ПРИЛОЖЕНИЕ I. Соглашение об обработке данных

Данное Соглашение об обработке данных регулирует то, как ILOVEPDF обрабатывает личные данные от имени Контролера в соответствии с Положением (ЕС) 2016/679 (GDPR).

Настоящее соглашение об обработке персональных данных (далее — «Соглашение об обработке персональных данных») является соглашением об обработке, применимым к обработке персональных данных, которую компания ILOVEPDF («ILOVEPDF»), идентификационный номер B66921552, юридический адрес: Calle Sabino de Arana, 60, 08028 Барселона, осуществляет от вашего имени в отношении персональных данных, обрабатываемых ею в соответствии с ниже приведенными положениями.

В этом отношении ILOVEPDF будет предоставлять вам определенные сервисы, поставляемые через программное обеспечение или компьютерные программы, принадлежащие ILOVEPDF. Использование этих сервисов потребует доступа к определенным персональным данным, в отношении которых вы выступаете в качестве оператора (далее — «оператор») и их обработки со стороны ILOVEPDF в качестве обработчика (далее — «обработчик»).

Настоящее Соглашение об обработке персональных данных является частью Положений и условий ILOVEPDF и применяется после принятия данных Положений и условий. В случае любого конфликта, несоответствия или противоречия между Положениями и условиями и Соглашением об обработке персональных данных, Соглашение об обработке персональных данных имеет преимущественную силу над Положениями и условиями.

С целью соблюдения положений Регламента (ЕС) 2016/679 Европейского парламента и Совета ЕС от 27 апреля 2016 года по защите физических лиц в части обработки персональных данных и свободного движения таких данных (далее — «GDPR»), оператор и обработчик подписывают это Соглашение об обработке персональных данных в соответствии со следующими



ПУНКТАМИ

Пункт 1

Назначение и область применения

  1. Цель Соглашения об обработке персональных данных — обеспечение соблюдения статьи 28(3) и (4) GDPR.
  2. Оператор и обработчик согласились соблюдать условия настоящего Соглашения с целью обеспечения соблюдения статьи 28(3) и (4) GDPR.
  3. Настоящее Соглашение об обработке персональных данных применяется к обработке персональных данных, указанных в Дополнении I.
  4. Дополнения I и II являются частью Соглашения об обработке персональных данных.
  5. Настоящие положения и условия не затрагивают обязательства, которые несет оператор в соответствии с GDPR.
  6. Настоящие положения и условия сами по себе не обеспечивают соблюдение обязательств, связанных с международными передачами в соответствии с Главой V GDPR.

Пункт 2

Толкование

  1. Когда термины, определенные в GDPR, используются в настоящем Соглашении об обработке персональных данных, подразумевается, что они имеют то же значение, что и в GDPR.
  2. Настоящее Соглашение об обработке персональных данных понимается и толкуется в свете положений GDPR.
  3. Настоящее Соглашение об обработке персональных данных не должно толковаться таким образом, который противоречит правам и обязательствам, предусмотренным в GDPR, и/или ущемляет фундаментальные права и свободы субъектов данных.

Пункт 3

Соподчинение

В случае противоречия между настоящим Соглашением об обработке персональных данных и положениями соответствующих соглашений между Сторонами, существующих на момент согласования или последующего включения настоящих положений и условий, настоящее Соглашение об обработке персональных данных имеет преимущественное значение.

Пункт 4

Описание обработки(-ок)

В Дополнении I указаны детали операций по обработке, в частности категории персональных данных и цели обработки, для которых персональные данные обрабатываются от имени оператора.

Пункт 5

Обязательства сторон

5.1. Инструкции

  1. Обработчик персональных данных обрабатывает персональные данные только в соответствии с документально оформленными инструкциям оператора, за исключением случаев, предусмотренных законодательством ЕС или государства-члена, которому подчиняется обработчик. В этом случае обработчик должен уведомить оператора об этом юридическом требовании до начала обработки, если закон не запрещает сделать это по важным основаниям государственного интереса. Оператор также может давать последующие инструкции на протяжении всего срока обработки персональных данных. Эти инструкции всегда должны быть документально оформлены.
  2. Обработчик обязан немедленно уведомить оператора, если, по мнению обработчика, инструкции, данные оператором, нарушают GDPR или применимое законодательство ЕС или государства-члена о защите данных.

