуп ће на захтев Клијента користити комерцијално разумне напоре да помогне Клијенту да одговори на такав Захтев субјекта података, на у којој је ОвнБацкуп законски дозвољено да то уради и одговор на такав Захтев субјекта података је обавезан према законима и прописима о заштити података. Када таква помоћ превазилази обим уговорених СааС услуга, иу мери у којој је то законом дозвољено, Клијент ће бити одговоран за све додатне трошкове који произилазе из помоћи.
• Захтеви других трећих страна. Ако ОвнБацкуп прими захтев од треће стране која није Субјекат података (укључујући, без ограничења, владину агенцију) за податке о клијенту, ОвнБацкуп ће, када је то законом дозвољено, упутити странку која је тражила клијента и одмах обавестити Клијента о захтеву. Тамо где ОвнБацкуп није законом дозвољен да обавести клијента о захтеву, ОвнБацкуп ће одговорити страни која је тражила само ако то захтева закон и учиниће разумне напоре да ради са страном која је поднела захтев како би сузила обим захтева за податке о клијенту. .

ОВНБАЦКУП ПЕРСОННЕЛ

• Поверљивост. ОвнБацкуп ће обезбедити да његово особље ангажовано на обрађивању личних података буде обавештено о поверљивој природи личних података, да је прошло одговарајућу обуку о својим одговорностима и да је потписало писмене уговоре о поверљивости. ОвнБацкуп ће обезбедити да такве обавезе поверљивости опстану и након престанка ангажовања особља.
• Поузданост. ОвнБацкуп ће предузети комерцијално разумне кораке да обезбеди поузданост било ког особља ОвнБацкуп ангажованог у обрађивању личних података.
• Ограничење приступа. ОвнБацкуп ће осигурати да ОвнБацкупов приступ личним подацима буде ограничен на оно особље коме је такав приступ потребан за обављање СааС услуга у складу са Уговором.
• Службеник за заштиту података. Чланови ОвнБацкуп групе ће именовати службеника за заштиту података тамо где је такво именовање прописано законима и прописима о заштити података. Именовано лице се може добити на приваци@овнбацкуп.цом.

ПОДПРОЦЕСОРИ

• Именовање подпроцесора. Клијент даје ОвнБацкуп-у опште овлашћење да именује треће стране подпроцесоре у вези са СааС услугама, у складу са наведеним процедурама
  у овом ДПА. ОвнБацкуп или подружница ОвнБацкуп је склопила писмени уговор са сваким Подпроцесором који садржи обавезе заштите података које нису мање заштитне од оних у овом ДПА у погледу
  заштиту података о клијентима, у мери која је применљива на услуге које пружа такав подобрађивач.
• Тренутни подпроцесори и обавештење о новим подпроцесорима. Листа подпроцесора за СааС услуге, од датума извршења овог ДПА-а, приложена је у Прилогу 1. ОвнБацкуп ће писмено обавестити Клијента о сваком новом подпроцесору пре него што овласти таквог новог подпроцесора да обрађује личне податке.
• Право на приговор за нове подпроцесоре. Клијент може да уложи приговор на коришћење новог Подпроцесора од стране ОвнБацкуп-а тако што ће писменим путем обавестити ОвнБацкуп у року од 30 дана након пријема обавештења описаног у претходном параграфу. Ако се Клијент успротиви новом подпроцесору као што је дозвољено у претходној реченици, ОвнБацкуп ће уложити комерцијално разумне напоре да клијенту стави на располагање промену у СааС услугама или препоручити промену у конфигурацији Клијента или коришћење СааС услуга, како би избегао Обраду личних података од стране новог подобрађивача коме се приговара без неоправданог оптерећења Купца. Ако ОвнБацкуп није у могућности да учини доступном такву промену у СааС услузи, или да препоручи такву промену у конфигурацији Клијента или употреби СааС услуга која је задовољавајућа за Клијента, у разумном временском периоду (који ни у ком случају не прелази 30 дана ), Купац може да укине применљиве Обрасце поруџбине слањем писменог обавештења ОвнБацкупу. У том случају, ОвнБацкуп ће рефундирати Клијенту све унапред плаћене накнаде које покривају остатак рока трајања таквог Обрасца(а) поруџбине након ефективног датума раскида, без наметања казне за такав раскид Клијенту.
• Одговорност за подпроцесоре. ОвнБацкуп ће бити одговоран за радње и пропусте својих подпроцесора у истој мери у којој би ОвнБацкуп био одговоран ако услуге сваког подпроцесора обавља директно под условима овог ДПА.

