הוראות תוספת לעיבוד נתונים בגיבוי עצמי

נספח עיבוד נתונים בגיבוי עצמי

כיצד לבצע DPA זה

1. DPA זה מורכב משני חלקים: הגוף הראשי של ה-DPA, ותוספות 1, 2, 3, 4 ו-5.
2. DPA זה נחתם מראש מטעם OwnBackup.
3. כדי להשלים DPA זה, הלקוח חייב:
   1. השלם את הקטע שם לקוח וכתובת לקוח בעמוד 2.
   2. השלם את המידע בתיבת החתימה וחתום בעמוד 6.
   3. ודא שהמידע בנספח 3 ("פרטי העיבוד") משקף במדויק את הנושאים וקטגוריות הנתונים שיש לעבד.
   4. שלח את ה-DPA המלא והחתום אל OwnBackup בכתובת privacy@ownbackup.com.

עם קבלת ה-DPA שהושלם בתוקף על ידי OwnBackup בכתובת דוא"ל זו, DPA זה יהפוך לחייב משפטית.
החתימה של DPA זה בעמוד 6 תיחשב כחתימה והסכמה של סעיפי החוזים הסטנדרטיים (כולל הנספחים שלהם) והנספח של בריטניה, שניהם משולבים כאן בהפניה.

כיצד DPA זה חל

• אם ישות הלקוח החותמת על DPA זה היא צד להסכם, DPA זה מהווה תוספת להסכם ומהווה חלק מההסכם. במקרה כזה, ישות OwnBackup שהיא צד להסכם היא צד ל-DPA זה.
• אם ישות הלקוח החותמת על DPA זה ביצעה טופס הזמנה עם OwnBackup או השותף שלו בהתאם להסכם, אך אינה בעצמה צד להסכם, DPA זה מהווה תוספת לטופס הזמנה זה ולטפסי הזמנת חידוש החלים, ול- OwnBackup ישות שהיא צד לטופס הזמנה כזה היא צד ל-DPA זה.
• אם ישות הלקוח החותמת על DPA זה אינה צד לטופס הזמנה או להסכם, DPA זה אינו תקף ואינו מחייב מבחינה משפטית. ישות כזו צריכה לבקש מיישות הלקוח שהיא צד להסכם לבצע DPA זה.
• אם ישות הלקוח החותמת על ה-DPA אינה צד לטופס הזמנה ואף לא הסכם מנוי ראשי ישירות עם OwnBackup, אלא לקוחה בעקיפין דרך מפיץ מורשה של שירותי OwnBackup, DPA זה אינו תקף ואינו מחייב מבחינה משפטית. ישות כזו צריכה ליצור קשר עם המשווק המורשה כדי לדון אם נדרש תיקון להסכם שלה עם אותו מפיץ.
• במקרה של סתירה או אי התאמה בין DPA זה לבין כל הסכם אחר בין הלקוח לבין OwnBackup (כולל, ללא הגבלה, ההסכם או כל תוספת לעיבוד נתונים להסכם), תנאי ה-DPA הזה ישלטו ויגברו.

נספח עיבוד נתונים זה, כולל לוחות הזמנים והנספחים שלו, ("DPA") מהווה חלק מהסכם המנוי הראשי או הסכם כתוב או אלקטרוני אחר בין OwnBackup Inc. ("OwnBackup") לבין ישות הלקוח הנ"ל לרכישת שירותים מקוונים מ- OwnBackup ("ההסכם") לתיעוד הסכמת הצדדים בנוגע לעיבוד נתונים אישיים. אם ישות הלקוח ו-OwnBackup לא התקשרו בהסכם, אזי ה-DPA הזה בטל וללא השפעה משפטית.
ישות הלקוח הנזכרת לעיל מתקשרת ל-DPA זה עבור עצמה, ואם אחד מהשותפים שלה פועל כאחראי על נתונים אישיים, בשם אותם שותפים מורשים. לכל המונחים באותיות רישיות שאינם מוגדרים כאן תהיה המשמעות המפורטת בהסכם.
במהלך מתן שירותי ה-SaaS ללקוח במסגרת ההסכם, OwnBackup עשויה לעבד נתונים אישיים מטעם הלקוח. הצדדים מסכימים לתנאים הבאים ביחס לעיבוד כזה.

הגדרות

• "CCPA" פירושו חוק הפרטיות לצרכן בקליפורניה, Cal. Civ. קוד § 1798.100 et. בהמשך, כפי שתוקן על ידי חוק זכויות הפרטיות של קליפורניה משנת 2020 ויחד עם תקנות יישום כלשהן. "בקר" פירושו הישות הקובעת את המטרות והאמצעים של עיבוד הנתונים האישיים ונחשבת כמתייחסת גם ל"עסק" כהגדרתו ב-CCPA.
• "לקוח" פירושו הישות הנזכרת לעיל והשותפות שלה.
• "חוקים ותקנות להגנת מידע" פירושם כל החוקים והתקנות של האיחוד האירופי והמדינות החברות בו, האזור הכלכלי האירופי והמדינות החברות בו, בריטניה, שוויץ, ארצות הברית, קנדה, ניו זילנד ואוסטרליה, והן. חלוקות משנה פוליטיות בהתאמה, החלות על עיבוד נתונים אישיים. אלה כוללים, בין היתר, את הדברים הבאים, במידה הרלוונטית: ה-GDPR, חוק הגנת מידע בבריטניה, ה-CCPA, חוק הגנת המידע של וירג'יניה ("VCDPA"), חוק הפרטיות של קולורדו ותקנות קשורות ("CPA") "), חוק פרטיות הצרכן של יוטה ("UCPA") וחוק קונטיקט לגבי פרטיות נתונים אישיים וניטור מקוון ("CPDPA"). "נושא מידע" פירושו האדם המזוהה או הניתן לזיהוי שאליו מתייחסים נתונים אישיים וכולל "צרכן" כהגדרתו בחוקים ובתקנות הגנת מידע. "אירופה" פירושה האיחוד האירופי, האזור הכלכלי האירופי, שוויץ ובריטניה.
• הוראות נוספות החלות על העברות של נתונים אישיים מאירופה כלולות בנספח 5. במקרה שנספח 5 יוסר, הלקוח מתחייב כי הוא לא יעבד נתונים אישיים בכפוף לחוקי הגנת הנתונים ולתקנות של אירופה.
• "GDPR" פירושו תקנה (EU) 2016/679 של הפרלמנט האירופי והמועצה מה-27 באפריל 2016 בדבר הגנת אנשים טבעיים בכל הנוגע לעיבוד נתונים אישיים ועל תנועה חופשית של נתונים כאלה, וביטול ההוראה. 95/46/EC (תקנת הגנת מידע כללית).
• "קבוצת OwnBackup" פירושה OwnBackup ושותפיה העוסקים בעיבוד נתונים אישיים.
• "נתונים אישיים" פירושם כל מידע הנוגע ל-(i) אדם טבעי מזוהה או מזוהה, ו-(ii) ישות משפטית מזוהה או ניתנת לזיהוי (כאשר מידע כזה מוגן באופן דומה לנתונים אישיים, מידע אישי או מידע אישי המאפשר זיהוי לפי הנתונים הרלוונטיים חוקי הגנה ותקנות), כאשר עבור כל (i) או (ii), נתונים כאלה הם נתוני לקוחות.
• "שירותי עיבוד נתונים אישיים" פירושם שירותי SaaS המפורטים בנספח 2, שעבורם OwnBackup עשויה לעבד נתונים אישיים.
• "עיבוד" פירושו כל פעולה או קבוצה של פעולות המבוצעות על נתונים אישיים, בין אם באמצעים אוטומטיים ובין אם לא, כגון איסוף, הקלטה, ארגון, מבנה, אחסון, התאמה או שינוי, אחזור, ייעוץ, שימוש, חשיפה באמצעות שידור, הפצה או הגשה אחרת, יישור או שילוב, הגבלה, מחיקה או הרס. "מעבד" פירושו הישות המעבדת נתונים אישיים מטעם הפיקוח, לרבות לפי העניין כל "ספק שירות" כפי שהמונח הזה מוגדר על ידי ה-CCPA.
• "סעיפים חוזיים סטנדרטיים" פירושם הנספח להחלטת היישום של הנציבות האירופית (EU) 2021/914 https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj) מ-4 ביוני 2021 על סעיפים חוזיים סטנדרטיים להעברת נתונים אישיים למעבדים הממוקמים במדינות שלישיות בהתאם לתקנה (EU) 2016/679 של הפרלמנט האירופי ושל מועצת האיחוד האירופי ובכפוף לתיקונים הנדרשים עבור שוויץ המתוארים בהמשך בנספח 5.
• "מעבד משנה" פירושו כל מעבד המועסק על ידי OwnBackup, על ידי חבר בקבוצת OwnBackup או על ידי מעבד משנה אחר.
• "רשות מפקחת" פירושה גוף רגולטורי ממשלתי או ממשלתי בעל סמכות משפטית מחייבת על הלקוח.
• "נספח בריטניה" פירושו הנספח הבינלאומי להעברת נתונים של בריטניה לסעיפי החוזים הסטנדרטיים של נציבות האיחוד האירופי (זמין החל מ-21 במרץ 2022 בכתובת https://ico.org.uk/for-organisations/guideto-data-protection/guide-to -the-general-data-protection-regulation-gdpr/international-data-transferagreement-and-guidance/), הושלם כמתואר בתוספת 5.
• "חוק הגנת מידע בבריטניה" פירושו תקנה 2016/679 של הפרלמנט האירופי והמועצה על הגנת אנשים טבעיים בכל הקשור לעיבוד נתונים אישיים ועל תנועה חופשית של נתונים כאלה כפי שהם חלק מהחוק של אנגליה ווילס, סקוטלנד וצפון אירלנד מכוח סעיף 3 של חוק האיחוד האירופי (נסיגה) 2018, כפי שעשוי להשתנות מעת לעת על ידי החוקים והתקנות להגנת המידע של בריטניה

