Юридическая информация — Toqen

Дополнение об обработке данных

Настоящее Дополнение об обработке данных регулирует обработку персональных данных компанией Toqen от имени её партнёров в соответствии с GDPR.

TL;DR

  • Toqen действует в качестве обработчика данных от имени своих партнёров.
  • Персональные данные обрабатываются исключительно на основании документированных инструкций и для целей доступа и безопасности.
  • Применяются соответствующие технические и организационные меры.
  • Субобработчики и международная передача данных регулируются гарантиями GDPR.

Роли и область применения

Настоящее Дополнение об обработке данных ("DPA") применяется в случаях, когда Toqen.app обрабатывает персональные данные от имени партнёра, выступающего в роли контролёра данных, в рамках предоставления сервисов Toqen.

Для целей GDPR партнёр является контролёром данных, а Toqen.app выступает в качестве обработчика данных, если иное не согласовано в письменной форме.

Предмет и срок обработки

Предметом обработки являются услуги аутентификации, контроля доступа и связанные с ними меры безопасности, предоставляемые Toqen. Обработка осуществляется в течение срока оказания услуг и в соответствии с документированными инструкциями контролёра данных, за исключением случаев, когда хранение требуется в силу применимого законодательства.

Характер и цели обработки

  • Предоставление сервисов беспарольной аутентификации и проверки доступа.
  • Генерация и проверка временных токенов, сессий и одноразовых кодов.
  • Обеспечение безопасности, предотвращение злоупотреблений и надёжности сервиса.
  • Оказание операционной поддержки, связанной с сервисом.

Категории персональных данных

  • Технические идентификаторы, такие как временные токены, идентификаторы сессий и метаданные запросов.
  • IP-адрес и информация об устройстве или браузере, если они обрабатываются в контексте доступа, безопасности или предотвращения злоупотреблений.
  • Адрес электронной почты или псевдоним, если они предоставлены субъектом данных через конфигурацию партнёра.

Категории субъектов данных

  • Конечные пользователи, получающие доступ к сервисам партнёра.
  • Уполномоченные представители или администраторы партнёра.

Обязанности контролёра данных

Партнёр, выступающий в роли контролёра данных, несёт ответственность за законную, добросовестную и прозрачную обработку персональных данных, включая предоставление надлежащей информации субъектам данных и получение необходимых согласий.

Обязанности обработчика данных

  • Обрабатывать персональные данные исключительно на основании документированных инструкций контролёра данных, за исключением случаев, когда обработка требуется в силу закона.
  • Обеспечивать, чтобы лица, допущенные к обработке персональных данных, были связаны соответствующими обязательствами по конфиденциальности.
  • Реализовывать соответствующие технические и организационные меры для обеспечения уровня безопасности, соразмерного риску.
  • Оказывать контролёру данных содействие, где применимо и в разумных пределах, при обработке запросов субъектов данных.
  • Оказывать контролёру данных содействие в выполнении обязательств, связанных с безопасностью, нарушениями защиты персональных данных и оценками воздействия, с учётом характера обработки.
  • Вести учёт операций по обработке в соответствии со статьёй 30(2) GDPR и сотрудничать с надзорными органами при необходимости.

Меры безопасности

Toqen внедряет соответствующие технические и организационные меры для защиты персональных данных от случайного или незаконного уничтожения, утраты, изменения, несанкционированного раскрытия или доступа. Такие меры включают, при необходимости, шифрование или хэширование, контроль доступа, сетевую безопасность и мониторинг безопасности.

Субобработчики

Контролёр данных уполномочивает Toqen привлекать субобработчиков, необходимых для предоставления сервисов. Актуальный перечень субобработчиков предоставляется в соответствии с настоящим DPA. Toqen остаётся ответственным за деятельность своих субобработчиков в соответствии с GDPR.

Международная передача данных

В случаях передачи персональных данных за пределы Европейского союза или Европейской экономической зоны такие передачи осуществляются при наличии соответствующих гарантий в соответствии со статьями 44–49 GDPR, включая решения об адекватности или стандартные договорные положения.

Нарушение защиты персональных данных

Toqen уведомляет контролёра данных без неоправданной задержки после того, как станет известно о нарушении защиты персональных данных, затрагивающем данные, обрабатываемые в рамках настоящего DPA, и предоставляет разумную информацию для выполнения контролёром данных своих обязанностей по уведомлению.

Удаление или возврат данных

После прекращения оказания услуг Toqen по выбору контролёра данных удаляет или возвращает персональные данные, обработанные от его имени, если иное не требуется в силу применимого законодательства.

Аудит и соблюдение требований

Toqen предоставляет информацию, разумно необходимую для подтверждения соблюдения настоящего DPA, и допускает проведение аудитов контролёром данных или независимым аудитором при условии разумного предварительного уведомления, ограничения объёма и соблюдения обязательств по конфиденциальности.

Применимое право

Настоящее DPA регулируется правом государства — члена ЕС, в котором учреждён контролёр данных, если иное не согласовано в письменной форме.

Контактная информация

По любым вопросам, связанным с настоящим Дополнением об обработке данных, обращайтесь по адресу hi@toqen.app.