Logo

Приложение по обработке данных стампези (DPA)

Дата вступления в силу: Jan 14, 2026

Последнее обновление: Jan 14, 2026

Оглавление

Настоящее Дополнение об обработке данных (“DPA”) является частью соглашения между Elyon Techno Labs Inc (действующей под брендом “стампези”) и лицом, принимающим эти условия (“Ритейлер” или “Клиент”), для использования Сервиса стампези. Настоящее DPA применяется в тех случаях и в той мере, в какой стампези обрабатывает Персональные данные от имени Ритейлера в процессе предоставления Сервиса.

В случае противоречия между настоящим DPA и другими условиями, настоящее DPA имеет преимущественную силу только в отношении обязательств сторон по обработке данных.

1) Стороны

Обработчик данных / Поставщик услуг:
Elyon Techno Labs Inc (“стампези,” “Обработчик”)
Адрес: Hilton Court, Mississauga, Ontario, Canada
Email: [privacy@stampezee.com]

Контролер данных / Бизнес-клиент:
Юридическое лицо Ритейлера, принимающее или подписывающее настоящее DPA (“Клиент,” “Контролер”)

2) Определения

Термины, написанные с заглавной буквы и не определенные здесь, имеют значения, указанные в основном соглашении/Условиях.

  • “Применимое законодательство о защите данных”: все законы о конфиденциальности и защите данных, применимые к обработке Персональных данных в рамках настоящего DPA, включая (где применимо) GDPR/UK GDPR, канадские законы о конфиденциальности и другие местные законы, имеющие отношение к использованию Ритейлером.
  • “Контролер”: лицо, которое определяет цели и средства обработки Персональных данных.
  • “Обработчик”: лицо, которое обрабатывает Персональные данные от имени Контролера.
  • “Персональные данные”: информация, относящаяся к идентифицированному или идентифицируемому физическому лицу.
  • “Обработка”: любая операция, выполняемая с Персональными данными (сбор, хранение, использование, передача, удаление и т. д.).
  • “Субподрядчик”: третье лицо, назначенное стампези для обработки Персональных данных от имени Ритейлера.
  • “Инцидент безопасности”: нарушение безопасности, приводящее к случайному или незаконному уничтожению, потере, изменению, несанкционированному раскрытию или доступу к Персональным данным.

3) Роли сторон

3.1 Роли Контролера и Обработчика

  • Ритейлер является Контролером Персональных данных, обрабатываемых в связи с программами лояльности Ритейлера (например, данные об участии Конечных пользователей, история штампов, использование вознаграждений, программные коммуникации), которые Ритейлер определяет и настраивает внутри Сервиса.
  • стампези является Обработчиком таких Персональных данных в той мере, в какой компания обрабатывает их от имени Ритейлера для предоставления Сервиса.

3.2 Обработка стампези в качестве независимого контролера

стампези может обрабатывать некоторые данные в качестве независимого контролера (не от имени Ритейлера) для:

  • администрирования учетной записи Ритейлера (например, платежные контакты, управление тарифным планом),
  • обеспечения безопасности, предотвращения мошенничества и обнаружения злоупотреблений,
  • работы платформы и соблюдения законодательных требований,
  • улучшения продукта с использованием агрегированной/анонимизированной аналитики, где это возможно.

4) Детали обработки

4.1 Предмет

Предоставление цифровой платформы лояльности и вознаграждений, позволяющей Ритейлерам создавать и администрировать карты штампов, кампании и вознаграждения, а Конечным пользователям — принимать в них участие.

4.2 Продолжительность

Обработка продолжается в течение срока использования Ритейлером Сервиса и после этого только в той мере, в какой это необходимо для:

  • выполнения обязательств по удалению/возврату данных,
  • соблюдения законодательства,
  • ведения журналов безопасности и разрешения споров, как это разрешено законом.

4.3 Характер и цель

Действия по обработке могут включать: сбор, запись, организацию, структурирование, хранение, извлечение, использование, передачу и удаление Персональных данных для предоставления Сервиса.