5.2. Ограничение цели

Обработчик обрабатывает персональные данные только для конкретной(-ых) цели(-ей) обработки, как указано в Дополнении I, за исключением случаев, когда он получает дополнительные инструкции от оператора.

5.3. Продолжительность обработки персональных данных

Обработка данных обработчиком осуществляется только в течение времени, указанного в Дополнении I.

5.4. Безопасность обработки

  1. Обработчик должен, по крайней мере, принять технические и организационные меры, указанные в Дополнении II, для обеспечения безопасности персональных данных. К ним относятся защита данных от нарушения безопасности, ведущего к случайному или незаконному разрушению, потере, изменению, несанкционированному раскрытию данных или доступу к ним (утечка персональных данных). При оценке надлежащего уровня безопасности Стороны должны должным образом учитывать современный технический уровень, расходы на внедрение, характер, объем, ситуацию и цели обработки, а также риски для субъектов данных.
  2. Обработчик должен предоставлять доступ к персональным данным, подвергающимся обработке, членам своего персонала только в той мере, в какой это строго необходимо для выполнения контракта, управления им и его мониторинга. Обработчик обеспечивает, чтобы лица, уполномоченные на обработку персональных данных, приняли на себя обязательства по неразглашению или на них распространялось соответствующее законное обязательство о неразглашении.

5.5. Конфиденциальные данные

Если обработка связана с персональными данными, раскрывающими расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, членство в профсоюзах, генетические данные или биометрические данные с целью уникальной идентификации физического лица, данные о здоровье или о сексуальной жизни или сексуальной ориентации, или данные, связанные с судимостями и правонарушениями («конфиденциальные данные»), обработчик применяет определенные ограничения и/или дополнительные меры защиты.

5.6. Документация и соответствие

  1. Стороны должны быть в состоянии доказать соблюдение настоящего Соглашения об обработке персональных данных.
  2. Обработчик оперативно и надлежащим образом реагирует на запросы оператора об обработке данных в соответствии с настоящим Соглашением об обработке персональных данных.
  3. Обработчик предоставляет оператору или независимой третьей стороне всю информацию, необходимую для подтверждения соблюдения обязательств, изложенных в настоящем Соглашении об обработке персональных данных и вытекающих непосредственно из GDPR. По запросу оператора обработчик также обеспечивает возможность проведения аудитов операций по обработке, предусмотренных настоящим Соглашением об обработке персональных данных, и способствует им. Аудиты будут ограничены материально и по времени тем, что строго необходимо для проведения оператором необходимых проверок в случае возникновения подозрений - должным образом обоснованных заранее в письменной форме - о несоблюдении обработчиком данных любого из пунктов настоящего Соглашения об обработке персональных данных. В любом случае, аудиты будут проводиться исключительно с целью проверки обстоятельств несоблюдения требований, будут ограничены максимум 1 (одним) аудитом в год и о них должно быть заблаговременно уведомлено как минимум за 1 (один) месяц. В любом случае, аудиты будут проводиться за счет оператора данных.
  4. Стороны по запросу компетентных надзорных органов должны предоставить информацию, указанную в настоящем пункте, и, в частности, результаты аудитов.

5.7. Использование субобработчиков

  1. Обработчик имеет общее разрешение оператора на привлечение субобработчиков. Обработчик предоставляет оператору информацию, необходимую для того, чтобы оператор мог воспользоваться правом на возражение.
  2. Если обработчик привлекает субобработчика для выполнения определенных операций по обработке (от имени оператора), он должен делать это на основании контракта, который налагает на субобработчика, по сути, те же обязательства по защите данных, которые налагаются на обработчика данных в соответствии с этими пунктами. Обработчик должен обеспечить выполнение субобработчиком обязательств, возложенных на обработчика в соответствии с настоящим Соглашением об обработке персональных данных и GDPR.
  3. Обработчик несет всю полноту ответственности перед оператором за выполнение обязательств субобработчика в соответствии с его контрактом с обработчиком. Обработчик уведомляет оператора о любом нарушении субобработчиком его договорных обязательств.

