Приложение по быстрой обработке данных

Дата вступления в силу: 22 августа 2024 г.

Это приложение по обработке данных (»DPA«) дополняет и является частью соглашения между Brisk Labs Corp. (»оживленный«) и образовательное учреждение или (если применимо) учителя в связи с передачей и обработкой покрываемых данных в связи с предоставлением Услуги.

1. ОПРЕДЕЛЕНИЯ
1.1

Если в настоящем Соглашении не определено иное, термины, написанные с заглавной буквы, но не определенные в настоящем Соглашении, будут иметь значение, указанное в Соглашении. Следующие термины, написанные с заглавной буквы, используемые в настоящем DPA, будут определены следующим образом:
«Соглашение«означает соглашение, заключенное между Brisk и Заказчиком и включающее условия, указанные в https://www.briskteaching.com/terms или в соответствии с иной договоренностью сторон.
«Применимые законы о защите данных«означает все применимые законы, правила, положения и государственные требования, касающиеся конфиденциальности, конфиденциальности или безопасности персональных данных, поскольку они могут время от времени изменяться или иным образом обновляться, включая (без ограничений) GDPR.
«Авторизованный субпроцессор«означает обработчиков по субподряду, перечисленных в Приложении 4, и любых других обработчиков по субподряду, назначенных в соответствии с пунктом 7.4.
«Цели контроллера«означает: (а) проведение внутренних исследований и разработок для разработки, тестирования, улучшения и изменения функциональности продуктов и услуг Brisk; (б) создание анонимных наборов данных для обучения или оценки продуктов и услуг Brisk; и (c) администрирование учетных записей клиентов в Сервисе и управление отношениями Brisk с Клиентом в соответствии с Соглашением, в каждом случае, как описано в Приложении 1.
«Покрываемые данные«означает персональные данные, которые: (а) предоставлены Brisk Клиентом или от его имени в связи с предоставлением Услуги; или (б) получены, разработаны, произведены или иным образом обработаны компанией Brisk, ее агентами или субподрядчиками в целях предоставления Услуги, в каждом случае, как описано в Приложении 1.
«Клиент«означает учебное заведение или учителя, которое заключает соглашение с Brisk в отношении Службы.
«Субъект данных«имеет значение, данное этому в GDPR.
«Дата вступления в силу«означает дату заключения соглашения между Brisk и Заказчиком.
«GPR«означает Регламент (ЕС) 2016/679 (ЕС GDPR«) или, если применимо,»ВЕЛИКОБРИТАНИЯ GDPR«, как определено в разделе 3 (10) Закона о защите данных 2018 года.
«Персональные данные«имеет значение, данное этому в GDPR.
«Обработка«имеет значение, данное этому в GDPR, и»Процесс«,»Процессы«и»Обработано«будет истолковано соответствующим образом.
«Инцидент безопасности«означает нарушение безопасности, приведшее к случайному или незаконному уничтожению, потере, изменению, несанкционированному раскрытию или несанкционированному доступу к защищенным данным (включая несанкционированный внутренний доступ).
«Стандартные договорные положения«или»SCC«означает стандартные договорные положения, прилагаемые к имплементационному решению Комиссии (ЕС) 2021/914 и доступные по адресу https://commission.europa.eu/publications/standard-contractual-clauses-international-transfers_en.
«Субпроцессор«означает процессор, задействованный другим процессором для выполнения инструкций контроллера.
«Швейцарское законодательство о защите данных«означает Федеральный закон Швейцарии о защите данных от 25 сентября 2020 года (»)ФАДП«) и Швейцарское постановление о защите данных от 31 августа 2022 года (далее»Постановление«), а также любые новые или пересмотренные версии этих законов, которые могут вступать в силу время от времени.

1.2

Условия»контролер«и»процессор«имеют те значения, которые даны им в GDPR.

2. ВЗАИМОДЕЙСТВИЕ С СОГЛАШЕНИЕМ
2.1

Настоящий DPA включен в Соглашение и является его неотъемлемой частью. Настоящий DPA дополняет и (в случае противоречий) заменяет Соглашение в отношении любой обработки подпадающих под действие Соглашения данных.

3. РОЛЬ СТОРОН
3.1

Стороны признают и соглашаются с тем, что:

  1. за исключением случаев, указанных в пункте 3.1, компания Brisk Processes Covered Data выступает в качестве обработчика при выполнении своих обязательств по Соглашению, а настоящий DPA и Клиент выступают в качестве контролера; и
  2. Brisk выступает в качестве контролера при обработке защищенных данных для целей контроллера, как указано в Приложении 1.
4. ДЕТАЛИ ОБРАБОТКИ ДАННЫХ
4.1

Детали обработки персональных данных в соответствии с Соглашением и настоящим Соглашением по защите персональных данных (включая предмет, характер и цель обработки, категории персональных данных и субъектов данных) описаны в Соглашении и Приложении 1 к настоящему Соглашению.

