(1) MEFERI Technologies Co., Ltd., компания, зарегистрированная в соответствии с законодательством Китая, с зарегистрированным офисом по адресу 5F, A5, Tianfu Software Park, No. 1129, Century City Road, High-tech Zone, 610000, Chengdu, Sichuan, PRChina («MEFERI», «Обработчик данных», «Мы», «Нас» или «Наш»); и

(2) Клиент («Клиент», «Контролер» или «Вы»), юридическое лицо, которое подписалось или использует Услуги MEFERI, как определено ниже, и согласилось с основными условиями обслуживания MEFERI или другим генеральным соглашением («Основное соглашение»).

Настоящее Соглашение об обработке персональных данных является неотъемлемой частью Основного соглашения и отражает соглашение сторон относительно обработки персональных данных компанией MEFERI от имени Клиента в связи с Услугами.

Принимая Основное соглашение или осуществляя доступ к Услугам или используя их после того, как настоящее Соглашение о защите данных стало доступным, Клиент заключает настоящее Соглашение о защите данных от своего имени и, в той мере, в какой это требуется в соответствии с Применимым законодательством о защите данных, от имени и в интересах своих уполномоченных Пользователей.

В случае возникновения противоречий между настоящим Соглашением об обработке персональных данных и Основным соглашением, настоящее Соглашение об обработке персональных данных будет иметь преимущественную силу в части такого противоречия.

1. ОПРЕДЕЛЕНИЯ

1.1. «Основное соглашение» означает первичное письменное соглашение (которое может именоваться как «Условия обслуживания», «Общие условия обслуживания», «Генеральное соглашение об услугах», «Договор на обслуживание», «Соглашение о подписке» или аналогичное), заключенное между Клиентом и MEFERI (или Договаривающимся аффилированным лицом MEFERI в соответствии с Разделом 18.4) для предоставления Услуг, включая любые конкретные условия тарифного плана (например, «MeCare (Название тарифного плана): Общие условия обслуживания»), а также любые формы заказов или описания работ, выполненные в соответствии с ним. Настоящее Соглашение об услугах является неотъемлемой частью такого Основного соглашения.

1.2. «Применимое законодательство о защите данных» означает все законы и нормативные акты, применимые к обработке персональных данных в соответствии с настоящим Соглашением об обработке персональных данных, включая, помимо прочего, GDPR и любые национальные имплементирующие законы, нормативные акты и подзаконные акты с внесенными в них изменениями или обновлениями.

1.3. «Контролер» имеет значение, указанное в статье 4(7) GDPR. Для целей настоящего Соглашения об обработке данных Контролером является Клиент.

1.4. «Субъект данных» имеет значение, указанное в статье 4(1) GDPR.

1.5. «GDPR» означает Регламент (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 года о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных, а также об отмене Директивы 95/46/EC (Общий регламент по защите данных).

1.6. «Персональные данные» имеют значение, указанное в статье 4(1) GDPR, и ограничиваются персональными данными, обрабатываемыми MEFERI от имени Клиента при предоставлении Услуг, как подробно описано в Приложении 1.

1.7. «Нарушение безопасности персональных данных» имеет значение, указанное в статье 4(12) GDPR, а именно нарушение безопасности, приводящее к случайному или незаконному уничтожению, потере, изменению, несанкционированному раскрытию или доступу к персональным данным клиентов, переданным, хранящимся или иным образом обрабатываемым MEFERI.

1.8. «Обработка» имеет значение, указанное в статье 4(2) GDPR. Термины «Обработка» и «Обработано» толкуются соответственно.

1.9. «Обработчик данных» означает MEFERI Technologies Co., Ltd. (MEFERI) или, где это применимо в соответствии с Разделом 18.4 настоящего Соглашения об обработке данных, Договаривающуюся сторону MEFERI по Основному соглашению с Клиентом.

1.10. «Услуги» означают продукты и услуги, предоставляемые MEFERI Клиенту в соответствии с Основным соглашением, включая, помимо прочего, облачное решение Shadowalk MDM/EMM от MEFERI, облачные компоненты решения CIAO Intelligent Shopper Assistant (ISA), где MEFERI выступает в качестве обработчика, и любые сопутствующие услуги поддержки (включая, помимо прочего, услуги, предоставляемые в рамках договора на обслуживание MEFERI MeCare), в рамках которых MEFERI обрабатывает персональные данные Клиента. Для ясности, Услуги не включают локальное развертывание программного обеспечения MEFERI, при котором постоянная обработка персональных данных осуществляется исключительно в среде Клиента, за исключением случаев, когда MEFERI обращается к таким системам для поддержки по указанию Клиента.

1.11. «Субподрядчик» означает любую третью сторону, привлеченную MEFERI для обработки персональных данных от имени Клиента в связи с Услугами.

1.12. «Технические и организационные меры» или «ТОМ» означают меры безопасности, принимаемые MEFERI для защиты персональных данных, как подробно описано в Приложении 2.

1.13. «Решения сторонних партнеров» означают программное обеспечение или услуги, предоставляемые третьими лицами, которые могут быть интегрированы с оборудованием или Услугами MEFERI или использоваться совместно с ними, например, платежные решения (например, WorldLine «Tap on Mobile») или программное обеспечение для самостоятельного сканирования в розничной торговле (например, 4MAX «Scan & Go»), в отношении которых у Клиента могут быть прямые договорные отношения с такой третьей стороной.

2. РОЛИ И ОБЯЗАННОСТИ

2.1. Роли сторон: Клиент является контролёром, а MEFERI — обработчиком персональных данных Клиента. Каждая сторона обязуется соблюдать свои обязательства в соответствии с действующим законодательством о защите данных.

2.2. Обязанности Клиента как Контролера: Клиент заявляет и гарантирует, что:

а. Он соблюдал и будет соблюдать все применимые положения действующего законодательства о защите данных в отношении обработки персональных данных и любых инструкций по обработке, которые он выдает MEFERI;

б. Он несет исключительную ответственность за точность, качество и законность Персональных данных и средств, с помощью которых он получил Персональные данные, включая получение всех необходимых согласий, предоставление всех необходимых уведомлений и наличие действительного правового основания для Обработки Персональных данных компанией MEFERI в соответствии с настоящим Соглашением об обработке персональных данных и Основным соглашением; а также

c. Инструкции, предоставляемые MEFERI по обработке персональных данных, должны соответствовать применимому законодательству о защите данных.

