Політика захисту даних

Останнє оновлення: 30.04.2024

Примітки

Розширення Upwex для Chrome (далі — «Upwex») є продуктом SynapseTeam OÜ, яке аналізує завдання на Upwork, використовуючи штучний інтелект на основі даних клієнтів («Ви») та історії завдань, автоматично генерує пропозиції на основі аналізу завдань і надає технічні відповіді на запитання щодо завдань на Upwork. Команда Upwex («Ми» та «Нас») надає Послуги, як визначено в Умовах використання («Умови»), використовуючи штучний інтелект («ШІ»).

Ця Політика захисту даних («DPP»), викладена в Угоді про захист даних («DPA»), застосовується до сайту Upwex.io та розширення Upwex для Chrome. Для використання послуг ви повинні погодитися з усіма положеннями, викладеними в Умовах використання, Політиці конфіденційності та інших політиках («Документи»), без будь-яких заперечень або змін положень документів чи будь-яких правил та політик роботи. Уся відповідна документація доступна на нашому сайті.

Будь ласка, уважно прочитайте цю Політику захисту даних (DPP) перед доступом до Послуг та/або їх використанням. Якщо Ви не погоджуєтесь з усіма документами Upwex.io, Ви не можете отримати доступ до Послуг або використовувати їх.

Визначення

Терміни «контролер», «суб’єкт даних», «порушення персональних даних», «обробка» (включаючи «оброблено» та «обробляти»), «процесор» і «наглядовий орган» мають значення, визначене цими термінами в Регламенті GDPR.

Вступ

Щоб забезпечити належний рівень захисту персональних даних, Upwex впроваджує різноманітні заходи, включаючи цю Політику захисту даних (DPP), які спрямовані на забезпечення відповідного рівня захисту персональних даних клієнтів Upwex.

Upwex надає послуги, які базуються на обробці (персональних) даних, а метою цієї Угоди про захист даних (DPA) є регулювання використання персональних даних Клієнта, який виступає в ролі контролера даних (далі — «Клієнт»), компанією Upwex, яка виступає в ролі процесора (далі — «Процесор») відповідно до цієї Політики захисту даних (DPP).

Сфера застосування

Ця Політика захисту даних (DPP) застосовується до всіх процесів обробки персональних даних Клієнта, які здійснює Upwex як процесор, включаючи передачі в межах Європейської економічної зони (EEA), з EEA до третіх країн, з третіх країн до EEA та передачі між третіми країнами. DPP застосовується до наступних категорій передачі даних: передачі від контролера до процесора та передачі від процесора до (суб)процесора.

Процесор зобов’язується і підтверджує, що він дотримується всіх положень чинних правил захисту даних, які включають Загальний регламент захисту даних (GDPR; Регламент (ЄС) 2016/679 від 27 квітня 2016 року про захист фізичних осіб у зв’язку з обробкою персональних даних та про вільний рух таких даних) і Закон про захист персональних даних 2018 року (PDPA).

Якщо місцеве законодавство про захист даних вимагає нижчого рівня захисту персональних даних, ніж передбачено цією Політикою захисту даних (DPP), Процесор зобов’язується дотримуватися рівня, визначеного в DPP.

Процесор зобов’язується збирати докази дотримання вимог і демонструвати відповідність чинному законодавству (принцип «відповідальності»). Це включає різні форми доказів:

електронні записи згоди або інформації;
контракти та угоди;
записи обробки, реєстри конкретних операцій обробки, передач або розкриттів;
архів електронних листів або інших комунікацій;
архівовані журнали або відеозаписи екрана;
тощо.

Ці докази можуть зберігатися протягом певних періодів, як це вимагається або передбачено чинним законодавством.

Процесор заявляє, що надає всі достатні запобіжні заходи для задоволення вимог чинних правил захисту даних і, зокрема, для забезпечення конфіденційності та захисту даних Клієнта.