СИГУРНОСТ

• Контроле за заштиту података о клијентима. ОвнБацкуп ће одржавати одговарајуће физичке, техничке и организационе мере за заштиту безбедности (укључујући заштиту од неовлашћене или незаконите обраде и од случајног или незаконитог уништења, губитка или измене или оштећења, неовлашћеног откривања или приступа подацима корисника), поверљивости и интегритет података о клијентима, укључујући личне податке, у складу са Прилогом 4 (ОвнБацкуп безбедносне контроле). ОвнБацкуп неће значајно смањити укупну безбедност СааС услуга током периода претплате.
• Извештаји о ревизији и сертификати треће стране. На писмени захтев Клијента у разумним интервалима и подложно обавезама поверљивости из Уговора, ОвнБацкуп ће клијенту ставити на располагање копију тадашњег најновијег извештаја о ревизији треће стране СОЦ 2 ревизорског извештаја, као и свих других ревизорских извештаја и сертификата који ОвнБацкуп чини доступним корисницима, под условом да Клијент није конкурент ОвнБацкуп-у.

УПРАВЉАЊЕ И ОБАВЕШТАВАЊЕ ИНЦИДЕНТА ПОДАТАКА О КУПАЦИМА

ОвнБацкуп одржава политике и процедуре управљања безбедносним инцидентима и обавештава Клијента без непотребног одлагања након што сазна за случајно или незаконито уништење, губитак, измену, неовлашћено откривање или приступ подацима Клијента, укључујући личне податке, које преноси, чува или на други начин обрађује ОвнБацкуп или његови подпроцесори за које ОвнБацкуп постане свестан („Инцидент са подацима о клијентима“). ОвнБацкуп ће уложити разумне напоре да идентификује узрок таквог инцидента са подацима о клијентима и предузети кораке које ОвнБацкуп сматра неопходним и разумним да отклони узрок таквог инцидента са подацима о клијенту у мери у којој је отклањање под разумном контролом ОвнБацкуп-а. Ове обавезе се не примењују на инциденте које су проузроковали Клијент или његово особље.

ПОВРАТАК И БРИСАЊЕ ПОДАТАКА КУПЦА
ОвнБацкуп ће вратити Клијентове Податке Клијенту и, у мери у којој то дозвољава важећи закон, избрисати Податке о Клијенту у складу са процедурама и временским оквирима наведеним у Уговору.

РЕВИЗИЈА

На захтев Клијента и подложно обавезама поверљивости из Уговора, ОвнБацкуп ће учинити доступним Клијенту (или клијентовом трећем лицу ревизору и који је потписао уговор о неоткривању разумно прихватљив за ОвнБацкуп) информације неопходне да покаже да је ОвнБацкуп Група у складу са обавезама наведене у овом ДПА-у и његове обавезе као Обрађивача према законима и прописима о заштити података у облику ОвнБацкуп-ових попуњених стандардизованих безбедносних упитника, сертификата трећих страна и извештаја ревизије (нпр. његово попуњено стандардизовано прикупљање информација (СИГ) и консензус Цлоуд Сецурити Аллианце Упитници Иницијативе за процену (ЦСА ЦАИК), СОЦ 2 извештај и збирни извештаји о тестовима пенетрације) и, за њене подпроцесоре, сертификате трећих страна и извештаје ревизије које су они учинили доступним. Након било каквог обавештења од стране ОвнБацкупа Клијенту о стварном или разумно сумњивом неовлашћеном откривању личних података, по Клијентовом разумном уверењу да ОвнБацкуп крши своје обавезе заштите личних података према овом ДПА, или ако такву ревизију захтева Надзорни орган Купца, Клијент може контактирати ОвнБацкуп да затражи ревизију процедура релевантних за заштиту личних података. Свака таква ревизија ће се спроводити на даљину, осим што Клијент и/или његов надзорни орган могу да спроведу ревизију на лицу места у просторијама ОвнБацкуп-а ако то захтевају закони и прописи о заштити података. Сваки такав захтев се неће јављати више од једном годишње, осим у случају стварног или оправдано сумњивог неовлашћеног приступа личним подацима. Пре почетка било које ревизије, Клијент и ОвнБацкуп ће се међусобно договорити о обиму, времену и трајању ревизије. Ни у ком случају неће бити ревизија подпроцесора, осим реview извештаја, сертификата и документације које је Подобрађивач ставио на располагање, дозвољено је без сагласности Подобрађивача.

