Приложение об обработке данных

Последнее изменение: 2 ноября 2020 г.

Jibe и контрагент, соглашающийся с настоящим дополнением (« Компания »), заключили соглашение на предоставление Обработочных услуг (с вносимыми время от времени поправками, « Соглашение »).

Настоящее Дополнительное соглашение об обработке данных (включая приложения « Дополнительное соглашение об обработке данных ») заключено компанией Jibe and Company и дополняет Соглашение. Настоящее Дополнительное соглашение об обработке данных вступит в силу и заменит любые ранее применимые условия, относящиеся к их предмету (включая любые условия обработки данных и безопасности, относящиеся к Обработочным услугам), с Даты вступления в силу Условий.

Если вы принимаете настоящее Дополнительное соглашение об обработке данных от имени Компании, вы гарантируете, что: (a) у вас есть полные юридические полномочия связывать Компанию настоящим Дополнительным соглашением об обработке данных; (б) вы прочитали и поняли настоящее Дополнение к обработке данных; и (c) вы соглашаетесь от имени Компании с настоящим Дополнительным соглашением об обработке данных. Если у вас нет юридических полномочий связывать Компанию обязательствами, не принимайте настоящее Дополнение об обработке данных.

1. Введение

Настоящее Дополнительное соглашение об обработке данных отражает соглашение сторон об условиях, регулирующих обработку и безопасность Персональных данных Компании в связи с европейским законодательством о защите данных и некоторыми неевропейскими законами о защите данных.

2. Определения и интерпретация

2.1 В настоящем Дополнении по обработке данных:

« Дополнительный продукт » означает продукт, услугу или приложение, предоставляемые Jibe или третьей стороной, которые: (a) не являются частью Обработочных услуг; и (б) доступна для использования в пользовательском интерфейсе Процессорных служб или иным образом интегрирована с Процессорными службами.

« Дополнительные условия неевропейского законодательства о защите данных » означают дополнительные условия, указанные в Приложении 3, которые отражают соглашение сторон об условиях, регулирующих обработку определенных данных в связи с определенным неевропейским законодательством о защите данных.

« Аффилированное лицо » означает юридическое лицо, которое прямо или косвенно контролирует, контролируется или находится под общим контролем со стороной.

« Личные данные компании » означают персональные данные, которые обрабатываются Jibe от имени Компании при предоставлении Jibe Обработочных услуг.

« Инцидент с данными » означает нарушение безопасности Jibe, ведущее к случайному или незаконному уничтожению, потере, изменению, несанкционированному раскрытию Персональных данных Компании или доступу к ним в системах, управляемых или иным образом контролируемых Jibe. «Инциденты с данными» не будут включать неудачные попытки или действия, которые не ставят под угрозу безопасность Персональных данных Компании, включая неудачные попытки входа в систему, пинги, сканирование портов, атаки типа «отказ в обслуживании» и другие сетевые атаки на брандмауэры или сетевые системы.

« Законодательство о защите данных » означает, если применимо: (a) Европейское законодательство о защите данных; и/или (b) неевропейского законодательства о защите данных.

« Инструмент субъекта данных » означает инструмент (если таковой имеется), предоставленный субъектом Jibe субъектам данных, который позволяет Jibe отвечать напрямую и стандартизированным образом на определенные запросы субъектов данных в отношении Персональных данных компании (например, плагин для браузера -out).

« ЕЭЗ означает Европейскую экономическую зону.

« DS GDPR » означает Регламент (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 г. о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных, а также об отмене Директивы. 95/46/ЕС.

« Европейское законодательство о защите данных » означает, если применимо: (a) GDPR; и/или (b) Федерального закона о защите данных от 19 июня 1992 г. (Швейцария).

« Европейское или национальное законодательство » означает, в зависимости от обстоятельств: (a) законодательство ЕС или государства-члена ЕС (если GDPR ЕС применяется к обработке Персональных данных Компании); и/или (b) законодательством Великобритании или части Великобритании (если GDPR Великобритании применяется к обработке Персональных данных Компании).

« GDPR » означает, если применимо: (a) GDPR ЕС; и/или (b) GDPR Великобритании.

« Jibe » означает юридическое лицо Jibe, являющееся стороной Соглашения.

« Аффилированные субобработчики Jibe » имеют значение, указанное в Разделе 11.1 (Согласие на участие субобработчика).

« Субъект Jibe » означает Jibe Mobile Inc, Jibe Mobile Limited или любое другое аффилированное лицо Jibe Mobile Inc.

« Сертификация ISO 27001 » означает сертификацию ISO/IEC 27001:2013 или аналогичную сертификацию для Обработочных услуг.

« Неевропейское законодательство о защите данных » означает законы о защите данных или конфиденциальности, действующие за пределами ЕЭЗ, Швейцарии и Великобритании.

« Адрес электронной почты для уведомлений » означает адрес электронной почты (если таковой имеется): (i) предоставленный Компанией Jibe или (ii) назначенный Компанией через пользовательский интерфейс Обработочных услуг или другими способами, предоставляемыми Jibe, для получения определенных уведомлений. от Jibe в отношении настоящего Дополнения об обработке данных. Для ясности: Компания несет ответственность за предоставление Jibe адреса электронной почты для уведомлений и информирование Jibe о любых обновлениях адреса электронной почты для уведомлений.

« Службы процессора » означают службы RCS Business Messaging (как описано на странице https://developers.google.com/business-communication/rcs-business-messaging ).

« Документация по безопасности » означает сертификацию ISO 27001 и любые другие сертификаты безопасности или документацию, которые Jibe может предоставить в связи с Обработочными услугами.

« Меры безопасности » имеют значение, указанное в Разделе 7.1.1 («Меры безопасности Jibe»).

« Стандартные договорные условия » означают стандартные договорные положения Европейской комиссии по адресу https://privacy.google.com/businesses/gdprprocessorterms/sccs , которые представляют собой стандартные условия защиты данных при передаче персональных данных обработчикам, расположенным в третьих странах, которые не обеспечить адекватный уровень защиты данных, как описано в статье 46 GDPR ЕС.

« Субобработчики » означают третьи стороны, уполномоченные в соответствии с настоящим Дополнением к обработке данных иметь логический доступ к Персональным данным Компании и обрабатывать их с целью предоставления частей Обработочных услуг и любой соответствующей технической поддержки.

« Орган надзора » означает, в зависимости от обстоятельств: (a) «Орган надзора», как это определено в GDPR ЕС; и/или (b) «Уполномоченный», как это определено в GDPR Великобритании.

« Срок » означает период с Даты вступления в силу Условий до окончания предоставления Jibe Обработочных услуг в соответствии с Соглашением.

« Дата вступления в силу Условий » означает дату вступления Соглашения в силу.

« Сторонние субобработчики » имеют значение, указанное в Разделе 11.1 (Согласие на участие субобработчика).

« GDPR Великобритании » означает GDPR ЕС с поправками, включенными в законодательство Великобритании в соответствии с Законом Великобритании о выходе из Европейского Союза 2018 года, если он вступил в силу.

2.2 Термины « контролер », « субъект данных », « персональные данные », « обработка » и « обработчик », используемые в настоящем Дополнении к обработке данных, имеют значения, указанные в GDPR, а термины « импортер данных » и « данные» экспортер » имеют значения, указанные в Стандартных договорных условиях.

2.3 Термины « включая », « включают » или любое подобное выражение будут истолковываться как иллюстративные и не ограничивают смысл слов, предшествующих этим терминам. Любые примеры в настоящем Дополнении по обработке данных являются иллюстративными, а не единственными примерами конкретной концепции.

2.4 Любая ссылка на правовую базу, закон или другой законодательный акт является ссылкой на него с поправками или изменениями, которые время от времени принимаются.

2.5 Если настоящие Условия обработки данных переведены на любой другой язык и между английским текстом и переведенным текстом имеется расхождение, то английский текст будет иметь преимущественную силу.

3. Срок действия настоящего Дополнительного соглашения об обработке данных

Настоящее Дополнительное соглашение об обработке данных вступит в силу с Даты вступления в силу Условий и, независимо от того, истек ли Срок действия, будет оставаться в силе до тех пор, пока и автоматически не истечет после удаления компанией Jibe всех Персональных данных Компании, как описано в настоящем Дополнительном соглашении об обработке данных.

4. Применение настоящего Дополнительного соглашения об обработке данных

4.1 Применение европейского законодательства о защите данных . Разделы с 5 (Обработка данных) по 12 (Обращение к Jibe; Обработка записей) (включительно) будут применяться только в той степени, в которой Европейское законодательство о защите данных применимо к обработке Персональных данных Компании, в том числе если:

(a) обработка осуществляется в контексте деятельности учреждения Компании в ЕЭЗ или Великобритании; и/или

(б) Персональные данные компании — это персональные данные, относящиеся к субъектам данных, которые находятся в ЕЭЗ или Великобритании, и обработка связана с предложением им товаров или услуг или мониторингом их поведения в ЕЭЗ или Великобритании.

4.2 Заявление в Службу обработки данных . Настоящее Дополнительное соглашение об обработке данных будет применяться только к Службам обработки данных, в отношении которых стороны согласились с настоящим Дополнительным соглашением об обработке данных (например: (a) Службам обработки данных, для которых Компания нажала кнопку, чтобы принять настоящее Дополнительное соглашение об обработке данных; или (b) если Соглашение включает настоящее Дополнительное соглашение об обработке данных посредством ссылки, Услуги обработчика, являющиеся предметом Соглашения).

4.3 Включение дополнительных условий в неевропейское законодательство о защите данных . Дополнительные условия неевропейского законодательства о защите данных дополняют настоящие Условия обработки данных.

5. Обработка данных

5.1 Роли и соблюдение нормативных требований; Авторизация.

5.1.1 Обязанности процессора и контроллера. Стороны признают и соглашаются, что:

(a) Приложение 1 описывает предмет и детали обработки Персональных данных Компании;

(б) Jibe является обработчиком Персональных данных Компании в соответствии с Европейским законодательством о защите данных;

(c) Компания является контролером или обработчиком, в зависимости от обстоятельств, Персональных данных Компании в соответствии с Европейским законодательством о защите данных; и

(d) каждая сторона будет соблюдать обязательства, применимые к ней в соответствии с Европейским законодательством о защите данных в отношении обработки Персональных данных Компании.

5.1.2 Авторизация стороннего контролера. Если Компания является обработчиком, Компания гарантирует Jibe, что инструкции и действия Компании в отношении Персональных данных Компании, включая назначение Jibe другим обработчиком, были санкционированы соответствующим контролером.

5.2 Инструкции Компании. Заключая настоящее Дополнительное соглашение об обработке данных, Компания поручает Jibe обрабатывать Персональные данные Компании только в соответствии с применимым законодательством: (a) для предоставления Обработочных услуг и любой связанной с этим технической поддержки; (б) как указано далее, посредством использования Компанией Процессорных услуг (в том числе в настройках и других функциях Процессорных услуг) и любой соответствующей технической поддержки; (c) как указано в форме Соглашения, включая настоящее Дополнение к обработке данных; и (d) как дополнительно описано в любых других письменных инструкциях, предоставленных Компанией и признанных Jibe в качестве инструкций для целей настоящего Дополнительного соглашения об обработке данных.