Інструкції

Процесор заявляє та зобов’язується використовувати дані Клієнта лише відповідно до документованих інструкцій, описаних у DPA. Клієнт зобов’язується повідомляти Процесора про будь-які зміни в інструкціях, що можуть бути внесені щодо використання його персональних даних. Процесор повинен негайно письмово повідомити Клієнта, якщо документовані інструкції останнього становлять порушення чинних правил захисту даних.

Обов'язковість для асоційованих осіб SynapseTeam OÜ

Всі асоційовані особи SynapseTeam OÜ зв’язані цим документом через свою обов’язок дотримуватися політик Upwex, частиною яких є ця Політика захисту даних (DPP). Ці зобов’язання відображені в усіх трудових або співпраці контрактах.

Асистенти Upwex ознайомлюються з Політикою захисту даних (DPP) під час введення в посаду, навчання та регулярного перегляду. Порушення DPP може призвести до санкцій відповідно до чинного місцевого законодавства, включаючи звільнення відповідного асистента.

Конфіденційність

Процесор заявляє та підтверджує, що всі його асистенти, які обробляють персональні дані Клієнта, зобов’язані дотримуватися положення про конфіденційність або іншого правового акта, що гарантує конфіденційність персональних даних Клієнта. Процесор зобов’язується регулярно навчати своїх асистентів чинним правилам захисту даних.

Порушення даних

Відповідно до статті 33(2) GDPR, Процесор зобов’язується повідомити Клієнта без затримки після того, як стане відомо про порушення персональних даних. Повідомлення повинно містити всю необхідну інформацію, щоб Клієнт міг обробити порушення даних, описане в статті 28 GDPR. У разі порушення даних Процесор зобов’язується вжити всіх необхідних заходів для виправлення наслідків порушення даних. Якщо Клієнт не надав свого явного, попереднього та письмового дозволу, Процесор не має права повідомляти про порушення даних наглядовому органу та особам, яких стосується обробка, що здійснюється відповідно до DPA.

Встановлення довіри

Процесор підтверджує та зобов’язується гарантувати безпеку персональних даних Клієнта та впроваджувати всі технічні та організаційні заходи, необхідні для запобігання будь-якому ризику порушення даних. Крім того, за письмовим запитом Клієнта Процесор надасть всю необхідну інформацію для оцінки впливу на конфіденційність (Privacy Impact Assessment, PIA). Процесор не зобов’язаний забезпечувати або контролювати безпеку Клієнта чи проводити PIA від імені Клієнта. Будь-який додатковий запит на інформацію може бути відхилений, і, якщо це необхідно, може стягуватися додаткова плата за цю послугу.

Передача даних до третіх країн

Процесор підтверджує та зобов’язується вжити всіх необхідних заходів, щоб не передавати персональні дані Клієнта за межі Європейського Союзу або залучати будь-якого субпроцесора, що розташований за межами Європейського Союзу. Однак у рідкісних випадках Процесор може передавати персональні дані до країн, які не забезпечують адекватного рівня захисту персональних даних, лише за умови, що будуть встановлені відповідні запобіжні заходи, такі як стандартні контрактні положення.

Субпроцесор

Клієнти, які запитують послуги від Upwex, отримають письмову інформацію про використання субпроцесора*, і повинні надати свою попередню письмову згоду або заперечення щодо використання субпроцесора. У разі, якщо Процесор не зобов’яжеться змінити субпроцесора протягом трьох місяців з моменту отримання заперечення, Клієнт може розірвати DPA за умови попереднього письмового повідомлення за шість (6) місяців і без компенсації. У будь-якому випадку Процесор залишатиметься відповідальним за дії субпроцесора відповідно до DPA.

*У разі, якщо Процесор залучає субпроцесорів, Процесор укладатиме письмовий контракт із субпідрядником, який міститиме умови, які за суттю є такими ж, як ті, що викладені в DPA (включаючи, за необхідності, стандартні контрактні положення). Процесор залишається відповідальним за виконання зобов’язань кожного субпроцесора та за будь-які дії або бездіяльність такого субпроцесора, які призводять до порушення Процесором будь-яких своїх зобов’язань за DPA.