עיבוד נתונים אישיים

• תְחוּם. הצדדים מסכימים ש-DPA זה יחול אך ורק על עיבוד נתונים אישיים במסגרת שירותי עיבוד הנתונים האישיים.
• תפקידי הצדדים. הצדדים מסכימים כי בכל הנוגע לעיבוד נתונים אישיים, הלקוח הוא המנהל ו- OwnBackup הוא המעבד.
• עיבוד הנתונים האישיים של OwnBackup. OwnBackup תתייחס לנתונים אישיים כמידע סודי ותעבד נתונים אישיים מטעם ורק בהתאם להנחיות המתועדות של הלקוח למטרות הבאות: (i) עיבוד בהתאם להסכם ולהזמנות החלות; (ii) עיבוד שיזמו צוות הלקוח בשימוש שלהם בשירותי SaaS; וכן (iii) עיבוד כדי לציית להנחיות סבירות מתועדות אחרות שסופקו על ידי הלקוח (למשל, באמצעות דואר אלקטרוני) כאשר הוראות כאלה עולות בקנה אחד עם תנאי ההסכם.
• הגבלות עיבוד. OwnBackup לא: (i) "למכור" או "לחלוק" נתונים אישיים, כפי שמונחים אלה מוגדרים בחוקים ובתקנות הגנת מידע; (ii) לשמור, להשתמש, לחשוף או לעבד נתונים אישיים לכל מטרה מסחרית או אחרת מלבד ביצוע שירותי SaaS; או (iii) לשמור, להשתמש או לחשוף נתונים אישיים מחוץ לקשר העסקי הישיר בין הלקוח לבין OwnBackup. OwnBackup תעמוד בהגבלות החלות על פי חוקים ותקנות הגנת מידע על שילוב נתונים אישיים עם נתונים אישיים ש-OwnBackup מקבל מאדם או אנשים אחרים או מטעמם, או ש- OwnBackup אוסף מכל אינטראקציה בינו לבין כל אדם.
• הודעה על הוראות בלתי חוקיות; עיבוד לא מורשה. OwnBackup תודיע מיד ללקוח אם, לדעתה, הוראה של הלקוח מפרה חוק או תקנה להגנת מידע. הלקוח שומר לעצמו את הזכות, לאחר הודעה, לנקוט בצעדים סבירים והולמים כדי לעצור ולתקן שימוש לא מורשה בנתונים אישיים, לרבות שימושים בנתונים אישיים שאינם מורשים ב-DPA זה.
• פרטי העיבוד. הנושא של עיבוד הנתונים האישיים על ידי OwnBackup הוא ביצוע שירותי ה-SaaS בהתאם להסכם. משך העיבוד, אופי ומטרת העיבוד, סוגי הנתונים האישיים וקטגוריות של נושאי נתונים המעובדים במסגרת DPA זה מפורטים עוד בנספח 3 (פרטי העיבוד).
• הערכת השפעה על הגנת מידע. על פי בקשת הלקוח, OwnBackup תסייע באופן סביר ללקוח במילוי חובתו של הלקוח על פי חוקים ותקנות הגנת מידע לבצע הערכת השפעה על הגנת מידע הקשורה לשימוש של הלקוח בשירותי SaaS, ככל שללקוח אין גישה אחרת למידע הרלוונטי. מידע כזה זמין ל- OwnBackup. OwnBackup תסייע באופן סביר ללקוח בשיתוף הפעולה שלו או בהתייעצות מוקדמת שלו עם רשות פיקוח לגבי כל הערכת השפעה כזו להגנה על מידע, במידה הנדרשת על פי חוקים ותקנות הגנת המידע החלים.
• חובות הלקוח לגבי נתונים אישיים. בשימוש שלו בשירותי SaaS, הלקוח יציית לחוקים ולתקנות הגנת המידע, לרבות כל הדרישות הרלוונטיות למתן הודעה ו/או קבלת הסכמה מנושאי נתונים לעיבוד על ידי OwnBackup. הלקוח יוודא שההנחיות שלו לעיבוד נתונים אישיים תואמות לחוקים ולתקנות הגנת מידע.
• הלקוח יהיה האחראי הבלעדי לדיוק, לאיכות ולחוקיות של הנתונים האישיים ולאמצעים שבהם הלקוח רכש נתונים אישיים. הלקוח יבטיח שהשימוש שלו בשירותי ה-SaaS לא יפר את הזכויות של כל נושא נתונים שביטל את הסכמתו למכירה, שיתוף או חשיפה אחרת של נתונים אישיים, במידת האפשר. הלקוח יוודא שנתוני הלקוח אינם מכילים נתונים כלשהם המתאימים לנתוני בריאות אישיים המוגנים על פי סעיף L.1111-8 של קוד בריאות הציבור הצרפתי