4.2

За исключением обработки покрываемых ею данных в целях контроллера:

  1. Brisk будет обрабатывать защищенные данные только в соответствии с инструкциями, предоставленными Клиентом, и в соответствии с применимым законодательством о защите данных; а также
  2. Соглашение и настоящий DPA представляют собой инструкции для Brisk по обработке покрываемых данных компанией Brisk, и Клиент может выдать дополнительные письменные инструкции в соответствии с этим DPA.
4.3

Биск сделает следующее:

  1. предоставить Клиенту информацию, позволяющую Клиенту проводить и документировать любые оценки воздействия на защиту данных и предварительные консультации с надзорными органами, требуемые в соответствии с действующим законодательством о защите данных; и
  2. незамедлительно проинформировать Клиента, если, по его мнению, инструкция Клиента нарушает применимое законодательство о защите данных.
5. СООТВЕТСТВИЕ
5.1

Клиент должен соблюдать свои обязательства в соответствии с применимым законодательством о защите данных и обеспечить следующее:

  1. любые инструкции Brisk в отношении обработки защищенных данных соответствуют действующим законам о защите данных;
  2. оно предоставляет субъектам данных такую информацию об обработке покрываемых данных компанией Brisk в соответствии с требованиями применимого законодательства о защите данных;
  3. оно незамедлительно уведомляет Brisk о любом запросе, полученном от субъекта данных на осуществление его прав в соответствии с применимым законодательством о защите данных.
6. КОНФИДЕНЦИАЛЬНОСТЬ И РАСКРЫТИЕ ИНФОРМАЦИИ
6.1

Brisk должен:

  1. ограничить доступ к покрываемым данным сотрудникам, которым необходим доступ к таким защищенным данным в бизнесе; а также
  2. обеспечить выполнение такими сотрудниками обязательств по защите данных, на которые распространяется действие защищенных данных, по крайней мере, таких же, как и условия настоящего Соглашения и Соглашения, включая обязанности по соблюдению конфиденциальности в отношении любых подпадающих под действие страховых данных, к которым они имеют доступ.
7. ОПРЕДЕЛЕНИЯ
7.1

Brisk может обрабатывать подпадающие под действие лицензии данные в любом месте, где есть оборудование Brisk или ее субобработчиков, при условии соблюдения оставшейся части настоящего пункта 7 и любых ограничений на дальнейшую передачу, содержащихся в SCC.

7.2

Заказчик предоставляет компании Brisk общее разрешение привлекать любого уполномоченного обработчика по субподряду к обработке защищенных данных.

7,3

Brisk должен:

  1. заключить письменное соглашение с каждым уполномоченным обработчиком по субподряду, налагающее обязательства по защите данных, которые, по сути, обеспечивают защиту подпадающих под действие лицензии данных не в меньшей степени, чем обязательства Brisk по настоящему Соглашению по защите данных; и
  2. нести ответственность за соблюдение каждым уполномоченным субподрядчиком обязательств по настоящему DPA.
7,4

Brisk уведомит Клиента не менее чем за 14 (четырнадцать) дней о любых предлагаемых изменениях уполномоченным субобработчикам. Клиент должен уведомить Brisk, если он возражает против предлагаемого изменения, уполномоченным обработчикам по субподряду (в том числе, если применимо, при реализации своего права на возражение в соответствии с пунктом 9 (a) SCC), направив Brisk письменное уведомление о возражении в течение семи (7) дней после уведомления Brisk Клиента о таком предлагаемом изменении (а)»Возражение«).

7,5

В случае подачи Клиентом возражения Brisk и Клиент должны добросовестно работать вместе, чтобы найти взаимоприемлемое решение для рассмотрения такого возражения. Если Brisk и Клиент не смогут прийти к взаимоприемлемому решению в разумный срок, который не должен превышать тридцати (30) дней, Brisk может расторгнуть часть Соглашения, касающуюся услуг, затронутых таким изменением, направив Клиенту письменное уведомление.

8. ЗАПРОСЫ О ПРАВАХ СУБЪЕКТА ДАННЫХ
8.1

Brisk без неоправданной задержки уведомит Клиента о любом запросе, полученном Brisk или любым уполномоченным обработчиком по субподряду от субъекта данных на отстаивание своих прав в соответствии с применимым законодательством о защите данных в отношении подпадающих под действие данных, обрабатываемых Brisk в качестве обработчика или субпроцессора (а)»Запрос субъекта данных«).