4.4 Категории субъектов данных

  • Персонал Ритейлера (включая доступ Loyalty Executive Access)
  • Конечные пользователи/клиенты Ритейлера
  • Администраторы Ритейлера и контактные лица по вопросам оплаты

4.5 Категории персональных данных

В зависимости от конфигурации и использования, Персональные данные могут включать:

  • Идентификаторы: имя, email, номер телефона (если используется), ID пользователя
  • Данные аккаунта: метаданные входа, роли/права доступа
  • Данные о лояльности: заработанные штампы, присоединенные карты штампов, история вознаграждений, метки времени активности
  • Данные о взаимодействии с магазином: используемый филиал, взаимодействие с предложениями и кампаниями
  • Технические данные/данные об устройстве: IP-адрес, тип устройства, версия приложения, журналы событий (где собираются)
  • Данные службы поддержки: сообщения, отправленные в поддержку, и связанные метаданные

4.6 Специальные категории / конфиденциальные данные

Ритейлеры не должны загружать или обрабатывать конфиденциальные данные/данные специальных категорий (здоровье, биометрия, религия и т. д.), за исключением случаев, когда:

  • это прямо требуется законом и существует законное основание, и
  • Ритейлер получил необходимые согласия/разрешения, и
  • Сервис настроен соответствующим образом.

стампези не требует конфиденциальных данных для стандартных операций по программе лояльности.

5) Обязательства Ритейлера (Контролера)

Ритейлер соглашается:

  1. У него есть все необходимые права, уведомления, согласия и законные основания для обработки Персональных данных и для поручения стампези их обработки.
  2. Он предоставит необходимые уведомления о конфиденциальности Конечным пользователям и персоналу.
  3. Он будет настраивать Сервис ответственно и собирать только те данные, которые необходимы для его программы.
  4. Он не будет поручать стампези обработку Персональных данных в нарушение Применимого законодательства о защите данных.
  5. Он несет ответственность за законность правил своей программы лояльности, содержания сообщений и коммуникаций.
  6. Он будет поддерживать конфиденциальность и контролировать доступ к учетным записям сотрудников (Loyalty Executive Access и доступ администратора).
  7. Он незамедлительно уведомит стампези, если посчитает, что обработка является незаконной или если получит запросы от субъектов данных, требующие содействия стампези.

6) Обязательства стампези (Обработчика)

стампези обязуется:

  1. Обрабатывать Персональные данные только на основании задокументированных инструкций Ритейлера (включая настоящее DPA и настройки/использование Сервиса Ритейлером), если иное не требуется по закону.
  2. Обеспечить, чтобы персонал, уполномоченный обрабатывать Персональные данные, был связан обязательствами по соблюдению конфиденциальности.
  3. Внедрить соответствующие технические и организационные меры для защиты Персональных данных (см. Раздел 9).
  4. Не раскрывать Персональные данные третьим лицам, за исключением случаев, разрешенных настоящим DPA (например, Субподрядчикам).
  5. Оказывать содействие Ритейлеру в соответствии с Разделами 10 и 11.

7) Субподрядчики

7.1 Авторизация

Ритейлер предоставляет стампези общее разрешение на использование Субподрядчиков для предоставления Сервиса.

7.2 Обязательства Субподрядчиков

стампези обязуется требовать от Субподрядчиков согласия на обязательства по защите данных, соответствующие настоящему DPA, включая надлежащие меры безопасности.

7.3 Список Субподрядчиков и обновления

стампези предоставит список Субподрядчиков по адресу: [link-to-subprocessors-page].

стампези может время от времени обновлять список Субподрядчиков. Если того требует закон, стампези предоставит уведомление о существенных изменениях через панель управления, по электронной почте или путем публикации на странице Субподрядчиков.

7.4 Ответственность за Субподрядчиков

стампези несет ответственность за выполнение Субподрядчиками своих обязательств в той мере, в какой это требуется Применимым законодательством о защите данных и договорными обязательствами, принятыми стампези.

8) Международная передача данных

Персональные данные могут обрабатываться в странах за пределами юрисдикции Ритейлера в связи с глобальной инфраструктурой и использованием Субподрядчиков.

стампези предпримет разумные шаги для внедрения соответствующих гарантий передачи данных там, где это необходимо (например, контрактные меры защиты и другие меры, подходящие для передачи).

9) Меры безопасности

стампези внедрит надлежащие меры, предназначенные для защиты Персональных данных, такие как:

  • контроль доступа и принципы минимальных привилегий для внутренних систем,
  • шифрование при передаче (где поддерживается транспортным уровнем),
  • безопасное хранение паролей (хеширование) и контроль аутентификации,
  • мониторинг/журналирование подозрительной активности и злоупотреблений,
  • регулярное исправление (патчинг) и управление уязвимостями (в коммерчески разумных пределах),
  • практика резервного копирования и восстановления, соответствующая Сервису.