5.8. Международные передачи

  1. Передача данных обработчиком в третью страну или международную организацию будет осуществляться в соответствии с главой V GDPR.
  2. Оператор соглашается, что в тех случаях, когда обработчик привлекает субобработчика в соответствии с пунктом 5.7 для выполнения конкретных операций по обработке (от имени оператора), и эти операции по обработке включают передачу персональных данных в понимании главы V GDPR, обработчик и субобработчик могут обеспечить соблюдение требований главы V GDPR путем: (i) передачи персональных данных в страны, в отношении которых Европейская комиссия приняла решение о достаточности защиты персональных данных в соответствии со статьей 45 GDPR; или (ii) использования стандартных пунктов договора, принятых Комиссией в соответствии со статьей 46(2) GDPR, в случае соблюдения условий для использования этих стандартных пунктов договора. Как правило, и если оператор не выбрал иное, обработчик обрабатывает ваши персональные данные в пределах Европейской экономической зоны. Несмотря на вышеизложенное, а также для операторов за пределами Европейской экономической зоны, в целях оптимизации производительности и результативности наших сервисов, обработчик может обрабатывать ваши персональные данные в географических зонах, расположенных ближе к вашему местоположению, при условии внедрения вышеизложенных мер безопасности.
  3. Кроме того, если речь идет о передаче персональных данных от обработчика оператору, включающей передачу персональных данных в понимании Главы V GDPR, обработчик и оператор заключают стандартные пункты договора (модуль 4), прилагаемые в качестве Приложения II.

Пункт 6

Помощь оператору

  1. Обработчик незамедлительно уведомляет оператора о любом запросе, полученном им от субъекта данных. Он не отвечает на запрос самостоятельно, за исключением случаев, когда оператор дает на это разрешение.
  2. Обработчик направляет оператору любые запросы об осуществлении прав субъектов данных, которые он получает и ответ на которые должен быть предоставлен оператором, поскольку они относятся к персональным данным, в отношении которых оператор выступает в качестве оператора данных.
  3. В дополнение к обязательству обработчика по оказанию помощи оператору в соответствии с пунктом 6(b), обработчик также должен помогать оператору в обеспечении соблюдения следующих обязательств, принимая во внимание характер обработки данных и информацию, доступную обработчику:
    1. обязанность провести оценку влияния запланированных операций по обработке на защиту персональных данных («оценка воздействия на защиту данных»), если определенный вид обработки, скорее всего, несет высокий риск для прав и свобод физических лиц;
    2. обязанность проконсультироваться с компетентными надзорными органами перед обработкой, если оценка воздействия по защите данных указывает на высокий риск в отсутствии мер, предпринятых оператором для уменьшения этого риска;
    3. обязанность обеспечить точность и актуальность персональных данных, незамедлительно информируя оператора в случае, если обработчик обнаруживает, что обрабатываемые им персональные данные являются неточными или устаревшими;
    4. обязательства, предусмотренные статьей 32 GDPR.
  4. Стороны устанавливают в Дополнении II соответствующие технические и организационные меры, с помощью которых обработчик должен помогать оператору в применении настоящего пункта, а также объем и степень требуемой помощи.

Пункт 7

Уведомление об утечке персональных данных

  1. В случае утечки персональных данных обработчик должен сотрудничать с оператором и оказывать ему содействие при выполнении оператором своих обязательств в соответствии со статьями 33 и 34 GDPR, принимая во внимание характер обработки и информацию, доступную обработчику.
  2. В случае нарушения безопасности персональных данных, обрабатываемых обработчиком от имени оператора, обработчик без неоправданной задержки уведомляет оператора, как только обработчику станет известно об этом. Такое уведомление должно включать, по крайней мере:
    1. описание характера нарушения (включая, по возможности, категории и приблизительное количество соответствующих субъектов данных и записей данных);
    2. реквизиты контактного лица, у которого можно получить дополнительную информацию об утечке персональных данных;
    3. вероятные последствия и меры, предпринятые или предлагаемые для устранения утечки, включая снижение возможных негативных последствий.
  3. В тех случаях, когда и в той мере, в какой не вся информация может быть предоставлена одновременно, доступная на тот момент информация должна быть указана в первоначальном уведомлении, и по мере ее сбора дополнительная информация должна предоставляться без неоправданной задержки.

