Соглашение об обработке данных (DPA)

Последнее обновление: Май 2025

Настоящее Соглашение об обработке данных ("DPA") является частью Условий и положений ("Соглашение") между ratione-est.com IT School ("Обработчик" или "Школа") и вами, пользователем или студентом ("Контролер" или "Вы"), и применяется в той мере, в какой Обработчик обрабатывает Персональные данные от имени Контролера в ходе предоставления услуг ("Услуги"), как описано в Соглашении.

Настоящее DPA предназначено для обеспечения того, чтобы такая обработка осуществлялась в соответствии с применимыми законами о защите данных, включая Общий регламент по защите данных (ЕС) 2016/679 ("GDPR").

1. Определения

• "Контролер" означает физическое или юридическое лицо, государственный орган, агентство или другой орган, который самостоятельно или совместно с другими определяет цели и средства обработки Персональных данных. Для целей настоящего DPA Вы являетесь Контролером.
• "Обработчик" означает физическое или юридическое лицо, государственный орган, агентство или другой орган, который обрабатывает Персональные данные от имени Контролера. Для целей настоящего DPA ratione-est.com IT School является Обработчиком.
• "Субъект данных" означает идентифицированное или идентифицируемое физическое лицо, к которому относятся Персональные данные.
• "Персональные данные" означают любую информацию, относящуюся к Субъекту данных.
• "Обработка" означает любую операцию или набор операций, которые выполняются с Персональными данными, независимо от того, автоматизированы они или нет, такие как сбор, запись, организация, структурирование, хранение, адаптация или изменение, извлечение, консультация, использование, раскрытие путем передачи, распространения или иного предоставления доступа, выравнивание или комбинирование, ограничение, удаление или уничтожение.
• "Нарушение Персональных данных" означает нарушение безопасности, приводящее к случайному или незаконному уничтожению, потере, изменению, несанкционированному раскрытию или доступу к Персональным данным, передаваемым, хранимым или иным образом обрабатываемым.
• "Применимое законодательство о защите данных" означает все законы и нормативные акты, применимые к обработке Персональных данных в соответствии с Соглашением, включая, но не ограничиваясь GDPR.

2. Предмет, продолжительность, характер и цель обработки

• Предмет: Обработка Персональных данных Обработчиком осуществляется для целей предоставления Услуг, как указано в Соглашении, включая администрирование курсов, поддержку студентов, связь и функциональность сайта.
• Продолжительность: Обработка будет продолжаться в течение срока действия Соглашения и столько, сколько необходимо для выполнения целей, указанных в настоящем DPA, или как требуется законом.
• Характер и цель: Обработчик будет обрабатывать Персональные данные для того, чтобы Контролер мог использовать Услуги, которые включают управление учетными записями пользователей, предоставление курсов, отслеживание прогресса, связь, связанную с Услугами, обработку платежей, предоставление поддержки клиентов и улучшение Услуг.

3. Типы Персональных данных и категории субъектов данных

• Типы Персональных данных:
  • Идентификационные данные (например, имя, имя пользователя).
  • Контактные данные (например, адрес электронной почты, номер телефона, адрес для выставления счетов).
  • Финансовые данные (например, детали платежной карты, обрабатываемые третьими сторонами, предоставляющими услуги по обработке платежей).
  • Технические данные (например, IP-адрес, тип браузера, данные о входе, данные об использовании).
  • Профильные данные (например, зачисления на курсы, прогресс, предпочтения, обратная связь).
  • Данные связи (например, переписка со Школой).
• Категории субъектов данных:
  • Пользователи сайта и услуг Школы, включая потенциальных, текущих и бывших студентов.
  • Лица, которые обращаются в Школу или подписываются на ее сообщения.

4. Обязанности Обработчика данных (ratione-est.com IT School)

Обработчик должен:

• Обрабатывать Персональные данные только на основании документированных инструкций Контролера, включая передачу Персональных данных в третью страну или международную организацию, если это не требуется со стороны Обработчика по закону Союза или государства-члена, которому он подчиняется; в таком случае Обработчик должен проинформировать Контролера о таком правовом требовании до обработки, если только это право не запрещает такую информацию по важным основаниям общественных интересов.
• Обеспечить, чтобы лица, уполномоченные на обработку Персональных данных, обязались сохранять конфиденциальность или подлежали соответствующим юридическим обязательствам конфиденциальности.
• Реализовать соответствующие технические и организационные меры для обеспечения уровня безопасности, соответствующего риску, как подробно описано в нашей Политике конфиденциальности (Раздел: Безопасность данных). Эти меры должны учитывать состояние технологий, затраты на реализацию, характер, объем, контекст и цели обработки, а также риск различной вероятности и тяжести для прав и свобод физических лиц.
• При необходимости содействовать Контролеру посредством соответствующих технических и организационных мер, поскольку это возможно, для выполнения обязательств Контролера по реагированию на запросы на осуществление прав Субъектов данных, предусмотренных в главе III GDPR.
• Содействовать Контролеру в обеспечении соблюдения обязательств, предусмотренных статьями 32-36 GDPR (Безопасность обработки, Уведомление о нарушении данных, Оценка воздействия на защиту данных и Предварительное консультирование), учитывая характер обработки и информацию, доступную Обработчику.
• По выбору Контролера удалить или вернуть все Персональные данные Контролеру после окончания предоставления услуг, связанных с обработкой, и удалить существующие копии, если не требуется хранение Персональных данных со стороны Союза или государства-члена.
• Предоставить Контролеру всю необходимую информацию для демонстрации соответствия обязательствам, предусмотренным статьей 28 GDPR, и разрешить проведение аудитов, включая инспекции, проводимые Контролером или другим аудитором, уполномоченным Контролером. Обработчик должен немедленно проинформировать Контролера, если, по его мнению, инструкция нарушает GDPR или другие законы или нормативные акты Союза или государства-члена о защите данных.

5. Обязанности Контролера данных (Вы)

Контролер представляет и гарантирует, что:

• Он соблюдал и будет продолжать соблюдать все применимые законы, включая Применимое законодательство о защите данных, в отношении своей обработки Персональных данных и любых инструкций по обработке, которые он дает Обработчику.
• У него есть законная основа для сбора, обработки и передачи Персональных данных Обработчику для целей, описанных в настоящем DPA.
• Он предоставит все необходимые уведомления и получит все необходимые согласия от Субъектов данных для обработки их Персональных данных Обработчиком в соответствии с настоящим DPA.

6. Подобработка

• Контролер предоставляет общее письменное разрешение Обработчику на привлечение подобработчиков. Обработчик должен проинформировать Контролера о любых предстоящих изменениях, касающихся добавления или замены других подобработчиков, тем самым давая Контролеру возможность возразить против таких изменений.
• Список текущих подобработчиков может быть предоставлен по запросу.
• Когда Обработчик привлекает подобработчика, он должен делать это посредством письменного контракта, который налагает на подобработчика те же обязательства по защите данных, что и на Обработчика в соответствии с настоящим DPA. Обработчик остается полностью ответственным перед Контролером за выполнение обязательств подобработчика.

7. Меры безопасности данных

Обработчик будет поддерживать соответствующие технические и организационные меры безопасности для защиты Персональных данных от случайного или незаконного уничтожения, потери, изменения, несанкционированного раскрытия или доступа. Эти меры более подробно описаны в нашей Политике конфиденциальности.

8. Уведомление о нарушении Персональных данных

В случае нарушения Персональных данных, затрагивающего Персональные данные, обрабатываемые от имени Контролера, Обработчик должен уведомить Контролера без неоправданной задержки после того, как он станет осведомлен о нарушении Персональных данных. Уведомление будет включать информацию, позволяющую Контролеру выполнить свои собственные обязательства по уведомлению о нарушении в соответствии с Применимым законодательством о защите данных.

9. Международная передача данных

Персональные данные могут быть переданы и обработаны в странах, кроме страны проживания Субъектов данных. Эти страны могут иметь законы о защите данных, отличные от законов вашей страны. Когда Персональные данные передаются вне Европейской экономической зоны (EEA), Обработчик должен обеспечить, чтобы были приняты соответствующие меры безопасности, такие как Стандартные контрактные положения (SCC), утвержденные Европейской комиссией, или другие юридически признанные механизмы передачи.

10. Прекращение

Настоящее DPA автоматически прекратится после прекращения действия Соглашения. После прекращения Обработчик должен, по выбору Контролера, удалить или вернуть все Персональные данные, обработанные от имени Контролера, если не требуется их хранение по закону.

11. Правовое регулирование

Настоящее DPA будет регулироваться и толковаться в соответствии с законами Эстонии.

12. Контактная информация

Для любых вопросов, связанных с настоящим DPA или практикой обработки данных, пожалуйста, свяжитесь:
Служба защиты данных ratione-est.com IT School
Электронная почта: [email protected] (Тема: Запрос DPA)
Адрес: Papli 57, 71114 Tohvri, Viljandimaa, Эстония