8.2

За исключением обработки компанией Brisk защищенных данных в целях контролера, в отношениях между Brisk и Клиентом, Клиент по своему усмотрению ответит на запрос субъекта данных. Компания Brisk не должна отвечать на запрос субъекта данных без предварительного согласия Клиента, за исключением того, что Brisk может сообщить субъекту данных, что его запрос был передан Клиенту.

8.3

Brisk предоставит Клиенту разумную помощь, необходимую для выполнения Клиентом своих обязательств в соответствии с применимым законодательством о защите данных по реагированию на запросы субъектов данных в отношении покрываемых данных.

9. БЕЗОПАСНОСТЬ
9.1

Brisk будет внедрять и поддерживать соответствующие технические и организационные меры защиты и безопасности данных, предназначенные для обеспечения безопасности данных, на которые распространяется действие защищенных данных, включая, помимо прочего, защиту от несанкционированной или незаконной обработки, а также от случайной потери, уничтожения или повреждения покрываемых данных.

9,2

При оценке надлежащего уровня безопасности Brisk должна учитывать характер, объем, контекст и цель обработки, а также риски, связанные с обработкой данных, в частности, случайным или незаконным уничтожением, потерей, изменением, несанкционированным раскрытием или доступом к защищенным данным.

9,3

Brisk будет внедрять и поддерживать в минимальном стандарте меры, изложенные в Приложении 2.

10. ИНФОРМАЦИЯ И АУДИТЫ
10,1

Клиент может проверить соблюдение компанией Brisk настоящего DPA в отношении обработки покрываемых данных. Стороны соглашаются с тем, что все такие аудиты будут проводиться:

  1. не чаще одного раза в год, за исключением случаев, когда надзорный орган, обладающий юрисдикцией в отношении обработки защищенных данных, требует более частых аудитов или иным образом в соответствии с применимым законодательством о защите данных;
  2. после обоснованного письменного уведомления Brisk;
  3. только в обычное рабочее время Brisk; и
  4. таким образом, чтобы не нанести существенного ущерба бизнесу или операциям Brisk.
10,2

В отношении любых аудитов, проведенных в соответствии с пунктом 10.3: некоторый текст

  1. Клиент может привлечь стороннего аудитора для проведения аудита от своего имени, за исключением того, что Brisk может обоснованно возражать против привлечения стороннего аудитора, если такой сторонний аудитор является конкурентом Brisk; и
  2. Компания Brisk не обязана содействовать проведению такого аудита до тех пор, пока Стороны не договорятся в письменной форме об объеме и сроках такого аудита.
10,3

Клиент должен незамедлительно уведомить Brisk о любом несоответствии, обнаруженном в ходе аудита.

10,4

Результаты аудита должны быть конфиденциальной информацией Brisk.

10,5

Brisk обязуется предоставить Клиенту по запросу или в ответ на любой аудиторский запрос, направленный Клиентом компании Brisk, одно из следующих документов:

  1. сертификаты соответствия требованиям защиты данных, выданные общепринятым сертификационным издателем, прошедшим аудит экспертом по безопасности данных, или публичной аудиторской компанией; или
  2. такая другая документация, обоснованно подтверждающая применение технических и организационных мер защиты данных в соответствии с отраслевыми стандартами.
10,6

Если аудит, запрошенный Заказчиком, отражен в документах или сертификатах, предоставленных Brisk в соответствии с пунктом 10.7, и:

  1. сертификат или документация датированы в течение двенадцати (12) месяцев с момента запроса Заказчика на аудит; и
  2. Компания Brisk подтверждает, что никаких существенных изменений в проверенных механизмах контроля не произошло,

Заказчик соглашается принять этот сертификат или документацию вместо проведения физического аудита средств контроля, предусмотренных соответствующим сертификатом или документацией.

11. ИНЦИДЕНТЫ БЕЗОПАСНОСТИ
11,1

Brisk обязуется письменно уведомить Клиента о любом инциденте безопасности без неоправданной задержки.

11,2

Компания Brisk обязуется принимать разумные меры для локализации, расследования и устранения любых инцидентов безопасности, а также своевременно отправлять Клиенту информацию об инциденте безопасности в объеме, известном Brisk или по мере поступления информации в распоряжение Brisk, включая, помимо прочего, характер инцидента безопасности, меры, принятые для смягчения или сдерживания инцидента безопасности, а также ход расследования.

11,3

Brisk обязуется оказывать разумную помощь в расследовании Клиентом (или, если применимо, его клиентами) любых инцидентов безопасности и любых обязательств Клиента (или, если применимо, его клиентов) в связи с инцидентом безопасности в соответствии с применимым законодательством о защите данных, включая любое уведомление субъектов данных или надзорных органов.

