Соглашение об обработке данных

Настоящее Соглашение об обработке данных ("DPA") применяется в случае, когда вы ("Заказчик", "Контролер") используете Услуги Kapsule Cloud для обработки персональных данных о других физических лицах ("Субъекты данных"). Оно является частью Условий обслуживания между вами и Kapsule Group Limited ("Kapsule Cloud", "мы", "нас", "Обработчик").

Данное DPA отражает требования новозеландского Privacy Act 2020. Если вы подпадаете под действие других применимых законов о защите данных (например, Общего регламента по защите данных Европейского союза, UK GDPR или Australian Privacy Act 1988), соответствующие положения этого DPA, прочитанные совместно с нашей Политикой конфиденциальности и Списком подпроцессоров, предназначены для обеспечения защиты, сравнимой с этими законами. Если для поддержки вашего соответствия иностранному закону требуются дополнительные договорные меры, мы рассмотрим их по вашему запросу.

Если вы используете Услуги исключительно для обработки ваших собственных персональных данных (а не персональных данных других физических лиц), данное DPA не применяется; применяется только Политика конфиденциальности.

В настоящем ДОО:

"Применимое законодательство в области защиты данных" означает Privacy Act 2020 и любое иное законодательство о защите персональных данных или конфиденциальности, применимое к обработке Клиентом персональных данных с использованием Услуг.

"Контролер" означает физическое или юридическое лицо, определяющее цели и способы обработки персональных данных.

"Персональные данные Клиента" означает персональные данные, обрабатываемые нами от вашего имени с использованием Услуг в отношении Субъектов данных.

"Субъект данных" означает определенное или определяемое физическое лицо, к которому относятся Персональные данные Клиента.

"Уведомляемое нарушение конфиденциальности" имеет значение, данное в разделе 112 Privacy Act 2020 (нарушение конфиденциальности, которое причинило или, вероятно, причинит серьезный вред).

"Персональные данные" имеют значение, данное в Privacy Act 2020.

"Обработчик" означает лицо, обрабатывающее персональные данные от имени Контролера.

"Обработка" означает любую операцию или набор операций, выполняемых с персональными данными, независимо от того, выполняются ли они автоматизированным способом или нет.

"Подпроцессор" означает третью сторону, привлекаемую нами для обработки Персональных данных Клиента от нашего имени.

"Стандартные договорные положения" означает стандартные положения о защите данных, принятые признанным органом по защите данных (например, EU Standard Contractual Clauses Европейской комиссии) для трансграничной передачи персональных данных из юрисдикции с ограничивающими правилами в отношении международной передачи данных.

Прочие терминированные термины имеют значения, указанные в Условиях предоставления услуг.

#2.1 Роли. В отношении Персональных данных Клиента вы являетесь Контролером, а мы являемся Процессором. Вы несете ответственность за законность сбора и обработки вами Персональных данных Клиента, включая предоставление всех необходимых уведомлений о конфиденциальности, получение всех необходимых согласий и соблюдение всех Применимых законов о защите персональных данных в ваших взаимодействиях с Субъектами персональных данных.

#2.2 Документированные инструкции. Мы будем обрабатывать Персональные данные Клиента только: (a) в объеме, необходимом для предоставления Услуг в соответствии с Условиями обслуживания; (b) в соответствии с вашими обоснованными документированными инструкциями (Условия обслуживания, выбор конфигурации, который вы делаете в KPanel, и любые дополнительные письменные инструкции, которые вы нам даете, считаются вашими документированными инструкциями); и (c) в соответствии с требованиями законодательства, применимого к нам, в этом случае мы уведомим вас о правовом требовании перед обработкой, если это не запрещено указанным законодательством по важным соображениям общественного интереса.

#2.3 Противоречивые инструкции. Мы уведомим вас, если по нашему обоснованному мнению инструкция от вас нарушает Применимое законодательство о защите персональных данных. Мы можем отказать в обработке Персональных данных Клиента в случае, если такая обработка поставила бы нас в нарушение Применимого законодательства о защите персональных данных.