5.3 Соблюдение Jibe инструкций. Jibe обязуется соблюдать инструкции, описанные в Разделе 5.2 (Инструкции компании) (в том числе в отношении передачи данных), за исключением случаев, когда европейские или национальные законы, которым подчиняется Jibe, требуют иной обработки Персональных данных Компании компанией Jibe, и в этом случае Jibe проинформирует Компанию ( если только какой-либо такой закон не запрещает Jibe делать это по важным соображениям общественного интереса).

5.4 Дополнительные продукты . Если Компания использует какой-либо Дополнительный продукт, Службы обработки могут разрешить этому Дополнительному продукту доступ к Персональным данным Компании, как это необходимо для взаимодействия Дополнительного продукта с Службами обработки. Настоящее Дополнительное соглашение об обработке данных не распространяется на обработку персональных данных в связи с предоставлением любого Дополнительного продукта, используемого Компанией, включая персональные данные, передаваемые в этот Дополнительный продукт или из него.

6. Удаление данных

6.1 Удаление в течение срока действия.

6.1.1 Службы процессора с функцией удаления. В течение Срока действия, если:

(a) функциональность Обработочных услуг включает в себя возможность удаления Компанией Персональных данных Компании;

(б) Компания использует Процессорные услуги для удаления определенных Персональных данных Компании; и

(c) удаленные Персональные данные Компании не могут быть восстановлены Компанией (например, из «корзины»),

то Jibe удалит такие Персональные данные Компании из своих систем, как только это станет практически возможным, если только европейское или национальное законодательство не требует хранения.

6.1.2 Службы процессора без функции удаления. Если в течение Срока действия функциональность Обработочных услуг не включает в себя возможность удаления Компанией Персональных данных Компании, то Jibe выполнит любой разумный запрос Компании об облегчении такого удаления, насколько это возможно, с учетом характера и функциональность Процессорных служб. Jibe может взимать плату (в зависимости от разумных затрат Jibe) за любое удаление данных в соответствии с настоящим Разделом 6.1.2 (Процессорные услуги без функции удаления). Jibe предоставит Компании дополнительную информацию о любых применимых сборах и основе их расчета перед удалением таких данных.

6.2 Удаление по истечении срока действия. По истечении Срока действия Компания поручает Jibe удалить все Персональные данные Компании (включая существующие копии) из систем Jibe в соответствии с применимым законодательством. Компания Jibe обязуется соблюдать данную инструкцию в кратчайшие возможные сроки, за исключением случаев, когда европейское или национальное законодательство требует хранения.

7. Безопасность данных

7.1 Меры безопасности и помощь Jibe.

7.1.1 Меры безопасности Jibe. Jibe будет внедрять и поддерживать технические и организационные меры для защиты Персональных данных Компании от случайного или незаконного уничтожения, потери, изменения, несанкционированного раскрытия или доступа, как описано в Приложении 2 (« Меры безопасности »). Jibe может время от времени обновлять или изменять Меры безопасности при условии, что такие обновления и модификации не приводят к ухудшению общей безопасности Процессорных услуг.

7.1.2 Соблюдение требований безопасности персоналом Jibe. Jibe будет следить за тем, чтобы все лица, уполномоченные обрабатывать Персональные данные компании, взяли на себя обязательство соблюдать конфиденциальность или находились под соответствующим установленным законом обязательством по соблюдению конфиденциальности.

7.1.3 Помощь Jibe в обеспечении безопасности. Компания соглашается с тем, что Jibe будет помогать Компании в обеспечении соблюдения любых обязательств Компании в отношении безопасности персональных данных и нарушений персональных данных (принимая во внимание характер обработки Персональных данных Компании и информации, доступной Jibe), включая (если применимо) Обязательства компании согласно статьям 32–34 (включительно) GDPR:

(a) внедрение и поддержание Мер безопасности в соответствии с Разделом 7.1.1 (Меры безопасности Jibe);

(b) соблюдение условий Раздела 7.2 (Инциденты с данными); и

(c) предоставление Компании Документации по безопасности в соответствии с Разделом 7.5.1 (Проверка Документации по безопасности) и информации, содержащейся в настоящем Дополнении по обработке данных.

7.2 Инциденты с данными.

7.2.1 Уведомление об инциденте. Если Jibe станет известно о Инциденте с данными, Jibe обязуется: (a) незамедлительно и без неоправданной задержки уведомить Компанию о Инциденте с данными; и (б) незамедлительно принять разумные меры для минимизации ущерба и обеспечения безопасности Персональных данных Компании.

7.2.2 Подробности инцидента с данными. Уведомления, сделанные в соответствии с разделом 7.2.1 (Уведомление об инциденте), будут описывать, насколько это возможно, подробности инцидента с данными, включая шаги, предпринятые для снижения потенциальных рисков, и шаги, которые Jibe рекомендует предпринять Компании для устранения инцидента с данными.

7.2.3 Доставка уведомления. Jibe доставит уведомление о любом инциденте с данными на адрес электронной почты для уведомления или, по усмотрению Jibe (в том числе, если Компания не предоставила адрес электронной почты для уведомления), с помощью другого прямого сообщения (например, по телефону). или личная встреча). Компания несет единоличную ответственность за предоставление адреса электронной почты для уведомлений и обеспечение актуальности и актуальности адреса электронной почты для уведомлений.

7.2.4 Уведомления третьих лиц. Компания несет единоличную ответственность за соблюдение законов об уведомлении об инцидентах, применимых к Компании, и выполнение любых обязательств по уведомлению третьих лиц, связанных с любыми инцидентами с данными.

7.2.5 Отсутствие признания вины со стороны Jibe. Уведомление Jibe или ответ на Инцидент с данными в соответствии с настоящим Разделом 7.2 (Случаи с данными) не будут истолкованы как признание Jibe какой-либо вины или ответственности в отношении Инцидента с данными.

7.3 Обязанности и оценка компании в области безопасности.

7.3.1 Обязанности Компании по обеспечению безопасности. Компания соглашается с тем, что без ущерба для обязательств Jibe согласно разделам 7.1 (Меры безопасности и помощь Jibe) и 7.2 (Инциденты с данными):

(a) Компания несет ответственность за использование Обработочных услуг, включая:

(i) надлежащее использование Обработочных услуг для обеспечения уровня безопасности, соответствующего риску Персональных данных Компании; и

(ii) обеспечение безопасности учетных данных, систем и устройств для аутентификации учетной записи, которые Компания использует для доступа к Процессорным услугам; и

(б) Jibe не несет обязательств по защите Персональных данных Компании, которые Компания решает хранить или передавать за пределы систем Jibe и ее субобработчиков.

7.3.2 Оценка безопасности компании. Компания признает и соглашается с тем, что (принимая во внимание современное состояние, затраты на внедрение, а также характер, объем, контекст и цели обработки Персональных данных Компании, а также риски для физических лиц) принятые Меры безопасности и поддерживаемые Jibe в Разделе 7.1.1 (Меры безопасности Jibe), обеспечивают уровень безопасности, соответствующий риску Персональных данных Компании.

7.4 Сертификация безопасности. Чтобы оценить и обеспечить постоянную эффективность мер безопасности, Jibe сохранит сертификацию ISO 27001.

7.5 Обзоры и аудиты соответствия.

7.5.1 Проверка документации по безопасности. Чтобы продемонстрировать соблюдение Jibe своих обязательств по настоящему Дополнительному соглашению об обработке данных, Jibe предоставит Клиенту Документацию по безопасности для ознакомления.

7.5.2 Права Компании на проведение аудита.

(a) Jibe разрешит Компании или стороннему аудитору, назначенному Компанией, проводить аудиты (включая проверки) для проверки соблюдения Jibe своих обязательств по настоящему Дополнению к обработке данных в соответствии с Разделом 7.5.3 (Дополнительные коммерческие условия для аудита). Компания Jibe будет участвовать в таких проверках, как описано в Разделе 7.4 (Сертификация безопасности) и настоящем Разделе 7.5 (Проверки и проверки соответствия).

(b) Если Стандартные договорные условия применяются в соответствии с Разделом 10.2 (Передача данных), Jibe разрешит Компании или стороннему аудитору, назначенному Компанией, проводить аудит, как описано в Стандартных договорных условиях, в соответствии с Разделом 7.5.3 (Дополнительные условия). Деловые условия аудита).

(c) также может провести аудит для проверки соблюдения Jibe своих обязательств в соответствии с настоящим Дополнением к обработке данных путем проверки сертификата, выданного для сертификации ISO 27001 (который отражает результаты аудита, проведенного сторонним аудитором).

7.5.3 Дополнительные коммерческие условия аудита.

(a) Компания отправит Jibe любой запрос на проведение аудита в соответствии с разделом 7.5.2(a) или 7.5.2(b), как описано в разделе 12.1 (Обращение в Jibe).

(b) После получения Jibe запроса в соответствии с разделом 7.5.3(a), Jibe и Компания заранее обсудят и согласуют разумную дату начала, объем и продолжительность, а также средства контроля безопасности и конфиденциальности, применимые к любому аудиту в соответствии с Раздел 7.5.2(a) или 7.5.2(b).

(c) Jibe может взимать плату (исходя из разумных затрат Jibe) за любой аудит в соответствии с разделом 7.5.2(a) или 7.5.2(b). Jibe предоставит Компании дополнительную информацию о любой применимой плате и основании его расчет до проведения любого такого аудита. Компания будет нести ответственность за любые сборы, взимаемые любым сторонним аудитором, назначенным Компанией для проведения любого такого аудита.

(d) Jibe может возражать против любого стороннего аудитора, назначенного Компанией для проведения любого аудита в соответствии с разделом 7.5.2(a) или 7.5.2(b), если аудитор, по разумному мнению Jibe, не обладает достаточной квалификацией или независимостью, конкурент Jibe или иным образом явно неподходящий. Любое такое возражение со стороны Jibe потребует от Компании назначить другого аудитора или провести аудит самостоятельно.

(e) Ничто в настоящем Дополнительном соглашении об обработке данных не требует от Jibe раскрытия Компании или ее стороннему аудитору или предоставления Компании или ее стороннему аудитору доступа:

(i) любые данные любого другого клиента Компании Jibe;

(ii) внутреннюю бухгалтерскую или финансовую информацию любой организации Jibe;

(iii) любую коммерческую тайну организации Jibe;

(iv) любую информацию, которая, по разумному мнению Jibe, может: (A) поставить под угрозу безопасность систем или помещений любой организации Jibe; или (Б) привести к тому, что какая-либо организация Jibe нарушит свои обязательства в соответствии с Европейским законодательством о защите данных или свои обязательства по безопасности и/или конфиденциальности перед Компанией или любой третьей стороной; или

(v) любую информацию, к которой Компания или ее сторонний аудитор стремятся получить доступ по любой причине, кроме добросовестного выполнения Компанией обязательств в соответствии с Европейским законодательством о защите данных.