2.3. Обязанности MEFERI как обработчика данных: MEFERI обязуется:

а. Обрабатывайте Персональные данные только на основании документально оформленных инструкций Клиента, в том числе в отношении передачи Персональных данных в третьи страны или международные организации, за исключением случаев, предусмотренных законодательством Союза или государства-члена, которому подчиняется MEFERI; в таком случае MEFERI обязуется уведомить Клиента о таком юридическом требовании до начала Обработки, если только такое законодательство не запрещает такую информацию по соображениям общественного интереса (статья 28(3)(a) GDPR). Основное соглашение и настоящее Соглашение об обработке персональных данных представляют собой документально оформленные инструкции Клиента компании MEFERI по Обработке Персональных данных.

б. Немедленно уведомить Клиента, если, по мнению MEFERI, инструкция нарушает применимое законодательство о защите данных (статья 28(3) GDPR).

3. ПОДРОБНОСТИ ОБРАБОТКИ

3.1. Предмет обработки, продолжительность обработки, характер и цель обработки, типы персональных данных и категории субъектов данных изложены в Приложении 1 (Подробности обработки) к настоящему Соглашению об обработке персональных данных.

4. КОНФИДЕНЦИАЛЬНОСТЬ

4.1. MEFERI должен гарантировать, что его сотрудники, уполномоченные обрабатывать персональные данные, взяли на себя обязательство соблюдать конфиденциальность или находятся под соответствующей законодательной обязанностью соблюдать конфиденциальность (статья 28(3)(b) GDPR).

5. БЕЗОПАСНОСТЬ ОБРАБОТКИ ДАННЫХ

5.1. Принимая во внимание уровень развития техники, затраты на реализацию, характер, объем, контекст и цели обработки, а также риск различной вероятности и серьезности для прав и свобод физических лиц, MEFERI внедряет и поддерживает соответствующие технические и организационные меры для обеспечения уровня безопасности, соответствующего риску, как описано в Приложении 2 (Технические и организационные меры) (статья 28(3)(c) и статья 32 GDPR).

5.2. MEFERI может время от времени обновлять или изменять TOM, при условии, что такие обновления и изменения не приведут к существенному ухудшению общей безопасности Услуг.

6. ПОДОБРАБОТКА

6.1. Общее разрешение: Клиент предоставляет MEFERI общее письменное разрешение на привлечение субподрядчиков для обработки персональных данных от имени Клиента в связи с предоставлением Услуг (статья 28(2) GDPR).

6.2. Текущие субподрядчики и уведомление о новых субподрядчиках: MEFERI ведет список своих текущих субподрядчиков, который предоставляется Клиенту по запросу или через специальную веб-страницу (см. Приложение 3). MEFERI информирует Клиента о любых предполагаемых изменениях, касающихся добавления или замены других субподрядчиков, не менее чем за тридцать (30) календарных дней, предоставляя Клиенту возможность возражать против таких изменений.

6.3. Возражения против новых субподрядчиков: Если у Клиента есть разумные основания возражать против использования компанией MEFERI нового субподрядчика, Клиент должен незамедлительно уведомить об этом MEFERI в письменной форме в течение десяти (10) рабочих дней после получения уведомления от MEFERI. В случае возражений Клиента, MEFERI приложит разумные усилия для предоставления Клиенту возможности изменения Услуг или порекомендует коммерчески обоснованное изменение конфигурации или использования Клиентом Услуг, чтобы избежать Обработки Персональных данных новым субподрядчиком, против которого выдвигаются возражения, без необоснованного обременения Клиента. Если MEFERI не сможет предоставить такое изменение в течение разумного периода времени, который не должен превышать тридцати (30) календарных дней, Клиент может прекратить предоставление соответствующей части Услуг, которая не может быть предоставлена MEFERI без использования нового субподрядчика, против которого выдвигаются возражения, направив письменное уведомление в MEFERI.

6.4. Обязанности субподрядчика: MEFERI гарантирует, что любой привлеченный им субподрядчик подчиняется письменному договору или иному правовому акту в соответствии с законодательством Союза или государства-члена, налагающему обязательства по защите данных, которые по меньшей мере эквивалентны тем, которые налагаются на MEFERI в соответствии с настоящим Соглашением об обработке данных, в частности, предоставляя достаточные гарантии для реализации соответствующих технических и организационных мер таким образом, чтобы обработка соответствовала требованиям применимого законодательства о защите данных (статья 28(4) GDPR).

6.5. Ответственность: MEFERI несет полную ответственность перед Клиентом за выполнение обязательств своих субподрядчиков по защите данных.

7. ПРАВА СУБЪЕКТА ДАННЫХ

7.1. Принимая во внимание характер обработки, MEFERI оказывает Клиенту содействие путем реализации соответствующих технических и организационных мер, насколько это возможно, для выполнения Клиентом обязательства отвечать на запросы об осуществлении прав Субъекта данных, изложенных в Главе III GDPR (например, права доступа, исправления, удаления и т. д.) (статья 28(3)(e) GDPR).

7.2. Если MEFERI получает запрос непосредственно от Субъекта данных, касающийся персональных данных Клиента, MEFERI незамедлительно уведомляет Клиента о таком запросе и не отвечает Субъекту данных, за исключением случаев, когда требуется подтвердить, что запрос относится к Клиенту. Клиент несет ответственность за ответы на все такие запросы Субъекта данных.

8. ПОМОЩЬ КОНТРОЛЛЕРУ

8.1. Принимая во внимание характер обработки и информацию, доступную MEFERI, MEFERI оказывает Клиенту разумное содействие в обеспечении соблюдения его обязательств в соответствии со статьями 32–36 GDPR (безопасность обработки, уведомление надзорного органа о нарушении безопасности персональных данных, сообщение субъекту данных об нарушении безопасности персональных данных, оценка воздействия на защиту данных и предварительные консультации с надзорным органом) (статья 28(3)(f) GDPR).

9. УВЕДОМЛЕНИЕ О НАРУШЕНИИ КОНФИДЕНЦИАЛЬНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

9.1. Уведомление Клиента:

MEFERI обязуется уведомить Клиента без неоправданной задержки и в любом случае в течение сорока восьми (48) часов после того, как ему станет известно о нарушении безопасности персональных данных, затрагивающем персональные данные Клиента (статья 28(3)(f) и статья 33(2) GDPR).

9.2. В таком уведомлении, насколько это возможно, должны быть описаны:

а) Характер нарушения безопасности персональных данных, включая, где это возможно, категории и приблизительное количество затронутых субъектов данных, а также категории и приблизительное количество затронутых записей персональных данных;

б) Имя и контактные данные сотрудника по защите данных MEFERI или другого контактного лица, у которого можно получить дополнительную информацию;

c. Вероятные последствия утечки персональных данных; и

г. Меры, принятые или предлагаемые к принятию компанией MEFERI для устранения нарушения безопасности персональных данных, включая, при необходимости, меры по смягчению возможных неблагоприятных последствий.

9.3. В тех случаях, когда невозможно предоставить всю информацию одновременно, информация может предоставляться поэтапно без неоправданной дальнейшей задержки.

