Соглашение об обработке персональных данных

1.1Настоящее Соглашение об обработке персональных данных («DPA») регулирует обработку персональных данных при оказании услуг Accquix, если Поставщик обрабатывает персональные данные от имени Клиента.

1.2Клиент выступает контролером персональных данных, если он определяет цели и средства обработки персональных данных, содержащихся в его бухгалтерских, коммерческих или налоговых документах.

1.3Поставщик выступает обработчиком в той мере, в какой он обрабатывает персональные данные от имени Клиента для целей оказания услуги.

1.4При обработке персональных данных для собственной фактурации, ведения собственной бухгалтерской отчетности, AML/KYC, защиты правовых требований, безопасности и выполнения собственных законных обязанностей Поставщик выступает самостоятельным контролером.

2.1Предметом обработки является обработка персональных данных, необходимых для оказания бухгалтерских, административных, консультационных, разовых и связанных услуг Accquix.

2.2Целью обработки является, в частности, ведение бухгалтерии или учета, обработка бухгалтерских документов, подготовка налоговых и бухгалтерских результатов, электронная коммуникация с органами публичной власти, проверка или систематизация учета, предоставление консультационных результатов, архивирование и коммуникация между сторонами.

2.3Обработка может осуществляться автоматизированными и неавтоматизированными средствами, в частности в бухгалтерском программном обеспечении, облачном хранилище, e-mail коммуникации, таблицах, экспортах и связанных цифровых инструментах.

3.1Персональные данные обрабатываются в течение договорных отношений, а затем в течение периода, необходимого для выполнения законных, бухгалтерских, налоговых, AML, архивных или правовых обязанностей.

3.2Если дальнейшее хранение не является необходимым или оправданным, Поставщик удалит персональные данные или вернет их Клиенту в соответствии с характером данных, техническими возможностями и условиями настоящего DPA.

4.1Обрабатываемые данные могут включать, в частности, следующие категории: имя и фамилия, коммерческое наименование, адрес, IČO, DIČ, IČ DPH, контактные данные, банковские данные, фактурные данные, данные о платежах, данные на бухгалтерских документах, данные клиентов и поставщиков Клиента, данные о транзакциях и данные, необходимые для идентификации или AML/KYC проверки.

4.2При услугах, которые не включают зарплатную или HR-повестку, Поставщик обычно не обрабатывает обширные специальные категории персональных данных работников. Если такая повестка должна предоставляться, она должна быть согласована отдельно.

5.1Субъектами данных могут быть, в частности, Клиент, его клиенты, поставщики, контактные лица деловых партнеров, представители, работники, лица, указанные в счетах, выписках, договорах или иных документах.

6.1Поставщик обрабатывает персональные данные только на основании настоящего DPA, индивидуального договора, Условий, документированных инструкций Клиента или требований правовых норм.

6.2Если Поставщик считает, что инструкция Клиента нарушает GDPR или другие правовые нормы, он уведомит об этом Клиента, если этому не препятствует правовая обязанность.

7.1Поставщик обязуется обрабатывать персональные данные только в объеме, необходимом для оказания услуги, соблюдать конфиденциальность, принимать надлежащие технические и организационные меры, обеспечить инструктаж лиц с доступом к данным, помогать Клиенту в выполнении разумных обязанностей по GDPR и предоставлять разумную информацию, необходимую для подтверждения соответствия настоящему DPA.

7.2Поставщик не обязан выполнять юридическую или compliance-повестку Клиента в отношении его клиентов, работников или иных субъектов данных, если это не согласовано отдельно.

7.3Если Поставщик получит запрос от субъекта данных об осуществлении его прав по GDPR, касающийся персональных данных, обрабатываемых от имени Клиента, Поставщик не будет отвечать на такой запрос напрямую. Вместо этого он без неоправданной задержки передаст запрос Клиенту, который отвечает за его обработку.