ДОПОЛНЕНИЕ I: ОПИСАНИЕ ОБРАБОТКИ

Категории субъектов данных, чьи персональные данные обрабатываются
Категории субъектов данных, чьи данные содержатся в файлах, которые оператор загружает при использовании сервисов, предоставляемых ILOVEPDF (например, сотрудники, клиенты, поставщики и т. д.).

Категории обрабатываемых персональных данных
Категории персональных данных, включенные в файлы, которые оператор загружает при использовании сервисов, предоставляемых ILOVEPDF.

Обрабатываемые конфиденциальные данные (если применимо) и применимые ограничения или меры безопасности, которые в полном объеме учитывают характер данных и связанные риски, такие как, например, строгое целевое ограничение, ограничение доступа (включая доступ только для персонала, прошедшего специальное обучение), ведение протоколов доступа к данным, ограничения передачи данных или дополнительные меры безопасности.
Специальные категории персональных данных будут обрабатываться в той части, в которой файлы, загружаемые оператором при использовании сервисов ILOVEPDF, содержат такие специальные категории персональных данных.

Характер обработки
Обработчик выполнит все действия, необходимые для предоставления услуг (например, конвертация, редактирование и сжатие документа, содержащего персональные данные).

Цель(-и), для которых персональные данные обрабатываются от имени оператора
Предоставление услуг от имени ILOVEPDF.

Продолжительность обработки
В той мере, в какой это строго необходимо для предоставления услуг.

Суб-обработчики и тип предоставляемых услуг

В контексте предоставления услуг компания ILOVEPDF использует сторонних поставщиков услуг, действующих в качестве субобработчиков персональных данных. ILOVEPDF сотрудничает с такими провайдерами веб-хостинга и облачных вычислений, как Cloudscale, Digital Ocean, Hetzner, OVHcloud и Vultr. Эти компании обеспечивают технологическую инфраструктуру, необходимую для безопасной обработки данных, их временного хранения и непрерывной работы платформы.

Суб-обработчики действуют в соответствии с инструкциями ILOVEPDF, применяя соответствующие технические и организационные меры для обеспечения защиты персональных данных в соответствии с Регламентом (ЕС) 2016/679 (GDPR) и другими применимыми правилами защиты данных.

Для получения дополнительной информации о субобработчиках ILOVEPDF, вы можете перейти, нажав здесь.

ДОПОЛНЕНИЕ II: ТЕХНИЧЕСКИЕ И ОРГАНИЗАЦИОННЫЕ МЕРЫ, ВКЛЮЧАЯ ТЕХНИЧЕСКИЕ И ОРГАНИЗАЦИОННЫЕ МЕРЫ ДЛЯ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ДАННЫХ

Обработчик должен применять следующие технические и организационные меры безопасности к операциям по обработке, осуществляемым в соответствии с настоящим Соглашением об обработке персональных данных:

  • Технические меры защиты от перехвата, копирования, модификации, ошибок маршрутизации и уничтожения передаваемой информации.
  • Технические процедуры и внутренние политики для обнаружения, защиты и устранения вредоносных приложений (вредоносное ПО), которые могут передаваться с помощью электронных средств связи.
  • Техническая защита конфиденциальной информации при передаче в качестве приложений.
  • Внутренняя политика по приемлемому использованию коммуникационных ресурсов.
  • Организационные меры, обеспечивающие ответственность всех пользователей (персонала и третьих лиц), имеющих авторизованный доступ к ресурсам обработчика, в отношении их собственной информации.
  • Использование криптографических методов для защиты конфиденциальности, целостности и достоверности информации.
  • Организационные рекомендации по хранению и утилизации всей деловой корреспонденции, включая сообщения, в соответствии с соответствующими национальными и местными законами и нормативными актами.
  • Регулярное информирование и установление внутренней политики для сотрудников в отношении неразглашения конфиденциальной информации, включая следующие требования: не оставлять сообщения, содержащие конфиденциальную информацию, на автоответчиках, не вести конфиденциальные разговоры в общественных местах, не использовать небезопасные каналы связи, не вести конфиденциальные разговоры в открытых офисах и т.д.

Контроль версии: четверг, 19 февраля 2026 г.

Упс! Что-то не так с вашим подключением к Интернету...