9.4. Клиент несет исключительную ответственность за соблюдение своих обязательств по уведомлению об утечке персональных данных в соответствии с действующим законодательством о защите данных. Уведомление или ответ MEFERI о нарушении конфиденциальности персональных данных в соответствии с настоящим Разделом 9 не будет толковаться как признание MEFERI какой-либо вины или ответственности в отношении нарушения конфиденциальности персональных данных.

10. УДАЛЕНИЕ ИЛИ ВОЗВРАТ ДАННЫХ

10.1. По выбору Клиента, MEFERI удаляет или возвращает Клиенту все Персональные данные после окончания оказания Услуг, связанных с Обработкой, а также удаляет существующие копии, за исключением случаев, когда законодательство Союза или государства-члена требует хранения Персональных данных (статья 28(3)(g) GDPR). Конкретные сроки хранения и удаления данных устанавливаются в Основном соглашении или согласованы иным образом.

11. АУДИТЫ И ПРОВЕРКИ

11.1. MEFERI предоставляет Клиенту всю информацию, необходимую для подтверждения соблюдения обязательств, изложенных в статье 28 GDPR, а также обеспечивает проведение и способствует проведению аудитов, включая инспекции, проводимых Клиентом или другим аудитором, уполномоченным Клиентом (статья 28(3)(h) GDPR).

11.2. Такие проверки должны проводиться в обычные рабочие часы MEFERI при условии предварительного письменного уведомления не менее чем за тридцать (30) календарных дней и не должны необоснованно прерывать деятельность MEFERI. Клиент и MEFERI должны согласовать объем, сроки и продолжительность проверки.

11.3. Заказчик обязан обеспечить, чтобы любой аудитор действовал в соответствии с письменным соглашением о конфиденциальности. Заказчик несет собственные расходы и расходы своего уполномоченного аудитора. Если в ходе аудита будет выявлено существенное нарушение настоящего Соглашения о конфиденциальности со стороны MEFERI, MEFERI обязуется оплатить обоснованные расходы на аудит в пределах согласованного лимита.

11.4. В объеме, разрешенном законом, MEFERI может выполнить свои аудиторские обязательства, предоставив Заказчику соответствующие сертификаты от независимого стороннего аудитора (например, ISO 27001, SOC 2 Type II) или их резюме, при условии соблюдения соответствующих обязательств по конфиденциальности.

12. МЕЖДУНАРОДНАЯ ПЕРЕДАЧА ДАННЫХ

12.1. MEFERI не будет передавать персональные данные в какую-либо страну за пределами Европейской экономической зоны (ЕЭЗ) или страны, которую Европейская комиссия считает соответствующей в соответствии со статьей 45 GDPR, без обеспечения наличия соответствующих мер безопасности, требуемых Главой V GDPR (например, путем заключения стандартных договорных положений, утвержденных Европейской комиссией).

12.2. Основные места обработки данных для Сервисов, в частности, места размещения персональных данных Клиентов в основной облачной инфраструктуре MEFERI, будут находиться в Европейской экономической зоне (ЕЭЗ) с использованием региона Amazon Web Services (AWS) eu-west-3 (Париж, Франция). Более подробная информация о субподрядчиках, включая поставщиков облачной инфраструктуры и их местонахождения, представлена в Приложении 3.

12.3. Если MEFERI осуществляет передачу персональных данных субподрядчику в третьей стране (т. е. за пределами ЕЭЗ или в стране, не признанной Европейской комиссией адекватной), которая не обеспечивает адекватного уровня защиты, MEFERI обязуется обеспечить, чтобы такая передача была защищена соответствующим механизмом передачи в соответствии с Главой V GDPR, например, Стандартными договорными условиями. Это включает в себя передачу данных, которая может иметь место, если MEFERI использует услуги субподрядчика, чья инфраструктура или вспомогательный персонал находятся в таких третьих странах, даже если основное место обработки, указанное в пункте 12.2, находится в пределах ЕЭЗ.

13. ИСПОЛЬЗОВАНИЕ MEFERI РЕШЕНИЙ СТОРОННИХ ПАРТНЕРОВ

13.1. Клиент признает, что оборудование или услуги MEFERI могут использоваться совместно с решениями сторонних партнеров (например, решениями по обработке платежей на устройствах CIAO, специальным программным обеспечением для управления розничной торговлей).

13.2. Если Клиент решает использовать решения сторонних партнёров, Клиент может вступить в прямые договорные отношения с поставщиками таких решений. В таких случаях сторонний поставщик может выступать в качестве контролёра или обработчика персональных данных, которые он обрабатывает в связи со своими услугами, в соответствии с соглашением Клиента с такой третьей стороной.

13.3. Настоящее Соглашение об обработке персональных данных регулирует только обработку персональных данных компанией MEFERI в качестве обработчика данных Клиента. Оно не распространяется на обработку персональных данных, осуществляемую поставщиками решений сторонних партнёров, с которыми Клиент имеет прямые отношения, за исключением случаев, когда такой поставщик выступает в качестве субобработчика данных компании MEFERI в соответствии с разделом 6 настоящего Соглашения об обработке персональных данных.

14. ОТВЕТСТВЕННОСТЬ И ВОЗМЕЩЕНИЕ УЩЕРБА

14.1. Ответственность каждой стороны по настоящему Соглашению об обмене информацией регулируется ограничениями и исключениями ответственности, изложенными в Основном соглашении.

14.2. Клиент обязуется возместить ущерб и оградить MEFERI от всех претензий, исков, претензий третьих лиц, убытков, ущерба и расходов (включая разумные судебные издержки), понесенных MEFERI в результате любого нарушения Клиентом своих обязательств по настоящему Соглашению об обработке данных или Применимому закону о защите данных.

15. СРОК ДЕЙСТВИЯ И РАСТОРЖЕНИЕ

15.1. Настоящее Соглашение об обработке персональных данных вступает в силу с даты вступления в силу Основного соглашения и остается в силе до расторжения или истечения срока действия Основного соглашения или до тех пор, пока MEFERI не прекратит обрабатывать персональные данные от имени Клиента, в зависимости от того, что наступит позже.

15.2. Обязательства по конфиденциальности, удалению/возврату данных и любые положения, которые по своей природе должны оставаться в силе после расторжения, остаются в силе после расторжения или истечения срока действия настоящего Соглашения об обработке персональных данных.

16. ИЗМЕНЕНИЯ В НАСТОЯЩЕМ СОГЛАШЕНИИ ОБ ОБЕСПЕЧЕНИИ ДОГОВОРА О ДОПИНГЕ

16.1. MEFERI может время от времени вносить изменения в настоящее Соглашение об обработке данных, публикуя измененную версию на своем веб-сайте или иным образом уведомляя Клиента.