בקשות לנתוני לקוחות

• בקשות של נבדקים. OwnBackup תודיע מיידית ללקוח אם OwnBackup יקבל, במידה מותרת על פי חוק, בקשה מנושאי נתונים לממש את זכות הגישה של נשוא הנתונים, זכות התיקון, הזכות להגביל את העיבוד, זכות המחיקה ("הזכות להישכח"). , הזכות לניידות נתונים, הזכות להתנגד לעיבוד, או הזכות לא להיות כפופה לקבלת החלטות אינדיבידואלית אוטומטית, כל בקשה כזו היא "בקשת נשוא הנתונים". בהתחשב באופי העיבוד, OwnBackup תסייע ללקוח באמצעים טכניים וארגוניים מתאימים, ככל שהדבר אפשרי, לצורך מילוי חובת הלקוח להגיב לבקשה של נשוא המידע על פי חוקים ותקנות הגנת מידע. בנוסף, ככל שללקוח, בשימוש שלו בשירותי ה-SaaS, אין את היכולת להתייחס לבקשה של נושא הנתונים, OwnBackup תעשה על פי בקשת הלקוח מאמצים סבירים מבחינה מסחרית כדי לסייע ללקוח להגיב לבקשה כזו של נושא הנתונים, ל- במידה ש- OwnBackup מורשה על פי חוק לעשות זאת והתגובה לבקשה כזו של נושא הנתונים נדרשת על פי חוקים ותקנות הגנת מידע. כאשר סיוע כזה חורג מהיקף שירותי ה-SaaS שנקבעו בחוזה, ובמידה המותרת על פי חוק, הלקוח יהיה אחראי לכל עלויות נוספות הנובעות מהסיוע.
• בקשות מצדדים שלישיים אחרים. אם OwnBackup יקבל בקשה מצד שלישי שאינו נושא נתונים (כולל, ללא הגבלה, סוכנות ממשלתית) לנתוני לקוחות, OwnBackup יפנה את הצד המבקש ללקוח ותודיע מיידית ללקוח על הבקשה. כאשר OwnBackup אינו רשאי על פי חוק להודיע ​​ללקוח על הבקשה, OwnBackup תשיב לצד המבקש רק אם נדרש על פי חוק לעשות זאת ותעשה מאמצים סבירים לעבוד עם הצד המבקש לצמצם את היקף הבקשה לנתוני הלקוח. .

אנשי גיבוי OWNBUP

• סודיות. OwnBackup תוודא שאנשיה העוסקים בעיבוד נתונים אישיים יידעו על האופי הסודי של הנתונים האישיים, קיבלו הכשרה מתאימה לגבי תחומי האחריות שלהם וערכו הסכמי סודיות בכתב. OwnBackup תבטיח כי התחייבויות סודיות כאלה ימשיכו לאחר סיום ההתקשרות עם הצוות.
• מהימנות. OwnBackup תנקוט בצעדים סבירים מבחינה מסחרית כדי להבטיח את המהימנות של כל צוות OwnBackup העוסקים בעיבוד נתונים אישיים.
• הגבלת גישה. OwnBackup תוודא שהגישה של OwnBackup לנתונים אישיים מוגבלת לאותם אנשים הזקוקים לגישה כזו כדי לבצע את שירותי ה-SaaS בהתאם להסכם.
• קצין הגנת מידע. חברי קבוצת OwnBackup ימנו קצין הגנת מידע כאשר מינוי כזה נדרש על פי חוקים ותקנות הגנת המידע. ניתן להגיע לאדם הממונה ב- privacy@ownbackup.com.

מעבדי משנה

• מינוי מעבדי משנה. הלקוח מעניק ל- OwnBackup הרשאה כללית למנות מעבדי משנה של צד שלישי בקשר לשירותי SaaS, בהתאם לנהלים המפורטים
  ב-DPA זה. OwnBackup או שותף של OwnBackup התקשרו בהסכם כתוב עם כל מעבד משנה המכיל התחייבויות הגנת נתונים לא פחות מגנות מאלו המופיעות ב-DPA זה לגבי
  ההגנה על נתוני הלקוח, ככל שיחול על השירותים הניתנים על ידי מעבד המשנה כאמור.
• תת-מעבדים נוכחיים והודעה על תת-מעבדים חדשים. רשימה של מעבדי משנה עבור שירותי SaaS, נכון לתאריך ביצוע ה-DPA הזה, מצורפת בנספח 1. OwnBackup תודיע ללקוח בכתב על כל מעבד משנה חדש לפני שתאשר למעבד המשנה החדש הזה לעבד נתונים אישיים.
• זכות התנגדות למעבדי משנה חדשים. הלקוח רשאי להתנגד לשימוש של OwnBackup במעבד משנה חדש על ידי יידוע OwnBackup בכתב תוך 30 יום לאחר קבלת ההודעה המתוארת בפסקה הקודמת. אם הלקוח מתנגד למעבד משנה חדש כפי שהותר במשפט הקודם, OwnBackup תשתמש במאמצים סבירים מבחינה מסחרית כדי להעמיד לרשות הלקוח שינוי בשירותי SaaS או להמליץ ​​על שינוי בתצורה או השימוש של הלקוח בשירותי SaaS, כדי להימנע מעיבוד של נתונים אישיים על ידי מעבד המשנה החדש שהתנגד לו מבלי להכביד באופן בלתי סביר על הלקוח. אם OwnBackup אינו מסוגל לאפשר שינוי כזה בשירות ה-SaaS, או להמליץ ​​על שינוי כזה בתצורת הלקוח או השימוש בשירותי ה-SaaS המשביע רצון ללקוח, תוך פרק זמן סביר (שבשום מקרה לא יעלה על 30 יום ), הלקוח רשאי לסיים את טופס ההזמנה הרלוונטי על ידי מתן הודעה בכתב ל- OwnBackup. במקרה כזה, OwnBackup תחזיר ללקוח כל עמלה ששולמה מראש המכסה את יתרת התקופה של טפסי הזמנה כאמור לאחר תאריך כניסת הסיום לתוקף, מבלי להטיל על הלקוח קנס בגין סיום כזה.
• אחריות למעבדי משנה. OwnBackup תישא באחריות למעשים ולמחדלים של מעבדי המשנה שלה באותה מידה ש- OwnBackup תהיה אחראית אם תבצע את שירותיו של כל מעבד משנה ישירות לפי תנאי ה-DPA הזה.

בִּטָחוֹן

• בקרות להגנה על נתוני לקוחות. OwnBackup תקיים אמצעים פיזיים, טכניים וארגוניים מתאימים להגנה על האבטחה (כולל הגנה מפני עיבוד בלתי מורשה או בלתי חוקי ומפני הרס, אובדן או שינוי או נזק, חשיפה בלתי מורשית של נתוני הלקוח או גישה אליהם בשוגג או בלתי חוקי, סודיות ו שלמות נתוני הלקוח, לרבות נתונים אישיים, בהתאם לנספח 4 (בקרות אבטחה OwnBackup). OwnBackup לא יקטין באופן מהותי את האבטחה הכוללת של שירותי SaaS במהלך תקופת מנוי.
• דוחות ביקורת והסמכות של צד שלישי. על פי בקשת הלקוח בכתב במרווחי זמן סבירים, ובכפוף לחובות הסודיות בהסכם, OwnBackup תעמיד לרשות הלקוח עותק של דוח הביקורת של צד שלישי האחרון של OwnBackup, SOC 2, וכן של כל דוחות ביקורת ואישורים אחרים. OwnBackup מעמיד לרשות הלקוחות, בתנאי שהלקוח אינו מתחרה של OwnBackup.

