Версия 1.0
Это Соглашение об обработке данных («DPA») является частью и дополняет Условия использования, Договор о подписке, Форму заказа или иное соглашение, регулирующее использование Программного обеспечения CodiCo для диспетчеризации («Основное соглашение»), заключенное между:
BILTO GROUP LLC, компанией, зарегистрированной в Объединенных Арабских Эмиратах, управляющей Программным обеспечением CodiCo для диспетчеризации («Обработчик»),
и
Клиентом, выступающим в качестве контроллера персональных данных («Контроллер»).
Контроллер и Обработчик совместно именуются «Стороны».
Настоящее DPA регулирует Обработку Персональных данных Обработчиком от имени Контроллера в связи с предоставлением Программного обеспечения CodiCo для диспетчеризации и связанных с ним услуг.
Стороны признают, что Контроллер определяет цели и средства Обработки Персональных данных и действует как Контроллер, в то время как Обработчик действует исключительно как Обработчик в соответствии со Статьей 28 GDPR.
«Персональные данные», «Контроллер», «Обработчик», «Субъект данных», «Обработка», «Надзорный орган» и другие термины, написанные с заглавной буквы, имеют значения, присвоенные им в соответствии с GDPR.
«Данные клиента» означают все Персональные данные, представленные, хранящиеся, переданные или иным образом обработанные через Программное обеспечение CodiCo для диспетчеризации Контроллером или от его имени.
Обработчик предоставляет облачные услуги диспетчеризации, бронирования, управления автопарком, управления водителями, управления пассажирами, планирования, отчетности, связи и связанные с ними услуги.
Обработка может включать в себя:
● сбор;
● хранение;
● организацию;
● извлечение;
● консультирование;
● передачу;
● синхронизацию;
● удаление;
● анализ, необходимый для работы сервиса.
Обработчик обязуется Обрабатывать Персональные данные исключительно с целью предоставления Услуг и в соответствии с документированными инструкциями Контроллера.
Категории Субъектов данных могут включать:
● пассажиров;
● клиентов;
● водителей;
● диспетчеров;
● операторов;
● администраторов;
● сотрудников Контроллера;
● деловые контакты.
Категории Персональных данных могут включать:
● имена;
● адреса электронной почты;
● номера телефонов;
● информацию о бронировании;
● информацию о поездке;
● места посадки и высадки;
● информацию о водителе;
● информацию о транспортном средстве;
● учетные данные аккаунта;
● данные GPS и местоположения;
● журналы связи;
● информацию об использовании сервиса.
Контроллер не должен загружать или предоставлять специальные категории персональных данных в соответствии со Статьей 9 GDPR, если это прямо не согласовано в письменной форме.
Обработчик не требует и не запрашивает копии паспортов, водительских прав, медицинских карт или других данных специальных категорий.
Контроллер гарантирует, что:
a) у него есть законные основания для Обработки Персональных данных;
b) он предоставил все необходимые уведомления Субъектам данных;
c) он несет единоличную ответственность за точность, качество и законность Данных клиента;
d) он получил все необходимые согласия, где это требуется.
Контроллер остается единолично ответственным за соблюдение GDPR и применимых законов о конфиденциальности.
Обработчик обязан:
a) Обрабатывать Персональные данные только на основании документированных инструкций Контроллера;
b) обеспечивать конфиденциальность персонала, имеющего доступ к Персональным данным;
c) внедрять надлежащие технические и организационные меры;
d) оказывать Контроллеру содействие в реагировании на запросы Субъектов данных, где это разумно возможно;
e) уведомлять Контроллера без неоправданной задержки после того, как ему стало известно о Нарушении безопасности Персональных данных, затронувшем Данные клиента;
f) оказывать разумное содействие в отношении обязательств по соблюдению GDPR.
Обработчик должен поддерживать разумные и надлежащие административные, технические и организационные меры защиты, предназначенные для обеспечения безопасности Данных клиента от несанкционированного доступа, раскрытия, изменения или уничтожения.
Меры безопасности могут включать:
● шифрование HTTPS;
● контроль доступа;
● процедуры аутентификации;
● разрешения на основе ролей;
● резервное копирование;
● защиту межсетевым экраном (firewall);
● мониторинг и ведение журналов;
● обновления безопасности программного обеспечения.
Обработчик не гарантирует, что Услуги будут полностью избавлены от всех уязвимостей или инцидентов безопасности.
Контроллер предоставляет Обработчику общее разрешение на привлечение Субобработчиков.
Обработчик может время от времени добавлять, заменять или удалять Субобработчиков, если это разумно необходимо для предоставления Услуг.
Обработчик должен вести актуальный список Субобработчиков и предоставлять эту информацию по запросу.
Обработчик остается ответственным за деятельность своих Субобработчиков в той мере, в какой это требуется применимым законодательством.
Сторонние сервисы, самостоятельно выбранные, подключенные или настроенные Контроллером, не считаются Субобработчиками Обработчика.