16.2. Если MEFERI вносит существенные изменения в настоящее Соглашение об обработке данных, MEFERI направит Клиенту заблаговременное уведомление об этом изменении (например, по электронной почте указанному контактному лицу Клиента или посредством уведомления в Сервисах). Продолжение использования Сервисов Клиентом по истечении указанного срока уведомления будет означать согласие Клиента с измененным Соглашением об обработке данных. Если Клиент возражает против существенных изменений, он может расторгнуть Основное соглашение в соответствии с его условиями.

17. ПРИМЕНИМОЕ ПРАВО И РАЗРЕШЕНИЕ СПОРОВ

17.1. Применимое право: Настоящее Соглашение об обработке данных регулируется и толкуется в соответствии с законодательством, указанным в качестве применимого права в Основном соглашении, заключенном между Клиентом и субъектом MEFERI, являющимся стороной такого Основного соглашения («Договаривающийся субъект MEFERI»).

17.2 Разрешение споров:

а. Стороны стремятся разрешить любой спор, разногласие или требование, возникающие из настоящего Соглашения об обмене информацией или связанные с ним, его толкованием, действительностью, нарушением или расторжением («Спор»), мирным путём путём добросовестных переговоров между их уполномоченными представителями. б. Если Спор не может быть урегулирован путём переговоров в течение тридцати (30) календарных дней с момента письменного уведомления Стороны о начале переговоров, такой Спор подлежит разрешению в соответствии с механизмом разрешения споров (например, арбитраж или судебное разбирательство) и местом рассмотрения, указанными в Основном соглашении. в. В случае, если Основное соглашение предусматривает арбитраж:

i. Такой арбитраж будет основным механизмом разрешения Споров по настоящему Соглашению об обмене информацией (DPA). ii. Если иное не указано в Основном соглашении или если в Основном соглашении не оговорены особенности арбитража по вопросам, связанным с настоящим DPA, Стороны соглашаются, что любой такой Спор может быть передан на арбитраж, администрируемый взаимно согласованным международно признанным арбитражным учреждением (таким как Шэньчжэньский суд международного арбитража (SCIA), Сингапурский международный арбитражный центр (SIAC) или Гонконгский международный арбитражный центр (HKIAC) или соответствующим учреждением в рамках Европейского Союза, если Договаривающаяся организация MEFERI является аффилированным лицом, базирующимся в ЕС). iii. Арбитражное разбирательство будет проводиться на английском языке. Место проведения или законное место арбитража должно быть таким, как указано в Основном соглашении, или, если не указано иное или если для конкретного Спора взаимно согласовано иное место, место, выбранное по взаимному согласию Сторон, или, в случае невозможности достижения такого соглашения в течение разумного периода, Договаривающейся организацией MEFERI. iv. Арбитражное решение является окончательным и обязательным для обеих Сторон с учетом любых прав на апелляцию, допускаемых законодательством места арбитража в случае процессуальной несправедливости или отсутствия юрисдикции.

г. Если в Основном соглашении указано судебное разбирательство, то указанные в нем суды обладают юрисдикцией в соответствии с разделом 17.3 ниже.

17.3. Обязательные положения законодательства о защите данных: а. Несмотря на любые другие положения настоящего Соглашения об обработке персональных данных или Основного соглашения, в случаях, когда Применимое законодательство о защите данных (включая, помимо прочего, GDPR) предоставляет Субъекту данных обязательные права возбуждать дела в судах по месту его постоянного жительства или работы, или по месту совершения предполагаемого нарушения, или подавать жалобу в надзорный орган, такие права не должны нарушаться условиями настоящего Соглашения об обработке персональных данных. б. В случаях, когда применяется GDPR, MEFERI и Клиент гарантируют, что любой выбор применимого права или юрисдикции не препятствует Субъектам данных пользоваться любыми обязательными положениями законодательства государства-члена Европейского союза, в котором они проживают.

17.4. Продолжение исполнения: До разрешения спора Стороны продолжают выполнять свои соответствующие обязательства по настоящему Соглашению об обработке персональных данных (DPA) в максимально возможной степени, если только Соглашение об обработке персональных данных (DPA) или Основное соглашение не будут расторгнуты.

18. КОНТАКТНАЯ ИНФОРМАЦИЯ / ЗАЩИТА ДАННЫХ

18.1. Обработчик: MEFERI Technologies Co., Ltd. Адрес: 5F, A5, Tianfu Software Park, No. 1129, Century City Road, High-tech Zone, 610000, Чэнду, Сычуань, КНР

– Электронная почта для запросов по защите данных: legal@meferi.com

18.2. Запросы по защите данных и DPO (для MEFERI Technologies Co., Ltd.): Все запросы, связанные с защитой данных в соответствии с настоящим DPA, следует направлять на адрес электронной почты, указанный для MEFERI Technologies Co., Ltd. в разделе 18.1 выше.

18.3. Представитель MEFERI Technologies Co., Ltd. в ЕС (в соответствии со статьей 27 GDPR): Имя представителя в ЕС: MEFERI Poland Sp. z oo Адрес: Ul. Modelarska 18/2, 40-142 Katowice, Польша Электронная почта для запросов по защите данных в ЕС (для субъектов данных и надзорных органов в ЕС относительно обработки данных MEFERI Technologies Co., Ltd.): poland@meferi.com

18.4. Обработка данных аффилированными лицами MEFERI: если Клиент заключает Основное соглашение с аффилированным лицом MEFERI Technologies Co., Ltd. (например, MEFERI Poland Sp. z oo) («Договаривающееся аффилированное лицо MEFERI»), и такое Договаривающееся аффилированное лицо MEFERI выступает в качестве обработчика персональных данных в соответствии с этим Основным соглашением:

a) Настоящее Соглашение об обработке данных применяется к действиям по обработке, выполняемым Договаривающимся аффилированным лицом MEFERI, и все ссылки на «MEFERI» или «Обработчик» в настоящем документе считаются относящимися к такому Договаривающемуся аффилированному лицу MEFERI.

b) Контактная информация для запросов по защите данных, связанных с обработкой данных таким Договаривающимся аффилированным лицом MEFERI, должна соответствовать информации, указанной в Основном соглашении или иным образом сообщенной Договаривающимся аффилированным лицом MEFERI Клиенту. Для MEFERI Poland Sp. z oo контактная информация: Адрес: Ul. Modelarska 18/2, 40-142 Katowice, Польша.

Электронная почта: poland@meferi.com

Телефон: +48 734-143-579

c) Применимое право и порядок разрешения споров по настоящему Соглашению об обработке данных в таких случаях определяются Основным соглашением с Договаривающимся аффилированным лицом MEFERI.