ניהול והודעה על אירועי נתוני לקוחות

OwnBackup שומרת על מדיניות ונהלים לניהול אירועי אבטחה ותודיע ללקוח ללא דיחוי לאחר שנודע להרס, אובדן, שינוי, חשיפה בלתי מורשית של או גישה לנתוני הלקוח, כולל נתונים אישיים, שהועברו, מאוחסנים או מעובדים בשוגג או בלתי חוקי על ידי OwnBackup או מעבדי המשנה שלו ש- OwnBackup נודע להם ("אירוע נתוני לקוח"). OwnBackup תעשה מאמצים סבירים לזהות את הגורם לאירוע נתוני לקוח כזה ולנקוט בצעדים כפי ש- OwnBackup ימצא צורך והגיוני כדי לתקן את הגורם לאירוע נתוני לקוח כאמור, במידה והתיקון נמצא בשליטתה הסבירה של OwnBackup. ההתחייבויות כאן לא יחולו על תקריות שנגרמו על ידי הלקוח או אנשיו.

החזרה ומחיקה של נתוני לקוח
OwnBackup תחזיר את נתוני הלקוח ללקוח, ובמידה המותרת על פי החוק החל, תמחק את נתוני הלקוח בהתאם לנהלים ולמסגרות הזמן המפורטות בהסכם.

בְּדִיקָה

לפי בקשת הלקוח, ובכפוף לחובות הסודיות בהסכם, OwnBackup תעמיד לרשות הלקוח (או למבקר הצד השלישי של הלקוח וחתם על הסכם סודיות שמקובל באופן סביר על OwnBackup) מידע הדרוש כדי להוכיח את עמידתה של קבוצת OwnBackup בהתחייבויות המפורטים ב-DPA זה והמחויבויות שלו כמעבד על פי חוקים ותקנות הגנת נתונים בצורה של שאלוני אבטחה סטנדרטיים שהושלמו של OwnBackup, אישורי צד שלישי ודוחות ביקורת (למשל, איסוף המידע הסטנדרטי (SIG) והקונצנזוס של Cloud Security Alliance. שאלונים של יוזמת הערכות (CSA CAIQ), דו"ח SOC 2 ודוחות בדיקות חדירה מסכם) ולגבי מעבדי המשנה שלה, אישורי צד שלישי ודוחות ביקורת שהועמדו לרשותם. לאחר כל הודעה של OwnBackup ללקוח על חשיפה לא מורשית בפועל או חשד סביר של נתונים אישיים, על פי האמונה הסבירה של הלקוח ש- OwnBackup מפר את חובות ההגנה על נתונים אישיים שלה במסגרת DPA זה, או אם ביקורת כזו נדרשת על ידי רשות הפיקוח של הלקוח, הלקוח רשאי ליצור קשר עם OwnBackup כדי לבקש ביקורת על הנהלים הרלוונטיים להגנה על נתונים אישיים. כל ביקורת כזו תתבצע מרחוק, למעט הלקוח ו/או הרשות המפקחת שלו רשאים לבצע ביקורת באתר בשטח של OwnBackup אם נדרש כך על פי החוקים והתקנות להגנת המידע. כל בקשה כזו תתרחש לא יותר מפעם אחת בשנה, למעט במקרה של גישה ממשית או חשד סביר לגישה בלתי מורשית לנתונים אישיים. לפני תחילת ביקורת כלשהי, הלקוח ו-OwnBackup יסכימו הדדית על היקף, עיתוי ומשך הביקורת. בשום מקרה לא תתבצע ביקורת של מעבד משנה, מעבר ל-review של דוחות, אישורים ותיעוד שהוענקו על ידי מעבד המשנה, יתאפשרו ללא הסכמת מעבד המשנה.

שותפים

• מערכת יחסים חוזית. ישות הלקוח החותמת על DPA זה עושה זאת לעצמה, ולפי העניין, בשם ובשם השותפים שלה, ובכך מקימה DPA נפרד בין OwnBackup לבין כל שותף כזה בכפוף להוראות ההסכם, סעיף 10 זה וסעיף 11 למטה. כל שותף כזה מסכים להיות מחויב להתחייבויות על פי DPA זה, ובמידה הרלוונטית, ההסכם. למען הסר ספק, שותפים עצמאיים כאלה אינם ואינם הופכים צדדים להסכם, והם רק צדדים ל-DPA זה. כל גישה ושימוש בשירותי SaaS על ידי שותפים כאלה חייבים לציית להסכם, וכל הפרה של ההסכם על ידי שותף ייחשב כהפרה על ידי הלקוח.
• תִקשׁוֹרֶת. ישות הלקוח החותמת על DPA זה תישאר אחראית לתיאום כל תקשורת עם OwnBackup במסגרת DPA זה ותהיה רשאית לבצע ולקבל כל תקשורת ביחס ל-DPA זה בשם השותפים העצמאיים שלו.
• זכויות של שותפי לקוחות. כאשר שותף עצמאי של לקוח הופך להיות צד ל-DPA זה עם OwnBackup, הוא יהיה זכאי, במידה הנדרשת על פי חוקים ותקנות הגנת המידע החלים, לממש את הזכויות ולחפש תרופות במסגרת ה-DPA הזה, בכפוף לתנאים הבאים:
• למעט כאשר החוקים והתקנות הרלוונטיים להגנה על מידע מחייבים את שותף הלקוח לממש זכות או לבקש סעד כלשהו במסגרת DPA זה כנגד OwnBackup ישירות, הצדדים מסכימים כי
  • אך ורק ישות הלקוח שחתמה על DPA זה תממש כל זכות כזו או תבקש כל סעד כזה בשם הלקוח המסונף, ו-(ii) ישות הלקוח החותמת על DPA זה תממש את כל הזכויות הללו במסגרת ה-DPA הזה לא בנפרד עבור כל שותף בנפרד אלא באופן משולב עבור עצמה ועבור כל השותפים שלה יחד (כפי שפורט, למשלample, בסעיף 10.3.2 להלן).
  • ישות הלקוח החותמת על DPA זה, בעת ביצוע ביקורת מותרת של הנהלים הרלוונטיים להגנה על נתונים אישיים, תנקוט בכל האמצעים הסבירים כדי להגביל כל השפעה על OwnBackup ומעבדי המשנה שלו על ידי שילוב, ככל שניתן באופן סביר, כמה בקשות ביקורת שבוצעו בשמה ובשמה של כל השותפים שלה בביקורת אחת.

הגבלת אחריות

• ככל שמתירים חוקים ותקנות הגנת מידע, החבות של כל צד ושל כל השותפים שלו, ביחד במצטבר, הנובעת או קשורה ל-DPA זה, בין אם בחוזה, בנזיקין או לפי כל תיאוריית אחריות אחרת, היא בכפוף לסעיפים של "מגבלת אחריות", ולסעיפים אחרים כאלה המוציאים או מגבילים אחריות, של ההסכם, וכל התייחסות בסעיפים כאלה לאחריות של צד פירושה החבות המצרפית של אותו צד ושל כל השותפים המסונפים לו.

