Додаток обробки даних

 

Цей Додаток є невід'ємною частиною Контракту та укладається:

 

  1. (i) Клієнт (" Експортер даних ")
  2. (ii) POSTCODEZIP («Імпортер даних »)

 

Кожна з них є «партією » і зазвичай «партією ».

 

Преамбула

ДЕ Імпортер даних надає професійні послуги програмного забезпечення, комп'ютерні та супутні послуги;

ДЕ відповідно до Контракту Імпортер даних погодився надати Експортеру даних послуги, зазначені в Контракті (" Послуги ");

ДЕ, надаючи Послуги, Імпортер даних отримує або отримує вигоду від доступу до інформації Експортера даних або інформації інших осіб, які мають (потенційні) відносини з Експортером даних, така інформація може кваліфікуватися як персональні дані у розумінні Регламенту (ЄС) 2016/679 Європейського парламенту та Ради від 27 квітня 2016 року про захист фізичних осіб щодо обробки персональних даних та про вільне переміщення таких даних (" GDPR ") та інші застосовні закони про захист даних.

ДЕ цей Додаток містить положення та умови, що застосовуються до збору, обробки та використання таких персональних даних Імпортером даних у якості уповноваженого агента з обробки даних Експортера даних, щоб забезпечити дотримання Сторонами чинного законодавства про захист даних .

 

ТОМУ, і щоб Сторони могли продовжувати свої відносини на законних підставах, Сторони уклали цей Додаток таким чином:

Частина 1

 

1. Структура документа та визначення

1.1 Структура

Цей Додаток складається з різних частин, а саме:

 

Частина 1:

містить загальні положення, наприклад, щодо визначень, що використовуються в цьому Додатку, відповідності місцевим законам, термінів та припинення

Частина 2:

містить основний текст документа зі Стандартними договірними положеннями без змін

Додаток 1.1 частини 2:

містить деталі операцій обробки, наданих Імпортером даних Експортеру даних як уповноваженому агенту з обробки даних (включаючи обробку, характер та мету обробки, тип персональних даних та категорії суб’єктів даних) відповідно до цього Додаток

Додаток 2 частини 2:

містить опис технічних та організаційних заходів безпеки Імпортера даних, які застосовуються у зв’язку з усіма діяльністю з обробки, описаною в Додатку 1.1 Частини 2

Частина 3:

містить підписи Сторін, які зобов’язуються цим Додатком, та ідентифікує кожного імпортера даних

 

1.2 Термінологія та визначення

Для цілей цього Додатка застосовуються термінологія та визначення, що використовуються в GDPR (у тій частині документа «Стандартне договірне положення» у частині 2, де визначені терміни не пишуться з великої літери). 

 

"держава-член"

означає країну, що належить до Європейського Союзу або Європейської економічної зони

«Особливі категорії (особистих) даних»

відноситься до персональних даних, які розкривають расове або етнічне походження, політичні погляди, релігійні чи філософські переконання або членство в профспілках, а також генетичні дані, біометричні дані, якщо вони обробляються з метою однозначної ідентифікації особи, дані про стан здоров’я, дані, що стосуються статі особи життя або сексуальна орієнтація

«Стандартні договірні положення»

означає Стандартні договірні положення щодо передачі персональних даних агентів з обробки даних, створених у третіх країнах, відповідно до Рішення Комісії 2010/87/ЄС від 5 лютого 2010 року, до якого було внесено зміни, доповнені Виконавчим рішенням Комісії (ЄС) 2016/2297 від 16 числа грудень 2016 року

"Процесор даних"

означає будь-якого агента з обробки даних, розташованого в ЄС/ЄЕЗ або за його межами, який погоджується отримувати від Імпортера даних або будь-якого іншого обробника Імпортеру даних персональні дані виключно для цілей обробки, яка буде здійснюватися Експортером даних після передача відповідно до інструкцій Експортера даних, умов цього Додатка та Контракту з Імпортером даних

 

 

2. Обов'язки експортера даних

2.1 Експортер даних зобов’язаний забезпечити дотримання всіх застосовних зобов’язань згідно з GDPR та будь-яким іншим застосовним законодавством про захист даних, яке застосовується до експортера даних, а також продемонструвати відповідність вимогам статті 5 (2) GDPR. Експортер даних гарантує, що Імпортер даних отримав попередню згоду суб’єктів даних відповідно до статті 6 (a) GDPR та виконав своє зобов’язання щодо інформування суб’єктів даних відповідно до статей 13 і 14 GDPR.