ПОВЕЗАНИ

• Уговорни однос. Кориснички ентитет који потписује овај ДПА то чини за себе и, према потреби, у име и за рачун својих Филијала, чиме успоставља посебан ДПА између ОвнБацкуп-а и сваког таквог Повезаног лица у складу са одредбама Уговора, ове клаузуле 10 и клаузуле 11 испод. Сваки такав Заступник сагласан је да буде обавезан обавезама из овог ДПА и, у мери у којој је то примењиво, Уговора. Да не би било сумње, такве подружнице нису и не постају стране у Уговору, и само су стране у овом ДПА. Сав приступ и коришћење СааС услуга од стране таквих подружница мора бити у складу са Уговором, а свако кршење Уговора од стране повезаног лица ће се сматрати кршењем од стране Клијента.
• Комуникација. Кориснички ентитет који потпише овај ДПА остаје одговоран за координацију целокупне комуникације са ОвнБацкуп-ом у оквиру овог ДПА и има право да врши и прима сваку комуникацију у вези са овим ДПА у име својих Филијала.
• Права придружених клијената. Када придружени клијент постане страна у овом ДПА са ОвнБацкуп-ом, он ће, у мери у којој је то потребно према важећим законима и прописима о заштити података, имати право да користи права и тражи правне лекове према овом ДПА, у складу са следећим:
• Осим када примењиви закони и прописи о заштити података захтевају од Придруженог клијента да оствари право или тражи било који правни лек према овом ДПА директно против ОвнБацкуп-а, стране су сагласне да
  • искључиво ентитет клијента који је потписао овај ДПА користиће свако такво право или тражити било који такав правни лек у име придруженог клијента, и (ии) ентитет клијента који потписује овај ДПА ће остварити сва таква права по овом ДПА не посебно за свако повезано лице појединачно, већ на комбинован начин за себе и све своје подружнице заједно (као што је наведено, нпрampле, у тачки 10.3.2 испод).
  • Кориснички ентитет који потписује овај ДПА ће, када спроводи дозвољену ревизију процедура релевантних за заштиту личних података, предузети све разумне мере да ограничи било какав утицај на ОвнБацкуп и његове подобрађиваче комбиновањем, у мери у којој је то разумно могуће, неколико ревизијски захтеви који се обављају у име ње и свих њених повезаних лица у једној ревизији.

ОГРАНИЧЕЊЕ ОДГОВОРНОСТИ

• У мери у којој то дозвољавају закони и прописи о заштити података, одговорност сваке стране и свих њених филијала, узета заједно у целини, која произилази из или је повезана са овим ДПА, било да је у уговору, деликту или према било којој другој теорији одговорности, је подложно клаузулама „Ограничење одговорности“ и таквим другим клаузулама које искључују или ограничавају одговорност из Уговора, а свако позивање у таквим клаузулама на одговорност стране значи укупну одговорност те стране и свих њених Филијала.

ПРОМЕНЕ ПРЕНОСНИХ МЕХАНИЗМА

• У случају да се поништи постојећи механизам преноса на који се стране ослањају за олакшавање преноса личних података у једну или више земаља које не обезбеђују адекватан ниво заштите података у смислу закона и уредби о заштити података, измене и допуне , или замењене стране ће радити у доброј вери на успостављању таквог алтернативног механизма преноса како би се омогућила наставак обраде личних података предвиђених Уговором. Коришћење таквог алтернативног механизма трансфера зависиће од испуњавања свих законских услова за коришћење таквог механизма трансфера од стране сваке стране.

Овлашћени потписници страна су прописно потписали овај Уговор, укључујући све примењиве распореде, анексе и додатке који су овде укључени

ЦУСТОМЕР 

• Потписано:
• име:
• Наслов:
• Датум:

Списак распореда

• Прилог 1: Тренутна листа подпроцесора
• Прилог 2: СааС услуге применљиве на обраду личних података
• Прилог 3: Детаљи обраде
• Распоред 4: ОвнБацкуп безбедносне контроле
• Прилог 5: Европске одредбе

Тренутна листа подпроцесора

Купац може изабрати или Амазон Web Сервицес или Мицрософт (Азуре) и његову жељену локацију обраде током клијентовог почетног подешавања СааС услуга.
Примењује се само на клијенте ОАвнБацкуп Арцхиве који одлуче да се примене у Мицрософт (Азуре) облаку.

