Функции Цены Справочник API

Соглашение об обработке данных (DPA)

v1.0 -- Действует с марта 2026

Morlivo стремится обрабатывать персональные данные в соответствии с Общим регламентом по защите данных (ЕС) 2016/679 («GDPR»), GDPR Великобритании и всеми другими применимыми законами о защите данных. Настоящее Соглашение об обработке данных регулирует обработку персональных данных компанией Morlivo («Обработчик») от имени наших клиентов («Контролёр»).

1. Определения

В целях настоящего Соглашения об обработке данных:

  • «Персональные данные» означают любую информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу, как определено в Статье 4(1) GDPR
  • «Обработка» означает любую операцию, выполняемую с персональными данными, включая сбор, хранение, использование, раскрытие или удаление, как определено в Статье 4(2) GDPR
  • «Контролёр» означает клиента, который определяет цели и средства обработки персональных данных
  • «Обработчик» означает Morlivo, который обрабатывает персональные данные от имени Контролёра
  • «Субобработчик» означает любую третью сторону, привлечённую Обработчиком для обработки персональных данных от имени Контролёра
  • «Субъект данных» означает идентифицированное или идентифицируемое физическое лицо, чьи персональные данные обрабатываются

2. Детали обработки

Обработчик обязан обрабатывать персональные данные только на основании документально оформленных инструкций Контролёра, в том числе в отношении передачи персональных данных в третью страну, если только такая обработка не требуется законодательством Союза или государства-члена, действие которого распространяется на Обработчика.

Детали обработки представлены следующим образом:

  • Предмет: предоставление услуг перевода, транскрибирования и обработки языка
  • Срок: на период действия основного соглашения об обслуживании
  • Характер и цель: обработка контента клиента для предоставления переводов, транскрибирования и сопутствующих языковых услуг
  • Категории субъектов данных: конечные пользователи и лица, чьи данные содержатся в контенте клиента
  • Типы персональных данных: имена, контактная информация и любые другие персональные данные, содержащиеся в материалах, представленных для обработки

3. Меры безопасности

Обработчик обязан применять надлежащие технические и организационные меры для обеспечения уровня безопасности, соответствующего степени риска, в соответствии со Статьёй 32 GDPR. Эти меры включают:

  • Шифрование персональных данных в состоянии покоя (AES-256) и при передаче (TLS 1.2+)
  • Способность обеспечивать постоянную конфиденциальность, целостность, доступность и устойчивость систем и сервисов обработки
  • Способность своевременно восстанавливать доступность и доступ к персональным данным в случае физического или технического инцидента
  • Регулярное тестирование, оценка и анализ эффективности технических и организационных мер
  • Псевдонимизация персональных данных, когда это технически осуществимо и целесообразно
  • Строгий контроль доступа на основе принципа минимальных привилегий
  • Комплексное ведение журналов аудита и мониторинг доступа к данным

Обработчик обязан обеспечить, чтобы лица, уполномоченные обрабатывать персональные данные, взяли на себя обязательства по соблюдению конфиденциальности или были связаны соответствующими законодательными обязательствами о конфиденциальности.

4. Субпроцессоры

Контролёр предоставляет общее разрешение Обработчику на привлечение субобработчиков. Обработчик обязан вести актуальный список субобработчиков и предоставлять его Контролёру по запросу. Актуальный список субобработчиков опубликован на нашей странице Политики конфиденциальности.

Обработчик обязан информировать Контролёра о любых предполагаемых изменениях, связанных с добавлением или заменой субобработчиков, предоставив Контролёру разумную возможность возражать против таких изменений. При привлечении субобработчика Обработчик обязан возложить на этого субобработчика, посредством договора, те же обязательства по защите данных, которые предусмотрены настоящим DPA.

Обработчик несёт полную ответственность перед Контролёром за выполнение обязательств любого субобработчика в рамках настоящего DPA.

5. Права субъектов данных

Обработчик обязан содействовать Контролёру в выполнении его обязанности отвечать на запросы субъектов данных, реализующих свои права в соответствии с Главой III GDPR, включая:

  • Право на доступ (Статья 15)
  • Право на исправление (Статья 16)
  • Право на удаление (Статья 17)
  • Право на ограничение обработки (Статья 18)
  • Право на переносимость данных (Статья 20)
  • Право на возражение (Статья 21)

Если Обработчик получает запрос непосредственно от субъекта данных, Обработчик обязан незамедлительно переслать запрос Контролёру и не отвечать субъекту данных напрямую без разрешения Контролёра.

6. Международная передача данных

Обработчик не вправе передавать персональные данные в третью страну или международную организацию без надлежащих гарантий, предусмотренных Главой V GDPR. Утверждённые механизмы передачи включают:

  • Стандартные договорные оговорки (SCC), принятые Европейской комиссией (Имплементационное решение Комиссии (ЕС) 2021/914)
  • Решения о достаточности уровня защиты в соответствии со Статьёй 45 GDPR
  • Обязательные корпоративные правила, утверждённые компетентным надзорным органом

Корпоративные клиенты могут настроить параметры размещения данных для ограничения обработки и хранения персональных данных конкретными географическими регионами (ЕС, США или APAC), минимизируя необходимость трансграничной передачи.

7. Уведомление о нарушении

Обработчик обязан уведомить Контролёра без неоправданной задержки и в любом случае не позднее сорока восьми (48) часов после того, как ему стало известно о нарушении безопасности персональных данных, как определено в Статье 4(12) GDPR.

Уведомление должно включать:

  • Описание характера нарушения персональных данных, включая категории и приблизительное количество затронутых субъектов данных и записей
  • Имя и контактные данные ответственного лица Обработчика по защите данных
  • Описание вероятных последствий нарушения
  • Описание принятых или предлагаемых мер по устранению нарушения, включая меры по смягчению его негативных последствий

8. Аудит и проверки

Обработчик обязан предоставить Контролёру всю информацию, необходимую для демонстрации соблюдения обязательств, предусмотренных Статьёй 28 GDPR. Обработчик обязан допускать и содействовать проведению аудитов, включая проверки, осуществляемые Контролёром или аудитором, уполномоченным Контролёром, при условии разумного предварительного уведомления и соблюдения обязательств о конфиденциальности.

9. Срок действия и удаление данных

Настоящее DPA остаётся в силе в течение срока действия основного соглашения об обслуживании. По окончании соглашения об обслуживании Обработчик обязан, по выбору Контролёра, удалить или вернуть все персональные данные и удалить существующие копии, если иное не требуется законодательством Союза или государства-члена. Обработчик обязан подтвердить в письменной форме выполнение данного обязательства по запросу Контролёра.

Запросить DPA

Чтобы запросить Соглашение об обработке данных, свяжитесь с нашим отделом соответствия. Мы поможем вам оформить DPA, соответствующее требованиям вашей организации по защите данных.

Связаться с отделом соответствия Скачать шаблон DPA