Дополнение об обработке данных

Настоящее Дополнительное соглашение об обработке данных («DPA») является частью Соглашения между JYV STREAM LLC («Процессор») и Клиентом («Контролер») JyvGaming. Он регулирует обработку персональных данных от имени Контролера и применяется только в том случае, если на Контролера распространяется GDPR, GDPR Великобритании или аналогичные законы о защите данных.

Представители статьи 27: Компания JYV STREAM LLC назначила Prighter Group GmbH (Шеллинггассе 3/10, 1010 Вена, Австрия) своим представителем GDPR в ЕС, а Prighter Ltd (20 Mortlake High Street, Лондон, SW14 8JN, Великобритания) своим представителем GDPR в Великобритании в соответствии со статьей 27 GDPR и статьей 27 UK GDPR соответственно. Субъекты данных и надзорные органы могут связаться с этими представителями по адресу https://app.prighter.com/portal/11199242890.

1. Определения

Термины, написанные с заглавной буквы, но не определенные здесь, имеют значения, указанные в GDPR. «Обработка», «Контроллер», «Процессор», «Субобработчик» и «Персональные данные» имеют значения, предусмотренные GDPR. «Соглашение» означает Условия обслуживания или другое коммерческое соглашение между сторонами.

2. Роли и сфера применения

Контроллер — это контролер, а Обработчик — обработчик Персональных данных, обрабатываемых в соответствии с Соглашением. Каждая сторона обязуется соблюдать свои обязательства в соответствии с применимыми законами о защите данных. В Приложении 1 указаны предмет, характер, цель, продолжительность, категории субъектов данных и типы Персональных данных.

3. Инструкции по обработке

Обработчик должен Обрабатывать Персональные данные только по документально оформленным инструкциям Контролера (включая инструкции, содержащиеся в Соглашении и настоящем DPA), если иное не требуется по закону, и в этом случае Обработчик должен (если это разрешено законом) информировать Контролера перед такой обработкой.

4. Конфиденциальность

Обработчик должен гарантировать, что персонал, уполномоченный на обработку Персональных данных, связан соответствующими обязательствами по конфиденциальности.

5. Меры безопасности

Обработчик должен реализовать и поддерживать технические и организационные меры, описанные в Приложении 2, для обеспечения уровня безопасности, соответствующего риску, включая шифрование при передаче и хранении, контроль доступа, безопасный SDLC, управление уязвимостями, ведение журнала и реагирование на инциденты.

6. Субпроцессоры

Контроллер разрешает Обработчику использовать Субпроцессоры, перечисленные в Списке субпроцессоров (включенном посредством ссылки и опубликованном по адресу https://jyvgaming.gg/legal/subprocessors). Обработчик обязан: (a) налагать на каждого Субобработчика обязательства по защите данных, которые не менее защитны, чем те, которые предусмотрены в настоящем DPA; и (b) предоставить уведомление о новых субобработчиках не менее чем за 30 дней, что позволит Контролеру возразить на разумных основаниях защиты данных.

7. Особенности обработки AI/GPU

Для аудиовывода, выполняемого Modal Labs, Inc.: (a) Персональные данные обезличиваются перед передачей; (б) вывод происходит в энергозависимой памяти, а необработанные входные данные удаляются в течение десяти (10) минут после завершения; (c) Персональные данные ЕС/Великобритании передаются в инфраструктуру ЕС, включая обработку графических процессоров и вспомогательные услуги; (d) Modal не использует Персональные данные для обучения своих собственных моделей; и (д) сохраняются только оперативные метаданные (метки времени, идентификаторы запросов, журналы ошибок) в течение до 30 дней.

8. Права субъектов данных

Принимая во внимание характер Обработки, Обработчик должен разумно помочь Контролеру с помощью соответствующих технических и организационных мер выполнить обязательство Контролера по реагированию на запросы субъектов данных в соответствии со статьями 15–22 GDPR.

9. Утечка персональных данных

Обработчик должен уведомить Контролера без неоправданной задержки (и в течение 72 часов, если это возможно) после того, как ему станет известно об утечке персональных данных, включая разумно доступную информацию, необходимую для выполнения обязательств Контролера по отчетности в соответствии со статьями 33–34 GDPR.

10. Аудиты и проверки

Обработчик должен предоставить всю информацию, необходимую для демонстрации соблюдения настоящего DPA, а также обеспечить возможность и способствовать проведению аудитов, включая проверки, проводимых Контролером или независимым аудитором. Аудит должен проводиться не чаще одного раза в год (за исключением Нарушений) с уведомлением не менее чем за 30 дней, в рабочее время, с соблюдением конфиденциальности и за счет Контролера, если не выявлено существенное несоответствие.

11. Оценка воздействия на защиту данных

Обработчик должен предоставить разумную помощь Контролеру для DPIA и предварительных консультаций с надзорными органами в соответствии со статьями 35–36 GDPR.

12. Возврат или удаление

После прекращения действия Соглашения Обработчик обязан по выбору Контролера удалить или вернуть все Персональные данные, а также удалить существующие копии, если сохранение не требуется по закону.

13. Международные переводы

Персональные данные ЕС/Великобритании обрабатываются в регионах ЕС в целях предоставления Услуги. Если требуется передача за пределы ЕЭЗ/Великобритании, стороны должны полагаться на соответствующие гарантии: Стандартные договорные условия Европейской комиссии (Модуль второй: «От контроллера к процессору»), дополненные Дополнением для Великобритании, условия которого включены посредством ссылки. Приложение 3 содержит подробную информацию о SCC, если они применимы.

14. Ответственность и порядок приоритета

В случае противоречия между Соглашением и настоящим DPA, настоящее DPA имеет преимущественную силу в вопросах защиты данных. Ответственность каждой стороны по настоящему DPA регулируется ограничениями ответственности, указанными в Соглашении.

15. Срок действия

Настоящее DPA вступает в силу с Даты вступления в силу и действует до окончания срока действия Соглашения и любого применимого срока хранения.

Приложение 1. Предмет и подробности

Приложение 2 — Меры безопасности

• TLS 1.2+ при транзите; AES-256 в состоянии покоя, где это применимо.
• Управление доступом на основе ролей с минимальными привилегиями; обязательный MFA для доступа к продукции.
• Подписанные двоичные файлы; воспроизводимые сборки; проверки цепочки поставок (эквивалент Dependabot/Snyk).
• Постоянное сканирование уязвимостей; документированное исправление SLA.
• Ведение журнала аудита; Хранение оперативного журнала 30 дней; SIEM-эквивалентный мониторинг.
• Проверка анкетных данных персонала, имеющего доступ к производству; ежегодное обучение по вопросам безопасности.
• Документированные планы реагирования на инциденты и обеспечения непрерывности бизнеса.
• Шифрование при хранении резервных копий; управление ключами с ротацией.

Приложение 3 — SCC (если применимо) Модуль

UK Приложение: Таблицы 1–3 заполнены с использованием деталей второго модуля, приведенных выше; Таблица 4. Импортер может прекратить действие Дополнения, если ICO выпустит пересмотренное Утвержденное дополнение.

Контакт

JYV STREAM LLC

7901 4th St N, Suite 33883, Санкт-Петербург, Флорида 33702, США

Общие сведения: support@jyvstream.com

Юридические вопросы: Legal@jyvstream.com

Конфиденциальность / DPO: Privacy@jyvstream.com / dpo@jyvstream.com

Злоупотребление:abuse@jyvstream.com

Веб-сайт: https://jyvgaming.gg