19. ПОЛНОЕ СОГЛАСИЕMENT

19.1. Настоящее Соглашение об обмене информацией (DPA), включая Приложения, представляет собой полное соглашение между сторонами в отношении предмета настоящего Соглашения и заменяет все предыдущие и одновременные соглашения, предложения или заявления, письменные или устные, касающиеся его предмета.

В УДОСТОВЕРЕНИЕ ЧЕГО стороны подтверждают свое согласие с настоящим Соглашением об обработке данных с даты вступления в силу Основного соглашения или начала использования Клиентом Услуг.

—

ПРИЛОЖЕНИЕ 1

ПОДРОБНОСТИ ОБРАБОТКИ

Настоящее Приложение 1 является частью Соглашения об обработке персональных данных и описывает обработку персональных данных компанией MEFERI от имени Клиента.

А. СПИСОК СТОРОН

Контролер(ы) / Клиент(ы):

Юридическое лицо, заключившее с 1ТП1Т Основной договор на оказание Услуг, самостоятельно определяет цели и способы обработки персональных данных.

Процессор(ы) / MEFERI:

MEFERI Technologies Co., Ltd. или, где это применимо в соответствии с Разделом 18.4 настоящего Соглашения об обработке персональных данных, Договаривающаяся сторона MEFERI по Основному соглашению с Клиентом, предоставляющая Услуги Клиенту.

Б. ОПИСАНИЕ ОБРАБОТКИ

1. Предмет обработки:

Обработка персональных данных в контексте предоставления, обслуживания, поддержки и улучшения Услуг MEFERI, на которые Клиент подписан в соответствии с Основным соглашением, включая, помимо прочего, облачное решение MEFERI Shadowalk MDM/EMM и размещенные в облаке компоненты решения CIAO Intelligent Shopper Assistant (ISA).

2. Продолжительность обработки:

В течение срока действия Основного соглашения между MEFERI и Клиентом и до тех пор, пока все Персональные данные не будут удалены или возвращены в соответствии с Разделом 10 DPA.

3. Характер и цель обработки:

– Для облачного решения MEFERI Shadowalk MDM/EMM: предоставление Клиенту возможности удаленного управления, защиты, мониторинга и поддержки своего парка мобильных устройств. Это включает в себя подготовку устройств, управление конфигурациями, управление приложениями, применение политик безопасности, отслеживание устройств (если включено Клиентом), удаленную диагностику и создание отчетов о состоянии и использовании устройств для Клиента.

– Для компонентов ISA Cloud MEFERI CIAO (где MEFERI – процессор): для обеспечения работы интеллектуального помощника покупателя для Клиента (ритейлера). Это может включать аутентификацию пользователей, управление списками покупок, обработку информации о товарах, данных о взаимодействии с покупателями (для аналитики, предоставляемой ритейлеру), а также обеспечение интеграции со сторонними сервисами по указанию Клиента.

– Контракты на обслуживание MeCare: Для услуг MEFERI MeCare (где MEFERI выступает в качестве обработчика): для предоставления услуг по контрактной поддержке, обслуживанию, ремонту, мониторингу и управлению устройствами, как описано в применимом документе «MeCare (название плана): общие условия обслуживания» и Руководстве по услугам поддержки MeCare, что может включать доступ, сбор или иную обработку персональных данных, хранящихся на устройствах Клиента или передаваемых ими, или предоставляемых Клиентом в ходе предоставления услуг.

– Для Служб поддержки: для предоставления технической поддержки, устранения неполадок, обслуживания и обновлений для Служб, что может включать доступ к Персональным данным, обрабатываемым в рамках Служб или в системах Клиента, по запросу и указанию Клиента.

– Соблюдать документированные инструкции Клиента, изложенные в настоящем Соглашении об обработке данных и Основном соглашении.

– Соблюдать применимые правовые обязательства.

4. Категории субъектов данных:

– Сотрудники, подрядчики и авторизованные пользователи Клиента: лица, которые администрируют или используют Услуги от имени Клиента (например, ИТ-администраторы, использующие Shadowalk, персонал розничной торговли, управляющий или использующий CIAO).

– Конечные пользователи управляемых устройств Клиента (для Shadowalk): физические лица (например, сотрудники Клиента), использующие мобильные компьютеры или другие устройства, управляемые Клиентом через решение Shadowalk.

– Клиенты Клиента (покупатели) (для CIAO, если MEFERI обрабатывает их персональные данные в облачном хранилище от имени Клиента розничной торговли): Физические лица, использующие устройства ISA CIAO в магазине розничной торговли.

5. Типы обрабатываемых персональных данных:

Конкретные типы обрабатываемых персональных данных зависят от используемых Клиентом Услуг, а также от того, как Клиент настраивает и использует эти Услуги. Персональные данные могут включать:

– Учетная запись пользователя и контактная информация: имя, адрес электронной почты, имя пользователя, пароли, номер телефона, должность, отдел, идентификатор сотрудника, роль/разрешения в рамках Услуг (если применимо для администрирования Услуг Клиентом).

– Информация об устройстве (для Shadowalk): идентификаторы устройства (например, серийный номер, IMEI, MAC-адрес, UDID), модель устройства, версия операционной системы, IP-адрес, информация о сети, параметры конфигурации устройства, установленные приложения, данные о местоположении устройства (если включено Клиентом).

– Данные об использовании и журналы (для Shadowalk и облака CIAO): системные журналы, контрольные журналы, журналы активности, данные о производительности, диагностические данные, связанные с использованием Услуг.

– Данные покупателя (для CIAO, если применимо): данные учетной записи покупателя (например, идентификатор лояльности, адрес электронной почты, если он предоставлен покупателем для регистрации через приложение продавца на CIAO), списки покупок, история сканирования продуктов, данные взаимодействия с устройством CIAO.

– Данные поддержки: информация, предоставленная Клиентом во время взаимодействия со службой поддержки, включая контактные данные, описание проблем, сведения о конфигурации системы и любые персональные данные, содержащиеся в журналах или файлах, предоставленных MEFERI для устранения неполадок.

– Любые другие Персональные данные, которые Клиент (или его уполномоченные пользователи или Субъекты данных) решат предоставить Службам.

6. Особые категории персональных данных (если таковые имеются):

MEFERI не намерена обрабатывать какие-либо особые категории персональных данных (как определено в статье 9 GDPR) от имени Клиента. Клиент не имеет права загружать, предоставлять или поручать MEFERI обрабатывать какие-либо особые категории персональных данных, если иное не согласовано с MEFERI в письменной форме и не обеспечено надлежащими мерами безопасности. Если Клиент предоставляет такие данные без предварительного согласия, он несет исключительную ответственность за обеспечение законного основания для такой обработки.