Саас услуге применљиве на обраду личних података

• ОвнБацкуп Ентерприсе за Салесфорце
• ОвнБацкуп Унлимитед за Салесфорце
• ОвнБацкуп Говернанце Плус за Салесфорце
• ОвнБацкуп Арцхиве
• Донесите сопствено управљање кључевима
• Сандбок Сединг

Детаљи обраде

Дата Екпортер

• Пуно правно име: Име клијента као што је горе наведено
• Главна адреса: Адреса клијента као што је горе наведено
• Контакт: Ако није другачије наведено, ово ће бити примарни контакт на корисничком налогу.
• Контакт е-маил: Ако није другачије наведено, ово ће бити примарна адреса е-поште за контакт на корисничком налогу.

Увозник података

• Пуно правно име: ОвнБацкуп Инц.
• Главна адреса: 940 Силван Аве, Енглевоод Цлиффс, Њ 07632, САД
• Контакт: Службеник за приватност
• Контакт е-маил: приваци@овнбацкуп.цом

Природа и сврха обраде

• ОвнБацкуп ће обрађивати личне податке по потреби за обављање Саа услуга у складу са
• Уговор и Налози, и према даљем упутству Клијента у коришћењу СааС услуга.

Трајање обраде

ОвнБацкуп ће обрађивати личне податке током трајања Уговора, осим ако није другачије договорено у писаној форми.

Ретентион
ОвнБацкуп ће задржати личне податке у СааС услугама током трајања Уговора, осим ако није другачије договорено у писаној форми, у складу са максималним периодом чувања који је наведен у Документацији.

Учесталост преноса
Како је одредио Клијент кроз њихово коришћење СааС услуга.

Трансфери на подпроцесоре
По потреби за обављање СааС услуга у складу са Уговором и Налозима и како је даље описано у Прилогу 1.

Категорије субјеката података
Клијент може да достави личне податке СааС услугама, чији обим одређује и контролише Клијент по сопственом нахођењу, а који могу укључивати, али се не ограничавају на личне податке који се односе на следеће категорије субјеката података:

• Потенцијали, купци, пословни партнери и продавци Купца (који су физичка лица)
• Запослени или контакт особе потенцијалних купаца, купаца, пословних партнера и добављача
• Запослени, агенти, саветници, слободњаци Купца (који су физичка лица)
• Корисници Клијента које је Клијент овластио да користе СааС услуге

Врста личних података
Клијент може да достави личне податке СааС услугама, чији обим одређује и контролише Клијент по сопственом нахођењу, и који могу укључивати, али нису ограничени на следеће категорије

Лични подаци:

• Име и презиме
• Наслов
• Положај
• Послодавац
• ИД подаци
• Подаци о професионалном животу
• Контакт информације (компанија, имејл, телефон, физичка пословна адреса)
• Подаци о личном животу
• Подаци о локализацији

Посебне категорије података (ако је потребно)
Клијент може да поднесе посебне категорије личних података СааС услугама, чији обим одређује и контролише Клијент по сопственом нахођењу, а који би ради јасноће могли да обухватају обраду генетских података, биометријских података у сврху јединственог идентификацију физичког лица или податке који се тичу здравља. Погледајте мере у Прилогу 4 да бисте сазнали како ОвнБацкуп штити посебне категорије података и друге личне податке.

Увод

1. ОвнБацкуп апликације софтвера као услуге (СааС услуге) дизајниране су од самог почетка са безбедношћу на уму. СааС услуге су дизајниране са различитим безбедносним контролама на више нивоа како би се решио низ безбедносних ризика. Ове безбедносне контроле су подложне променама; међутим, све промене ће задржати или побољшати целокупну безбедносну позицију.
2. Описи контрола у наставку односе се на имплементације СааС услуге на оба Амазон-а Web Услуге (АВС) и Мицрософт Азуре (Азуре) платформе (заједно се називају наши добављачи услуга у облаку или ЦСП), осим како је наведено у одељку Шифровање у наставку. Ови описи контрола се не односе на РевЦулт софтвер осим како је наведено у одељку „Безбедан развој софтвера“ испод.