#3.1 Мы обеспечиваем, чтобы любое лицо, уполномоченное обрабатывать личную информацию Клиента от нашего имени, было связано обязательствами по конфиденциальности, будь то договорные или предусмотренные законом, и было информировано о конфиденциальном характере информации.

#3.2 Доступ к личной информации Клиента ограничивается принципом необходимости доступа и защищается контролем доступа, обязательной двухфакторной аутентификацией и логированием аудита.

#4.1 Мы будем внедрять и поддерживать надлежащие технические и организационные меры для защиты персональных данных клиентов от несанкционированной или незаконной обработки, случайной потери, уничтожения или повреждения. Текущие меры кратко описаны в Приложении B к настоящему Соглашению об обработке данных и на странице kapsulecloud.com/legal/security.

#4.2 Мы будем регулярно проводить проверку и обновление наших мер безопасности с учетом современного уровня развития технологий, стоимости внедрения, характера, масштаба, контекста и целей обработки, а также риска для прав и свобод субъектов данных.

#4.3 Мы не будем существенно снижать общий уровень защиты без уведомления вас об этом.

#5.1 Авторизация. Вы уполномочиваете нас привлекать Субподрядчиков, перечисленных на сайте kapsulecloud.com/legal/sub-processors, для обработки Личной информации клиента.

#5.2 Условия привлечения Субподрядчиков. Мы заключим письменный контракт с каждым Субподрядчиком, который устанавливает обязательства в области защиты данных, не менее строгие, чем те, которые содержатся в настоящем DPA, включая обязательства по конфиденциальности, безопасности и ограниченной обработке.

#5.3 Уведомление о новых Субподрядчиках. Мы уведомим вас о привлечении любого нового Субподрядчика, который будет обрабатывать Личную информацию клиента, не менее чем за тридцать (30) дней до начала обработки данным Субподрядчиком. Уведомление будет отправлено по электронной почте и размещено на странице Субподрядчиков.

#5.4 Возражение. Вы можете возразить по обоснованным причинам (например, документально подтвержденные опасения относительно безопасности, соответствия нормативным требованиям или юрисдикции предлагаемого Субподрядчика), отправив электронное письмо на адрес [email protected] в течение периода в 30 дней. Если мы не сможем разумно удовлетворить ваше возражение (например, путем смены Субподрядчика или изменения конфигурации), вы можете расторгнуть затронутый Сервис и получить пропорциональный возврат любых предоплаченных Комиссий за неиспользованную часть соответствующего периода выставления счетов.

#5.5 Ответственность за Субподрядчиков. Мы остаемся ответственными перед вами за действия и бездействие наших Субподрядчиков в отношении Личной информации клиента, как если бы они были нашими собственными.

#6.1 Мы будем, с учетом характера обработки, оказывать разумную помощь в ответ на запросы субъектов данных о реализации их прав в соответствии с применимым законодательством о защите данных, включая права на доступ, исправление, удаление, ограничение и портативность.

#6.2 При получении запроса от субъекта данных, связанного с использованием вами Услуг, мы будем: (a) направлять субъекта данных вам (Контроллеру); и (b) если это не запрещено законом, уведомлять вас о запросе без неоправданной задержки.

#6.3 Помощь предоставляется посредством функций доступа, экспорта и удаления в KPanel, где их достаточно, и посредством ручной поддержки, когда технические возможности не могут удовлетворить запрос.

#6.4 Мы можем взимать разумную плату за ручную помощь, которая существенно превышает стандартную поддержку, в случаях, когда запрос явно необоснован или чрезмерен.

#7.1 Уведомление. Мы уведомим вас о любом подтвержденном Уведомляемом нарушении конфиденциальности, затрагивающем персональные данные клиента, без неоправданных задержек и в любом случае в течение семидесяти двух (72) часов с момента получения информации о нем.

#7.2 Содержание уведомления. Уведомление будет содержать, в той мере, в какой это известно и разумно доступно в момент уведомления: (a) характер нарушения, включая, по возможности, категории и приблизительное количество затронутых субъектов данных и записей; (b) вероятные последствия нарушения; (c) меры, которые мы приняли или предлагаем принять для устранения нарушения и смягчения его возможных неблагоприятных последствий; и (d) контактную информацию для получения дополнительной информации.