7.5.4. Запрещение изменения стандартных договорных условий. Если Стандартные договорные условия применяются в соответствии с Разделом 10.2 (Передача данных), ничто в настоящем Разделе 7.5 (Проверки и проверки соответствия) не изменяет и не изменяет какие-либо права или обязательства Компании или Jibe в соответствии со Стандартными договорными условиями.

8. Оценка воздействия и консультации

Компания соглашается с тем, что Jibe будет помогать Компании в обеспечении соблюдения любых обязательств Компании в отношении оценки воздействия на защиту данных и предварительных консультаций (принимая во внимание характер обработки и информацию, доступную Jibe), включая (если применимо) обязательства Компании по Статьям 35. и 36 GDPR:

(a) предоставление охранной документации в соответствии с Разделом 7.5.1 (Проверка охранной документации);

(б) предоставление информации, содержащейся в настоящем Дополнении к обработке данных; и

(c) предоставление или иное предоставление доступа в соответствии со стандартной практикой Jibe к другим материалам, касающимся характера Обработочных услуг и обработки Персональных данных Компании (например, материалы справочного центра).

9. Права субъектов данных

9.1 Ответы на запросы субъектов данных. Если Jibe получит запрос от субъекта данных в отношении Персональных данных компании, Jibe обязуется:

(a) если запрос сделан через Инструмент субъекта данных, ответить непосредственно на запрос субъекта данных в соответствии со стандартными функциями этого Инструмента субъекта данных; или

(б) если запрос сделан не через Инструмент субъекта данных, посоветовать субъекту данных отправить запрос Компании, и Компания будет нести ответственность за ответ на такой запрос.

9.2 Помощь Jibe в запросах субъектов данных. Компания соглашается с тем, что Jibe будет помогать Компании в выполнении любых обязательств Компании по реагированию на запросы субъектов данных (принимая во внимание характер обработки Персональных данных Компании и, если применимо, Статью 11 GDPR), включая (если применимо) Обязательство компании реагировать на запросы об осуществлении прав субъекта данных, предусмотренных главой III GDPR, путем:

(a) обеспечение функциональности Процессорных услуг;

(b) соблюдение обязательств, изложенных в Разделе 9.1 (Ответы на запросы субъектов данных); и

(c) если это применимо к Службам обработки данных, предоставление Инструментов субъекта данных.

10. Передача данных

10.1 Средства хранения и обработки данных. Компания соглашается с тем, что Jibe может, в соответствии с разделом 10.2 (Передача данных), хранить и обрабатывать Персональные данные Компании в любой стране, в которой Jibe или любой из ее субобработчиков имеют мощности.

10.2 Передача данных.

Если хранение и/или обработка Персональных данных Компании включает передачу Персональных данных Компании из ЕЭЗ, Швейцарии или Великобритании в любую третью страну, на которую не распространяется решение об адекватности в соответствии с Европейским законодательством о защите данных:

(a) Компания (как экспортер данных) будет считаться заключившей Стандартные договорные условия с Jibe (как импортером данных);

(b) передача будет регулироваться Стандартными договорными условиями; и

(c) ссылки на Google LLC и Клиента в Стандартных договорных условиях относятся к Jibe и Компании соответственно.

10.3 Информация о центре обработки данных. Информацию о местонахождении центров обработки данных Google можно найти по адресу www.google.com/about/datacenters/locations/index.html .

11. Субпроцессоры

11.1 Согласие на привлечение субобработчика. Компания специально разрешает привлекать Аффилированных лиц Jibe в качестве субобработчиков (« Аффилированные лица Jibe »). Кроме того, Компания обычно разрешает привлекать любые другие третьи стороны в качестве субобработчиков (« Сторонние субобработчики »). Если в соответствии с разделом 10.2 (Передача данных) применяются Стандартные договорные условия, вышеуказанные разрешения представляют собой предварительное письменное согласие Компании на передачу Jibe субподряда на обработку Персональных данных Компании.

11.2 Информация о субобработчиках. По письменному запросу Компании Jibe предоставит информацию о субобработчиках и их местонахождении. Любые такие запросы необходимо отправлять в Jibe, используя контактную информацию, указанную в разделе 12.1 (Связь с Jibe).

11.3 Требования к привлечению субобработчиков. При привлечении любого субобработчика Jibe будет:

(a) обеспечить посредством письменного договора, что:

(i) Субобработчик получает доступ и использует Персональные данные Компании только в той степени, в которой это необходимо для выполнения обязательств, переданных ему по субподряду, и делает это в соответствии с Соглашением (включая настоящее Дополнение к обработке данных) и, если применимо, в соответствии с Разделом 10.2 (Передача данных) ), Стандартные договорные условия; и

(ii) если GDPR применяется к обработке Персональных данных Компании, обязательства по защите данных, предусмотренные статьей 28(3) GDPR, возлагаются на Субобработчика; и

(b) нести полную ответственность за все обязательства, переданные субподрядчику, а также за все действия и бездействие Субобработчика.

11.4 Возможность возражать против изменений субобработчика.

(a) Если в течение Срока действия будет привлечен какой-либо новый сторонний субобработчик, Jibe проинформирует Компанию о привлечении (включая название и местонахождение соответствующего субобработчика, а также о деятельности, которую он будет выполнять), отправив электронное письмо на адрес электронной почты для уведомлений по адресу: не менее чем за 30 дней до того, как новый Сторонний субобработчик обработает любые Персональные данные Компании.

(б) Компания может возразить против любого нового Стороннего субобработчика, расторгнув Соглашение немедленно после письменного уведомления Jibe, при условии, что Компания предоставит такое уведомление в течение 90 дней с момента получения информации о привлечении нового Стороннего субобработчика, как описано в Раздел 11.4(а). Это право на прекращение действия является единственным и исключительным средством правовой защиты Компании, если Компания возражает против любого нового Стороннего субобработчика.

12. Обращение к Джибе; Обработка записей

12.1 Как связаться с Jibe. Компания может связаться с Jibe в связи с настоящим Дополнением к соглашению об обработке данных через контактное лицо Jibe по защите данных RCS, с которым можно связаться через http://issuetracker.google.com , или с помощью других средств, которые время от времени могут предоставляться Jibe.

12.2 Записи обработки Jibe. Компания признает, что в соответствии с GDPR Jibe обязана: (a) собирать и вести учет определенной информации, включая имя и контактные данные каждого обработчика и/или контролера, от имени которого действует Jibe, и (если применимо) данных такого обработчика. или местный представитель контролера и сотрудник по защите данных; и (b) предоставить такую ​​информацию любому надзорному органу. Соответственно, если это необходимо и применимо, Компания будет предоставлять такую ​​информацию Jibe через пользовательский интерфейс Обработочных услуг или с помощью других средств, которые могут быть предоставлены Jibe, и будет использовать такой пользовательский интерфейс или другие средства для обеспечения того, чтобы вся предоставленная информация была сохранялась точной и актуальной.

13. Ответственность

13.1. Предел ответственности. Независимо от чего-либо еще в Соглашении, общая ответственность любой из сторон перед другой стороной в соответствии с настоящим Дополнительным соглашением об обработке данных или в связи с ним будет ограничена максимальной денежной или основанной на платежах суммой, которой ограничена ответственность этой стороны в соответствии с Соглашением ( и, следовательно, любое исключение требований о конфиденциальности или возмещении ущерба из ограничения ответственности Соглашения не будет применяться к претензиям по Соглашению, связанным с европейским законодательством о защите данных или неевропейским законодательством о защите данных). Ничто в настоящем Разделе 13 (Ответственность) не исключает и не ограничивает ответственность любой из сторон за: (a) смерть или телесные повреждения, возникшие в результате ее халатности или халатности ее сотрудников или агентов; (б) мошенничество или намеренное введение в заблуждение; или (c) вопросы, ответственность по которым не может быть исключена или ограничена в соответствии с применимым законодательством.

13.2 Ответственность в случае применения Стандартных договорных условий. Если Стандартные договорные условия применяются в соответствии с Разделом 10.2 (Передача данных), то общая совокупная ответственность каждой стороны и ее Аффилированных лиц перед другой стороной и ее Аффилированными лицами в соответствии или в связи с Соглашением и Стандартными договорными условиями в совокупности будет подлежать Раздел 13.1 (Предел ответственности).

14. Сторонние бенефициары

Если Аффилированное лицо стороны является стороной Стандартных договорных условий, которые применяются в соответствии с Разделом 10.2 (Передача данных), то это Аффилированное лицо будет сторонним бенефициаром согласно Разделам 6.2 (Удаление по истечении срока действия), 7.5 (Проверки и проверки соблюдения требований). ), 9.1 (Ответы на запросы субъектов данных), 10.2 (Передача данных), 11.1 (Согласие на привлечение субобработчика) и 13.2 (Ответственность в случае применения стандартных договорных условий). Если настоящий Раздел 14 (Сторонние бенефициары) противоречит или несовместим с каким-либо другим пунктом Соглашения, применяется настоящий Раздел 14 (Сторонние бенефициары).

15. Действие настоящего Дополнительного соглашения об обработке данных

В случае возникновения какого-либо конфликта или несоответствия между Стандартными договорными положениями, Дополнительными условиями неевропейского законодательства о защите данных, настоящим Дополнением к обработке данных и остальной частью Соглашения, применяется следующий порядок приоритета:

(a) Стандартные договорные условия;

(b) Дополнительные условия неевропейского законодательства о защите данных;

(c) оставшуюся часть настоящих Условий обработки данных; и

(d) оставшуюся часть Соглашения.

Если настоящее Соглашение (включая любые Дополнения) переведено на любой другой язык и переведенный текст противоречит или несовместим с английским текстом, английский текст будет иметь преимущественную силу.

С учетом изменений, внесенных в настоящее Дополнительное соглашение об обработке данных, Соглашение остается в полной силе.

16. Изменения в настоящем Дополнении об обработке данных

16.1 Изменения URL-адресов Время от времени Jibe может изменять любой URL-адрес, указанный в настоящем Дополнительном соглашении об обработке данных, и содержимое любого такого URL-адреса, за исключением того, что Jibe может изменять только Стандартные договорные положения в соответствии с разделами 16.2(b) – 16.2(d). ) (Изменения в условиях обработки данных) или для включения любой новой версии стандартных договорных положений, которые могут быть приняты в соответствии с европейским законодательством о защите данных, в каждом случае таким образом, чтобы это было не влияет на обоснованность стандартных договорных положений в соответствии с европейским законодательством о защите данных.