Web Сигурносне контроле апликације

• Приступ корисника СааС услугама је само преко ХТТПС-а (ТЛС1.2+), чиме се успоставља шифровање података у транзиту између крајњег корисника и апликације и између ОвнБацкуп-а и извора података треће стране (нпр. Салесфорце).
• Клијентови администратори СааС услуге могу да обезбеде и де-пруже кориснике СааС услуге и повезани приступ по потреби.
• СааС услуге обезбеђују контролу приступа засновану на улогама како би се омогућило клијентима да управљају дозволама за више организација.
• Клијентови администратори СааС услуге могу приступити траговима ревизије укључујући корисничко име, радњу, временско раздобљеamp, и поља изворне ИП адресе. Дневници ревизије могу бити viewиздаје и извози клијентов администратор СааС услуге пријављен на СааС услуге као и преко АПИ-ја СааС услуга.
• Приступ СааС услугама може бити ограничен изворном ИП адресом.
• СааС услуге омогућавају клијентима да омогуће вишефакторску аутентификацију за приступ налозима СааС услуге користећи једнократне лозинке засноване на времену.
• СааС услуге омогућавају корисницима да омогуће јединствену пријаву преко САМЛ 2.0 провајдера идентитета.
• СааС услуге омогућавају клијентима да омогуће прилагодљиве политике лозинки како би помогле у усклађивању лозинки СааС услуге са корпоративним политикама.

Шифровање

• ОвнБацкуп нуди следеће опције СааС услуге за шифровање података у мировању:
  • Стандардна понуда.
    • Подаци се шифрују коришћењем АЕС-256 шифровања на страни сервера преко система за управљање кључевима који је валидиран према ФИПС 140-2.
    • Шифровање коверте се користи тако да главни кључ никада не напушта хардверски безбедносни модул (ХСМ).
    • нкрипциони кључеви се ротирају најмање сваке две године.
  • Опција напредног управљања кључевима (АКМ).
    • Подаци се шифрују у наменском контејнеру за складиштење објеката помоћу главног кључа за шифровање (ЦМК) који даје корисник.
    • АКМ омогућава будуће архивирање кључа и његово ротирање са другим главним кључем за шифровање.
    • Клијент може да опозове главне кључеве за шифровање, што доводи до моменталне недоступности података.
  • Донесите свој сопствени систем управљања кључевима (КМС) опцију (доступно само на АВС-у).
    • Кључеви за шифровање се креирају на корисниковом сопственом налогу који се посебно купује користећи АВС КМС.
    • Клијент дефинише политику кључа за шифровање која дозвољава клијентовом СааС сервисном налогу на АВС-у да приступи кључу са клијентовог сопственог АВС КМС-а.
    • Подаци се шифрују у наменском контејнеру за складиштење објеката којим управља ОвнБацкуп и конфигурисан је да користи кључ за шифровање корисника.
    • Клијент може тренутно да опозове приступ шифрованим подацима опозивањем приступа ОвнБацкуп-у кључу за шифровање, без интеракције са ОвнБацкуп-ом.
    • Запослени у ОвнБацкупу немају приступ кључевима за шифровање у било ком тренутку и не приступају директно КМС-у.
    • Све активности коришћења кључева се евидентирају у клијентовом КМС-у, укључујући и преузимање кључа помоћу наменског складишта објеката.
• Шифровање у преносу између СааС услуга и извора података треће стране (нпр. Салесфорце) користи ХТТПС са ТЛС 1.2+ и ОАутх 2.0.

Мрежа

• СааС услуге користе ЦСП мрежне контроле за ограничавање улаза и изласка мреже.
• Безбедносне групе са статусом се користе да ограниче улаз и излазак мреже на овлашћене крајње тачке.
• СааС услуге користе вишеслојну мрежну архитектуру, укључујући вишеструке, логички одвојене Амазон виртуелне приватне облаке (ВПЦ) или Азуре виртуелне мреже (ВНетс), користећи приватне, ДМЗ и непоуздане зоне унутар ЦСП инфраструктуре.
• У АВС-у, ограничења крајње тачке ВПЦ С3 се користе у сваком региону да би се дозволио приступ само овлашћеним ВПЦ-овима.

Мониторинг и ревизија

• Системи и мреже СааС услуге се надгледају у погледу безбедносних инцидената, здравља система, абнормалности мреже и доступности.
• СааС услуге користе систем за откривање упада (ИДС) да надгледају мрежну активност и упозоравају ОвнБацкуп на сумњиво понашање.
• СааС услуге користе web заштитни зидови апликација (ВАФ) за сву јавност web услуге.
• ОвнБацкуп евидентира догађаје апликације, мреже, корисника и оперативног система на локалном серверу системских дневника и СИЕМ-у специфичном за регион. Ови дневници се аутоматски анализирају и поновоviewед за сумњиве активности и претње. Све аномалије се ескалирају по потреби.
• ОвнБацкуп користи системе за безбедносне информације и управљање догађајима (СИЕМ) који обезбеђују континуирану безбедносну анализу мрежа и безбедносног окружења СааС услуга, упозоравање на аномалије корисника, извиђање напада команде и контроле (Ц&Ц), аутоматизовано откривање претњи и извештавање о индикаторима компромиса (ИОЦ). ). Свим овим могућностима управља безбедносно и оперативно особље ОвнБацкуп-а.
• Тим за реаговање на инциденте компаније ОвнБацкуп надгледа псеудоним сецурити@овнбацкуп.цом и реагује у складу са планом одговора на инциденте (ИРП) компаније када је то потребно.