7.4Если Поставщик обязан раскрыть персональные данные на основании обязательного запроса органа публичной власти, он безотлагательно уведомит Клиента о таком запросе до раскрытия данных, если соответствующая правовая норма не препятствует этому, например судебный приказ, запрещающий уведомление.

8.1Клиент отвечает за законность обработки персональных данных, определение правового основания, информирование субъектов данных, правильность и полноту данных, выполнение прав субъектов данных, а также за то, что персональные данные, переданные Поставщику, были получены законным способом.

8.2Клиент не должен передавать Поставщику персональные данные, которые не нужны для оказания услуги или которые Клиент не имеет права обрабатывать.

9.1Клиент предоставляет Поставщику общее разрешение привлекать дополнительных обработчиков и технологических поставщиков, необходимых для оказания услуги.

9.2Список основных обработчиков и технологических поставщиков опубликован на странице /legal/subprocessors или предоставляется Клиенту по запросу.

9.3Поставщик вправе обновлять список, если изменение не снижает надлежащий уровень защиты персональных данных. При существенном изменении в рамках повторяющейся услуги Поставщик может уведомить Клиента по e-mail или путем публикации обновленного списка.

9.4Клиент вправе подать обоснованное возражение против привлечения нового дополнительного обработчика или замены существующего дополнительного обработчика в течение 14 дней с момента уведомления об изменении. Если Клиент подает обоснованное возражение и стороны не договорятся о решении, которое устранило бы опасения Клиента, это может считаться основанием для прекращения договорных отношений Клиентом в соответствии с условиями индивидуального договора или Условий.

10.1Поставщик принимает надлежащие технические и организационные меры, в частности управление доступом, использование защищенных аккаунтов и облачных услуг, надлежащие пароли, ограничение доступа лицами, которым он необходим, резервное копирование с учетом характера услуги, защиту устройств и передачу данных по защищенным каналам там, где это уместно.

10.2Уровень мер безопасности соответствует характеру обработки, объему данных, риску для субъектов данных и размеру предоставляемой услуги.

11.1Если Поставщик узнает о нарушении защиты персональных данных, которое касается данных, обрабатываемых от имени Клиента, он без неоправданной задержки уведомит Клиента и предоставит информацию, доступную на момент уведомления.

11.2Клиент отвечает за оценку необходимости уведомления надзорного органа или субъектов данных, если законом не установлено иное.

12.1При использовании некоторых облачных, аналитических, коммуникационных, платежных или проверочных инструментов может произойти передача персональных данных или доступ к ним за пределами Европейского союза или Европейской экономической зоны.

12.2Поставщик обеспечит, чтобы такая передача осуществлялась в соответствии с GDPR, в частности на основании решения об адекватности, стандартных договорных положений, Data Privacy Framework или иных надлежащих гарантий, используемых соответствующим поставщиком.

13.1Поставщик предоставит Клиенту разумное содействие, необходимое для подтверждения выполнения обязанностей по настоящему DPA. Содействие должно быть соразмерно размеру услуги, характеру обработки и возможностям Поставщика.

13.2Если Клиент требует обширного аудиторского или security-содействия сверх обычной коммуникации, такое содействие может быть оплачиваемым по индивидуальной договоренности.

14.1После завершения оказания услуги, которое ведет к прекращению обработки, Поставщик обычно безопасно удаляет все персональные данные, обрабатываемые от имени Клиента, за исключением данных, дальнейшее хранение которых требуется бухгалтерскими, налоговыми, AML или иными правовыми нормами.

14.2Если Клиент до прекращения договорных отношений письменно попросит вернуть персональные данные вместо их удаления, Поставщик предоставит разумное содействие. Возврат данных в форме специального экспорта или в ином нестандартном формате считается дополнительной платной услугой, цена которой будет согласована индивидуально.

15.1Настоящее DPA является частью договорных отношений между Поставщиком и Клиентом, если на него есть ссылка в индивидуальном договоре, заказе или Условиях.

15.2В вопросах защиты персональных данных настоящее DPA имеет преимущественную силу перед Условиями, если между документами есть противоречие.