Контроллер признает, что доступ к Данным клиента, их обработка или передача на международном уровне могут осуществляться там, где это необходимо для работы, обслуживания, поддержки и предоставления Услуг.
Обработчик должен внедрить надлежащие гарантии, где это требуется в соответствии с применимыми законами о защите данных.
Если Обработчик получает запрос непосредственно от Субъекта данных, касающийся Данных клиента, Обработчик может перенаправить Субъекта данных к Контроллеру.
Обработчик должен оказывать разумное содействие Контроллеру в реагировании на такие запросы, когда это требуется по закону.
Контроллер может запросить информацию, разумно необходимую для подтверждения соблюдения настоящего DPA.
Физические инспекции, тестирование на проникновение, анализ исходного кода, сканирование уязвимостей, доступ к внутренним системам, доступ к конфиденциальной коммерческой информации или доступ к данным, относящимся к другим клиентам, не требуются.
Любой аудит должен:
● проводиться не более одного раза за календарный год;
● проводиться в обычные рабочие часы;
● проводиться при условии письменного уведомления не менее чем за 30 дней;
● не мешать операционной деятельности Обработчика;
● осуществляться за счет Контроллера.
После прекращения предоставления Услуг Данные клиента остаются доступными для экспорта в течение десяти (10) дней.
По истечении этого периода Данные клиента подлежат безвозвратному удалению из рабочих систем.
Остаточные копии, содержащиеся в резервных копиях, могут сохраняться до тех пор, пока они не будут перезаписаны в соответствии с процедурами хранения резервных копий Обработчика.
В максимальной степени, разрешенной законом, совокупная ответственность Обработчика, возникающая из настоящего DPA или в связи с ним, не должна превышать общую сумму вознаграждения, выплаченную Контроллером Обработчику в течение двенадцати (12) месяцев, непосредственно предшествующих событию, повлекшему за собой претензию.
Обработчик не несет ответственности за косвенные, случайные, последующие, особые, штрафные убытки или неустойки, включая упущенную выгоду, прибыль, деловую репутацию, упущенные коммерческие возможности или потерю данных.
Ничто в настоящем DPA не ограничивает ответственность в тех случаях, когда такое ограничение запрещено применимым законодательством.
Контроллер обязуется оградить Обработчика от ответственности и компенсировать убытки по любым претензиям, штрафам, взысканиям, ущербу или расходам, возникающим в связи с:
● незаконным сбором Персональных данных Контроллером;
● отсутствием законного основания для Обработки;
● непредоставлением необходимых уведомлений Субъектам данных;
● инструкциями Контроллера, нарушающими применимое законодательство.
Настоящее DPA регулируется законодательством, указанным в Основном соглашении.
При отсутствии такого положения применяются законы Объединенных Арабских Эмиратов.
В случае любого конфликта между настоящим DPA и Основным соглашением, настоящее DPA имеет преимущественную силу исключительно в отношении вопросов защиты данных.
Настоящее DPA вступает в силу с даты, когда Контроллер впервые принимает Основное соглашение, создает учетную запись, получает доступ к Услугам или иным образом использует Услуги, в зависимости от того, что произошло ранее.
Настоящее DPA остается в силе до тех пор, пока Обработчик Обрабатывает Персональные данные от имени Контроллера.
Прекращение действия или истечение срока действия Основного соглашения автоматически прекращает действие настоящего DPA, за исключением случаев, когда Обработчик продолжает Обрабатывать Персональные данные после такого прекращения в целях хранения данных, соблюдения законодательства, сохранения резервных копий, разрешения споров, обеспечения соблюдения договорных прав или иных законных деловых целей, разрешенных применимым законодательством.
Положения, касающиеся конфиденциальности, ответственности, аудита, международной передачи, удаления данных, разрешения споров и любые другие положения, которые по своей природе предназначены для сохранения силы после прекращения действия, остаются в силе после прекращения действия настоящего DPA.
После прекращения предоставления Услуг с Данными клиента обращаются в соответствии с Разделом 13 (Возврат и удаление данных).
Прекращение действия настоящего DPA не освобождает ни одну из Сторон от каких-либо обязательств, возникших до даты прекращения действия.
Обработчик предоставляет облачные услуги по диспетчеризации транспорта, управлению бронированием, управлению водителями, управлению пассажирами, управлению автопарком, связи, планированию, отчетности и связанные с ними программные услуги через платформу Программного обеспечения CodiCo для диспетчеризации.
Персональные данные обрабатываются исключительно с целью:
● предоставления Услуг;
● управления бронированием перевозок;
● диспетчеризации и назначения поездок;
● управления водителями и транспортными средствами;
● содействия связи между пассажирами, водителями и диспетчерами;
● генерации отчетов и аналитики;
● поддержки клиентов;
● поддержания безопасности, доступности и производительности Услуг.
Обработка продолжается в течение срока действия активной подписки Клиента.