Изолација између налога

• СааС услуге користе Линук сандбокинг да изолују податке корисничких налога током обраде. Ово помаже да се осигура да свака аномалија (нпрampле, због безбедносног проблема или софтверске грешке) остаје ограничен на један налог ОвнБацкуп.
• Приступ подацима закупца контролишу јединствени ИАМ корисници са подацима tagкоји неовлашћеним корисницима онемогућава приступ подацима закупца.

Дисастер Рецовери

• ОвнБацкуп користи складиште ЦСП објеката за складиштење шифрованих података о клијентима у више зона доступности.
• За корисничке податке ускладиштене у складишту објеката, ОвнБацкуп користи верзионисање објеката са аутоматским старењем како би подржао усклађеност са ОвнБацкуп-овим смерницама за опоравак од катастрофе и прављење резервних копија. За ове објекте, системи ОвнБацкуп-а су дизајнирани да подрже циљ тачке опоравка (РПО) од 0 сати (то јест, могућност враћања на било коју верзију било ког објекта какав је постојао у претходном периоду од 14 дана).
• Сваки потребан опоравак рачунарске инстанце се постиже поновном изградњом инстанце на основу аутоматизације управљања конфигурацијом компаније ОвнБацкуп.
• ОвнБацкупов план опоравка од катастрофе је дизајниран да подржи циљ опоравка од 4 сата (РТО).

Управљање рањивостима

• ОвнБацкуп обавља периодично web процене рањивости апликација, статичка анализа кода и екстерне динамичке процене као део његовог континуираног програма праћења како би се осигурало да се безбедносне контроле апликација правилно примењују и ефикасно раде.
• На полугодишњој основи, ОвнБацкуп ангажује независне тестере пенетрације независних произвођача да обављају и мреже и web процене рањивости. Обим ових екстерних ревизија укључује усклађеност са Опен Web Пројекат безбедности апликација (ОВАСП) Топ 10 Web Рањивости (www.owasp.org).
• Резултати процене рањивости су уграђени у животни циклус развоја софтвера ОвнБацкуп (СДЛЦ) да би се отклониле идентификоване рањивости. Специфичне рањивости се дају приоритет и уносе се у ОвнБацкуп интерни систем тикета за праћење кроз решавање.

Одговор на инцидент

У случају потенцијалног нарушавања безбедности, ОвнБацкуп тим за реаговање на инциденте ће извршити процену ситуације и развити одговарајуће стратегије за ублажавање. Ако се потенцијално кршење потврди, ОвнБацкуп ће одмах деловати на ублажавању кршења и очувању форензичких доказа, и обавестиће примарне тачке контакта угрожених купаца без непотребног одлагања како би их обавестио о ситуацији и обезбедио ажурирања статуса решења.

Безбедан развој софтвера

ОвнБацкуп користи безбедне развојне праксе за софтверске апликације ОвнБацкуп и РевЦулт током животног циклуса развоја софтвера. Ове праксе укључују статичку анализу кода, Салесфорце сецурити реview за РевЦулт апликације и за ОвнБацкуп апликације инсталиране у Салесфорце инстанцама клијената, пеер реview промена кода, ограничавање приступа спремишту изворног кода на основу принципа најмањих привилегија, и евидентирање приступа спремишту изворног кода и промена.

Посвећени безбедносни тим

ОвнБацкуп има посвећен безбедносни тим са више од 100 година комбинованог искуства у области безбедности информација. Поред тога, чланови тима имају низ индустријских признатих сертификата, укључујући али не ограничавајући се на ЦИСМ, ЦИССП и ИСО 27001 водеће ревизоре.

Приватност и заштита података
ОвнБацкуп пружа изворну подршку за захтеве за приступ субјекту података, као што је право на брисање (право на заборав) и анонимизацију, како би се подржала усклађеност са прописима о приватности података, укључујући Општу уредбу о заштити података (ГДПР), Закон о преносивости и одговорности здравственог осигурања (ХИПАА) и Калифорнијски закон о приватности потрошача (ЦЦПА). ОвнБацкуп такође обезбеђује Додатак о обради података за решавање закона о приватности и заштити података, укључујући правне захтеве за међународни пренос података.

