توافق نامه پردازش داده PhotoRobot (DPA)
این سند نمایانگر توافق نامه پردازش داده PhotoRobot: نسخه ۱.۰ — نسخه PhotoRobot، شرکت uni-Robot Ltd.، جمهوری چک است.
۱. احزاب
این توافق نامه پردازش داده ("DPA") بین موارد زیر منعقد می شود:
کنترلر (مشتری)
فرد یا شخصیت حقوقی که شرایط خدمات PhotoRobot را امضا کرده و از این سرویس استفاده می کند.
و
پردازنده:
یونی-ربات لیمیتد
وودیچکووا ۷۱۰/۳۱
۱۱۰ ۰۰ پراگ ۱
جمهوری چک
شناسه شرکت: 01478061
شناسه مالیات بر ارزش افزوده: CZ01478061
ایمیل: legal@photorobot.com
از این پس به طور جمعی «طرفین» نامیده می شوند.
این DPA مکمل شرایط خدمات PhotoRobot است و زمانی که PhotoRobot داده های شخصی را به نمایندگی از مشتری پردازش می کند، اعمال می شود.
۲. موضوع و ماهیت پردازش
PhotoRobot («پردازشگر») خدمات مبتنی بر ابر، افزونه های نرم افزاری محلی، مدیریت فرم ویر و زیرساخت میزبانی مورد نیاز برای پردازش تصاویر، فراداده ها و محتوای دیجیتال مرتبط بارگذاری شده توسط مشتری («کنترلر») را فراهم می کند.
فرآیند شامل موارد زیر است:
- مجموعه
- ذخیره سازی
- انتقال
- استخراج فراداده
- همگام سازی بین CL ↔ Cloud
- میزبانی محتوای بارگذاری شده توسط مشتریان
- ایجاد لاگ ها و تشخیص ها
- عملیات پشتیبان گیری
پردازش صرفا به نمایندگی از کنترلر و طبق دستورالعمل های مستند او انجام می شود.
۳. مدت زمان
این DPA تا مدت رابطه قراردادی بین طرفین و پس از آن تا زمانی که پردازشگر هرگونه داده شخصی را به نمایندگی از کنترلر ذخیره یا پردازش کند، معتبر باقی می ماند.
۴. داده های شخصی و دسته بندی افراد داده
۴.۱. انواع داده های شخصی
بسته به نحوه استفاده از سرویس، داده های پردازش شده ممکن است شامل موارد زیر باشند:
- اطلاعات شناسایی (نام، نام خانوادگی، شرکت)
- اطلاعات تماس (ایمیل، تلفن)
- محتوای بصری (تصاویر، ویدئوها)
- فراداده مرتبط با محتوای بارگذاری شده
- داده های لاگ، آدرس های IP، شناسه های فنی
- داده های سطح پروژه
- اعتبارنامه ها (هش شده)، توکن های دسترسی
پردازنده به دسته های خاصی از داده ها نیاز ندارد یا عمدا آن را پردازش نمی کند (ماده ۹ GDPR).
۴.۲. دسته بندی های سوژه های داده
- کارکنان مشتری
- مشتریان یا شرکای مشتری
- کاربران مجاز
- هر فردی که در محتوای تصویری بارگذاری شده توسط مشتری ارائه شده باشد
مشتری به تنهایی مسئول تضمین جمع آوری قانونی داده ها از افراد داده است.
۵. دستورالعمل های کنترلر
پردازنده فقط داده های شخصی را پردازش می کند:
- طبق دستورالعمل های مستند کنترلر،
- در صورت نیاز برای ارائه خدمات،
- برای تضمین امنیت، یکپارچگی و در دسترس بودن سیستم ها،
- طبق قوانین اتحادیه اروپا یا چک.
اگر پردازنده دستوری را غیرقانونی بداند، پردازنده باید کنترلر را مطلع کند.
۶. محرمانگی
پردازشگر اطمینان می دهد که همه افراد مجاز به پردازش داده های شخصی:
- مشمول تعهدات محرمانگی هستند،
- آموزش مناسب دیده اند،
- داده ها را صرفا تحت دستورالعمل های کنترلر پردازش می کنند.
۷. زیرپردازنده ها
پردازنده از برخی اشخاص ثالث («زیرپردازنده ها») برای پشتیبانی از سرویس استفاده می کند.
۷.۱. زیرپردازنده های تأییدشده
کنترل کننده مجوز کلی به پردازنده می دهد تا دسته های زیر از زیرپردازنده ها را درگیر کند:
- ارائه دهندگان زیرساخت ابری (مثلا Google Cloud Platform)
- ارائه دهندگان تحویل ایمیل
- ارائه دهندگان تحلیل
- سیستم های فروش بلیت
- خدمات پایش امنیتی
- سیستم های پشتیبان گیری و بازیابی پس از فاجعه
فهرست کامل در فهرست زیرپردازنده PhotoRobot نگهداری می شود و ممکن است به روزرسانی شود.