—

ПРИЛОЖЕНИЕ 2

ТЕХНИЧЕСКАЯ И ОРГАНИЗАЦИОННАЯ БЕЗОПАСНОСТЬ MEASURES (TOMS)

В настоящем Приложении 2 описываются технические и организационные меры, принимаемые MEFERI для обеспечения надлежащего уровня безопасности обработки персональных данных. MEFERI может время от времени обновлять эти меры при условии, что такие обновления не приведут к существенному снижению общей безопасности Услуг.

1. Политики и управление информационной безопасностью:

а. MEFERI поддерживает внутренние политики и процедуры, направленные на защиту персональных данных.

б) Определены и распределены обязанности по обеспечению информационной безопасности.

c. Регулярно проводятся оценки рисков для выявления и минимизации угроз персональным данным.

2. Безопасность персонала:

а. Сотрудники и подрядчики, имеющие доступ к персональным данным, обязаны соблюдать конфиденциальность.

б. Соответствующему персоналу предоставляется обучение по вопросам безопасности, касающееся его обязанностей по защите данных и обеспечению безопасности.

c. Проверка биографических данных может проводиться в отношении персонала, занимающего важные должности, если это разрешено действующим законодательством.

3. Физический контроль доступа:

а. Приняты меры для предотвращения несанкционированного физического доступа в помещения и объекты MEFERI, где могут обрабатываться персональные данные (например, офисы).

б. Это включает в себя периметры безопасности, системы контроля доступа, видеонаблюдение и регистрацию физического доступа, где это необходимо.

c. В отношении центров обработки данных, используемых MEFERI для предоставления Услуг (т. е. центров своего основного поставщика облачных услуг Amazon Web Services – AWS), MEFERI полагается на надежные меры физической безопасности, реализованные AWS.

4. Контроль доступа к системе (логический доступ):

а. Доступ к ИТ-системам, обрабатывающим персональные данные, ограничен уполномоченным персоналом.

б) Используются уникальные идентификаторы пользователей и надежные механизмы аутентификации (например, сложные пароли, многофакторная аутентификация, где это уместно и возможно).

в. Права доступа предоставляются на основе принципа наименьших привилегий (контроль доступа на основе ролей).

г. Проводятся регулярные проверки прав доступа.

е. Для удаленного доступа используются защищенные протоколы.

5. Контроль доступа к данным:

а. Приняты меры, гарантирующие, что лица, уполномоченные использовать систему обработки данных, могут получить доступ только к тем персональным данным, к которым относится их право доступа, в соответствии с назначенными им ролями и обязанностями.

б. Персональные данные не считываются, не копируются, не изменяются и не удаляются без разрешения во время Обработки, использования и после хранения, за исключением случаев, когда это необходимо для предоставления Услуг или по указанию Клиента.

c. Разделение обязанностей и данных осуществляется там, где это необходимо.

6. Управление трансмиссией:

а. Персональные данные защищены от несанкционированного чтения, копирования, изменения или удаления во время электронной передачи или транспортировки.

б. Для защиты персональных данных, передаваемых по сетям общего пользования, используются технологии шифрования (например, Transport Layer Security – TLS/Secure Sockets Layer – SSL для передаваемых данных).

в) Для передачи физических носителей, содержащих персональные данные, используются безопасные методы, если такая передача происходит.

7. Входной контроль:

а. Принимаются меры, обеспечивающие возможность последующей проверки и установления того, были ли персональные данные введены, изменены или удалены из систем обработки данных и кем именно (например, с помощью журналов аудита).

б. Реализованы возможности ведения журнала и аудита для критически важных системных действий, связанных с обработкой персональных данных.

8. Резервное копирование и восстановление данных:

а. Для обеспечения доступности и целостности данных осуществляется регулярное резервное копирование персональных данных, обрабатываемых в рамках Услуг.

б) Процедуры резервного копирования и восстановления определяются и периодически тестируются.

в. Резервные копии хранятся в безопасности.

9. Контроль доступности и отказоустойчивость:

а. Системы проектируются и настраиваются таким образом, чтобы обеспечить доступность персональных данных и отказоустойчивость систем обработки и услуг.

б. Это включает в себя такие меры, как резервирование, отказоустойчивость и возможности аварийного восстановления, в первую очередь с использованием инфраструктуры основного поставщика облачных услуг MEFERI (Amazon Web Services – AWS).

10. Разделение данных:

а. Персональные данные клиентов логически отделены от данных других клиентов MEFERI в рамках Услуг.

11. Безопасная разработка программного обеспечения (для облачных платформ MEFERI):

а. Безопасные методы и принципы кодирования включены в жизненный цикл разработки программного обеспечения MEFERI для ее облачных платформ.

б. Тестирование безопасности (например, сканирование на уязвимости, тестирование на проникновение) проводится по мере необходимости для Услуг.

c. Имеются процедуры выявления, оценки и устранения уязвимостей в программном обеспечении MEFERI.

12. Управление инцидентами:

а. MEFERI поддерживает план реагирования на инциденты и процедуры для обнаружения, реагирования и устранения последствий инцидентов безопасности, включая нарушения безопасности персональных данных.

б) Инциденты расследуются, документируются и принимаются соответствующие меры по исправлению ситуации.

c. Планы коммуникаций разрабатываются для внутренних и внешних уведомлений в соответствии с требованиями действующего законодательства о защите данных и настоящего Соглашения об обработке данных.

13. Управление субподрядчиком:

а. Перед привлечением субподрядчиков проводится комплексная проверка, чтобы убедиться, что они могут обеспечить адекватный уровень защиты данных.

б. Имеются договорные соглашения с субподрядчиками, налагающие обязательства по защите данных, которые по крайней мере эквивалентны тем, которые налагаются на MEFERI в соответствии с настоящим DPA.

14. Мониторинг и ведение журнала:

а. Системы обработки персональных данных контролируются на предмет событий безопасности и аномалий, когда это целесообразно и осуществимо.

б. Соответствующие журналы собираются и проверяются по мере необходимости для обнаружения, расследования и реагирования на инциденты безопасности.

15. Шифрование:

а. Шифрование хранящихся персональных данных реализуется там, где это целесообразно и технически осуществимо (например, для хранения баз данных, содержащих конфиденциальные персональные данные).

б. Шифрование персональных данных при передаче по сетям общего пользования осуществляется с использованием стандартных отраслевых протоколов (например, TLS).

*(Клиент признает, что меры безопасности подвержены техническому прогрессу и развитию и что MEFERI может время от времени обновлять или изменять меры безопасности при условии, что такие обновления и изменения не приведут к снижению общей безопасности Услуг, приобретенных Клиентом.)*

—

ПРИЛОЖЕНИЕ 3

СУБПРОЦЕССОРЫ

Клиент предоставляет компании MEFERI общее разрешение на использование категорий субподрядчиков, перечисленных ниже. MEFERI будет вести актуальный список своих субподрядчиков, который будет доступен Клиенту путем публикации на специальной веб-странице веб-сайта MEFERI. https://meferi.com/en/us/legal/subprocessors ). и предоставит этот список Клиенту по письменному запросу контактному лицу по защите данных MEFERI (например, legal@meferi.com ).