2.2 Експортер даних повинен надати Імпортеру даних відповідні файли діяльності з обробки відповідно до статті 30 (1) GDPR, пов’язаних із Послугами згідно з цим Додатком, у міру, необхідному, щоб Імпортер даних виконував зобов’язання згідно Стаття 30 (2) GDPR.

2.3 Експортер даних повинен призначити посадову особу або представника із захисту даних у межах, передбачених чинним законодавством про захист даних. Експортер даних зобов’язаний надати імпортеру даних контактні дані агента із захисту даних або представника, якщо такий є.

2.4. Експортер даних підтверджує до завершення обробки, приймаючи цей Додаток, що технічні та організаційні заходи безпеки Імпортера даних, викладені в Додатку 2 до Частини 2, є відповідними та достатніми для захисту прав суб’єкта даних. і підтверджує, що імпортер даних забезпечує достатні гарантії щодо цього.

 

3. Дотримання місцевого законодавства

Щоб задовольнити вимоги щодо впровадження агентів обробки відповідно до статті 28 GDPR, застосовуються такі зміни:

 

3.1 Інструкції

  1. (i) Експортер даних доручає Імпортеру даних обробляти персональні дані лише від імені Експортера даних. Інструкції Експортера даних наведені в цьому Додатку та в Контракті. Експортер даних зобов’язаний переконатися, що всі інструкції, дані Імпортеру даних, відповідають чинному законодавству про захист даних. Імпортер даних повинен обробляти персональні дані лише відповідно до інструкцій, наданих Експортером даних, якщо інше не вимагається Європейським Союзом або законодавством країни-члена (в останньому випадку застосовується частина 1, пункт 3.2 (iv) (c)) .
  2. (ii) Усі інші інструкції, що виходять за межі інструкцій у цьому Додатку або в Контракті, повинні бути включені в предмет цього Додатка та Контракту. Якщо виконання цієї додаткової інструкції передбачає витрати для Імпортера даних, Імпортер даних повинен повідомити Експортера даних про такі витрати та надати пояснення перед виконанням інструкції. Лише після того, як Експортер даних підтвердить прийняття цих витрат на виконання інструкції, Імпортер даних повинен виконати цю додаткову інструкцію. Експортер даних повинен дати додаткові інструкції в письмовій формі, якщо терміновість або інші конкретні обставини не вимагають іншої форми (наприклад, усної, електронної). Інструкції у формі, відмінній від письмової, повинні бути підтверджені Експортером даних у письмовій формі та негайно.
  3. 1. Якщо Експортер даних не може самостійно здійснити виправлення, стирання або обмеження персональних даних, інструкції можуть також стосуватися виправлення, стирання та/або обмеження персональних даних, як зазначено в частині 1, пункті 3.3.
  4. 2. Імпортер даних повинен негайно повідомити експортера даних, якщо, на його думку, Інструкція порушує GDPR або інші застосовні положення про захист даних Європейського Союзу або держави-члена («Оспорювана інструкція »"). Якщо Імпортер даних вважає, що Інструкція порушує GDPR або інші застосовні положення про захист даних Європейського Союзу або країни-члена, Імпортер даних не зобов'язаний дотримуватися Оскаржуваної Інструкції. Якщо Експортер даних підтверджує Оскаржену Інструкцію після Отримавши інформацію від Імпортера даних та визнає свою відповідальність за Оскаржену інструкцію, Імпортер даних повинен виконувати Оскаржену інструкцію, якщо оскаржувана Інструкція не стосується (i) виконання технічних та організаційних заходів, (ii) прав на Дані Суб’єкти або (iii) залучення обробників даних У випадках (i)–(iii) Імпортер даних може зв’язатися з компетентним наглядовим органом, щоб оскаржувана Інструкція юридично оцінила такий орган.Якщо наглядовий орган визнає оскаржену Інструкцію законною, Імпортер даних зобов’язаний виконувати оскаржену Інструкцію. Частина 1 Пункт 3.1 (ii) залишається застосовною.