16.2 Изменения в терминах обработки данных. Jibe может изменить это добавление обработки данных, если изменение:

(а) прямо разрешено этим дополнением обработки данных, в том числе, как описано в разделе 16.1 (изменения в URL);

(б) отражает изменение имени или формы юридического лица;

(c) необходим для соблюдения применимого законодательства, применимого регулирования, постановления суда или руководства, выпущенного государственным регулятором или агентством; или

(d) не приводит к деградации общей безопасности услуг процессора; (ii) расширить объем или удаление любых ограничений на, (x) в случае дополнительных терминов для невропейского законодательства о защите данных, права Jibe на использование или иным образом обрабатывать данные в объеме дополнительных терминов для невропейских Законодательство о защите данных или (y) в случае оставшейся части этих терминов обработки данных, обработка личных данных компании, как описано в разделе 5.3 (соответствие инструкциям Jibe); и (iii) в противном случае оказывают существенное неблагоприятное влияние на права Компании в соответствии с этим дополнением обработки данных, как разумно определено Jibe.

16.3 Уведомление об изменениях. Если Jibe намерен изменить это дополнение к обработке данных в соответствии с разделом 16.2 (c) или (d), Jibe сообщит компании не менее 30 дней (или такой более короткий период, который может потребоваться для соблюдения применимого законодательства, применимого правила, судебного постановления или Руководство, выпущенное правительственным регулятором или агентством) до того, как изменение вступит в силу путем: (а) отправки электронной почты по адресу электронной почты уведомления; или (b) предупреждение компании через пользовательский интерфейс для служб процессора. Если компания возражает против какого -либо такого изменения, компания может расторгнуть соглашение, предоставив письменное уведомление Jibe в течение 90 дней с момента того, как их информировали об изменении.

Приложение 1: Предмет и подробности обработки данных

Тема сообщения

Предоставление Jibe о услугах процессоров и любой связанной технической поддержке компании.

Продолжительность обработки

Термин плюс период с истечения срока термина до удаления всех личных данных компании Jibe в соответствии с этим дополнением обработки данных.

Природа и цель обработки

Jibe будет обрабатывать персональные данные компании с целью предоставления услуг процессоров и любой связанной технической поддержки компании в соответствии с этим дополнением к обработке данных (включая, как это применимо к Службам процессоров, и инструкции, описанные в разделе 5.2 (Инструкции компании), сбор , запись, организация, структурирование, хранение, изменение, извлечение, использование, раскрытие, комбинирование, стирание и уничтожение личных данных компании).

Типы личных данных

Персональные данные, относящиеся к лицам, предоставленным для Jibe через услуги по обработке, (или по направлению) компании или конечными пользователями компании.

Категории субъектов данных

Субъекты данных включают лиц, о которых предоставляются данные, предоставляются через службы обработки (или по направлению) компании или конечными пользователями компании.

Приложение 2: Меры безопасности

Как и из даты вступления в силу, JIBE будет реализовать и поддерживать меры безопасности в этом приложении 2. Jibe может время от времени обновлять или изменять такие меры безопасности, при условии, что такие обновления и модификации не приводят к снижению общей безопасности Службы процессора.

1. Центр обработки данных и безопасность сети

(а) Центры обработки данных.

Инфраструктура. Jibe поддерживает географически распределенные центры обработки данных. Jibe хранит все производственные данные в физически безопасных центрах обработки данных.

Избыточность. Инфраструктурные системы были разработаны для устранения отдельных точек отказа и минимизации влияния ожидаемых экологических рисков. Двойные схемы, коммутаторы, сети или другие необходимые устройства помогают обеспечить эту избыточность. Службы процессора предназначены для того, чтобы позволить JIBE выполнять определенные типы профилактического и корректирующего обслуживания без перерыва. Все экологическое оборудование и средства имеют документированные процедуры профилактического обслуживания, в которых подробно описывается процесс и частоту производительности в соответствии с характеристиками производителя или внутренней технической технической технической техники. Профилактическое и корректирующее обслуживание оборудования центра обработки данных запланировано через стандартный процесс в соответствии с задокументированными процедурами.

Власть. Электрические энергосистемы центра обработки данных предназначены для избыточной и поддержания без воздействия на непрерывные операции, 24 часа в сутки и 7 дней в неделю. В большинстве случаев основной, а также альтернативный источник питания, каждый из которых имеет равную емкость, предоставляется для критических компонентов инфраструктуры в центре обработки данных. Мощность резервного копирования обеспечивается различными механизмами, такими как батареи бесперебойного питания (UPS), которые обеспечивают постоянную надежную защиту от электроэнергии во время утилиты, отключений, над напряжением, напряжения и условий частоты выдержки. Если утилита прервана, мощность резервного копирования предназначена для обеспечения временной мощности в центре обработки данных, на полную мощность, в течение 10 минут до тех пор, пока системы дизельных генераторов не вступят во владение. Дизельные генераторы способны автоматически запустить в течение нескольких секунд, чтобы обеспечить достаточную аварийную электрическую мощность для запуска центра обработки данных при полной емкости, как правило, в течение нескольких дней.

Серверные операционные системы. Серверы JIBE используют закаленные операционные системы, которые настроены для уникальных потребностей сервера в бизнесе. Данные сохраняются с использованием проприетарных алгоритмов для повышения безопасности данных и избыточности. Jibe использует процесс проверки кода для повышения безопасности кода, используемого для предоставления услуг процессоров и улучшения продуктов безопасности в производственных средах.

Непрерывность бизнеса. Jibe повторяет данные по нескольким системам, чтобы помочь защитить от случайного разрушения или потери. Jibe разработала и регулярно планирует и проверяет свои программы по планированию непрерывности/аварийного восстановления.

(б) Сети и передача.

Передача данных. Центры обработки данных обычно подключены через высокоскоростные частные ссылки для обеспечения безопасной и быстрой передачи данных между центрами обработки данных. Это предназначено для предотвращения чтения, скопированных, изменений или удаления данных без разрешения во время электронного перевода или транспорта или во время записи на носитель данных. JIBE передает данные через интернет -стандартные протоколы.

Внешняя поверхность атаки. Jibe использует несколько уровней сетевых устройств и обнаружения вторжений для защиты своей внешней поверхности атаки. JIBE рассматривает потенциальные векторы атаки и включает в себя соответствующие целевые технологии во внешние системы.

Обнаружение вторжения. Обнаружение вторжения предназначено для того, чтобы предоставить представление о текущих действиях атаки и предоставления адекватной информации для реагирования на инциденты. Обнаружение вторжения Jibe включает в себя:

1. Плотно контролировать размер и составление поверхности атаки Джибе посредством профилактических мер;

2. Использование интеллектуальных контролей обнаружения в точках ввода данных; и

3. Использование технологий, которые автоматически исправляют определенные опасные ситуации.

Ответ инцидента. Jibe контролирует различные каналы связи для инцидентов безопасности, и сотрудники службы безопасности Jibe быстро отреагируют на известные инциденты.

Технологии шифрования. Jibe предоставляет HTTPS шифрование (также называемое соединением SSL или TLS). Серверы JIBE поддерживают эфемерную эллиптическую кривую диффи Хеллман. Эти методы совершенной прямой секретности (PFS) помогают защитить трафик и минимизировать влияние скомпрометированного ключа или криптографического прорыва.

2. Управление доступом и сайтом

(а) Управление сайтом.

Операция безопасности центра обработки данных на месте. Центры обработки данных Jibe поддерживают операцию безопасности на месте, ответственную за все физические функции безопасности центра обработки данных 24 часа в сутки, 7 дней в неделю. Камеры операции «Операция по безопасности на месте» контролируют камеры с замкнутой цепью (« CCTV ») и все системы сигнализации. Сотрудники безопасности на месте регулярно выполняют внутренние и внешние патрулирования центра обработки данных.

Процедуры доступа к центру обработки данных. Jibe поддерживает формальный добыт для обеспечения физического доступа к центрам обработки данных. Центры обработки данных размещены на объектах, которые требуют доступа к ключевым электронным картам, с сигнализацией, которые связаны с операцией безопасности на месте. Все участники в центре обработки данных обязаны идентифицировать себя, а также демонстрировать подтверждение личности в операциях безопасности на месте. Только уполномоченным сотрудникам, подрядчикам и посетителям разрешено поступать в центры обработки данных. Только уполномоченным сотрудникам и подрядчикам разрешено запросить доступ к электронным ключевым ключам к этим объектам. Центр обработки данных электронной карты должен быть сделан заранее и в письменной форме, и требовать утверждения менеджера запроса и директора центра обработки данных. Все остальные участники, требующие временного доступа к центру обработки данных, должны: (i) заранее получить одобрение от менеджеров центра обработки данных для конкретного центра обработки данных и внутренних областей, которые они хотят посетить; (ii) Войдите в операции по безопасности на месте; и (iii) ссылка на утвержденную запись доступа к центру обработки данных, идентифицирующая отдельное лицо как одобренное.

Устройства безопасности центра обработки данных на месте. Центры обработки данных Jibe используют электронную карту и систему управления биометрическим доступом, которая связана с системной тревогой. Система управления доступом контролирует и записывает электронную карту каждого человека и когда они получают доступ к дверям периметра, доставке и получению, а также в других критических областях. Несанкционированная деятельность и неудачные попытки доступа регистрируются системой управления доступом и исследуются, в зависимости от необходимости. Уполномоченный доступ во всем бизнес -операциях и центрах обработки данных ограничен на основе зон и рабочих обязанностей человека. Пожарные двери в центрах обработки данных встревожены. Камеры видеонаблюдения работают как внутри, так и за пределами центров обработки данных. Позиционирование камер было разработано для охвата стратегических областей, в том числе, среди прочего, по периметру, двери здания центра обработки данных, а также доставку/получение. Персонал по безопасности на месте управляет мониторингом, записи и управлением CCTV. Безопасные кабели во всех центрах обработки данных соединяют оборудование CCTV. Камеры записывают на месте с помощью цифровых видеомагнитографов 24 часа в сутки, 7 дней в неделю. Записи наблюдения хранятся не менее 7 дней в зависимости от деятельности.

(б) Контроль доступа.

Сотрудники безопасности инфраструктуры. Jibe имеет и поддерживает политику безопасности для своего персонала и требует обучения безопасности в рамках учебного пакета для своего персонала. Сотрудники безопасности Jibe по инфраструктуре отвечают за постоянный мониторинг инфраструктуры безопасности Jibe, обзор услуг процессоров и реагирование на инциденты безопасности.

Контроль доступа и управление привилегией. Администраторы и пользователи компании должны аутентифицировать себя через центральную систему аутентификации или через единый знак в системе, чтобы использовать услуги процессора.