11,4

Уведомление Brisk об инциденте безопасности или реагирование на него в соответствии с настоящим пунктом 11 не должно истолковываться как признание компанией Brisk какой-либо ошибки или ответственности в связи с инцидентом, связанным с нарушением безопасности.

12. СРОК, УДАЛЕНИЕ И ВОЗВРАТ
12,1

Настоящее DPA вступает в силу с даты вступления в силу и, несмотря на любое расторжение Соглашения, будет действовать до тех пор, пока компания Brisk не удалит все подпадающие под действие соглашения данные, как описано в настоящем Соглашении по защите данных, и автоматически истечет после его удаления.

12,2

Brisk должен:

  1. если Клиент попросит об этом (от имени своих клиентов, в зависимости от обстоятельств) в течение тридцати (30) дней с момента истечения срока действия Соглашения (далее — «Период хранения«) предоставить копию всех покрываемых данных в таком часто используемом формате по запросу Клиента или предоставить функцию самообслуживания, позволяющую Клиенту загружать такие покрываемые данные; и
  2. по истечении срока хранения удалите все копии защищенных данных, обрабатываемых компанией Brisk или любыми уполномоченными обработчиками по субподряду, кроме любых подпадающих данных, которые Brisk обязана хранить в соответствии с действующим законодательством, для предъявления или защиты судебных исков или для целей Контролера.
13. МЕЖДУНАРОДНЫЕ ПЕРЕВОДЫ
13,1

Стандартные договорные положения, как указано далее в Приложении 3, применяются к передаче покрываемых данных от Клиента компании Brisk и являются частью настоящего Соглашения по защите данных.

13,2

Стороны соглашаются с тем, что исполнение Соглашения будет иметь ту же силу, что и подписание SCC.

ПРИЛОЖЕНИЕ 1: Подробная информация об обработке
A. Список Сторон
Клиент
Клиент
Роль
Экспортер данных (контролер)
Импортер данных (контроллер/процессор)
администратор учетной записи Клиента, уведомленный Brisk.
Мероприятия, связанные с переводом
B. Описание обработки
Субъекты данных
Характер и цель обработки
Срок хранения
контактная информация, такие как имя, адрес электронной почты, название учебного заведения.
Нет
Получено непосредственно от субъекта данных.
Общайтесь с администраторами учетных записей в связи с администрированием Соглашения и отношениями между сторонами.

Отправляйте рекламные письма в соответствии с предпочтениями администратора учетной записи.

Определите способы, с помощью которых Brisk может улучшить Сервис и исправить ошибки в Сервисе.
Настройки учетной записи в связи с рекламными сообщениями.
Получено непосредственно от субъекта данных или предоставлено учебным заведением
Процессор от имени соответствующего образовательного учреждения.

До начала:

  • прекращение действия Соглашения; а также
  • закрытие соответствующей учетной записи в Сервисе, принадлежащей субъекту данных, либо по просьбе контролера, либо после 18 месяцев бездействия.
Настройки учетной записи в отношении сообщений, связанных с обслуживанием.

Уровень учетной записи, а именно использует ли независимый учитель премиальную или бесплатную учетную запись в Сервисе.

Вопросы, комментарии и другая переписка представленный в связи с Сервисом.

Преподаваемые предметы а также студенческие годы, группы или классы.

Контент и материалы созданные с помощью Сервиса, включая изменения, внесенные в контент, автоматически создаваемый с помощью Сервиса.

Веб-сайты посещенных, в отношении которых активирована Услуга.

Обратная связь в отношении контента, созданного с помощью Сервиса.