 

3.2 Обов'язки імпортера даних

  1. (i) Імпортер даних повинен забезпечити, щоб особи, уповноважені Імпортером даних обробляти персональні дані від імені Експортера даних, зокрема працівники Імпортера даних та працівники будь-якого Субпідрядника, зобов’язалися дотримуватись конфіденційності або підлягають відповідний законодавчий обов’язок щодо конфіденційності, а також щоб особи, які мають доступ до персональних даних, обробляли їх відповідно до інструкцій Експортера даних.
  2. (ii) Імпортер даних повинен застосувати технічні та організаційні заходи безпеки, викладені в Додатку 2 до Частини 2, перш ніж обробляти персональні дані від імені Експортера даних. Імпортер даних може час від часу змінювати технічні та організаційні заходи безпеки, якщо вони не забезпечують менший захист, ніж ті, що викладені в Додатку 2 до Частини 2.
  3. (iii) Імпортер даних надає Експортеру даних, на запит Експортера даних, інформацію для підтвердження виконання Імпортером даних зобов'язань згідно з цим Додатком. Сторони погоджуються, що це інформаційне зобов’язання виконується шляхом надання Експортеру даних аудиторського звіту (що охоплює безпеку принципів, доступність системи та конфіденційність) («Звіт про аудит»). Якщо додаткова аудиторська діяльність вимагає закону, Експортер даних може вимагати проведення перевірок Експортером даних або іншим аудитором, призначеним Експортером даних, за умови виконання таким аудитором угоди про конфіденційність з Імпортером даних до Імпортера даних розумне задоволення ("Аудит"). Цей аудит підлягає дотриманню таких умов:(i) попереднє офіційне письмове прийняття Імпортером даних; та (ii) Експортер даних несе всі витрати, пов'язані з аудитом на місці для Експортера даних та Імпортера даних. Експортер даних повинен створити звіт про аудит, узагальнюючи результати та спостереження аудиту на місці («Звіт про аудит на місці»). Звіти про аудит на місці та звіти про аудит є конфіденційною інформацією Імпортера даних і не повинні бути розголошені третім сторонам, якщо цього не вимагає чинне законодавство про захист даних або згідно з згодою Імпортера даних.Звіти про аудит на місці та звіти про аудит є конфіденційною інформацією Імпортера даних і не повинні бути розголошені третім сторонам, якщо цього не вимагає чинне законодавство про захист даних або згідно з згодою Імпортера даних.Звіти про аудит на місці та звіти про аудит є конфіденційною інформацією Імпортера даних і не повинні бути розголошені третім сторонам, якщо цього не вимагає чинне законодавство про захист даних або згідно з згодою Імпортера даних.
  4. (iv) Імпортер даних зобов'язаний повідомити експортера даних без зайвої затримки:
    1. а. стосовно будь-якого юридично обов’язкового запиту про розкриття персональних даних правоохоронним органом, якщо інше не заборонено, наприклад, заборона кримінальним законодавством на захист конфіденційності правоохоронного розслідування
    2. б. стосовно будь-якої скарги та запиту, отриманого безпосередньо від суб’єкта даних (наприклад, щодо доступу, виправлення, видалення, обмеження обробки, переносимості даних, заперечення проти обробки даних, автоматизованого прийняття рішень) без відповіді на цей запит, якщо Імпортер даних не отримав дозвіл зробити так
    3. c. якщо Імпортер даних або Обробник даних зобов’язаний відповідно до законодавства Європейського Союзу або держави-члена, якій підпорядкований Імпортер даних або Обробник даних, обробляти персональні дані поза інструкціями Експортера даних, перш ніж виконувати таку обробку поза межами інструкції, за винятком випадків, коли закони Європейського Союзу або держави-члена забороняють таку обробку з міркувань життєво важливих суспільних інтересів, і в такому випадку в повідомленні експортера даних вказується юридична вимога згідно з цим законодавством Європейського Союзу або держави-члена; або
    4. d. якщо Імпортер даних усвідомлює порушення персональних даних виключно через себе або свого субпідрядника, що вплине на персональні дані Експортера даних, на які поширюється цей контракт, і в такому випадку Імпортер даних допоможе експортеру даних у виконанні його зобов'язань, vis-Ã -vis чинного законодавства про захист даних, щоб інформувати суб'єктів даних і, якщо доречно, наглядові органи, надавши інформацію, яка є у його розпорядженні, відповідно до статті 33 (3) GDPR.
    5. (v) На запит експортера даних імпортер даних буде змушений допомогти експортеру даних у його зобов'язанні провести оцінку впливу на захист даних, яка може вимагатися відповідно до статті 35 GDPR, і попередні консультації, які можуть бути вимоги статті 36 GDPR щодо послуг, що надаються Імпортером даних Експортеру даних згідно з цим Додатком, надання необхідної та інформації Експортеру даних. Імпортер даних буде зобов’язаний надати таку допомогу лише в тому випадку, якщо Експортер даних не може виконати свої зобов’язання іншими способами. Імпортер даних повідомить Експортеру даних вартість такої допомоги. Як тільки експортер даних підтвердить, що він може нести ці витрати, імпортер даних надасть експортеру даних цю допомогу.
    6. (vi) Після закінчення надання послуг Експортер даних може вимагати повернення персональних даних, оброблених Імпортером даних згідно з цим Додатком, протягом одного місяця після надання послуг. Якщо законодавство країни-члена або Європейського Союзу не вимагає від Імпортера даних зберігати або зберігати такі персональні дані, Імпортер даних видалить усі такі персональні або неперсональні дані після місячного періоду, незалежно від того, чи були вони повернені до експортера даних на його запит чи ні.