Ритейлер признает, что ни одна система не может быть защищена на 100%, и соглашается поддерживать собственные методы безопасности (защита устройств, обучение персонала, защита учетных данных).

10) Инциденты безопасности

10.1 Уведомление

Узнав об Инциденте безопасности, связанном с Персональными данными, обрабатываемыми в рамках настоящего DPA, стампези уведомит Ритейлера без неоправданной задержки и предоставит информацию, разумно необходимую для помощи Ритейлеру в выполнении юридических обязательств.

10.2 Информация и сотрудничество

стампези предоставит, в той мере, в какой это доступно и уместно:

  • характер инцидента,
  • категории и примерное количество затронутых субъектов данных/записей данных (если известно),
  • вероятные последствия (если была проведена оценка),
  • меры, принятые или предложенные для устранения инцидента.

10.3 Ответственность Ритейлера

Ритейлер несет ответственность за определение того, нужно ли направлять уведомление затронутым лицам или регулирующим органам, если закон не возлагает это обязательство на стампези в конкретном случае.

11) Запросы субъектов данных

Если стампези получает запрос от Конечного пользователя или иного субъекта данных на осуществление прав на конфиденциальность в отношении Персональных данных, обрабатываемых от имени Ритейлера, стампези обязуется:

  • перенаправить запрашивающее лицо к Ритейлеру, когда это уместно, и/или
  • уведомить Ритейлера (где это возможно), и
  • предоставить разумную помощь (через доступные инструменты и поддержку), чтобы Ритейлер мог ответить на запрос, как того требует Применимое законодательство о защите данных.

Ритейлер несет ответственность за ответы на такие запросы в установленные законом сроки.

12) Помощь в проведении DPIA и консультациях

В той мере, в какой это требуется Применимым законодательством о защите данных, учитывая характер обработки и доступную информацию, стампези предоставит разумную помощь в:

  • оценке воздействия на защиту данных (DPIA), и
  • консультациях с регулирующими органами,
    исключительно в рамках обработки данных по настоящему DPA.

13) Удаление и возврат персональных данных

13.1 В течение срока действия

Ритейлер может удалять определенные данные через доступные функции Сервиса.

13.2 После прекращения действия

После прекращения/истечения срока действия Сервиса стампези в разумный период времени обязуется:

  • удалить или вернуть Персональные данные, обрабатываемые от имени Ритейлера, за исключением:
    • законных обязательств по сохранению определенных данных,
    • журналов безопасности, сохраняемых для предотвращения злоупотреблений и обеспечения целостности системы,
    • резервных копий, сохраняемых в течение ограниченного периода времени в рамках стандартных практик аварийного восстановления.

13.3 Остаточные данные

Удаление из резервных копий может происходить на скользящей основе в соответствии с графиками резервного копирования. стампези будет обеспечивать защиту сохраненных данных в резервных копиях.

14) Аудит и комплаенс

14.1 Права на аудит

Ритейлер может запросить разумную информацию для подтверждения соблюдения стампези условий настоящего DPA.

#14.2 Ограничения аудита

Любой аудит должен:

  • ограничиваться обработкой в рамках настоящего DPA,
  • проводиться не чаще [одного раза в год], если не произошел Инцидент безопасности,
  • проводиться на условиях конфиденциальности,
  • не нарушать необоснованно операционную деятельность,
  • проводиться за счет Ритейлера.

стампези может удовлетворить запросы на аудит, предоставив краткие отчеты, документацию или отчеты о независимом аудите третьей стороны, если таковые имеются.

15) Конфиденциальность

Каждая сторона обязуется защищать конфиденциальную информацию другой стороны. Персонал стампези и Субподрядчики, имеющие доступ к Персональным данным, будут связаны обязательствами по соблюдению конфиденциальности.

16) Ответственность

Ответственность за вопросы конфиденциальности и защиты данных регулируется основным соглашением/Условиями, за исключением случаев, когда Применимое законодательство о защите данных требует иного.

17) Порядок приоритетности

В случае противоречий:

  1. любое подписанное DPA с конкретными оговоренными условиями (если применимо), затем
  2. настоящее DPA, затем
  3. основное соглашение/Условия.

18) Контакты

По вопросам DPA и защиты данных:
Email: [privacy@stampezee.com]

Забронировать звонок