The характеристики и функциональные возможности используется в Сервисе.
Нет, если только оно не содержится в контенте и материалах, созданных с помощью Сервиса, а также в подсказках или отзывах, отправленных в Сервис.
Учителя на школьных счетах
контактная информация, такие как имя, адрес электронной почты, название учебного заведения.
Нет
На срок действия Соглашения и на 6 лет в последующий период.
До 2 лет после закрытия учетной записи субъекта данных в Сервисе либо по запросу субъекта данных, либо после 18 месяцев бездействия.
Вопросы, комментарии и другая переписка представленный в связи с Сервисом.
The характеристики и функциональные возможности используется в Сервисе.
Предоставление доступа к функциям и возможностям Сервиса, включая упрощение входа в систему и устранение проблем со входом в систему.
До 90 дней.
Рефералы, а именно количество других учителей, направленных Независимым учителем в Службу.
Получено непосредственно от субъекта данных.
Управляйте реферальной программой Brisk, включая управление вознаграждениями или рекламным доступом к премиум-функциям.
контроллер
В течение срока действия Соглашения.
Курсы профессионального развития осуществлены и завершены через Службу.
Предоставление доступа к премиум-функциям, связанным с прохождением курсов профессионального развития.
Независимые учителя
контактная информация, такие как имя, адрес электронной почты, название учебного заведения.
Получено непосредственно от субъекта данных.
Уровень учетной записи, а именно использует ли независимый учитель премиальную или бесплатную учетную запись в Сервисе.
На срок действия Соглашения и на 6 лет в последующий период.
Платежная информация, например кредитная или дебетовая карта и платежный адрес.
Настройки учетной записи в отношении сообщений, связанных с обслуживанием и рекламными сообщениями.
Вопросы, комментарии и другая переписка представленный в связи с Сервисом.
Преподаваемые предметы а также студенческие годы, группы или классы.
В течение срока действия Соглашения.
Контент и материалы созданные с помощью Сервиса, включая изменения, внесенные в контент, автоматически создаваемый с помощью Сервиса.
В течение срока действия Соглашения.
Эта информация хранится в агрегированной и анонимной форме.
Устройство, используемое для доступа к Сервису, например IP-адрес.
Предоставление доступа к функциям и возможностям Сервиса, включая упрощение входа в систему, устранение проблем со входом в систему и балансировку нагрузки.
До 90 дней.
Ученики
Контактная информация, такие как имя, адрес электронной почты и название учебного заведения или учителя, предоставляющего доступ.
Нет
Предоставлено Заказчиком.
Предоставление доступа к функциям и возможностям Сервиса, включая персонализацию Сервиса.
Обработчик от имени соответствующего образовательного учреждения или независимого учителя.
Любые конфиденциальные личные данные, содержащиеся в рабочем продукте или взаимодействиях, загруженных Студентом в Сервис.
администратор учетной записи Клиента, уведомленный Brisk.
администратор учетной записи Клиента, уведомленный Brisk.
Получено непосредственно от субъекта данных.
контроллер
До 90 дней.
C. Компетентный надзорный орган

Компетентным надзорным органом является ирландский комиссар по защите данных.

ПРИЛОЖЕНИЕ 2: Технические и организационные меры

Введение

Brisk использует сочетание политик, процедур, руководств и технических и физических средств контроля для защиты обрабатываемых персональных данных от случайной потери и несанкционированного доступа, раскрытия или уничтожения.

Управление и политика

Brisk назначает сотрудников, отвечающих за определение, анализ и внедрение политик и мер безопасности.

Оживленный:

  • задокументировала принятые меры безопасности в политике безопасности и/или других соответствующих руководствах и документах;
  • регулярно пересматривает свои меры и политики безопасности, чтобы убедиться, что они по-прежнему соответствуют защищаемым данным.

Brisk устанавливает безопасные конфигурации систем и программного обеспечения и следит за их соблюдением, а также обеспечивает учет мер безопасности при инициировании проекта и разработке новых ИТ-систем.

Ответные меры на нарушение

У Brisk есть план реагирования на нарушения, разработанный для устранения случаев утечки данных. План регулярно тестируется и обновляется.

Защита от вторжений, вирусов и вредоносных программ

В ИТ-системах Brisk, используемых для обработки персональных данных, установлено соответствующее программное обеспечение для защиты данных, включая стандартные брандмауэры, антивирусные системы, системы защиты от вредоносных программ и обнаружения вторжений.

Brisk собирает, хранит и просматривает журналы событий для выявления подозрительных действий.

Контроль доступа

Brisk ограничивает доступ к персональным данным, внедряя соответствующие средства контроля доступа, в том числе:

  • ограничение привилегий административного доступа и использования административных учетных записей;
  • изменение всех паролей по умолчанию перед развертыванием операционных систем, активов или приложений;
  • требование аутентификации и авторизации для доступа к ИТ-системам (например, требование ввести идентификатор пользователя и пароль, прежде чем им будет разрешен доступ к ИТ-системам);
  • меры по обеспечению наименее привилегированного доступа к ИТ-системам;
  • соответствующие процедуры контроля за распределением и аннулированием прав доступа к персональным данным. Например, наличие соответствующих процедур лишения сотрудников доступа к ИТ-системам при увольнении с работы или смене должности;
  • использование многофакторной аутентификации для доступа к данным в системах Brisk;
  • автоматический тайм-аут и блокировка пользовательских терминалов в случае простоя;
  • доступ к ИТ-системе заблокирован после нескольких неудачных попыток ввести правильные данные для аутентификации и/или авторизации;
  • мониторинг и протоколирование доступа к ИТ-системам;
  • мониторинг и регистрация изменений данных или файлов в ИТ-системах.