 

3.3 Права зацікавлених осіб

  1.  
    1. (i) Експортер даних керує запитами суб’єктів даних і відповідає на них. Імпортер даних не зобов’язаний безпосередньо відповідати суб’єктам даних.
    2. (ii) Якщо Експортер даних потребує допомоги Імпортера даних в обробці та відповіді на запити Суб'єкта даних, Експортер даних видає додаткову інструкцію відповідно до пункту 3.1 (ii) Частини 1. Імпортер даних допоможе Експортеру даних з наступними відповідними та технічними організаційними заходами для відповіді на запити щодо реалізації прав суб’єктів даних, викладених у розділі III GDPR:
    3. а. Щодо запитів на інформацію, Імпортер даних надаватиме Експортеру даних лише ту інформацію, яку вимагає статті 13 і 14 PGRD, яку він може мати у своєму розпорядженні, якщо експортер даних не може знайти її самостійно.
    4. б. Щодо запитів на доступ (стаття 15 GDPR), Імпортер даних надаватиме Експортеру даних лише ту інформацію, яка повинна бути надана суб’єкту даних для зазначеного запиту на доступ, яку він може мати у своєму розпорядженні, якщо останній не може знайти його сам.
    5. c. Щодо запитів на виправлення (стаття 16 GDPR), запитів на видалення (стаття 17 GDPR), обмеження запитів на обробку (стаття 18 GDPR) або запитів на перенесення (стаття 20 GDPR), так і лише якщо Експортер даних не може сам виправити або стерти, обмежити або передати персональні дані іншій третій стороні, Імпортер даних запропонує Експортеру даних можливість виправити або стерти, обмежити або передати відповідні персональні дані іншій третій стороні, або якщо це неможливо, він надасть допомогу для виправлення або видалення, обмеження або передачі третій стороні відповідних персональних даних.
    6. d. Щодо повідомлення про виправлення, стирання або обмеження обробки (стаття 19 GDPR), Імпортер даних допоможе Експортеру даних, сповістивши всіх одержувачів персональних даних, залучених Імпортером даних як обробників, якщо експортер даних цього вимагає та якщо експортер даних не може самостійно виправити ситуацію.
    7. e. Щодо права заперечення, яким користується суб’єкт даних (статті 21 і 22 GDPR), експортер даних визначатиме, чи є заперечення законним і як з ним поводитися.
    8. (iii) Зобов'язання Імпортера даних щодо надання допомоги обмежуються персональними даними, які обробляються в рамках його інфраструктури (наприклад, бази даних, системи, програми, що належать Імпортеру даних або надаються ним).
    9. (iv) Експортер даних визначає, чи може суб’єкт даних користуватися правами суб’єктів даних, викладеними в пункті 3.1 цієї частини 1, і повідомляє Імпортер даних про ступінь допомоги, зазначеної в пунктах 3.3 (ii), ( iii) частини 1 необхідно.
    10. (v) Якщо Експортер даних вимагає додаткових або змінених технічних та організаційних заходів для забезпечення прав суб’єктів даних, які виходять за рамки допомоги, наданої Імпортером даних відповідно до підпункту 3.3 (ii), (iii) частини 1, Дані Імпортер інформує Експортера даних про витрати на впровадження таких додаткових або модифікованих технічних та організаційних заходів. Щойно Експортер даних підтвердить, що може оплатити ці витрати, Імпортер даних вживе такі додаткові або модифіковані технічні та організаційні заходи, щоб допомогти Експортеру даних у відповіді на запити Суб'єктів даних.
    11. (vi) Не обмежуючи сферу дії пункту 3.3 (v) частини 1, Експортер даних зобов’язаний відшкодувати Імпортеру даних його розумні витрати, понесені у відповідь на запити Суб’єктів даних.