Категории субобработчиков и цели:

1. Поставщики облачной инфраструктуры: – Субподрядчик и особенности основного хостинга услуг, предоставляемых Клиенту в рамках Основного соглашения:

– Организация: Amazon Web Services EMEA SARL (или соответствующая организация-подрядчик AWS для услуг, предоставляемых в ЕЭЗ).

– Цель: предоставить базовую инфраструктуру облачных вычислений (серверы, хранилища, сети, базы данных) для хостинга Услуг MEFERI (например, Shadowalk Cloud, бэкэнд CIAO Cloud), предоставляемых Клиенту в соответствии с Основным соглашением.

– Место обработки персональных данных клиентов (основной хостинг): основным регионом AWS для обработки персональных данных клиентов в соответствии с настоящим DPA является eu-west-3 (Париж, Франция) в пределах Европейской экономической зоны (ЕЭЗ).

– Гарантии безопасности при передаче данных: AWS предоставляет Дополнение об обработке данных (DPA), которое включает стандартные договорные условия (SCCs), регулирующие передачу персональных данных. Это дополнение применяется, если какие-либо данные обрабатываются AWS или передаются AWS за пределы ЕЭЗ, на которые не распространяется решение о достаточности мер. Клиент может ознакомиться с Дополнением об обработке данных AWS по адресу  https://d1.awsstatic.com/legal/aws-dpa/aws-dpa.pdf и информацию о соответствии AWS GDPR на  https://aws.amazon.com/compliance/gdpr-center/

– Примечание о сетях доставки контента (CDN) (если применимо): Если MEFERI использует AWS CloudFront или аналогичные сервисы сетей доставки контента (CDN) для повышения производительности Сервисов, копии определенных данных (обычно статических ресурсов или кэшированного контента, которые могут включать или не включать Персональные данные в зависимости от конфигурации) могут временно кэшироваться на периферийных устройствах AWS по всему миру. Однако ответственное хранение и первичная обработка Персональных данных Клиентов для Сервисов останутся в указанном выше регионе AWS (eu-west-3). MEFERI гарантирует, что любые Персональные данные Клиентов, распространяемые через CDN, обрабатываются в соответствии с требованиями GDPR.

– Другие поставщики облачной инфраструктуры для услуг, предоставляемых Заказчику в рамках Основного соглашения:

– В настоящее время MEFERI не использует услуги сторонних поставщиков облачной инфраструктуры для первичного хостинга или прямого предоставления Услуг, определенных в Основном соглашении, за пределами описанного выше.

2. Поставщики услуг связи:

– Цель: облегчить предоставление Клиенту или его авторизованным пользователям необходимых сообщений в связи с предоставлением и использованием Услуг (например, отправка по электронной почте уведомлений об услугах, сброс паролей, оповещений о безопасности, а также отправка SMS-сообщений для критических оповещений или кодов двухфакторной аутентификации).

– Конкретные используемые субпроцессоры:

– Для связи по электронной почте:

– Организация: Amazon Web Services EMEA SARL (использующая Amazon Simple Email Service – SES).

– Конкретное назначение MEFERI: для отправки транзакционных и связанных с услугами уведомлений по электронной почте авторизованным пользователям Клиента (например, оповещений об учетной записи, сброса пароля, обновлений услуг, критической информации о безопасности) в связи с Услугами.

– Место обработки: Инфраструктура отправки электронной почты преимущественно расположена в регионах AWS, которые MEFERI использует для своих Сервисов (например, настроена на отправку из региона ЕЭЗ, например, eu-west-1 Ирландия или eu-west-3 Париж, где это возможно). Обработка любых персональных данных (таких как адреса электронной почты и содержимое сообщений) через SES регулируется Дополнением к AWS об обработке данных.

– Гарантии безопасности передачи данных: регулируются Дополнением об обработке данных Amazon Web Services, которое включает стандартные договорные условия. Доступно

в: https://d1.awsstatic.com/legal/aws-dpa/aws-dpa.pdf.

– Для SMS-сообщений:

– Организация: Twilio Inc.

– Конкретное назначение MEFERI: для отправки SMS-уведомлений авторизованным пользователям Клиента в рамках Услуг, например, для критических оповещений или доставки кодов двухфакторной аутентификации (2FA), если такие функции включены и используются Клиентом.

– Характер обрабатываемых данных: обычно включает номера телефонов авторизованных пользователей Клиента и содержание SMS-сообщений (например, коды аутентификации, текст оповещения).

– Место обработки: преимущественно США.

– Гарантии передачи данных: Передача персональных данных регулируется Дополнением к Соглашению об обработке данных Twilio, которое включает Стандартные договорные условия (SCC). Клиент может ознакомиться с Соглашением об обработке данных Twilio по адресу: https://www.twilio.com/legal/data-protection-addendum.

– Другие поставщики услуг связи:

– В настоящее время MEFERI не использует других сторонних поставщиков услуг связи для обработки персональных данных Клиента в рамках настоящего Соглашения об обработке персональных данных, за исключением случаев, описанных выше для электронной почты и SMS. В случае внедрения и выбора Клиентом функций, требующих использования других видов услуг связи, MEFERI обновит этот список и уведомит Клиента в соответствии с разделом 6.2 настоящего Соглашения об обработке персональных данных.

3. Поставщики аналитики и мониторинга производительности услуг:

– Цель: Мониторинг производительности, выявление ошибок и анализ особенностей использования Сервисов MEFERI (например, Shadowalk Cloud, бэкэнда CIAO Cloud) для поддержания и улучшения стабильности, функциональности и удобства использования сервисов. Данные, обрабатываемые этими поставщиками для Сервисов MEFERI, как правило, псевдонимизированы, агрегированы или состоят из технических/эксплуатационных данных. MEFERI не использует этих поставщиков для анализа конкретного содержания Персональных данных Клиента в Сервисах, за исключением случаев, когда это прямо указано или согласовано с Клиентом для целей поддержки или устранения неполадок.

– Конкретные используемые субпроцессоры:

– Организация: Functional Software, Inc. (ведущая деятельность под торговой маркой Sentry).

– Специальное назначение для MEFERI: отслеживание ошибок в режиме реального времени, диагностика и мониторинг производительности в облачных сервисах MEFERI (Shadowalk Cloud, бэкэнд CIAO Cloud) для выявления и решения технических проблем.