Доступность и резервное копирование персональных данных

У Brisk есть документированный план аварийного восстановления, который обеспечивает своевременное восстановление ключевых систем и данных в случае физического или технического инцидента. План регулярно тестируется и обновляется.

Brisk регулярно выполняет резервное копирование информации об ИТ-системах и хранит резервные копии в разных местах. Резервные копии информации регулярно тестируются.

Сегментация персональных данных

Оживленный:

  • разделяет и ограничивает доступ между сетевыми компонентами и, при необходимости, принимает меры по обеспечению раздельной обработки (хранение, изменение, удаление, передача) персональных данных, собранных и используемых для разных целей;
  • не использует оперативные данные для тестирования своих систем.

Утилизация ИТ-оборудования

Оживленный:

  • внедрила процедуры безопасного удаления всех персональных данных перед утилизацией ИТ-систем;
  • использует соответствующую технологию для очистки оборудования от данных.

Шифрование

Brisk шифрует данные в состоянии покоя с помощью AES-256, а при передаче — с использованием протокола TLS 1.2 или выше.

Ключи шифрования хранятся отдельно от зашифрованной информации.

Передача или транспортировка персональных данных

Brisk применяет соответствующие меры контроля для защиты персональных данных во время передачи или передачи, в том числе:

  • шифрование при передаче;
  • регистрация личных данных при передаче в электронном виде.

Упрочнение устройства

Brisk гарантирует, что все виртуальные машины защищены в соответствии с эталонами Центра интернет-безопасности (CIS).

Управление активами и программным обеспечением

Brisk ведет инвентаризацию ИТ-активов и хранящихся на них данных, а также список владельцев соответствующих ИТ-активов.

Оживленный:

  • документирует и внедряет правила допустимого использования ИТ-активов.
  • требует аутентификации на сетевом уровне и использует сертификаты клиентов для проверки и аутентификации систем;
  • развертывает автоматизированные инструменты управления исправлениями и средства обновления программного обеспечения для операционных систем и программного обеспечения;
  • активно отслеживает уязвимости программного обеспечения и оперативно внедряет любые вышедшие из цикла патчи;
  • разрешает использовать только последние версии полностью поддерживаемых веб-браузеров и почтовых клиентов.

Brisk надежно хранит все ключи API, включая следующее:

  • Brisk хранит ключи API непосредственно в переменных окружения;
  • Brisk не хранит ключи API на стороне клиента;
  • Brisk не публикует учетные данные ключей API в онлайн-репозиториях кода (частных или нет); а также
  • Brisk использует инструменты управления ключами API для получения учетных данных и управления ими для крупных проектов разработки.

Обучение и повышение осведомленности персонала

В соглашениях Brisk с персоналом и подрядчиками, а также в руководствах для сотрудников изложены обязанности персонала в отношении информационной безопасности.

Brisk осуществляет:

  • регулярное обучение персонала по вопросам безопасности и конфиденциальности данных, относящимся к их служебной роли, и обеспечение соответствующей подготовки новичков до вступления в должность (в рамках процедур приема на работу);
  • надлежащий отбор и проверка биографических данных лиц, имеющих доступ к конфиденциальным персональным данным.

Brisk гарантирует, что обязательства по информационной безопасности, применимые непосредственно перед увольнением или сменой места работы, а также обязанности, которые действуют после увольнения/смены места работы, доводятся до сведения и выполняются.

Сотрудники подвергаются дисциплинарным мерам за нарушение политик и процедур Brisk в отношении конфиденциальности и безопасности данных.

Выбор поставщиков услуг и комиссионное вознаграждение за услуги

Brisk оценивает способность поставщиков услуг выполнять свои требования безопасности, прежде чем привлекать их к сотрудничеству.

Brisk заключила письменные договоры с поставщиками услуг, которые требуют от них принятия соответствующих мер безопасности для защиты персональных данных, к которым они имеют доступ, и ограничения использования персональных данных в соответствии с инструкциями Brisk.

Часть 2

Помощь в удовлетворении запросов о правах субъекта данных

Компания Brisk внедрила соответствующие политики и меры для идентификации и рассмотрения запросов о правах субъектов данных, в том числе:

  • Brisk ведет точные записи, позволяющие быстро идентифицировать все личные данные, обрабатываемые от имени Клиента; а также
  • резервные копии персональных данных, обрабатываемых Brisk от имени Клиента, перезаписываются на регулярной основе и в любом случае каждые тридцать (30) дней, чтобы обеспечить полное выполнение запросов на удаление и исправление.
ТАБЛИЦА 3: СТАНДАРТНЫЕ ДОГОВОРНЫЕ ПОЛОЖЕНИЯ
1. МЕШКИ ДЛЯ ЕС

В отношении любых переводов, указанных в пункте 13, стандартные договорные положения должны быть заполнены следующим образом:

1.1

Второй модуль (контроллер к процессору) или, при необходимости, третий модуль (процессор к процессору), если SCC будут применяться к обработке покрываемых данных компанией Brisk.