שינויים במנגנוני ההעברה

• במקרה שבו מנגנון העברה שוטף שעליו מסתמכים הצדדים לצורך הקלת העברות של נתונים אישיים למדינה אחת או יותר שאינן מבטיחות רמה נאותה של הגנה על מידע כמשמעות החוקים והתקנות להגנת המידע, יבוטל, יתוקן , או שהוחלפו הצדדים יפעלו בתום לב כדי להפעיל מנגנון העברה חלופי כזה כדי לאפשר את המשך העיבוד של נתונים אישיים הנחשבים בהסכם. השימוש במנגנון העברה חלופי כאמור יהיה כפוף למילוי של כל צד בכל הדרישות החוקיות לשימוש במנגנון העברה זה.

מורשי החתימה של הצדדים ביצעו הסכם זה כדין, לרבות כל לוחות הזמנים הרלוונטיים, הנספחים והנספחים המשולבים בו

לָקוּחַ 

• חָתוּם:
• שֵׁם:
• כּוֹתֶרֶת:
• תַאֲרִיך:

רשימת לוחות זמנים

• לוח 1: רשימת תת-מעבדים נוכחית
• לוח זמנים 2: שירותי SaaS החלים על עיבוד נתונים אישיים
• לוח 3: פרטי העיבוד
• לוח זמנים 4: בקרות אבטחה של OwnBackup
• לוח 5: הוראות אירופיות

רשימת תת-מעבדים נוכחית

הלקוח יכול לבחור באמזון Web שירותים או Microsoft (Azure) ומיקום העיבוד הרצוי שלה במהלך ההגדרה הראשונית של הלקוח של שירותי SaaS.
חל רק על לקוחות OAwnBackup Archive שבוחרים לפרוס בענן Microsoft (Azure).

שירותי Saas החלים על עיבוד נתונים אישיים

• OwnBackup Enterprise עבור Salesforce
• OwnBackup Unlimited עבור Salesforce
• OwnBackup Governance Plus עבור Salesforce
• OwnBackup Archive
• תביא ניהול מפתח משלך
• זריעת ארגז חול

פרטי העיבוד

ייצואן נתונים

• שם חוקי מלא: שם הלקוח כמפורט לעיל
• כתובת ראשית: כתובת הלקוח כמפורט לעיל
• מַגָע: אם לא צוין אחרת, זה יהיה איש הקשר העיקרי בחשבון הלקוח.
• אימייל ליצירת קשר: אם לא צוין אחרת, זו תהיה כתובת הדוא"ל הראשית ליצירת קשר בחשבון הלקוח.

יבואן נתונים

• שם חוקי מלא: OwnBackup Inc.
• כתובת ראשית: 940 Sylvan Ave, Englewood Cliffs, NJ 07632, ארה"ב
• מַגָע: קצין פרטיות
• אימייל ליצירת קשר: privacy@ownbackup.com

אופי ומטרת העיבוד

• OwnBackup תעבד נתונים אישיים לפי הצורך לביצוע שירותי Saa בהתאם ל
• הסכם והזמנות, ובהתאם להנחיית הלקוח בשימוש שלו בשירותי SaaS.

משך העיבוד

OwnBackup תעבד נתונים אישיים למשך כל תקופת ההסכם, אלא אם הוסכם אחרת בכתב.

הַחזָקָה
OwnBackup ישמור נתונים אישיים בשירותי SaaS למשך ההסכם, אלא אם כן הוסכם אחרת בכתב, בכפוף לתקופת השמירה המרבית המצוינת בתיעוד.

תדירות ההעברה
כפי שנקבע על ידי הלקוח באמצעות השימוש שלו בשירותי SaaS.

העברות למעבדי משנה
לפי הצורך כדי לבצע את שירותי ה-SaaS בהתאם להסכם ולהזמנות, וכפי שמתואר בהמשך בנספח 1.

קטגוריות של נושאי נתונים
הלקוח רשאי לשלוח נתונים אישיים לשירותי ה-SaaS, שהיקף שלהם נקבע ונשלט על ידי הלקוח לפי שיקול דעתו הבלעדי, ואשר עשוי לכלול, אך לא מוגבל לנתונים אישיים הקשורים לקטגוריות הבאות של נושאי מידע:

• לקוחות פוטנציאליים, לקוחות, שותפים עסקיים וספקים של הלקוח (שהם אנשים טבעיים)
• עובדים או אנשי קשר של לקוחות פוטנציאליים, לקוחות, שותפים עסקיים וספקים של הלקוח
• עובדים, סוכנים, יועצים, פרילנסרים של הלקוח (שהם אנשים טבעיים)
• משתמשי הלקוח המורשים על ידי הלקוח להשתמש בשירותי SaaS

סוג הנתונים האישיים
הלקוח רשאי להגיש נתונים אישיים לשירותי SaaS, שהיקףם נקבע ונשלט על ידי הלקוח לפי שיקול דעתו הבלעדי, ואשר עשוי לכלול אך לא מוגבל לקטגוריות הבאות של

נתונים אישיים:

• שם פרטי ושם משפחה
• כּוֹתֶרֶת
• מַצָב
• מַעֲסִיק
• נתוני תעודת זהות
• נתוני חיים מקצועיים
• פרטי יצירת קשר (חברה, אימייל, טלפון, כתובת עסקית פיזית)
• נתוני חיים אישיים
• נתוני לוקליזציה

קטגוריות מיוחדות של נתונים (אם מתאים)
הלקוח רשאי להגיש קטגוריות מיוחדות של נתונים אישיים לשירותי ה-SaaS, אשר היקפם נקבע ונשלט על ידי הלקוח לפי שיקול דעתו הבלעדי, ואשר למען הבהירות יכולים לכלול עיבוד נתונים גנטיים, נתונים ביומטריים למטרות ייחודיות זיהוי אדם טבעי או נתונים הנוגעים לבריאות. ראה את האמצעים בלוח הזמנים 4 כיצד OwnBackup מגן על קטגוריות מיוחדות של נתונים ונתונים אישיים אחרים.

מָבוֹא

1. יישומי OwnBackup תוכנה כשירות (SaaS Services) תוכננו מההתחלה מתוך מחשבה על אבטחה. שירותי ה-SaaS מעוצבים עם מגוון בקרות אבטחה על פני מספר רבדים כדי לתת מענה למגוון סיכוני אבטחה. בקרות אבטחה אלו כפופות לשינויים; עם זאת, כל שינוי ישמור או ישפר את מצב האבטחה הכולל.
2. תיאורי הפקדים שלהלן חלים על הטמעות של שירות SaaS ב-Amazon Web פלטפורמות שירותים (AWS) ו-Microsoft Azure (Azure) (המכונה ביחד ספקי שירותי הענן שלנו, או CSPs), למעט כפי שצוין בסעיף ההצפנה שלהלן. תיאורים אלה של פקדים אינם חלים על תוכנת RevCult למעט כפי שצוין תחת "פיתוח תוכנה מאובטח" להלן.