– Характер обрабатываемых данных: обычно включает сообщения об ошибках, трассировки стека, информацию об устройстве/браузере, IP-адреса (которые MEFERI может настроить так, чтобы они были анонимными или не сохранялись, если это возможно в рамках возможностей Sentry) и другие рабочие метаданные, связанные с событиями обслуживания. MEFERI настраивает свою интеграцию с Sentry таким образом, чтобы минимизировать сбор персональных данных клиентов.

– Место обработки: преимущественно США.

– Гарантии передачи данных: Передача данных регулируется Дополнением Sentry об обработке данных, которое включает стандартные договорные условия. Доступно по адресу: https://sentry.io/legal/dpa/

– Аналитика веб-сайтов и порталов (MEFERI в качестве контроллера):

– Для аналитики, связанной с корпоративным веб-сайтом MEFERI (например, meferi.com) и другими публичными порталами, принадлежащими MEFERI, где MEFERI выступает в качестве Контролера данных, информация о поставщиках аналитических услуг (например, Google Analytics) и обработке данных описана в общей Политике конфиденциальности MEFERI. Эти поставщики не указаны здесь в качестве субподрядчиков в рамках настоящего Соглашения об обработке данных, за исключением случаев, когда они также обрабатывают персональные данные Клиента от имени MEFERI в контексте Услуг, предоставляемых Клиенту.

4. Инструменты поддержки и обслуживания клиентов:

– Цель: управление запросами поддержки клиентов, предоставление услуг службы поддержки и содействие общению, связанному с поддержкой услуг MEFERI.

– Конкретные используемые инструменты:

– MEFERI использует собственный портал поддержки клиентов и систему тикетов, доступные по адресу support.meferi.com. Эта система разработана и поддерживается MEFERI и размещена в облачной инфраструктуре MEFERI, предоставляемой Amazon Web Services (AWS), как подробно описано в Разделе 1 («Поставщики облачной инфраструктуры») настоящего Приложения.

– Персональные данные, предоставленные авторизованными пользователями Клиента через этот портал поддержки (например, контактные данные, содержание запроса), обрабатываются в этой системе, управляемой MEFERI.

– В настоящее время MEFERI не использует сторонних поставщиков программного обеспечения как услуги (SaaS) для своей платформы поддержки клиентов, на которой обрабатываются персональные данные клиентов в соответствии с настоящим Соглашением об обработке данных (DPA). – Обработка данных и согласие пользователя на портале поддержки:

– Пользователи, получающие доступ к support.meferi.com, подчиняются условиям Политики конфиденциальности MEFERI и любого применимого Пользовательского соглашения для портала поддержки, которые регулируют сбор и использование MEFERI персональных данных, предоставленных пользователями непосредственно на портал.

– Будущее привлечение сторонних поставщиков:

– Если в будущем MEFERI решит привлечь сторонних поставщиков поддержки или инструментов обслуживания клиентов для обработки персональных данных Клиента, этот список будет обновлен, а Клиент будет уведомлен в соответствии с Разделом 6.2 настоящего Соглашения об обработке данных.

5. Технические субподрядчики (например, для специализированной разработки, обслуживания или тестирования безопасности):

– В настоящее время MEFERI предоставляет специализированные технические услуги, разработку программного обеспечения, обслуживание систем и тестирование безопасности для своих услуг (таких как облачное решение MEFERI Shadowalk MDM/EMM и размещенные в облаке компоненты решения CIAO Intelligent Shopper Assistant (ISA)), в основном используя свой внутренний персонал.

– В настоящее время MEFERI не привлекает сторонних технических субподрядчиков для обработки персональных данных клиентов от имени MEFERI в соответствии с настоящим Соглашением об обработке данных.

– Если MEFERI решит в будущем привлечь таких технических субподрядчиков, которые будут обрабатывать персональные данные Клиента, MEFERI обновит этот список субподрядчиков и уведомит Клиента в соответствии с Разделом 6.2 настоящего Соглашения об обработке данных, гарантируя, что любое такое взаимодействие соответствует требованиям к субобработке, изложенным в настоящем Соглашении об обработке данных, включая реализацию соответствующих мер безопасности при передаче данных, где это необходимо.

6. Авторизованные ремонтные сервисные центры и поставщики логистических услуг:

– Цель: предоставление услуг по ремонту, диагностике, восстановлению устройств и сопутствующих логистических услуг для продуктов MEFERI в соответствии с применимыми сервисными контрактами (например, планами обслуживания MeCare) или гарантийными условиями.

– Организация/Категория: Авторизованные сторонние сервисные центры или партнеры по логистике, заключившие контракт с MEFERI или ее аффилированными лицами на выполнение ремонта и обслуживания устройств MEFERI. (MEFERI поддерживает сеть таких авторизованных поставщиков; конкретные данные поставщика для определенного ремонта могут зависеть от местонахождения Клиента и характера запроса на обслуживание).

– Характер обрабатываемых данных: может включать:

– Контактные данные представителей Заказчика, координирующих ремонт (ФИО, электронная почта, номер телефона, адрес доставки).

– Идентификаторы устройства (серийный номер, модель).

– Описание проблемы, предоставленное Клиентом.

Потенциально любые персональные данные, оставшиеся на устройствах, отправленных в ремонт, если они не были удалены или защищены Клиентом перед отправкой. MEFERI рекомендует Клиентам создавать резервные копии и/или удалять персональные данные с устройств перед отправкой в ремонт, и ответственность MEFERI за потерю таких данных ограничена Основным соглашением или применимыми условиями обслуживания. Однако, если ремонтный центр получает доступ к таким данным в ходе диагностики или ремонта, они рассматриваются как персональные данные Клиента.

– Местонахождение персонала, осуществляющего обработку: ремонтные сервисные центры могут располагаться в различных регионах мира, в том числе в пределах ЕЭЗ, КНР или других стран, в зависимости от местонахождения Клиента и сервисной сети MEFERI. MEFERI предоставит информацию о местонахождении конкретного ремонтного центра по запросу или в рамках процесса RMA, где это возможно.

– Гарантии защиты данных: Все авторизованные ремонтные центры и поставщики логистических услуг, имеющие доступ к персональным данным клиентов, действуют в соответствии с письменными соглашениями с MEFERI (или дочерней компанией MEFERI), которые включают обязательства по соблюдению конфиденциальности и условия обработки данных, устанавливающие требования к защите данных, как минимум эквивалентные тем, которые изложены в настоящем Соглашении об обработке данных. В случае любой передачи персональных данных клиентов таким поставщикам, расположенным за пределами Европейской экономической зоны (ЕЭЗ), в страну, которую Европейская комиссия не считает адекватной, MEFERI обеспечивает наличие соответствующих механизмов передачи в соответствии с главой V GDPR, таких как стандартные договорные условия (SCC). Доступ к персональным данным на устройствах ограничен необходимостью диагностики и ремонта.