1. Область, стороны и роли
Это Дополнение об обработке данных (DPA) включено в Условия использования Synphoria и применимую форму заказа, если подписанное соглашение об обработке данных не заменяет его. Клиент является контролёром персональных данных, которые он решает вводить, настраивать, импортировать или управлять в Synphoria. SYNPHORIAAI sp. z o.o. действует как обработчик таких персональных данных клиента и обрабатывает их только для предоставления, защиты, поддержки и администрирования сервиса. Synphoria может оставаться самостоятельным контролёром для собственной обработки аккаунта, биллинга, безопасности, юридических обязанностей, аналитики и продуктовой безопасности, описанной в Политике приватности.
2. Предмет, срок, характер и цель обработки
Для целей GDPR Article 28 предметом является предоставление Synphoria корпоративных, клинических, рекрутинговых, партнёрских, поддерживающих и связанных программных сервисов. Срок обработки соответствует сроку применимого аккаунта, заказа или соглашения плюс период хранения, необходимый для экспорта, удаления, истечения срока резервных копий, соблюдения закона, аудита, безопасности или обработки споров. Характер обработки может включать сбор, хостинг, хранение, организацию, извлечение, передачу, анализ, генерацию, контроль доступа, поддержку, проверку безопасности, удаление и возврат. Цель обработки: работа Synphoria для авторизованных пользователей клиента и настроенных рабочих процессов.
3. Субъекты данных и категории персональных данных
- Субъекты данных могут включать администраторов клиента, сотрудников, приглашённых пользователей, кандидатов, пользователей клиники или пациентов, если эта поверхность включена, специалистов, партнёрские или реселлер-контакты, контакты поддержки и других людей, данные которых клиент законно передаёт.
- Персональные данные могут включать идентификационные, контактные, аккаунтные данные, сведения об участии, отделе, роли, календаре, HR, клинике, рекрутинге, поддержке, биллинге, использовании, интеграциях, безопасности, аудите и коммуникационных метаданных.
- Данные специальных категорий обрабатываются только там, где клиент включает или передаёт их через соответствующую поверхность Synphoria и имеет требуемое уведомление, согласие, правовое основание и договорные полномочия.
4. Документированные инструкции
Synphoria обрабатывает персональные данные клиента только по документированным инструкциям клиента, включая Условия, этот DPA, формы заказа, настройки конфигурации, действия авторизованных пользователей, запросы поддержки и законные письменные инструкции. Если Synphoria считает, что инструкция нарушает применимое право о защите данных, она уведомит клиента, если это не запрещено законом. Клиент отвечает за уведомления контролёра, правовые основания, разрешения, точность данных, назначения ролей и законность переданных данных.
5. Конфиденциальность и авторизованный персонал
Synphoria ограничивает доступ к персональным данным клиента персоналом, подрядчиками и поставщиками услуг, которым он нужен для авторизованной работы сервиса, поддержки, безопасности, юридических обязанностей или соблюдения требований и которые связаны обязанностями конфиденциальности или эквивалентными профессиональными обязанностями. Доступ ролевой и ограничен границами приватности из Политики приватности, Заявления о безопасности данных и продуктовых контролей.
6. Меры безопасности
Synphoria применяет надлежащие технические и организационные меры по статье 32 GDPR с учётом контекста обработки, риска, стоимости внедрения и уровня техники. Меры могут включать шифрование при передаче, поддерживаемую защиту при хранении, контроли ключей приватного контента там, где они внедрены, контроль доступа, аудируемое журналирование, разделение тенантов, контроли резервного копирования и восстановления, управление уязвимостями, реагирование на инциденты и практики безопасной разработки. Ни один онлайн-сервис не может гарантировать абсолютную безопасность.
7. Субобработчики
Клиент даёт общее разрешение Synphoria использовать субобработчиков, необходимых для предоставления сервиса. Текущие категории поставщиков и ссылки поддерживаются в Заявлении о безопасности данных, включая хостинг, базы данных, хранение, AI/модели, голос, электронную почту, платежи, SMS/телефон, безопасность, журналирование, Slack, Microsoft Teams и операционных поставщиков. Synphoria остаётся ответственной за обработку субобработчиком, выполняемую по её инструкциям, и накладывает обязанности защиты данных, соответствующие обработке. Существенные изменения субобработчика обрабатываются через применимое уведомление, возражение, обходной вариант, прекращение или процесс формы заказа.
8. Международные передачи
Когда персональные данные клиента передаются за пределы EEA, UK или другой юрисдикции ограниченной передачи, Synphoria использует механизм передачи, применимый к соответствующему поставщику и потоку, где это требуется. Это может включать решение об адекватности, European Commission Standard Contractual Clauses under Decision (EU) 2021/914, UK International Data Transfer Agreement (UK IDTA), UK Addendum to EU SCCs, оценки рисков передачи и дополнительные технические, договорные или организационные контроли. Политика приватности и Заявление о безопасности данных указывают текущие категории поставщиков и ссылки по передачам.
9. Помощь с обязанностями контролёра
С учётом характера обработки и доступной Synphoria информации Synphoria предоставляет разумную помощь по запросам субъектов данных, безопасности обработки, обработке нарушений персональных данных, оценкам воздействия на защиту данных, предварительным консультациям и другим обязанностям контролёра по статьям 28, 32, 33, 34, 35 и 36 GDPR. Клиент отвечает за решение, как отвечать на запросы субъектов данных, регуляторов и затронутых людей.
10. Уведомление о нарушении
Synphoria уведомит клиента без неоправданной задержки после того, как станет известно о нарушении персональных данных, затрагивающем персональные данные клиента, обрабатываемые Synphoria как обработчиком. Уведомление будет включать доступную информацию о нарушении в объёме, разумно доступном Synphoria, и может предоставляться поэтапно по мере расследования.
11. Аудит, информация и доказательства соблюдения
Synphoria предоставит информацию, разумно необходимую для подтверждения соблюдения этого DPA, включая публичные материалы безопасности, страницы политик, доказательства поставщиков, анкеты или письменные ответы, где это уместно. Аудиты на месте, тестирование на проникновение или интрузивная проверка требуют отдельного письменного соглашения, объёма, конфиденциальности, контролей безопасности и разумного уведомления, чтобы не нарушить безопасность или приватность других тенантов.
12. Возврат, удаление и прекращение
После окончания сервисов Synphoria возвращает, экспортирует, удаляет или ограничивает персональные данные клиента в соответствии с применимыми продуктовыми контролями, соглашением, юридическими обязанностями, истечением срока резервных копий, хранением аудита/безопасности и законными инструкциями. Резервные копии, журналы и аудиторские записи могут сохраняться ограниченный период, если это требуется для безопасности, соблюдения закона, обработки споров или целостности сервиса, а затем удаляются или анонимизируются согласно контролям хранения.
Контакт по приватности: contact@synphoria.app | security@synphoria.app