Внутренние процессы и политики доступа к данным - Политика доступа. Внутренние процессы и политики доступа к данным Jibe предназначены для предотвращения получения доступа к несанкционированным лицам и/или системам получить доступ к системам, используемым для обработки персональных данных. Jibe стремится разработать свои системы для: (i) только разрешить уполномоченным лицам получить доступ к данным, что им разрешено получить доступ; и (ii) убедитесь, что персональные данные не могут быть прочитаны, копированы, изменены или удалены без разрешения во время обработки, использования и после записи. Системы предназначены для обнаружения любого неуместного доступа. В Jibe используется централизованная система управления доступом для контроля доступа персонала к производственным серверам и предоставляет доступ только к ограниченному количеству уполномоченного персонала. LDAP, Kerberos и проприетарная система, использующая сертификаты SSH, предназначены для предоставления Jibe с безопасным и гибким механизмом доступа. Эти механизмы предназначены для предоставления только утвержденных прав доступа к хостам сайтов, журналам, данных и конфигурации. Jibe требует использования уникальных идентификаторов пользователей, сильных паролей, двух факторной аутентификации и тщательно контролируемых списков доступа, чтобы минимизировать потенциал для несанкционированного использования учетной записи. Предоставление или изменение прав доступа основано на: рабочих обязанностях уполномоченного персонала; требования к работе, необходимые для выполнения уполномоченных задач; и необходимость знать основание. Предоставление или модификация прав доступа также должна соответствовать политике и обучению внутреннего доступа Jibe. Одобрения управляются инструментами рабочих процессов, которые ведут аудиторские записи всех изменений. Доступ к системам регистрируется для создания аудита для ответственности. В тех случаях, когда пароли используются для аутентификации (например, вход в рабочие станции), реализуются политики паролей, которые следуют по крайней мере отраслевой стандартной практике. Эти стандарты включают ограничения на повторное использование пароля и достаточную силу пароля.

3. Данные

(а) Хранение данных, изоляция и аутентификация.

Jibe сохраняет данные в многоязычной среде на серверах, принадлежащих Jibe. Данные, база данных Services Services и архитектура файловой системы реплицируются между несколькими географически диспергированными центрами обработки данных. Смешите логически изоляции данных каждого клиента. Центральная система аутентификации используется во всех службах процессора для повышения единой безопасности данных.

(б) Результаты вывода дисков и руководящих принципов разрушения дисков.

Определенные диски, содержащие данные, могут испытывать проблемы с производительностью, ошибки или сбой аппаратного обеспечения, которые приводят к выводу из эксплуатации (« Вывод из эксплуатации »). Каждый выведенный из эксплуатации диск подлежит ряд процессов уничтожения данных (« Руководство по уничтожению данных »), прежде чем оставлять помещения Jibe или для повторного использования или разрушения. Выводящие из эксплуатации диски стираются в многоэтапном процессе и подтверждаются как минимум двумя независимыми валидаторами. Результаты стирания регистрируются по серийному номеру диска для отслеживания. Наконец, стерский диск выводится в эксплуатацию для инвентаризации для повторного использования и повторного развертывания. Если из -за сбоя аппаратного обеспечения, выведенный из эксплуатации диск не может быть стерт, он надежно хранится до тех пор, пока не может быть уничтожен. Каждое средство регулярно проверяется для мониторинга соответствия руководящим принципам уничтожения данных.

4. Персональная безопасность

Персонал Jibe обязан вести себя в соответствии с руководящими принципами компании, касающимися конфиденциальности, деловой этики, соответствующего использования и профессиональных стандартов. Jibe проводит достаточно соответствующие проверки фонов в той мере, в которой законно допустимы и в соответствии с применимым местным трудовым законодательством и законом.

Персонал обязан выполнить соглашение о конфиденциальности и должен подтвердить получение и соответствие политике конфиденциальности и конфиденциальности JIBE. Персонал обеспечивается обучением безопасности. Компания по обработке персонала Персональные данные необходимы для выполнения дополнительных требований, соответствующих их роли. Персонал Jibe не будет обрабатывать личные данные компании без разрешения

5. Subprocessor Security

Перед адаптацией подпроцессоров Jibe проводит аудит практики безопасности и конфиденциальности подпроцессоров, чтобы обеспечить подпроцессоры обеспечивает уровень безопасности и конфиденциальности, соответствующего их доступу к данным и объему предоставляемых им услуг. После того, как Jibe оценил риски, представленные подпроцессором, тогда подчиняются требованиям в разделе 11.3 (требования к участию подпроцессора), подпроцессор должен вступать в соответствующую безопасность, конфиденциальность и условия контракта на конфиденциальность.

Приложение 3: Дополнительные условия для невропейского законодательства о защите данных

Следующие дополнительные термины для невропейского законодательства о защите данных дополняют эти термины обработки данных:

• Задача поставщика услуг CCPA по адресу privacy.google.com/business/gdprpocessorterms/ccpa (от 27 августа 2020 г.)
• Долд процессора LGPD на конфиденциальности .

СПАСИТЬ ТЕРИЧЕСКИЕ ДАННЫЕ ДАННЫЕ, Версия 2.0

27 августа 2020 г.

Последнее изменение: 02 ноября 2020 г.

JIBE и контрагент, согласившиеся с этим дополнением (« Компания »), заключили соглашение о предоставлении услуг процессора (как время от времени вносится в него поправки в « Соглашение »).

Это дополнение к обработке данных (включая приложения, « Приложение обработки данных ») вводится Jibe и Company и дополняет соглашение. Это дополнение к обработке данных будет эффективно и заменит любые ранее применимые термины, касающиеся их предмета (включая любые условия обработки данных и условия безопасности, связанные с службами процессора), с даты вступления в силу.

Если вы принимаете это дополнение к обработке данных от имени компании, вы гарантируете, что: (a) у вас есть полный юридический орган, чтобы связать компанию с этим добавлением обработки данных; (б) вы прочитали и понимаете это добавление обработки данных; и (c) вы соглашаетесь, от имени компании с этим добавлением обработки данных. Если у вас нет юридических полномочий для привязки компании, пожалуйста, не принимайте это дополнение к обработке данных.

1. Введение

Это дополнение к обработке данных отражает соглашение сторон на условиях, регулирующих обработку и безопасность персональных данных компании в связи с европейским законодательством о защите данных и некоторым невропейским законодательством о защите данных.

2. Определения и интерпретация

2.1 В этом дополнении обработки данных:

« Дополнительный продукт » означает продукт, услугу или приложение, предоставленное JIBE или третьей стороной, которая: (а) не является частью услуг процессора; и (b) доступен для использования в пользовательском интерфейсе служб процессора или иным образом интегрируется с службами процессора.

« Дополнительные условия для невропейского законодательства о защите данных » означают дополнительные условия, упомянутые в Приложении 3, которые отражают соглашение сторон на условиях, регулирующих обработку определенных данных в связи с определенным невропейским законодательством о защите данных.

« Партнер » означает сущность, которая прямо или косвенно контролирует, контролируется или находится под общим контролем с стороной.

« Персональные данные компании » означают личные данные, которые обрабатываются Jibe от имени компании в предоставлении Jibe об услугах процессоров.

« Инцидент с данными » означает нарушение безопасности Jibe, ведущее к случайному или незаконному разрушению, потере, изменению, несанкционированному раскрытию или доступу к персональным данным компании по системам, управляемым или иным образом контролируемым Jibe. «Инциденты данных» не будут включать неудачные попытки или действия, которые не ставят под угрозу безопасность личных данных компании, включая неудачные попытки входа в систему, пинги, сканы портов, отказ в атаках обслуживания и другие сетевые атаки на брандмауэры или сетевые системы.

« Законодательство о защите данных » означает, как применимо: (а) европейское законодательство о защите данных; и/или (b) невропейский законодательство о защите данных.

« Инструмент субъекта данных » означает инструмент (если таковой имеется), предоставленный объектом Jibe для субъектов данных, который позволяет Jibe отвечать напрямую и стандартизированным образом на определенные запросы от субъектов данных в отношении личных данных компании (например, OPT -out Browser Plugin).

« ЭЭА означает европейский экономический район.

« ЕС GDPR » означает «Регулирование» (ЕС) 2016/679 г. Европейского парламента и Совета от 27 апреля 2016 года о защите естественных лиц в отношении обработки личных данных и свободного движения таких данных и отмены директивы 95/46/ЕС.

« Европейское законодательство о защите данных » означает, что применимо: (а) GDPR; и/или (b) Федеральный закон о защите данных от 19 июня 1992 года (Швейцария).

« Европейские или национальные законы » означает, как это применимо: (а) Закон о государстве -члене ЕС или ЕС (если ЕС GDPR применяется к обработке личных данных компании); и/или (b) закон Великобритании или часть Великобритании (если Великобритания GDPR применяется к обработке личных данных компании).

« GDPR » означает, как применимо: (а) ЕС GDPR; и/или (b) Великобритания GDPR.

« Jibe » означает сущность Jibe, которая является стороной соглашения.

« Подпроцессоры филиала Jibe » имеют значение, указанное в разделе 11.1 (согласие на участие подпроцессора).

« Jibe Entity » означает Jibe Mobile Inc, Jibe Mobile Limited или любой другой филиал Jibe Mobile Inc.

« Сертификация ISO 27001 » означает сертификацию ISO/IEC 27001: 2013 или сопоставимая сертификация для служб процессоров.

« Невропейский законодательство о защите данных » означает законы о защите данных или конфиденциальности, действующих за пределами ЕЭЗ, Швейцарии и Великобритании.

« Адрес электронной почты уведомления » означает адрес электронной почты (если есть): (i) предоставленной компанией Jibe или (ii), назначенный компанией, посредством пользовательского интерфейса служб процессора или других средств, предоставленных Jibe, для получения определенных уведомлений от Jibe, связанного с этим дополнением обработки данных. Для ясности, компания несет ответственность за предоставление Jibe с адресом электронной почты уведомлений и сообщать об обновлениях по адресу электронной почты уведомления.

« Службы процессоров » означает услуги по обмену бизнесом RCS (как описано по адресу https://developers.google.com/business-communications/rcs-business-messaging )

« Документация безопасности » означает сертификацию ISO 27001 и любые другие сертификаты безопасности или документацию, которые Jibe может предоставить доступным в связи с службами процессора.

« Меры безопасности » имеют значение, приведенное в разделе 7.1.1 (меры безопасности Jibe).

« Стандартные договорные положения » означают стандартные договорные положения Европейской комиссии по адресу https://privacy.google.com/business/gdprprocessorterms/sccs , которые являются стандартными условиями защиты данных для передачи личных данных в процессоры, установленные в третьих странах, которые не имеют Обеспечить адекватный уровень защиты данных, как описано в статье 46 GDPR ЕС.

« Подпроцессоры » означает, что третьи стороны, уполномоченные в соответствии с этим дополнением к обработке данных, имеют логический доступ и обрабатывают персональные данные компании, чтобы предоставить части служб процессоров и любую связанную техническую поддержку.

« Наблюдательный орган » означает, как это применимо: (а) «надзорная власть», как определено в ЕС GDPR; и/или (b) «комиссар», как определено в Великобритании GDPR.

« Термин » означает период с условий вступления в силу до окончания предоставления Jibe о услугах процессоров в соответствии с соглашением.

« Условия даты вступления в силу » означает дату вступления в силу соглашения.

« Сторонние подпроцессоры » имеют значение, указанное в разделе 11.1 (согласие на участие подпроцессора).

« Великобритания GDPR » означает GDPR ЕС с поправками и включенным в закон Великобритании в соответствии с Законом Европейского Союза Великобритании (снятие средств 2018 года, если он действует.

2.2 Термины « контроллер », « субъект данных », « Персональные данные », « обработка » и « процессор », используемые в этом дополнении обработки данных Экспортер »имеют значения, приведенные в стандартных договорных предложениях.