Web בקרות אבטחת יישומים

• גישת הלקוח לשירותי SaaS היא רק באמצעות HTTPS (+TLS1.2), ומבססת את ההצפנה של הנתונים במעבר בין משתמש הקצה לאפליקציה ובין OwnBackup למקור הנתונים של צד שלישי (למשל, Salesforce).
• מנהלי SaaS Service של הלקוח יכולים לספק ולבטל את האספקה ​​של משתמשי SaaS Service וגישה משויכת לפי הצורך.
• שירותי SaaS מספקים בקרות גישה מבוססות תפקידים כדי לאפשר ללקוחות לנהל הרשאות ריבוי ארגונים.
• מנהלי SaaS Service של הלקוח יכולים לגשת למסלולי ביקורת כולל שם משתמש, פעולה, זמןamp, ושדות כתובת IP מקור. יומני ביקורת יכולים להיות viewעורך ומיוצא על ידי מנהל SaaS Service של הלקוח המחובר לשירותי SaaS וכן דרך ממשק ה-API של שירותי SaaS.
• ניתן להגביל את הגישה לשירותי SaaS על ידי כתובת IP מקור.
• שירותי SaaS מאפשרים ללקוחות לאפשר אימות רב-גורמי לגישה לחשבונות SaaS Service תוך שימוש בסיסמאות חד פעמיות מבוססות זמן.
• שירותי SaaS מאפשרים ללקוחות לאפשר כניסה יחידה באמצעות ספקי זהות SAML 2.0.
• שירותי SaaS מאפשרים ללקוחות להפעיל מדיניות סיסמאות הניתנת להתאמה אישית כדי לעזור ליישר סיסמאות של שירות SaaS למדיניות הארגונית.

הצפנה

• OwnBackup מציע את האפשרויות הבאות של שירות SaaS להצפנת נתונים במצב מנוחה:
  • היצע סטנדרטי.
    • הנתונים מוצפנים באמצעות הצפנת AES-256 בצד השרת באמצעות מערכת ניהול מפתחות מאומתת לפי FIPS 140-2.
    • הצפנת מעטפה מנוצלת כך שהמפתח הראשי לא יוצא ממודול אבטחת החומרה (HSM).
    • מפתחות הצפנה מסובבים לא פחות משנתיים.
  • אפשרות ניהול מפתח מתקדם (AKM).
    • הנתונים מוצפנים במיכל ייעודי לאחסון אובייקטים עם מפתח הצפנה ראשי (CMK) שסופק על ידי הלקוח.
    • AKM מאפשר אחסון עתידי של המפתח וסיבובו עם מפתח הצפנה ראשי אחר.
    • הלקוח יכול לבטל מפתחות הצפנה ראשיים, וכתוצאה מכך חוסר נגישות מיידי של הנתונים.
  • אפשרות להביא את מערכת ניהול המפתחות שלך (KMS) (זמינה ב-AWS בלבד).
    • מפתחות הצפנה נוצרים בחשבון הלקוח שלו, שנרכש בנפרד, תוך שימוש ב-AWS KMS.
    • הלקוח מגדיר את מדיניות מפתח ההצפנה המאפשרת לחשבון SaaS Service של הלקוח ב-AWS לגשת למפתח מה-AWS KMS של הלקוח עצמו.
    • הנתונים מוצפנים במיכל ייעודי לאחסון אובייקטים המנוהל על ידי OwnBackup, ומוגדר לשימוש במפתח ההצפנה של הלקוח.
    • הלקוח רשאי לבטל גישה מיידית לנתונים המוצפנים על ידי ביטול הגישה של OwnBackup למפתח ההצפנה, ללא אינטראקציה עם OwnBackup.
    • לעובדי OwnBackup אין גישה למפתחות ההצפנה בכל עת ואינם ניגשים ישירות ל-KMS.
    • כל פעילויות השימוש במפתח נרשמות ב-KMS של הלקוח, כולל שליפת מפתחות על ידי אחסון האובייקטים הייעודי.
• הצפנה במעבר בין שירותי SaaS ומקור הנתונים של צד שלישי (למשל, Salesforce) משתמשת ב-HTTPS עם TLS 1.2+ ו-OAuth 2.0.

רֶשֶׁת

• שירותי SaaS משתמשים בבקרות רשת CSP כדי להגביל כניסה ויציאה מרשת.
• קבוצות אבטחה ממלכתיות מועסקות כדי להגביל כניסה ויציאה לרשת לנקודות קצה מורשות.
• שירותי ה-SaaS משתמשים בארכיטקטורת רשת מרובת שכבות, כולל מספר רב של עננים פרטיים וירטואליים של Amazon (VPCs) מופרדים באופן הגיוני או Azure Virtual Networks (VNets), תוך מינוף פרטי, DMZs ואזורים לא מהימנים בתוך תשתית ה-CSP.
• ב-AWS, נעשה שימוש בהגבלות של VPC S3 Endpoint בכל אזור כדי לאפשר גישה רק מה-VPCs המורשים.

ניטור וביקורת

• המערכות והרשתות של שירות SaaS מנוטרות לאיתור תקריות אבטחה, תקינות המערכת, חריגות ברשת וזמינות.
• שירותי SaaS משתמשים במערכת זיהוי חדירה (IDS) כדי לנטר את פעילות הרשת ולהתריע על OwnBackup על התנהגות חשודה.
• השימוש בשירותי SaaS web חומות אש של יישומים (WAFs) לכל הציבור web שירותים.
• OwnBackup רושם אירועי יישומים, רשת, משתמשים ומערכת הפעלה לשרת syslog מקומי ול-SIEM ספציפי לאזור. יומנים אלו מנותחים אוטומטית וחוזריםviewed עבור פעילות חשודה ואיומים. כל חריגות מוסלמות בהתאם לצורך.
• OwnBackup משתמש במערכות מידע אבטחה וניהול אירועים (SIEM) המספקות ניתוח אבטחה רציף של הרשתות וסביבת האבטחה של שירותי SaaS, התרעות על חריגות משתמשים, סיור התקפות פיקוד ובקרה (C&C), זיהוי אוטומטי של איומים ודיווח על אינדיקטורים של פשרה (IOC). ). כל היכולות הללו מנוהלות על ידי צוות האבטחה והתפעול של OwnBackup.
• צוות התגובה לאירועים של OwnBackup עוקב אחר הכינוי security@ownbackup.com ומגיב בהתאם לתוכנית התגובה לאירועים (IRP) של החברה כאשר הדבר מתאים.

בידוד בין חשבונות

• שירותי SaaS משתמשים בארגז חול של Linux כדי לבודד את נתוני חשבונות הלקוחות במהלך העיבוד. זה עוזר להבטיח שכל חריגה (למשלample, עקב בעיית אבטחה או באג בתוכנה) נשאר מוגבל לחשבון OwnBackup יחיד.
• הגישה לנתוני דיירים נשלטת באמצעות משתמשי IAM ייחודיים עם נתונים tagging שמונע ממשתמשים לא מורשים לגשת לנתוני הדיירים.