Провере прошлости

ОвнБацкуп обавља панел провера прошлости, укључујући проверу криминалне прошлости, свог особља које може имати приступ подацима клијената, на основу надлежности запосленог у којем је боравио током претходних седам година, у складу са важећим законом.

Осигурање

ОвнБацкуп одржава, у најмању руку, следеће покриће осигурања: (а) осигурање одштете радника у складу са свим важећим законима; (б) осигурање од аутомобилске одговорности за возила која нису у власништву и изнајмљена возила, са комбинованим јединственим лимитом од 1,000,000 УСД; (ц) осигурање од опште комерцијалне одговорности (јавне одговорности) са једним ограничењем покрића од 1,000,000 УСД по догађају и 2,000,000 УСД општег укупног покрића; (д) осигурање грешака и пропуста (одштета од професионалне штете) са ограничењем од 20,000,000 УСД по догађају и укупно 20,000,000 УСД, укључујући примарне и сувишне слојеве, укључујући сајбер одговорност, технологију и професионалне услуге, технолошке производе, сигурност података и мреже, одговор на кршење, регулаторне одбрана и казне, сајбер изнуда и обавезе повраћаја података; и (е) осигурање запослених од непоштења/криминала са покрићем од 5,000,000 долара. ОвнБацкуп ће доставити Клијенту доказ о таквом осигурању на захтев.

Европске одредбе

Овај распоред ће се примењивати само на преносе личних података (укључујући даље преносе) из Европе који би, у одсуству примене ових одредби, проузроковали да клијент или ОвнБацкуп прекрше важеће законе и прописе о заштити података.

Механизам преноса за пренос података.
Стандардне уговорне клаузуле примењују се на било који пренос личних података у оквиру овог ДПА из Европе у земље које не обезбеђују адекватан ниво заштите података у смислу закона и прописа о заштити података на таквим територијама, у мери у којој су такви трансфери предмет такви закони и уредбе о заштити података. ОвнБацкуп улази у Стандардне уговорне клаузуле као увозник података. Додатни услови у овом Прилогу се такође примењују на такве преносе података.

Трансфери подложни стандардним уговорним клаузулама.