2.3 Термины « включение », « включить » или любое подобное выражение будут истолкованы как иллюстративные и не будут ограничивать смысл слов, предшествующих этим терминам. Любые примеры в этом дополнении обработки данных являются иллюстративными, а не единственными примерами конкретной концепции.

2.4 Любая ссылка на правовую рамку, закон или другое законодательное действие является ссылкой на него, как с поправками или повторными, время от времени.

2.5 Если эти термины обработки данных переводятся на любой другой язык, и между английским текстом и переведенным текстом существует расхождение, текст английского языка будет регулироваться.

3. Продолжительность этого дополнения обработки данных

Это дополнение к обработке данных вступит в силу на дату вступления в силу терминов и, независимо от того, истек ли термин, останется в силе до тех пор, пока не истечет автоматически, удаление всех персональных данных компании с помощью JIBE, как описано в этом дополнении обработки данных.

4. Применение этого дополнения обработки данных

4.1 Применение европейского законодательства о защите данных . Разделы 5 (обработка данных) к 12 (обращение в Jibe; обработка записей) (включительно) будет применяться только в той степени, в которой европейское законодательство о защите данных применяется к обработке личных данных компании, включая IF:

(а) обработка находится в контексте деятельности создания компании в ЕЭЗ или Великобритании; и/или

(b) Персональные данные компании - это личные данные, связанные с субъектами данных, которые находятся в ЕЭЗ или Великобритании, и обработка связана с предложением им товаров или услуг или мониторингом их поведения в ЕЭЗ или Великобритании.

4.2 Заявление на услуги процессора . Это дополнение к обработке данных будет применяться только к службам процессора, для которых стороны согласились с этим дополнением обработки данных (например: (а) Услуги процессора, на которые компания нажала, чтобы принять это приложение обработки данных; или (b), если соглашение включает Это приложение обработки данных по ссылке, услуги процессора, которые являются предметом соглашения).

4.3 Включение дополнительных терминов для невропейского законодательства о защите данных . Дополнительные термины для невропейского законодательства о защите данных дополняют эти термины обработки данных.

5. Обработка данных

5.1 Роли и Соответствие нормативно -правовым требованиям; Авторизация.

5.1.1 Обязанности процессора и контроллера. Стороны признают и соглашаются, что:

(а) Приложение 1 описывает предмет и подробности обработки персональных данных компании;

(b) Jibe - это процессор персональных данных компании в соответствии с европейским законодательством о защите данных;

(c) Компания является контроллером или процессором, в зависимости от применимости, персональных данных компании в соответствии с европейским законодательством о защите данных; и

(d) Каждая сторона будет выполнять обязательства, применимые к ней в соответствии с европейским законодательством о защите данных в отношении обработки персональных данных компании.

5.1.2 Авторизация сторонним контроллером. Если компания является процессором, компания гарантирует, что инструкции и действия этой компании в отношении личных данных компании, включая его назначение Jibe в качестве другого процессора, были уполномочены соответствующим контролером.

5.2 Инструкции компании. Вступая в это дополнение к обработке данных, компания инструктирует Jibe для обработки персональных данных компании только в соответствии с применимым законодательством: (а) предоставить услуги процессора и любую связанную техническую поддержку; (b) как дополнительно указано за счет использования Компании служб процессоров (в том числе в настройках и других функциональных возможностях услуг процессора) и любой связанной технической поддержки; (c), как задокументировано в форме соглашения, включая это приложение обработки данных; и (d), как дополнительно задокументировано в любых других письменных инструкциях, указанных Компанией и признанными JIBE как составляющие инструкции для целей настоящего приложения обработки данных.

5.3 Соблюдение инструкций Jibe. Jibe будет соблюдать инструкции, описанные в разделе 5.2 (инструкции компании) (в том числе в отношении переводов данных), если только европейские или национальные законы, на которые JIBE подлежит, требует другой обработки личных данных компании с помощью Jibe, и в этом случае Jibe информирует Компанию ( Если какой -либо такой закон не запрещает Ишись делать это по важным основаниям, представляющим общественный интерес).

5.4 Дополнительные продукты . Если Компания использует какой -либо дополнительный продукт, услуги процессора могут позволить этому дополнительному продукту доступ к персональным данным компании, как это требуется для взаимодействия дополнительного продукта с службами процессора. Это дополнение к обработке данных не относится к обработке персональных данных в связи с предоставлением любого дополнительного продукта, используемого компанией, включая личные данные, передаваемые или из этого дополнительного продукта.

6. Удаление данных

6.1 Удаление в течение срока.

6.1.1 Службы процессора с функциональностью удаления. В течение срока, если:

(а) функциональность услуг процессора включает в себя возможность для компании удалить персональные данные компании;

(b) Компания использует услуги процессора для удаления определенных персональных данных компании; и

(c) Удаленные личные данные компании не могут быть восстановлены компанией (например, из «мусора»),

Затем Jibe удалит такую ​​компанию персональные данные из своих систем как можно скорее, если только европейские или национальные законы не требуют хранения.

6.1.2 Службы процессора без функциональности удаления. В течение термина, если функциональность услуг процессоров не включает в себя возможность для компании удалить личные данные компании, то Jibe будет выполнять любой разумный запрос от компании, чтобы облегчить такое удаление, поскольку это возможно с учетом характера и природы Функциональность услуг процессора. Jibe может взимать плату (на основе разумных затрат Jibe) за любые данные об удалении данных в соответствии с настоящим разделом 6.1.2 (услуги процессора без функциональности удаления). Jibe предоставит компании более подробную информацию о любой применимой плате и основе ее расчета, в преддверии любого такого удаления данных.

6.2 Удаление на срок срока действия. По истечении срока, компания инструктирует Jibe удалить все личные данные компании (включая существующие копии) из систем Jibe в соответствии с применимым законодательством. Jibe будет соблюдать это инструкцию как можно скорее, если только европейские или национальные законы не требуют хранения.

7. Безопасность данных

7.1 Меры и помощь в безопасности JIBE.

7.1.1 Меры безопасности Джибе. Jibe будет реализовать и принять технические и организационные меры по защите личных данных компании от случайного или незаконного разрушения, убытков, изменения, несанкционированного раскрытия или доступа, как описано в Приложении 2 (« Меры безопасности »). Jibe может время от времени обновлять или изменять меры безопасности, при условии, что такие обновления и модификации не приводят к снижению общей безопасности служб процессоров.

7.1.2 Соответствие безопасности со стороны Jibe Staff.Jibe обеспечит, чтобы все лица, уполномоченные обрабатывать личные данные компании, взяли на себя обязательства по конфиденциальности или выполняют соответствующее законом обязательство конфиденциальности.

7.1.3 Джибе по безопасности. Компания соглашается с тем, что JIBE поможет компании обеспечить соблюдение любых обязательств компании по безопасности личных данных и нарушений личных данных (с учетом характера обработки личных данных компании и информации, доступной для Jibe), в том числе (если применимо) Обязательства компании в соответствии с статьями 32-34 (включительно) GDPR, by:

(а) реализация и поддержание мер безопасности в соответствии с разделом 7.1.1 (меры безопасности JIBE);

(б) соблюдение условий раздела 7.2 (инциденты данных); и

(c) providing Company with the Security Documentation in accordance with Section 7.5.1 (Reviews of Security Documentation) and the information contained in this Data Processing Addendum.

7.2 Data Incidents.

7.2.1 Incident Notification. If Jibe becomes aware of a Data Incident, Jibe will: (a) notify Company of the Data Incident promptly and without undue delay; and (b) promptly take reasonable steps to minimise harm and secure Company Personal Data.

7.2.2 Details of Data Incident. Notifications made under Section 7.2.1 (Incident Notification) will describe, to the extent possible, details of the Data Incident, including steps taken to mitigate the potential risks and steps Jibe recommends Company take to address the Data Incident.

7.2.3 Delivery of Notification.Jibe will deliver its notification of any Data Incident to the Notification Email Address or, at Jibe's discretion (including if Company has not provided a Notification Email Address), by other direct communication (for example, by phone call or an in-person meeting). Company is solely responsible for providing the Notification Email Address and ensuring that the Notification Email Address is current and valid.

7.2.4 Third-Party Notifications. Company is solely responsible for complying with incident notification laws applicable to Company and fulfilling any third-party notification obligations related to any Data Incident.

7.2.5 No Acknowledgement of Fault by Jibe.Jibe's notification of or response to a Data Incident under this Section 7.2 (Data Incidents) will not be construed as an acknowledgement by Jibe of any fault or liability with respect to the Data Incident.

7.3 Company's Security Responsibilities and Assessment.

7.3.1 Company's Security Responsibilities. Company agrees that, without prejudice to Jibe's obligations under Sections 7.1 (Jibe's Security Measures and Assistance) and 7.2 (Data Incidents):

(a) Company is responsible for its use of the Processor Services, including:

(i) making appropriate use of the Processor Services to ensure a level of security appropriate to the risk to Company Personal Data; и

(ii) securing the account authentication credentials, systems, and devices Company uses to access the Processor Services; и

(b) Jibe has no obligation to protect Company Personal Data that Company elects to store or transfer outside of Jibe's and its Subprocessors' systems.

7.3.2 Company's Security Assessment. Company acknowledges and agrees that (taking into account the state of the art, the costs of implementation and the nature, scope, context, and purposes of the processing of Company Personal Data, as well as the risks to individuals) the Security Measures implemented and maintained by Jibe in Section 7.1.1 (Jibe's Security Measures) provide a level of security appropriate to the risk to Company Personal Data.

7.4 Security Certification. To evaluate and help ensure the continued effectiveness of the Security Measures, Jibe will maintain the ISO 27001 Certification.

7.5 Reviews and Audits of Compliance.

7.5.1 Reviews of Security Documentation. To demonstrate compliance by Jibe with its obligations under this Data Processing Addendum, Jibe will make the Security Documentation available for review by Customer.

7.5.2 Company's Audit Rights.

(a) Jibe will allow Company or a third-party auditor appointed by Company to conduct audits (including inspections) to verify Jibe's compliance with its obligations under this Data Processing Addendum in accordance with Section 7.5.3 (Additional Business Terms for Audits).Jibe will contribute to such audits as described in Section 7.4 (Security Certification) and this Section 7.5 (Reviews and Audits of Compliance).

(b) If the Standard Contractual Clauses apply under Section 10.2 (Transfers of Data), Jibe will allow Company or a third-party auditor appointed by Company to conduct audits as described in the Standard Contractual Clauses in accordance with Section 7.5.3 (Additional Business Terms for Audits).

(c) may also conduct an audit to verify Jibe's compliance with its obligations under this Data Processing Addendum by reviewing the certificate issued for the ISO 27001 Certification (which reflects the outcome of an audit conducted by a third-party auditor).

7.5.3 Additional Business Terms for Audits.

(a) Company will send any request for an audit under Section 7.5.2(a) or 7.5.2(b) to Jibe as described in Section 12.1 (Contacting Jibe).