התאוששות מאסון

• OwnBackup משתמש באחסון אובייקטים של CSP כדי לאחסן נתוני לקוחות מוצפנים על פני מספר אזורי זמינות.
• עבור נתוני לקוחות המאוחסנים באחסון אובייקטים, OwnBackup משתמש בניהול גרסאות של אובייקטים עם הזדקנות אוטומטית כדי לתמוך בעמידה במדיניות השחזור והגיבוי מאסון של OwnBackup. עבור אובייקטים אלה, המערכות של OwnBackup מתוכננות לתמוך ביעד נקודת התאוששות (RPO) של 0 שעות (כלומר, היכולת לשחזר לכל גרסה של כל אובייקט כפי שהיה קיים בתקופה של 14 הימים הקודמים).
• כל שחזור נדרש של מופע מחשוב מתבצע על ידי בנייה מחדש של המופע בהתבסס על האוטומציה של ניהול התצורה של OwnBackup.
• תוכנית ההתאוששות מאסון של OwnBackup נועדה לתמוך ביעד זמן התאוששות של 4 שעות (RTO).

ניהול פגיעות

• OwnBackup מבצע תקופתי web הערכות פגיעות יישומים, ניתוח קוד סטטי והערכות דינמיות חיצוניות כחלק מתוכנית הניטור הרציף שלה כדי להבטיח שבקרות אבטחת יישומים מיושמות כהלכה ופועלות ביעילות.
• על בסיס חצי שנתי, OwnBackup שוכרת בודקי חדירה עצמאיים של צד שלישי לביצוע הן ברשת והן web הערכות פגיעות. היקף הביקורות החיצוניות הללו כולל ציות ל- Open Web פרויקט אבטחת יישומים (OWASP) 10 המובילים Web פגיעויות (www.owasp.org).
• תוצאות הערכת הפגיעות משולבות במחזור החיים של פיתוח תוכנה OwnBackup (SDLC) כדי לתקן פגיעויות שזוהו. פרצות ספציפיות מקבלות עדיפות ומוכנסות למערכת הכרטיסים הפנימית של OwnBackup לצורך מעקב דרך פתרון.

תגובה לאירוע

במקרה של פרצת אבטחה אפשרית, צוות התגובה לאירועים של OwnBackup יבצע הערכת המצב ויפתח אסטרטגיות הפחתה מתאימות. אם תאושר הפרה פוטנציאלית, OwnBackup תפעל מיידית לצמצום ההפרה ולשימור ראיות משפטיות, ותודיע לנקודות הקשר העיקריות של הלקוחות המושפעים ללא דיחוי מיותר כדי לתדרך אותם על המצב ולספק עדכוני סטטוס פתרון.

פיתוח תוכנה מאובטח

OwnBackup מפעילה שיטות פיתוח מאובטחות עבור יישומי תוכנה OwnBackup ו-RevCult לאורך כל מחזור החיים של פיתוח התוכנה. פרקטיקות אלה כוללות ניתוח קוד סטטי, אבטחה של Salesforceview עבור יישומי RevCult ועבור יישומי OwnBackup המותקנים במופעי Salesforce של לקוחות, עמיתיםview של שינויי קוד, הגבלת גישה למאגר קוד המקור בהתבסס על העיקרון של מינימום הרשאות, ורישום גישה למאגר קוד מקור ושינויים.

צוות אבטחה ייעודי

ל- OwnBackup צוות אבטחה ייעודי עם למעלה מ-100 שנות ניסיון משולב באבטחת מידע רב-פנים. בנוסף, חברי הצוות מקיימים מספר הסמכות מוכרות בתעשייה, כולל אך לא רק CISM, CISSP ו-ISO 27001 מבקרים מובילים.

פרטיות והגנה על נתונים
OwnBackup מספקת תמיכה מקורית לבקשות גישה של נושא נתונים, כגון הזכות למחיקה (הזכות להישכח) ואנונימיזציה, כדי לתמוך בעמידה בתקנות פרטיות הנתונים, לרבות תקנת הגנת המידע הכללית (GDPR), חוק הניידות והאחריות של ביטוח בריאות. (HIPAA), וחוק פרטיות הצרכן של קליפורניה (CCPA). OwnBackup מספקת גם נספח לעיבוד נתונים כדי לטפל בחוקי הפרטיות והגנת נתונים, כולל דרישות משפטיות להעברות נתונים בינלאומיות.

בדיקות רקע

OwnBackup מבצעת פאנל של בדיקות רקע, לרבות בדיקות רקע פליליות, של אנשיה שעשויים לקבל גישה לנתוני הלקוחות, בהתבסס על סמכויות מגוריו של העובד במהלך שבע השנים הקודמות, בכפוף לחוק החל.

ביטוח

OwnBackup מקיימת, לכל הפחות, את הכיסויים הביטוחיים הבאים: (א) ביטוח פיצויי עובדים בהתאם לכל הדין החל; (ב) ביטוח אחריות לרכב לכלי רכב שאינם בבעלותם ושכירים, עם הגבלה בודדת משולבת של $1,000,000; (ג) ביטוח אחריות כללית מסחרית (אחריות ציבורית) עם כיסוי מגבלה יחיד של $1,000,000 לכל אירוע וכיסוי כללי מצטבר של $2,000,000; (ד) ביטוח טעויות והשמטות (שיפוי מקצועי) עם מגבלה של $20,000,000 לאירוע ומצטבר של $20,000,000, כולל שכבות ראשוניות ושכבות עודפות, לרבות אחריות סייבר, טכנולוגיה ושירותים מקצועיים, מוצרים טכנולוגיים, אבטחת נתונים ורשתות, תגובה להפרה, רגולציה הגנה ועונשים, סחיטת סייבר והתחייבויות לשחזור נתונים; וכן (ה) ביטוח חוסר יושר/פשע של עובדים עם כיסוי של $5,000,000. OwnBackup תספק ללקוח ראיות לביטוח כזה לפי בקשה.

הוראות אירופיות

לוח זמנים זה יחול רק על העברות של נתונים אישיים (כולל העברות הלאה) מאירופה, שבהיעדר יישום של הוראות אלה, יגרמו ללקוח או ל- OwnBackup להפר את החוקים והתקנות להגנת המידע החלים.

מנגנון העברה להעברת נתונים.
הסעיפים החוזיים הסטנדרטיים חלים על כל העברות של נתונים אישיים במסגרת DPA זה מאירופה למדינות שאינן מבטיחות רמה נאותה של הגנה על מידע במשמעות החוקים והתקנות להגנת המידע של טריטוריות כאלה, ככל שהעברות כאלה כפופות חוקים ותקנות הגנת מידע כאמור. OwnBackup נכנסת לסעיפים החוזיים הסטנדרטיים כייבוא ​​נתונים. התנאים הנוספים בתוספת זו חלים גם על העברות נתונים כאלה.

העברות בכפוף לסעיפים החוזיים הסטנדרטיים.