#7.3 Последующие обновления. Если некоторая информация недоступна в момент первоначального уведомления, мы предоставим ее в виде дальнейших обновлений как можно скорее.

#7.4 Сотрудничество. Мы будем разумно сотрудничать с вами в любом требуемом расследовании, уведомлении органов власти, уведомлении затронутых субъектов данных и устранении последствий.

#7.5 Ответственность клиента. Вы остаетесь ответственны за оценку того, является ли нарушение Уведомляемым нарушением конфиденциальности в соответствии с применимым к вам законодательством, и за осуществление необходимых уведомлений в Управление Комиссара по конфиденциальности, затронутым субъектам данных или иным регулирующим органам. Мы предоставим информацию, которая вам разумно необходима для этого.

#8.1 Информация. Мы предоставим вам информацию, необходимую для демонстрации соответствия данному DPA, включая Заявление о безопасности на сайте kapsulecloud.com/legal/security, список Субподрядчиков и любые отчеты аудитов третьих сторон или сертификаты, которыми мы располагаем (если таковые имеются).

#8.2 Аудит на месте. В случае, если информация, указанная в пункте 8.1, недостаточна для демонстрации соответствия в отношении конкретного вопроса, который вы подняли в письменной форме, вы можете провести аудит нашего соответствия данному DPA на следующих условиях: (a) аудиты проводятся за ваш счет (включая наши разумные расходы на оказание помощи); (b) вы уведомляете нас не менее чем за тридцать (30) дней в письменной форме; (c) аудиты проводятся в течение нашего обычного рабочего времени; (d) аудиты проводятся не чаще одного раза в любой период из двенадцати (12) месяцев, за исключением случаев после подтвержденного Уведомляемого нарушения конфиденциальности, вас касающегося, в этом случае дополнительный аудит может быть проведен с надлежащим уведомлением; (e) аудит не создает необоснованные помехи нашей деятельности и не ставит под угрозу конфиденциальность информации других заказчиков; (f) аудитор должен быть квалифицированным, независимым от наших конкурентов и связанным обязательствами конфиденциальности на условиях, приемлемых для нас; (g) мы можем по нашему выбору выполнить наши обязательства по аудиту, предоставляя копии отчетов аудитов третьих сторон или сертификаты (где доступны) или путем ответа на анкету безопасности.

#8.3 Вы предоставите нам копию любого отчета об аудите и любых выводов, и мы приложим разумные усилия для устранения существенных выводов в течение согласованного периода.

#9.1 Вы признаете, что некоторые из наших Подпроцессоров расположены за пределами Новой Зеландии. Текущие местоположения указаны на странице kapsulecloud.com/legal/sub-processors.

#9.2 В случае передачи Персональной информации Клиента за пределы Новой Зеландии мы обеспечим применение сравнимых гарантий, включая: (a) обеспечение того, чтобы Подпроцессор был подчинен закону о защите данных, который, по нашему мнению, обеспечивает защиту, сравнимую с Privacy Act 2020; или (b) заключение договорных гарантий с Подпроцессором, требующих сравнимой защиты (например, путем ссылки на Стандартные договорные положения, где это уместно); или (c) получение вашего явного разрешения на передачу.

#9.3 Вступая в настоящее Соглашение об обработке данных, вы разрешаете передачи, описанные в пункте 7 Политики конфиденциальности и в пункте 5 настоящего Соглашения об обработке данных, на основе гарантий, изложенных в пункте 9.2.

#10.1 В течение срока действия Услуг вы можете экспортировать персональные данные клиента через KPanel с помощью наших стандартных инструментов экспорта (CSV, JSON, загрузка архива или дамп базы данных в зависимости от типа данных).

#10.2 При прекращении Услуг и по вашему выбору мы будем: (a) предоставлять персональные данные клиента для экспорта в течение тридцати (30) дней после прекращения ("Льготный период"); и (b) впоследствии постоянно удалять персональные данные клиента из активных систем.