۷.۲. اطلاع رسانی درباره تغییرات
پردازشگر باید حداقل ۱۵ روز قبل هرگونه تغییر در زیرپردازنده ها را به کنترل کننده اطلاع دهد تا کنترل کننده بتواند به دلایل منطقی اعتراض کند.
۸. انتقال داده های بین المللی
در مواردی که زیرپردازنده ها یا زیرساخت ها خارج از منطقه اقتصادی اروپا قرار دارند، پردازنده تضمین می کند:
- کاربرد بندهای قراردادی استاندارد (SCC 2021)،
- تضمین های فنی و سازمانی تکمیلی،
- دسترسی و رمزنگاری به حداقل رسیدن،
- ممیزی های انطباق توسط ارائه دهنده زیرساخت.
پلتفرم ابری گوگل ارائه می دهد:
- ISO 27001، ISO 27017، ISO 27018
- گزارش های SOC 1/2/3
- مستندات تطابق با GDPR
جزئیات در https://cloud.google.com/security موجود است.
۹. تدابیر امنیتی
پردازشگر باید معیارهای فنی و سازمانی (TOM) استاندارد صنعتی را پیاده سازی کند، از جمله:
۹.۱. اقدامات فنی
- رمزنگاری TLS داده ها در حال انتقال
- ذخیره سازی امن با توکن های دسترسی رمزگذاری شده
- محیط های پردازش ایزوله
- هش کردن رمز عبور
- محدودیت های نرخ و سیستم های تشخیص نفوذ
- فایروال چندلایه
- امنیت فیزیکی مرکز داده (از طریق Google Cloud)
۹.۲. اقدامات سازمانی
- کنترل دسترسی مبتنی بر نقش
- ثبت و نظارت بر دسترسی
- سیاست های داخلی برای مدیریت داده ها
- تعهدات محرمانگی کارکنان
- آموزش های دوره ای امنیتی
- مدیریت ریسک فروشندگان
فهرست کامل TOMها بنا به درخواست در دسترس است.
۱۰. حقوق موضوع داده
پردازنده به کنترلر در پاسخ به موارد زیر کمک می کند:
- درخواست های دسترسی
- اصلاح
- حذف
- محدودیت
- قابلیت انتقال داده ها
- اعتراضات
پردازشگر باید هر درخواست مستقیم از یک داده موضوع را بدون تأخیر غیرضروری به کنترل کننده ارسال کند.
۱۱. اطلاع رسانی نقض داده
در صورت نقض داده های شخصی، پردازنده باید کنترل کننده را مطلع کند:
- بدون تأخیر بی مورد،
- شامل تمام اطلاعات مورد نیاز ماده ۳۳ GDPR،
- و تا پایان اصلاح، به روزرسانی های مستمر ارائه می دهند.
کنترلر همچنان مسئول اطلاع رسانی به مقامات و افراد آسیب دیده است.
۱۲. حذف یا بازگشت داده ها
پس از فسخ قرارداد:
- پردازنده پس از ۳۰ روز داده های مشتری را حذف می کند،
- مگر اینکه کنترل کننده دستور دیگری داده باشد،
- مگر در مواردی که نگهداری توسط قانون الزامی باشد.
نسخه های پشتیبان در طول چرخه عمر عادی شان بازنویسی می شوند.
۱۳. حسابرسی ها
کنترلر حق دارد که:
- دریافت مدارکی که انطباق GDPR را اثبات می کند
- درخواست گزارش درباره TOMs
- انجام حسابرسی های معقول، محدود به یک بار در سال
- تکیه بر گواهی های شخص ثالث (گزارش های ISO/SOC گوگل کلود)
ممیزی ها نباید امنیت را به خطر بیندازند یا عملیات را مختل کنند.
۱۴. مسئولیت
مسئولیت طرفین مطابق با شرایط خدمات است.
پردازنده تنها مسئول نقض هایی است که ناشی از نقض خود تعهدات GDPR باشد.
۱۵. قانون حاکم و صلاحیت
این DPA تحت قوانین جمهوری چک اداره می شود.
اختلافات توسط دادگاه های پراگ، جمهوری چک حل و فصل می شود.
۱۶. بندهای قراردادی استاندارد (SCC)
در صورت نیاز، SCC 2021 (ماژول ۲: کنترلر → پردازنده) به عنوان ضمیمه ای به این DPA اعمال می شود.
PhotoRobot:
- SCC را به صورت مرجع وارد می کند،
- شامل تمام بندهای الزامی است،
- اقدامات فنی تکمیلی را اجرا می کند
- اطمینان حاصل می کند که انتقال ها به زیرپردازنده ها خارج از EEA رعایت می شود.
SCC می تواند به طور کامل در صورت درخواست ارائه شود.
۱۷. تماس
یونی-ربات لیمیتد
وودیچکووا ۷۱۰/۳۱
۱۱۰ ۰۰ پراگ ۱
جمهوری چک
ایمیل: legal@photorobot.com