1.2

Пункт 7 стандартных договорных положений (оговорка о стыковке) не применяется.

1.3

Вариант 2 пункта 9 (a) (Общее письменное разрешение) применяется, а срок, который должен быть указан в пункте 7.4 DPA.

1.4

Опция, предусмотренная в пункте 11 (a) Стандартных договорных условий (Независимый орган по разрешению споров)) не применяется.

1,5

В отношении пункта 17 Стандартных договорных положений (Регулирующее законодательство), Стороны соглашаются с тем, что будет применяться вариант 1 и регулирующим законодательством будет ирландское законодательство.

1,6

В пункте 18 стандартных договорных положений (Выбор суда и юрисдикции), Стороны подчиняются юрисдикции судов Ирландии.

1,7

Для целей приложения I к стандартным договорным положениям Приложение 1 к DPA содержит спецификации сторон, описание передачи и компетентного надзорного органа.

1,8

Для целей приложения II к Стандартным договорным положениям Приложение 2 к DPA содержит технические и организационные меры.

2. Приложение к Соединенному Королевству
2.1

Этот пункт 2 (Приложение для Великобритании) распространяется на любую передачу Защищенных данных от Заказчика (в качестве экспортера данных) компании Brisk (как импортера данных) в той мере, в какой:

  1. законы Великобритании о защите данных применяются к Клиенту при осуществлении такой передачи; или
  2. передача является «последующей передачей», как определено в утвержденном добавлении.
2.2

В этом параграфе 2 используется следующее:

«Утвержденное добавление«означает приложение к шаблону версии B.1.0, выпущенное Комиссаром по информации Великобритании в соответствии с Законом о защите данных S119A (1) 2018 года и представленное Парламенту Великобритании 2 февраля 2022 года, поскольку оно может быть пересмотрено в соответствии с разделом 18 утвержденного дополнения.

«Законы Великобритании о защите данных«означает все законы, касающиеся защиты данных, обработки персональных данных, конфиденциальности и/или электронных коммуникаций, которые время от времени действуют в Великобритании, включая GDPR Великобритании и Закон о защите данных 2018 года.

2.3

Утвержденное дополнение станет частью настоящего DPA в отношении любых переводов, указанных в пункте 2.1, и исполнение этого Соглашения будет иметь ту же силу, что и подписание утвержденного дополнения.

2.4

Утвержденное добавление считается заполненным в следующем виде: некоторый текст

  1. «Дополнение к SCC ЕС» означает SCC в том виде, в каком они включены в настоящее Соглашение в соответствии с пунктом 13 и настоящим Приложением 3;
  2. Таблица 1 утвержденного добавления должна быть дополнена подробностями, указанными в пункте A Приложения 1;
  3. «Информация в приложении» означает информацию, указанную в Приложении 1 и Таблице 2
  4. для целей таблицы 4 утвержденного приложения компания Brisk (как импортер данных) может прекратить действие настоящего DPA в той мере, в какой применимо утвержденное дополнение, в соответствии с разделом‎19 утвержденного приложения; и
  5. Раздел 16 утвержденного добавления не применяется.
3. Швейцарское дополнение
3.1

Это швейцарское дополнение будет применяться к любой обработке защищенных данных, которая регулируется швейцарским законодательством о защите данных.

3.2

Толкование настоящего Дополнения

  1. Если в настоящем Дополнении используются термины, определенные в Стандартных договорных условиях, эти термины будут иметь то же значение, что и в стандартных договорных условиях. Кроме того, следующие термины имеют следующие значения:

    «приложение«означает настоящее дополнение к Условиям;
    «Оговорки«означает стандартные договорные условия, включенные в настоящий DPA в соответствии с пунктом 13 и дополнительно указанные в настоящем Приложении 3; и
    «ФЕДПИК«означает Федерального уполномоченного по защите данных и информации.
  1. Настоящее Дополнение следует читать и интерпретировать в соответствии со швейцарским законодательством о защите данных и таким образом, чтобы оно соответствовало обязательствам сторон в соответствии со статьей 16 (2) (d) FADP.
  2. Настоящее Дополнение не будет истолковано как противоречащее правам и обязанностям, предусмотренным швейцарским законодательством о защите данных.
  3. Любые ссылки на законодательство (или конкретные положения законодательства) означают, что законодательство (или конкретное положение) в том виде, в каком оно может меняться с течением времени. Сюда относятся случаи, когда такое законодательство (или конкретное положение) было консолидировано, вновь введено в действие и/или заменено после вступления в силу настоящего швейцарского Дополнения.
  4. В отношении любой обработки персональных данных, подпадающей под действие швейцарского законодательства о защите данных, настоящее Дополнение вносит изменения и дополнения в Положения в той мере, в какой это необходимо для их действия:некоторый текст
    1. за передачу данных экспортером данных импортеру данных в той мере, в какой швейцарское законодательство о защите данных применяется к обработке данных экспортером данных при осуществлении такой передачи; и
    2. в качестве стандартных положений о защите данных, одобренных, выпущенных или признанных FDPIC для целей статьи 16 (2) (d) FADP.

3.3

Иерархия

В случае противоречия или несоответствия между настоящим Дополнением и положениями Условий или других соответствующих соглашений между Сторонами, действующих на момент согласования или последующего заключения настоящего Дополнения, преимущественную силу имеют положения, обеспечивающие максимальную защиту субъектов данных.

3,4

Изменения в положениях

  1. В той мере, в какой обработка персональных данных экспортером данных регулируется исключительно швейцарским законодательством о защите данных или передача персональных данных от экспортера данных импортеру данных в соответствии с Условиями является «дальнейшей передачей» (как определено в Условиях с поправками, содержащимися в оставшейся части настоящего пункта 3.3 (a)), в Положения вносятся следующие изменения:
    1. Ссылки на «Оговорки» или «SCC» означают настоящее Швейцарское дополнение, поскольку оно вносит поправки в SCC.
    2. Пункт 6 Описание перевода (переводов) заменено следующим:
    3. «Детали передачи и, в частности, категории передаваемых персональных данных и цели, для которых они передаются, указаны в Приложении 1 настоящего DPA, где швейцарское законодательство о защите данных применяется к обработке данных экспортером данных при такой передаче».
    4. Ссылки на «Регламент (ЕС) 2016/679», «этот регламент» или «GDPR» заменены на «Швейцарские законы о защите данных», а ссылки на конкретные статьи «Регламента (ЕС) 2016/679» или «GDPR» заменены эквивалентной статьей или разделом швейцарских законов о защите данных, в той мере, в какой это применимо.
    5. Ссылки на Регламент (ЕС) 2018/1725 удалены.
    6. Все ссылки на «Европейский союз», «Союз», «ЕС» и «государство-член ЕС» заменены словами «Швейцария».
    7. Пункт 13 (a) и часть C приложения I не используются; «компетентным надзорным органом» является FDPIC;
    8. Параграф 17 заменен следующим текстом: «Настоящие положения регулируются законодательством Швейцарии».
    9. Пункт 18 заменен следующим текстом: «Любой спор, возникающий в связи с этими положениями, касающимися швейцарского законодательства о защите данных, будет разрешен судами Швейцарии. Субъект данных также может возбудить судебное дело против экспортера и/или импортера данных в судах Швейцарии, где он/она постоянно проживает. Стороны соглашаются подчиниться юрисдикции таких судов».
ПРИЛОЖЕНИЕ 4: Авторизованные субпроцессоры
Субпроцессор
Описание
Компания «Датадог»
Надежность сайта и инструмент мониторинга, который помогает отслеживать производительность, выявлять проблемы и улучшать пользовательский интерфейс за счет анализа и визуализации данных в реальном времени
Размещает базы данных и серверы, обеспечивающие питание и резервное копирование Brisk
Компания «Снежинка»
Создает различные отчеты по данным, ранее собранным в Snowflake, чтобы мы могли улучшить инструмент.
ООО «Гугл» (Alphabet Inc.)
Обеспечивает аутентификацию с помощью единого входа (SSO) для пользователей Brisk, размещает курсовые работы учащихся и контент, созданный преподавателями.
Сегмент (Twilio Inc.)
Инструмент ведения журналов и аналитики, который помогает разработчикам понять, как пользователи взаимодействуют с Brisk
OpenAI, Inc.
Антропный бег на AWS Bedrock
Услуги по искусственному интеллекту
Sentry (компания Functional Software, Inc.)
GPTZero Inc.
Инструмент анализа текста, который помогает обнаруживать текст, созданный искусственным интеллектом
Саженец
Инструмент анализа текста, который помогает улучшить письмо, предлагая рекомендации по грамматике и стилю
Salesforce
Сохраняет и отслеживает партнерские соглашения, контактные лица и другую координационную информацию.