После прекращения предоставления Услуг Данные клиента остаются доступными для экспорта в течение тесяти (10) дней.
По истечении этого периода Данные клиента удаляются в соответствии с DPA.
Категории Субъектов данных могут включать:
Пассажиры
● клиенты
● пассажиры
● путешественники
Водители
● наемные водители
● водители, работающие по контракту
● владельцы-операторы
Персонал клиента
● диспетчеры
● операторы
● администраторы
● менеджеры
● сотрудники
● подрядчики
Деловые контакты
● поставщики
● партнеры
● агенты
● аффилированные лица
Данные пассажиров
● имя
● фамилия
● адрес электронной почты
● номер телефона
● адрес подачи (посадки)
● адрес назначения (высадки)
● информация о бронировании
● история поездок
Данные водителей
● имя
● фамилия
● адрес электронной почты
● номер телефона
● информация о транспортном средстве
● статус доступности
● данные GPS-местоположения
● назначенные поездки
Операционные данные
● информация об учетной записи
● записи о входе в систему
● журналы активности
● журналы связи
● информация об использовании сервиса
Данные о местоположении
● местоположение транспортных средств
● местоположение водителей
● маршруты поездок
● диспетчерская информация
Услуги не предназначены для обработки Специальных категорий Персональных данных, определенных Статьей 9 GDPR.
Контроллер не должен загружать или иным образом предоставлять такие данные, если это прямо не согласовано Обработчиком в письменной форме.
Обработчик оставляет за собой право удалять такие данные, когда это разумно необходимо для защиты целостности и соответствия Услуг применимым требованиям.
Обработчик поддерживает разумные и надлежащие технические и организационные меры, предназначенные для защиты Данных клиента.
Следующие меры могут внедряться и обновляться время от времени:
● системы, защищенные паролем;
● разрешения на основе ролей;
● ограниченный доступ сотрудников;
● принципы наименьших привилегий;
● механизмы аутентификации пользователей.
● шифрование связи по протоколам HTTPS/TLS;
● защита межсетевым экраном (firewall);
● средства контроля безопасности инфраструктуры;
● мониторинг и ведение журналов.
● логическое разделение сред клиентов;
● контролируемый доступ к Данным клиента;
● процедуры резервного копирования;
● процедуры безопасного удаления.
Уполномоченный персонал несет обязательства по соблюдению конфиденциальности.
Доступ к Данным клиента предоставляется только в тех случаях, когда это разумно необходимо для:
● поддержки клиентов;
● технического обслуживания;
● устранения неполадок;
● предоставления услуг.
Обработчик использует распределенный штат сотрудников.
Уполномоченный персонал может получать удаленный доступ к Данным клиента из различных юрисдикций исключительно в законных деловых целях, связанных с Услугами.
Такой доступ ограничен уполномоченным персоналом и регулируется мерами контроля безопасности.
Обработчик поддерживает процедуры, предназначенные для выявления, расследования и реагирования на инциденты безопасности.
Если это требуется применимым законодательством, Контроллер уведомляется без неоправданной задержки после того, как Обработчику стало известно о Нарушении безопасности Персональных данных, затронувшем Данные клиента.
Обработчик осуществляет непрерывное техническое обслуживание, мониторинг и обновления безопасности, соответствующие характеру Услуг.
Обработчик не гарантирует абсолютную безопасность или бесперебойную работу Услуг.
Обработчик может время от времени изменять, улучшать или заменять меры безопасности при условии, что общий уровень безопасности не будет существенно снижен.
Контроллер признает и соглашается с тем, что Обработчик может привлекать следующих Субобработчиков:
Субобработчик | Цель |
DigitalOcean | Облачная инфраструктура и хостинг |
Stripe | Обработка платежей |
Google Workspace | Услуги электронной почты и календаря |
Google Maps Platform | Картографические услуги, геолокация и маршрутизация |
Firebase Cloud Messaging | Мобильные push-уведомления |
Usertour | Онбординг в продукте и руководство для пользователей |
Сторонние сервисы, самостоятельно выбранные, подключенные, настроенные или авторизованные Контроллером, не считаются Субобработчиками Обработчика.
Примеры могут включать:
● почтовые провайдеры клиента;
● SMTP-сервисы клиента;
● платежные провайдеры клиента;
● провайдеры связи клиента;
● CRM-системы клиента;
● интеграции клиента.
Контроллер остается единолично ответственным за оценку и одобрение таких сервисов.
Обработчик может добавлять, заменять или удалять Субобработчиков, когда это разумно необходимо для предоставления, обслуживания, улучшения или обеспечения безопасности Услуг.
Обновленный список Субобработчиков предоставляется по запросу.
Контроллер соглашается с тем, что такие изменения не требуют подписания нового Соглашения об обработке данных.
Copyright © 2025 CodiCo. Все права защищены.



Sangina
Customer manager
Hi dear 👋🏻
Any questions related to CodiCo Taxi Dispatch Software?
Start Chat