• Купци обухваћени стандардним уговорним клаузулама. Стандардне уговорне клаузуле и додатни услови наведени у овом Прилогу примењују се на (и) Клијента, у мери у којој Клијент подлеже европским законима и прописима о заштити података и (ии) његовим овлашћеним филијалама. За потребе Стандардних уговорних клаузула и овог Прилога, такви субјекти су „извозници података“.
• Модули. Стране су сагласне да тамо где се могу применити опциони модули у оквиру Стандардних уговорних клаузула, да ће се примењивати само они са ознаком „ДРУГИ МОДУЛ: Пренос контролора на процесор“.
• Упутства. Упутства описана у клаузули 2 изнад се сматрају упутствима Клијента за обраду личних података у сврхе клаузуле 8.1 Стандардних уговорних клаузула.
• Именовање нових подпроцесора и листа постојећих подпроцесора. У складу са ОПЦИЈОМ 2 до клаузуле 9(а) Стандардних уговорних клаузула, Клијент је сагласан да ОвнБацкуп може ангажовати нове подпроцесоре као што је описано у клаузулама 5.1, 5.б и 5.ц изнад и да ОвнБацкуп-ове филијале могу бити задржане као подпроцесоре -процесори, а ОвнБацкуп и подружнице ОвнБацкупа могу ангажовати Подпроцесоре треће стране у вези са пружањем Услуга обраде података. Тренутна листа потпроцесора приложена је као Прилог 1.
• Уговори са подпроцесорима. Стране су сагласне да се пренос података подобрађивачима може ослањати на механизам преноса који није Стандардне уговорне клаузуле (нпр.ampле, обавезујућа корпоративна правила), и да уговори ОвнБацкуп-а са таквим подпроцесорима стога не смеју да садрже или одражавају Стандардне уговорне клаузуле, без обзира на било шта што је супротно у клаузули 9(б) Стандардних уговорних клаузула. Међутим, сваки такав уговор са подобрађивачем ће садржати обавезе заштите података које нису мање заштитне од оних у овом ДПА у вези са заштитом података о клијентима, у мери у којој је то примењиво на услуге које пружа такав подобрађивач. Копије уговора о подпроцесору које ОвнБацкуп мора доставити Клијенту у складу са клаузулом 9(ц) Стандардних уговорних клаузула биће обезбеђене од стране ОвнБацкупа само на писмени захтев Клијента и могу имати све комерцијалне информације или клаузуле које нису повезане са Стандардне уговорне клаузуле или њихов еквивалент, које ОвнБацкуп претходно уклања.
• Ревизије и сертификације. Стране су сагласне да ће ревизије описане у клаузули 8.9 и клаузули 13(б) Стандардних уговорних клаузула бити спроведене у складу са клаузулом 9 изнад.
• Брисање података. Стране су сагласне да ће брисање или враћање података предвиђених клаузулом 8.5 или клаузулом 16(д) Стандардних уговорних клаузула бити обављено у складу са клаузулом 8 изнад, а ОвнБацкуп ће обезбедити сваку потврду о брисању само на захтев Клијента.
• Трећи корисници. Стране су сагласне да ће на основу природе СааС услуга, Клијент пружити сву помоћ потребну да омогући ОвнБацкуп-у да испуни своје обавезе према субјектима података у складу са клаузулом 3 Стандардних уговорних клаузула.
• Процена утицаја. У складу са клаузулом 14 Стандардних уговорних клаузула, стране су спровеле анализу, у контексту специфичних околности преноса, закона и праксе земље одредишта, као и посебних допунских уговорних, организационих и техничких заштитне мере које се примењују и, на основу информација које су им у то време разумно биле познате, утврдили су да закони и пракса земље одредишта не спречавају стране да испуне обавезе сваке стране према Стандардним уговорним клаузулама
• Важеће право и форум. Стране су сагласне, у вези са ОПЦИЈОМ 2 клаузуле 17, да у случају да држава чланица ЕУ у којој је регистрован извозник података не дозвољава права корисника трећих страна, Стандардне уговорне клаузуле ће бити регулисане законом Ирска. У складу са клаузулом 18, спорове у вези са стандардним уговорним клаузулама решаваће судови наведени у Споразуму, осим ако се тај суд не налази у држави чланици ЕУ, у ком случају ће форум за такве спорове бити судови Ирске .
• Аннекси. За потребе извршења Стандардних уговорних клаузула, Додатак 3: Детаљи обраде биће укључени као АНЕКС ИА и ИБ, Прилог 4: Контроле безбедности ОвнБацкуп (који се могу ажурирати с времена на време на https://www.ownbackup.com/trust/) биће укључени као АНЕКС ИИ, и Прилог 1: Тренутна листа подпроцесора (који се с времена на време може ажурирати у https://www.ownbackup.com/legal/sub-p/) биће укључени као АНЕКС ИИИ.
• Интерпретација. Услови овог Прилога имају за циљ да разјасне, а не да модификују Стандардне уговорне клаузуле. У случају било каквог сукоба или недоследности између текста овог Прилога и Стандардних уговорних клаузула, Стандардне уговорне клаузуле ће имати предност.

Одредбе које се примењују на трансфере из Швајцарске

Стране су сагласне да ће се у сврху применљивости Стандардних уговорних клаузула за олакшавање преноса личних података из Швајцарске примењивати следеће додатне одредбе: (и) Свако позивање на Уредбу (ЕУ) 2016/679 ће се тумачити као упућивање на одговарајуће одредбе Швајцарског савезног закона о заштити података и других закона Швајцарске о заштити података („Швајцарски закони о заштити података“), (ии) Свако позивање на „државу чланицу“ или „државу чланицу ЕУ“ или „ЕУ“ тумачиће се као референца на Швајцарску и (иии) Свако упућивање на Надзорни орган тумачиће се тако да се односи на швајцарског савезног повереника за заштиту података и информације.

Одредбе које се примењују на трансфере из Уједињеног Краљевства

Стране су сагласне да се Додатак УК примењује на пренос личних података регулисан Законом о заштити података Уједињеног Краљевства и да ће се сматрати завршеним на следећи начин (са великим словима који нису дефинисани на другом месту и имају дефиницију дату у Додатку УК):

• Табела 1: Стране, њихови детаљи и њихови контакти су они наведени у Прилогу 3.
• Табела 2: „Одобрене стандардне уговорне клаузуле ЕУ“ биће Стандардне уговорне клаузуле како је наведено у овом Прилогу 5.
• Табела 3: Анекси И(А), И(Б) и ИИ су попуњени како је наведено у одељку 2(к) овог Прилога 5.
• Табела 4: ОвнБацкуп може користити опционо право на превремени раскид описано у одељку 19 Додатка УК.

Документи / Ресурси

Додатак за обраду података сопствених резервних копија [пдфУпутства Додатак за обраду података, Додатак за обраду, Додатак

Референце

• Упутство за употребу