(b) Following receipt by Jibe of a request under Section 7.5.3(a), Jibe and Company will discuss and agree in advance on the reasonable start date, scope and duration of, and security and confidentiality controls applicable to, any audit under Section 7.5.2(a) or 7.5.2(b).

(c) Jibe may charge a fee (based on Jibe's reasonable costs) for any audit under Section 7.5.2(a) or 7.5.2(b).Jibe will provide Company with further details of any applicable fee, and the basis of its calculation, in advance of any such audit. Company will be responsible for any fees charged by any third-party auditor appointed by Company to execute any such audit.

(d) Jibe may object to any third-party auditor appointed by Company to conduct any audit under Section 7.5.2(a) or 7.5.2(b) if the auditor is, in Jibe's reasonable opinion, not suitably qualified or independent, a competitor of Jibe or otherwise manifestly unsuitable. Any such objection by Jibe will require Company to appoint another auditor or conduct the audit itself.

(e) Nothing in this Data Processing Addendum will require Jibe either to disclose to Company or its third-party auditor, or to allow Company or its third-party auditor to access:

(i) any data of any other customer of a Jibe Entity;

(ii) any Jibe Entity's internal accounting or financial information;

(iii) any trade secret of a Jibe Entity;

(iv) any information that, in Jibe's reasonable opinion, could: (A) compromise the security of any Jibe Entity's systems or premises; or (B) cause any Jibe Entity to breach its obligations under the European Data Protection Legislation or its security and/or privacy obligations to Company or any third party; или

(v) any information that Company or its third-party auditor seeks to access for any reason other than the good faith fulfilment of Company's obligations under the European Data Protection Legislation.

7.5.4 No Modification of Standard Contractual Clauses. If the Standard Contractual Clauses apply under Section 10.2 (Transfers of Data), nothing in this Section 7.5 (Reviews and Audits of Compliance) varies or modifies any rights or obligations of Company or Jibe under the Standard Contractual Clauses.

8. Impact Assessments and Consultations

Company agrees that Jibe will assist Company in ensuring compliance with any obligations of Company regarding data protection impact assessments and prior consultation (taking into account the nature of the processing and the information available to Jibe), including (if applicable) Company's obligations under Articles 35 and 36 of the GDPR, by:

(a) providing the Security Documentation in accordance with Section 7.5.1 (Reviews of Security Documentation);

(b) providing the information contained in this Data Processing Addendum; и

(c) providing or otherwise making available, in accordance with Jibe's standard practices, other materials concerning the nature of the Processor Services and the processing of Company Personal Data (for example, help centre materials).

9. Data Subject Rights

9.1 Responses to Data Subject Requests. If Jibe receives a request from a data subject in relation to Company Personal Data, Jibe will:

(a) if the request is made through a Data Subject Tool, respond directly to the data subject's request in accordance with the standard functionality of that Data Subject Tool; или

(b) if the request is not made through a Data Subject Tool, advise the data subject to submit their request to Company, and Company will be responsible for responding to such request.

9.2 Jibe's Data Subject Request Assistance. Company agrees that Jibe will assist Company in fulfilling any obligation of Company to respond to requests by data subjects (taking into account the nature of the processing of Company Personal Data and, if applicable, Article 11 of the GDPR), including (if applicable) Company's obligation to respond to requests for exercising the data subject's rights in Chapter III of the GDPR, by:

(a) providing the functionality of the Processor Services;

(b) complying with the commitments in Section 9.1 (Responses to Data Subject Requests); и

(c) if applicable to the Processor Services, making available Data Subject Tools.

10. Data Transfers

10.1 Data Storage and Processing Facilities. Company agrees that Jibe may, subject to Section 10.2 (Transfers of Data), store and process Company Personal Data in any country in which Jibe or any of its Subprocessors maintains facilities.

10.2 Transfers of Data.

If the storage and/or processing of Company Personal Data involves transfers of Company Personal Data from the EEA, Switzerland, or the UK to any third country that is not subject to an adequacy decision under the European Data Protection Legislation:

(a) Company (as data exporter) will be deemed to have entered into the Standard Contractual Clauses with Jibe (as data importer);

(b) the transfers will be subject to the Standard Contractual Clauses; и

(c) references to Google LLC and to Customer in the Standard Contractual Clauses will be to Jibe and Company respectively.

10.3 Data Centre Information. Information about the locations of Google data centres is available at www.google.com/about/datacenters/locations/index.html .

11. Subprocessors

11.1 Consent to Subprocessor Engagement. Company specifically authorises the engagement of Jibe's Affiliates as Subprocessors (“ Jibe Affiliate Subprocessors ”). In addition, Company generally authorises the engagement of any other third parties as Subprocessors (“ Third-Party Subprocessors ”). If the Standard Contractual Clauses apply under Section 10.2 (Transfers of Data), the above authorizations constitute Company's prior written consent to the subcontracting by Jibe of the processing of Company Personal Data.

11.2 Information about Subprocessors. At the written request of Company, Jibe will provide information regarding Subprocessors and their locations. Any such requests must be sent to Jibe using the contact details set out in Section 12.1 (Contacting Jibe).

11.3 Requirements for Subprocessor Engagement. When engaging any Subprocessor, Jibe will:

(a) ensure through a written contract that:

(i) the Subprocessor only accesses and uses Company Personal Data to the extent required to perform the obligations subcontracted to it, and does so in accordance with the Agreement (including this Data Processing Addendum) and, if applicable under Section 10.2 (Transfers of Data), the Standard Contractual Clauses; и

(ii) if the GDPR applies to the processing of Company Personal Data, the data protection obligations in Article 28(3) of the GDPR are imposed on the Subprocessor; и

(b) remain fully liable for all obligations subcontracted to, and all acts and omissions of, the Subprocessor.

11.4 Opportunity to Object to Subprocessor Changes.

(a) When any new Third-Party Subprocessor is engaged during the Term, Jibe will inform Company of the engagement (including the name and location of the relevant subprocessor and the activities it will perform) by sending an email to the Notification Email Address at least 30 days before the new Third-Party Subprocessor processes any Company Personal Data.

(b) Company may object to any new Third-Party Subprocessor by terminating the Agreement immediately upon written notice to Jibe, on condition that Company provides such notice within 90 days of being informed of the engagement of the new Third-Party Subprocessor as described in Section 11.4(a). This termination right is Company's sole and exclusive remedy if Company objects to any new Third-Party Subprocessor.

12. Contacting Jibe; Processing Records

12.1 Contacting Jibe. Company may contact Jibe in connection with this Data Processing Addendum via Jibe's RCS data protection contact who can be reached via http://issuetracker.google.com , or through such other means as may be provided by Jibe from time to time.

12.2 Jibe's Processing Records. Company acknowledges that Jibe is required under the GDPR to: (a) collect and maintain records of certain information, including the name and contact details of each processor and/or controller on behalf of which Jibe is acting and (if applicable) of such processor's or controller's local representative and data protection officer; and (b) make such information available to any Supervisory Authority. Accordingly, where requested and applicable, Company will provide such information to Jibe through the user interface of the Processor Services or via such other means as may be provided by Jibe, and will use such user interface or other means to ensure that all information provided is kept accurate and up-to-date.

13. Liability

13.1 Liability Cap. Regardless of anything else in the Agreement, the total liability of either party towards the other party under or in connection with this Data Processing Addendum will be limited to the maximum monetary or payment-based amount at which that party's liability is capped under the Agreement (and therefore any exclusion of confidentiality or indemnification claims from the Agreement's limitation of liability will not apply to claims under the Agreement relating to the European Data Protection Legislation or the Non-European Data Protection Legislation). Nothing in this Section 13 (Liability) will exclude or limit either party's liability for: (a) death or personal injury resulting from its negligence or the negligence of its employees or agents; (b) fraud or fraudulent misrepresentation; or (c) matters for which liability cannot be excluded or limited under applicable law.

13.2 Liability if the Standard Contractual Clauses Apply. If the Standard Contractual Clauses apply under Section 10.2 (Transfers of Data), then the total combined liability of each party and its Affiliates towards the other party and its Affiliates under or in connection with the Agreement and the Standard Contractual Clauses combined will be subject to Section 13.1 (Liability Cap).

14. Third-Party Beneficiaries

If a party's Affiliate is a party to the Standard Contractual Clauses that apply under Section 10.2 (Transfers of Data), then that Affiliate will be a third-party beneficiary of Sections 6.2 (Deletion on Term Expiry), 7.5 (Reviews and Audits of Compliance), 9.1 (Responses to Data Subject Requests), 10.2 (Transfers of Data), 11.1 (Consent to Subprocessor Engagement), and 13.2 (Liability if the Standard Contractual Clauses Apply). To the extent this Section 14 (Third-Party Beneficiaries) conflicts or is inconsistent with any other clause in the Agreement, this Section 14 (Third-Party Beneficiaries) will apply.

15. Effect of this Data Processing Addendum

If there is any conflict or inconsistency between the Standard Contractual Clauses, the Additional Terms for Non-European Data Protection Legislation, this Data Processing Addendum, and the remainder of the Agreement, then the following order of precedence will apply:

(a) the Standard Contractual Clauses;

(b) the Additional Terms for Non-European Data Protection Legislation;

(c) the remainder of these Data Processing Terms; и

(d) the remainder of the Agreement.

If this Agreement (including any Addendum) is translated into any other language, and the translated text conflicts or is inconsistent with the English text, the English text will govern.

Subject to the amendments in this Data Processing Addendum, the Agreement remains in full force and effect.

16. Changes to this Data Processing Addendum

16.1 Changes to URLs From time to time, Jibe may change any URL referenced in this Data Processing Addendum and the content at any such URL, except that Jibe may only change the Standard Contractual Clauses in accordance with Sections 16.2(b) - 16.2(d) (Changes to Data Processing Terms) or to incorporate any new version of the Standard Contractual Clauses that may be adopted under the European Data Protection Legislation, in each case in a manner that does not affect the validity of the Standard Contractual Clauses under the European Data Protection Legislation.

16.2 Changes to Data Processing Terms. Jibe may change this Data Processing Addendum if the change:

(a) is expressly permitted by this Data Processing Addendum, including as described in Section 16.1 (Changes to URLs);

(b) reflects a change in the name or form of a legal entity;

(c) is required to comply with applicable law, applicable regulation, a court order, or guidance issued by a governmental regulator or agency; или

(d) does not (i) result in a degradation of the overall security of the Processor Services; (ii) expand the scope of or remove any restrictions on, (x) in the case of the Additional Terms for Non-European Data Protection Legislation, Jibe's rights to use or otherwise process the data in scope of the Additional Terms for Non-European Data Protection Legislation or (y) in the case of the remainder of these Data Processing Terms, Jibe's processing of Company Personal Data, as described in Section 5.3 (Jibe's Compliance with Instructions); and (iii) otherwise have a material adverse impact on Company's rights under this Data Processing Addendum, as reasonably determined by Jibe.