#10.3 Зашифрованные резервные копии будут удалены при следующем запланированном цикле ротации, не позднее чем через тридцать (30) дней после удаления из активных систем.

#10.4 Мы можем сохранять персональные данные клиента после прекращения Услуг, если это требуется законом (например, счета и налоговые записи в соответствии с Tax Administration Act 1994, или для защиты от судебных исков). Любое такое сохранение будет ограничено минимально необходимым, и информация будет оставаться под действием обязательств конфиденциальности и безопасности, предусмотренных настоящим DPA.

#11.1 Положения об ответственности в Условиях обслуживания (включая ограничение ответственности в пункте 16) применяются к данному DPA.

#11.2 Без ущерба для положений пункта 11.1, ничто в данном DPA не ограничивает ответственность стороны за мошенничество, мошенническое введение в заблуждение, умышленное нарушение или любую ответственность, которая не может быть законным образом ограничена в соответствии с Применимыми законами о защите данных.

#11.3 В случае если мы понесем административный штраф в результате или в связи с вашим невыполнением обязательств в соответствии с данным DPA или Применимыми законами о защите данных, размер такого штрафа будет рассматриваться как убыток, подлежащий взысканию с вас, с учетом ограничений в Условиях обслуживания.

#11.4 Кредиты по уровню обслуживания в соответствии с SLA не являются кредитами в соответствии с данным DPA.

#12.1 Настоящее Соглашение об обработке данных вступает в силу при первом использовании Услуг (или 15 мая 2026 года, в зависимости от того, что наступит позже) и действует до прекращения предоставления Услуг и завершения наших обязательств по удалению данных в соответствии с пунктом 10.

#12.2 Мы можем время от времени обновлять настоящее Соглашение об обработке данных в целях отражения изменений в законодательстве или в нашей деятельности. О существенных изменениях будет сообщено минимум за тридцать (30) дней.

#13.1 В случае конфликта между настоящим DPA и Условиями обслуживания или Политикой конфиденциальности в отношении обработки персональных данных клиента настоящий DPA имеет приоритет.

#13.2 В случае конфликта между настоящим DPA и применимым обязательным положением действующего законодательства о защите данных обязательное положение имеет приоритет в той части, в которой существует конфликт.

Сотрудник по защите данных

Kapsule Group Limited, Крайстчерч, Новая Зеландия.

Электронная почта: [email protected]

A.1 Предмет обработки. Предоставление услуг облачного хостинга, регистрации доменов, хостинга электронной почты и связанных услуг, как описано в Условиях оказания услуг.

A.2 Продолжительность. На протяжении срока действия Услуг, плюс Льготный период и любое удержание, требуемое законодательством, как установлено в пункте 10.

A.3 Характер и цель. Хранение, передача, резервное копирование, безопасность, репликация, индексирование, преобразование формата (для технической совместимости), предотвращение злоупотреблений, выставление счетов и иная обработка, необходимая для функционирования Услуг.

A.4 Категории персональных данных Клиента. Определяются и загружаются вами. Могут включать: имена, контактные данные (электронная почта, номер телефона, адрес), учетные данные аккаунта, информацию для проверки личности, платежную информацию, данные о транзакциях, IP-адреса, идентификаторы устройств, фотографии и другие изображения, содержание веб-сайтов и приложений, содержание электронной почты, метаданные сообщений, записи управления взаимоотношениями с клиентами, коммуникации по поддержке и любые другие персональные данные, которые вы решили обрабатывать через Услуги.

A.5 Категории субъектов персональных данных. Определяются вами. Могут включать: ваших сотрудников, подрядчиков, агентов, клиентов, потенциальных клиентов, поставщиков, членов, конечных пользователей, доноров и других физических лиц, чьи персональные данные вы решили обрабатывать через Услуги.