Призупинення обробки

Клієнт повинен повідомити Процесора в письмовій формі, не пізніше ніж за місяць до закінчення DPA, про свій вибір:

(варіант 1) повернути персональні дані Процесору, а потім видалити персональні дані та всі існуючі копії, або
(варіант 2) безпосередньо видалити персональні дані та всі існуючі копії, або
(варіант 3) передати персональні дані новому постачальнику, а потім видалити персональні дані та всі існуючі копії.

Якщо інше не передбачено в DPA, варіант 3 підлягає оцінці Процесором. Якщо Клієнт не повідомить Процесора про свій вибір у зазначений період, Процесор залишає за собою право безпосередньо видалити дані та всі копії (варіант 2). Процесор письмово підтвердить Клієнту, що персональні дані та всі їх копії були ефективно видалені.

Аудит

Щонайменше раз на рік Процесор проводить аудит своїх практик обробки персональних даних, а також інформаційних технологій та заходів інформаційної безпеки для всіх об’єктів і систем, що використовуються для виконання своїх зобов’язань за цією Політикою захисту даних (DPP). Клієнт (і/або через своїх представників, третіх осіб, орган з захисту даних або будь-який інший регуляторний орган) має право проводити аудит систем і об’єктів Процесора в нормальні години роботи за умови, що:

Клієнт повинен надати принаймні 30 днів попереднього письмового повідомлення про свій намір провести аудит;
Всі витрати понесені Процесором повинні бути швидко покриті Клієнтом;
Процесор може вимагати щоб будь-який представник третьої сторони, який проводить аудит від імені Клієнта надав письмові зобов’язання щодо конфіденційності, які будуть прийнятними для Процесора і Процесор має право відмовити в доступі до будь-яких своїх приміщень або документів (в будь-якій формі) до того часу, поки не отримає такі зобов’язання; і
Нічого в DPA не дає Клієнту права доступу або перевірки будь-яких записів що містять інформацію що стосується інших Клієнтів Процесора і Процесор має право обмежити або заборонити доступ до будь-якої частини своїх приміщень (включаючи без обмежень свої серверні ферми або центри обробки даних) які він вважає на свій розсуд можуть поставити під загрозу безпеку будь-якої інформації або даних що стосуються таких інших Клієнтів.

Процесор швидко вирішить будь-які виключення, зазначені в аудиторських звітах, шляхом розробки та впровадження плану коригувальних дій керівництвом Постачальника.

Співпраця з наглядовими органами

Щодо обробки, що здійснюється відповідно до DPA, Процесор зобов’язується на вимогу надати всю необхідну інформацію для того, щоб Клієнт міг співпрацювати з компетентним наглядовим органом.

Правомірність обробки

Процесор оброблятиме персональні дані лише за наявності законних підстав для цього. Upwex обробляє персональні дані від імені Процесора, за необхідності може бути укладений DPA щодо обробки персональних даних між Процесором та Клієнтом, тобто:

Договір про обробку даних, укладений для виконання статті 28(3) GDPR; та/або
Стандартні контрактні положення, укладені для виконання статті 46(2)(c) GDPR.

Будь-які вимоги, висунуті у зв’язку з DPA, підлягатимуть умовам, включаючи, але не обмежуючись, виключеннями та обмеженнями, викладеними в DPA.

Процедура запиту прав

All Client requests should be sent in writing by email to support@staging.upwex.io/.
The Processor, who are data controllers, must process each request within 30 days, unless the relevant laws allow for an extension of this period.

Недійсність

У разі недійсності DPA, незалежно від причини, Клієнт повинен письмово повідомити Процесора протягом 30 днів з моменту недійсності DPA про своє рішення щодо подальшої долі своїх даних відповідно до розділу Призупинення обробки.

Зміна

Клієнт залишає за собою право внести зміни до цього DPA у разі змін у чинних правилах захисту даних, які можуть змінити будь-яке з його положень.

Зв'яжіться з нами

If you have any questions about this Data Protection Policy, please contact us at support@staging.upwex.io/.