16.3 Notification of Changes. If Jibe intends to change this Data Processing Addendum under Section 16.2(c) or (d), Jibe will inform Company at least 30 days (or such shorter period as may be required to comply with applicable law, applicable regulation, a court order or guidance issued by a governmental regulator or agency) before the change will take effect by either: (a) sending an email to the Notification Email Address; or (b) alerting Company through the user interface for the Processor Services. If Company objects to any such change, Company may terminate the Agreement by giving written notice to Jibe within 90 days of being informed by Jibe of the change.

Appendix 1: Subject Matter and Details of the Data Processing

Тема сообщения

Jibe's provision of the Processor Services and any related technical support to Company.

Duration of the Processing

The Term plus the period from expiry of the Term until deletion of all Company Personal Data by Jibe in accordance with this Data Processing Addendum.

Nature and Purpose of the Processing

Jibe will process Company Personal Data for the purpose of providing the Processor Services and any related technical support to Company in accordance with this Data Processing Addendum (including, as applicable to the Processor Services and the instructions described in Section 5.2 (Company's Instructions), collecting, recording, organising, structuring, storing, altering, retrieving, using, disclosing, combining, erasing and destroying Company Personal Data).

Types of Personal Data

Personal data relating to individuals provided to Jibe via the Processing Services, by (or at the direction of) Company or by Company end users.

Categories of Data Subjects

Data subjects include the individuals about whom data is provided to Jibe via the Processing Services by (or at the direction of) Company or by Company end users.

Appendix 2: Security Measures

As from the Terms Effective Date, Jibe will implement and maintain the Security Measures in this Appendix 2. Jibe may update or modify such Security Measures from time to time, provided that such updates and modifications do not result in the degradation of the overall security of the Processor Services.

1. Data Centre & Network Security

(a) Data Centres.

Инфраструктура. Jibe maintains geographically distributed data centres. Jibe stores all production data in physically secure data centres.

Redundancy. Infrastructure systems have been designed to eliminate single points of failure and minimise the impact of anticipated environmental risks. Dual circuits, switches, networks or other necessary devices help provide this redundancy. The Processor Services are designed to allow Jibe to perform certain types of preventative and corrective maintenance without interruption. All environmental equipment and facilities have documented preventative maintenance procedures that detail the process for and frequency of performance in accordance with the manufacturer's or internal specifications. Preventative and corrective maintenance of the data centre equipment is scheduled through a standard process according to documented procedures.

Власть. The data centre electrical power systems are designed to be redundant and maintainable without impact to continuous operations, 24 hours a day, and 7 days a week. In most cases, a primary as well as an alternate power source, each with equal capacity, is provided for critical infrastructure components in the data centre. Backup power is provided by various mechanisms such as uninterruptible power supply (UPS) batteries, which supply consistently reliable power protection during utility brownouts, blackouts, over voltage, under voltage, and out-of-tolerance frequency conditions. If utility power is interrupted, backup power is designed to provide transitory power to the data centre, at full capacity, for up to 10 minutes until the diesel generator systems take over. The diesel generators are capable of automatically starting up within seconds to provide enough emergency electrical power to run the data centre at full capacity typically for a period of days.

Server Operating Systems. Jibe servers use hardened operating systems which are customised for the unique server needs of the business. Data is stored using proprietary algorithms to augment data security and redundancy. Jibe employs a code review process to increase the security of the code used to provide the Processor Services and enhance the security products in production environments.

Businesses Continuity. Jibe replicates data over multiple systems to help to protect against accidental destruction or loss. Jibe has designed and regularly plans and tests its business continuity planning/disaster recovery programs.

(b) Networks & Transmission.

Data Transmission. Data centres are typically connected via high-speed private links to provide secure and fast data transfer between data centres. This is designed to prevent data from being read, copied, altered or removed without authorisation during electronic transfer or transport or while being recorded onto data storage media. Jibe transfers data via Internet standard protocols.

External Attack Surface. Jibe employs multiple layers of network devices and intrusion detection to protect its external attack surface. Jibe considers potential attack vectors and incorporates appropriate purpose built technologies into external facing systems.

Intrusion Detection. Intrusion detection is intended to provide insight into ongoing attack activities and provide adequate information to respond to incidents. Jibe's intrusion detection involves:

1. Tightly controlling the size and make-up of Jibe's attack surface through preventative measures;

2. Employing intelligent detection controls at data entry points; и

3. Employing technologies that automatically remedy certain dangerous situations.

Incident Response. Jibe monitors a variety of communication channels for security incidents, and Jibe's security personnel will react promptly to known incidents.

Encryption Technologies. Jibe makes HTTPS encryption (also referred to as SSL or TLS connection) available. Jibe servers support ephemeral elliptic curve Diffie Hellman cryptographic key exchange signed with RSA and ECDSA. These perfect forward secrecy (PFS) methods help protect traffic and minimise the impact of a compromised key, or a cryptographic breakthrough.

2. Access and Site Controls

(a) Site Controls.

On-site Data Centre Security Operation. Jibe's data centres maintain an on-site security operation responsible for all physical data centre security functions 24 hours a day, 7 days a week. The on-site security operation personnel monitor Closed Circuit TV (“ CCTV ”) cameras and all alarm systems. On-site security operation personnel perform internal and external patrols of the data centre regularly.

Data Centre Access Procedures. Jibe maintains formal access procedures for allowing physical access to the data centres. The data centres are housed in facilities that require electronic card key access, with alarms that are linked to the on-site security operation. All entrants to the data centre are required to identify themselves as well as show proof of identity to on-site security operations. Only authorised employees, contractors and visitors are allowed entry to the data centres. Only authorised employees and contractors are permitted to request electronic card key access to these facilities. Data centre electronic card key access requests must be made in advance and in writing, and require the approval of the requestor's manager and the data centre director. All other entrants requiring temporary data centre access must: (i) obtain approval in advance from the data centre managers for the specific data centre and internal areas they wish to visit; (ii) sign in at on-site security operations; and (iii) reference an approved data centre access record identifying the individual as approved.

On-site Data Centre Security Devices. Jibe's data centres employ an electronic card key and biometric access control system that is linked to a system alarm. The access control system monitors and records each individual's electronic card key and when they access perimeter doors, shipping and receiving, and other critical areas. Unauthorised activity and failed access attempts are logged by the access control system and investigated, as appropriate. Authorised access throughout the business operations and data centres is restricted based on zones and the individual's job responsibilities. The fire doors at the data centres are alarmed. CCTV cameras are in operation both inside and outside the data centres. The positioning of the cameras has been designed to cover strategic areas including, among others, the perimeter, doors to the data centre building, and shipping/receiving. On-site security operations personnel manage the CCTV monitoring, recording and control equipment. Secure cables throughout the data centres connect the CCTV equipment. Cameras record on-site via digital video recorders 24 hours a day, 7 days a week. The surveillance records are retained for at least 7 days based on activity.

(b) Access Control.

Infrastructure Security Personnel. Jibe has, and maintains, a security policy for its personnel, and requires security training as part of the training package for its personnel. Jibe's infrastructure security personnel are responsible for the ongoing monitoring of Jibe's security infrastructure, the review of the Processor Services, and responding to security incidents.

Access Control and Privilege Management. Company's administrators and users must authenticate themselves via a central authentication system or via a single sign on system in order to use the Processor Services.

Internal Data Access Processes and Policies – Access Policy. Jibe's internal data access processes and policies are designed to prevent unauthorised persons and/or systems from gaining access to systems used to process personal data. Jibe aims to design its systems to: (i) only allow authorised persons to access data they are authorised to access; and (ii) ensure that personal data cannot be read, copied, altered or removed without authorisation during processing, use and after recording. The systems are designed to detect any inappropriate access. Jibe employs a centralised access management system to control personnel access to production servers, and only provides access to a limited number of authorised personnel. LDAP, Kerberos and a proprietary system utilising SSH certificates are designed to provide Jibe with secure and flexible access mechanisms. These mechanisms are designed to grant only approved access rights to site hosts, logs, data and configuration information. Jibe requires the use of unique user IDs, strong passwords, two factor authentication and carefully monitored access lists to minimise the potential for unauthorised account use. The granting or modification of access rights is based on: the authorised personnel's job responsibilities; job duty requirements necessary to perform authorised tasks; and a need to know basis. The granting or modification of access rights must also be in accordance with Jibe's internal data access policies and training. Approvals are managed by workflow tools that maintain audit records of all changes. Access to systems is logged to create an audit trail for accountability. Where passwords are employed for authentication (eg login to workstations), password policies that follow at least industry standard practices are implemented. These standards include restrictions on password reuse and sufficient password strength.

3. Data

(a) Data Storage, Isolation & Authentication.

Jibe stores data in a multi-tenant environment on Jibe-owned servers. Data, the Processor Services database and file system architecture are replicated between multiple geographically dispersed data centres. Jibe logically isolates each customer's data. A central authentication system is used across all Processor Services to increase uniform security of data.

(b) Decommissioned Disks and Disk Destruction Guidelines.

Certain disks containing data may experience performance issues, errors or hardware failure that lead them to be decommissioned (“ Decommissioned Disk ”). Every Decommissioned Disk is subject to a series of data destruction processes (the “ Data Destruction Guidelines ”) before leaving Jibe's premises either for reuse or destruction. Decommissioned Disks are erased in a multi-step process and verified complete by at least two independent validators. The erase results are logged by the Decommissioned Disk's serial number for tracking. Finally, the erased Decommissioned Disk is released to inventory for reuse and redeployment. If, due to hardware failure, the Decommissioned Disk cannot be erased, it is securely stored until it can be destroyed. Each facility is audited regularly to monitor compliance with the Data Destruction Guidelines.

4. Personnel Security

Jibe personnel are required to conduct themselves in a manner consistent with the company's guidelines regarding confidentiality, business ethics, appropriate usage, and professional standards. Jibe conducts reasonably appropriate backgrounds checks to the extent legally permissible and in accordance with applicable local labor law and statutory regulations.

Personnel are required to execute a confidentiality agreement and must acknowledge receipt of, and compliance with, Jibe's confidentiality and privacy policies. Personnel are provided with security training. Personnel handling Company Personal Data are required to complete additional requirements appropriate to their role. Jibe's personnel will not process Company Personal Data without authorisation

5. Subprocessor Security

Before onboarding Subprocessors, Jibe conducts an audit of the security and privacy practices of Subprocessors to ensure Subprocessors provide a level of security and privacy appropriate to their access to data and the scope of the services they are engaged to provide. Once Jibe has assessed the risks presented by the Subprocessor then, subject always to the requirements in Section 11.3 (Requirements for Subprocessor Engagement), the Subprocessor is required to enter into appropriate security, confidentiality and privacy contract terms.

Appendix 3: Additional Terms for Non-European Data Protection Legislation

The following Additional Terms for Non-European Data Protection Legislation supplement these Data Processing Terms:

• CCPA Service Provider Addendum at privacy.google.com/businesses/gdprprocessorterms/ccpa (dated 27 August 2020)
• LGPD Processor Addendum at privacy.google.com/businesses/gdprprocessorrterms/lgpd (dated 27 August 2020)

Jibe Data Processing Terms, Version 2.0

27 августа 2020 г.