A.6 Специальные категории. Вы не должны загружать в Услуги никакие специальные категории или чувствительные персональные данные (такие как информация о здоровье, биометрические данные, судимость, религиозные убеждения, сексуальная ориентация или членство в профсоюзе) без нашего предварительного письменного согласия на применение надлежащих дополнительных мер защиты. Если вы загружаете такую информацию без нашего согласия, вы несете ответственность за законность этого и возмещаете нам убытки в отношении любых связанных с этим претензий.

A.7 Частота и продолжительность обработки. Постоянная, на протяжении всего срока действия Услуг.

Мы внедряем следующие технические и организационные меры, которые мы можем обновлять время от времени для поддержания или улучшения общей защиты:

B.1 Политики и управление информационной безопасностью. Задокументированные политики информационной безопасности и конфиденциальности, рассматриваемые не менее одного раза в год. Назначенный Сотрудник по защите данных, отвечающий за соответствие требованиям. Обучение сотрудников в области конфиденциальности и безопасности при приеме на работу и ежегодно после этого. Проверка биографических данных персонала с доступом к производственным системам, где это допускается законом.

B.2 Контроль доступа. Строгий контроль доступа на основе ролей в соответствии с принципами наименьших привилегий. Обязательная двухфакторная аутентификация для всего персонала с доступом к производственным системам. Периодические проверки доступа и своевременное отзыв при изменении должности или увольнении. Разделение производственных и непроизводственных сред. Ведение журнала привилегированного доступа.

B.3 Шифрование и защита данных. Шифрование TLS (не менее TLS 1.2) для всех данных при передаче. Шифрование в состоянии покоя для внесайтовых резервных копий (restic) и для хранилищ чувствительных данных. Зашифрованные внесайтовые резервные копии restic, хранящиеся в Cloudflare R2 (регион Oceania). Безопасное управление ключами с автономными копиями главных ключей восстановления.

B.4 Сетевая и системная безопасность. Сегментация сети между окружением клиентов. Брандмауэр веб-приложений и защита от DDoS через Cloudflare. Регулярное применение патчей безопасности для операционных систем, сред выполнения и приложений. Сканирование уязвимостей инфраструктуры, доступной в интернете. Периодическое тестирование на проникновение.

B.5 Логирование, мониторинг и реагирование на инциденты. Централизованное логирование доступа, изменений и событий безопасности. Круглосуточный мониторинг (24x7) здоровья платформы и сигналов безопасности. Задокументированный план реагирования на инциденты с определенными уровнями серьезности и путями эскалации. Процедура уведомления о подлежащем уведомлению нарушении конфиденциальности, согласованная с Privacy Act 2020 и пунктом 7 настоящего DPA.

B.6 Резервное копирование, непрерывность бизнеса и аварийное восстановление. Ежедневные зашифрованные внесайтовые резервные копии данных сайта и данных электронной почты клиента. Хранение внесайтовых резервных копий не менее тридцати (30) дней с более длительным хранением в составе более высоких Планов. Задокументированные процедуры аварийного восстановления и руководства по запуску. Регулярное тестирование восстановления.

B.7 Персонал и субпроцессоры. Обязательства по конфиденциальности для всего персонала. Письменные контракты со всеми Субпроцессорами, предусматривающие защиту не менее защитную, чем настоящий DPA. Ежегодный пересмотр Субпроцессоров на предмет продолжающейся пригодности.

B.8 Физическая безопасность. Производственные серверы работают в центрах данных Tier III или эквивалентных с контролируемым физическим доступом, круглосуточной (24x7) безопасностью, системами контроля окружающей среды и пожаротушением.

B.9 Безопасность приложений. Безопасный жизненный цикл разработки программного обеспечения, включая рецензирование кода, сканирование зависимостей и предварительное тестирование. Использование управления секретами (отсутствие секретов в исходном коде). Обязательное рецензирование кода для производственных изменений.

B.10 Разделение данных и удаление. Логическое разделение данных клиентов. Задокументированные процедуры удаления данных, согласованные с пунктом 10 настоящего DPA. Задокументированные процедуры обработки запросов Субъекта данных на доступ, исправление и удаление.

Более подробная версия этих мер опубликована на kapsulecloud.com/legal/security и обновляется время от времени.