• לקוחות המכוסים על ידי הסעיפים החוזיים הסטנדרטיים. הסעיפים החוזיים הסטנדרטיים והתנאים הנוספים המפורטים בתוספת זו חלים על (i) הלקוח, ככל שהלקוח כפוף לחוקי הגנת הנתונים ולתקנות של אירופה, ו- (ii) השותפים המורשים שלו. לצורך הסעיפים החוזיים האחידים ובתוספת זו, ישויות כאלה הן "יצואניות נתונים".
• מודולים. הצדדים מסכימים שכאשר ניתן להחיל מודולים אופציונליים במסגרת הסעיפים החוזים הסטנדרטיים, יחולו רק אלה המסומנים "מודול שני: העברת בקר למעבד".
• הוראות. ההוראות המתוארות בסעיף 2 לעיל נחשבות להוראות של הלקוח לעבד נתונים אישיים למטרות סעיף 8.1 בסעיפים החוזים הסטנדרטיים.
• מינוי תת-מעבדים חדשים ורשימת תת-מעבדים נוכחיים. בהתאם לאופציה 2 לסעיף 9(א) בסעיפים החוזיים הסטנדרטיים, הלקוח מסכים ש-OwnBackup רשאית להעסיק מעבדי משנה חדשים כמתואר בסעיפים 5.1, 5.ב ו-5.c לעיל וכי השותפים העצמאיים של OwnBackup עשויים להישמר כתת-מעבדים חדשים. -מעבדים, והשותפים העצמאיים של OwnBackup ו-OwnBackup עשויים להעסיק מעבדי משנה של צד שלישי בקשר עם אספקת שירותי עיבוד הנתונים. הרשימה הנוכחית של מעבדי המשנה כפי שמצורפת כנספח 1.
• הסכמי מעבד משנה. הצדדים מסכימים שהעברת נתונים למעבדי משנה עשויה להסתמך על מנגנון העברה אחר מלבד הסעיפים החוזיים הסטנדרטיים (למשלample, כללים תאגידיים מחייבים), וכי ההסכמים של OwnBackup עם מעבדי משנה כאלה אינם רשאים לכלול או לשקף את הסעיפים החוזיים הסטנדרטיים, על אף כל דבר אחר בסעיף 9(ב) של סעיפי החוזה האחיד. עם זאת, כל הסכם שכזה עם מעבד משנה יכיל התחייבויות הגנת מידע לא פחות מגנות מאלו המופיעות ב-DPA זה בנוגע להגנה על נתוני לקוחות, ככל שיחול על השירותים הניתנים על ידי מעבד משנה זה. עותקים של הסכמי מעבד המשנה שחייבים להיות מסופקים על ידי OwnBackup ללקוח בהתאם לסעיף 9(ג) בסעיפים החוזיים הסטנדרטיים יסופקו על ידי OwnBackup רק על פי בקשה בכתב של הלקוח וייתכן שיהיו לו כל המידע המסחרי, או סעיפים שאינם קשורים ל הסעיפים החוזיים הסטנדרטיים או המקבילים להם, הוסרו על ידי OwnBackup מראש.
• ביקורות והסמכות. הצדדים מסכימים כי הביקורות המתוארות בסעיף 8.9 וסעיף 13(ב) לסעיפים החוזיים האחידים יבוצעו בהתאם לסעיף 9 לעיל.
• מחיקת נתונים. הצדדים מסכימים כי המחיקה או החזרה של נתונים הנדונים בסעיף 8.5 או בסעיף 16(ד) של סעיפי החוזה האחידים ייעשו בהתאם לסעיף 8 לעיל וכל אישור מחיקה יסופק על ידי OwnBackup רק לפי בקשת הלקוח.
• מוטבים של צד שלישי. הצדדים מסכימים כי בהתבסס על אופי שירותי ה-SaaS, הלקוח יספק את כל הסיוע הנדרש על מנת לאפשר ל-OwnBackup לעמוד בהתחייבויותיו כלפי נושאי מידע לפי סעיף 3 בסעיפים החוזים הסטנדרטיים.
• הערכת השפעה. בהתאם לסעיף 14 בסעיפים החוזיים האחידים, הצדדים ערכו ניתוח, בהקשר של הנסיבות הספציפיות של ההעברה, של החוקים והנהלים של מדינת היעד, כמו גם השלמות החוזיות, הארגוניות והטכניות הספציפיות. אמצעי הגנה החלים, ובהתבסס על מידע שידוע להם באופן סביר באותה עת, קבעו כי החוקים והנהלים של מדינת היעד אינם מונעים מהצדדים למלא את התחייבויותיו של כל צד על פי סעיפי החוזים האחידים.
• חוק ופורום חלים. הצדדים מסכימים, ביחס לאופציה 2 לסעיף 17, שבמקרה שהמדינה החברות באיחוד האירופי שבה פועל יצואן הנתונים אינה מאפשרת זכויות מוטבים של צד שלישי, הסעיפים החוזיים הסטנדרטיים יהיו כפופים לחוק של אירלנד. בהתאם לסעיף 18, מחלוקות הקשורות לסעיפים החוזיים הסטנדרטיים ייפתרו על ידי בתי המשפט המפורטים בהסכם, אלא אם כן בית משפט זה אינו ממוקם במדינה חברה באיחוד האירופי, ובמקרה זה הפורום למחלוקות מסוג זה יהיו בתי המשפט של אירלנד. .
• נספחים. למטרות ביצוע הסעיפים החוזיים הסטנדרטיים, נספח 3: פרטי העיבוד ישולבו כנספח IA ו-IB, נספח 4: בקרות אבטחה OwnBackup (אשר עשויות להתעדכן מעת לעת ב- https://www.ownbackup.com/trust/) ישולבו כנספח II, ותוספת 1: רשימת מעבדי משנה נוכחית (כפי שעשוי להתעדכן מעת לעת ב- https://www.ownbackup.com/legal/sub-p/) ישולבו כנספח III.
• פרשנות. התנאים של תוספת זו נועדו להבהיר ולא לשנות את הסעיפים החוזיים הסטנדרטיים. במקרה של סתירה או חוסר התאמה בין גוף תוספת זו לבין הסעיפים החוזיים הסטנדרטיים, הסעיפים החוזים הסטנדרטיים יגברו.

הוראות החלות על העברות משוויץ

הצדדים מסכימים כי למטרות תחולת הסעיפים החוזיים האחידים כדי להקל על העברות של נתונים אישיים משוויץ יחולו ההוראות הנוספות הבאות: (i) כל הפניות לתקנה (EU) 2016/679 יפורש כהתייחסות להוראות המתאימות של החוק הפדרלי של שוויץ להגנה על מידע וחוקי הגנת מידע אחרים של שוויץ ("חוקי הגנת מידע בשוויץ"), (ii) כל הפניות ל"מדינה חברה" או "מדינה חברה באיחוד האירופי" או "האיחוד האירופי" יפורש כהתייחסות לשוויץ , וכן (iii) כל התייחסות לרשות הפיקוח, תתפרש כמתייחסת לממונה על הגנת הנתונים והמידע הפדרלי של שוויץ.

הוראות החלות על העברות מבריטניה

הצדדים מסכימים שהנספח של בריטניה חל על העברות של נתונים אישיים הנשלטים על ידי חוק הגנת הנתונים של בריטניה וייחשב שהושלם כדלקמן (עם מונחים באותיות רישיות שלא הוגדרו במקומות אחרים בהגדרה שנקבעה בנספח בריטניה):

• טבלה 1: הצדדים, פרטיהם ואנשי הקשר שלהם הם אלה המפורטים בנספח 3.
• טבלה 2: "הסעיפים החוזים הסטנדרטיים המאושרים של האיחוד האירופי" יהיו הסעיפים החוזיים הסטנדרטיים כמפורט בתוספת 5 זו.
• טבלה 3: נספחים I(A), I(B) ו-II הושלמו כמפורט בסעיף 2(ק) לתוספת 5 זו.
• טבלה 4: OwnBackup רשאית לממש את זכות הסיום המוקדמת האופציונלית המתוארת בסעיף 19 של הנספח הבריטי.