 

3.4 Підобробка

  1.  
    1. (i) Експортер даних дозволяє Імпортеру даних використовувати субпідрядників для надання послуг згідно з цим Додатком. Імпортер даних повинен ретельно вибирати таких обробників даних. Експортер даних затверджує обробників даних, перелічених у Додатку 1.1 в кінці Частини 2.
    2. (ii) Імпортер даних передає свої зобов'язання згідно з цим Додатком обробнику (обробникам) даних, якщо це стосується послуг субпідрядника.
    3. (iii) Імпортер даних може звільнити, замінити або призначити іншого відповідного та надійного обробника даних на свій розсуд. Якщо експортер даних запитає про це в письмовій формі, імпортер даних повинен дотримуватися процедури, викладеної нижче:
  1.  
    1. а. Імпортер даних повинен інформувати Експортера даних перед будь-якими змінами в списку обробників даних, зазначених у пункті 3.4 (i) частини 1. Якщо Експортер даних не заперечує відповідно до пункту 3.4. (b) Частини 1 через тридцять днів після отримання повідомлення від Імпортера даних, вважатиметься, що додаткові обробники даних прийняті.
    2. б. Якщо експортер даних має законні підстави заперечувати проти додаткового обробника даних, він попередньо письмово повідомить імпортер даних протягом тридцяти днів з моменту отримання повідомлення імпортера даних і до того, як послуга імпортера даних буде введена в дію. Якщо експортер даних заперечує проти використання додаткового процесора даних, імпортер даних може видалити заперечення за допомогою одного з наступних варіантів (вибраних на свій розсуд): (A) Імпортер даних скасує свої плани щодо використання додаткового процесора щодо персональні дані Експортера даних; (B) Імпортер даних вживе коригувальних заходів, запитаних Експортером даних у своєму запереченні (скасуючи заперечення) та використає додатковий обробник щодо персональних даних Експортера даних;(C) Імпортер даних може припинити надання або Експортер даних може погодитися не використовувати (тимчасово або назавжди) певний аспект послуги, який передбачатиме використання подальшого обробника персональних даних Експортера даних.
  1.  
    1. (iv) якщо обробник даних перебуває за межами ЄС-ЄЕЗ в країні, яка не визнана як пропонує належний рівень захисту даних після рішення Європейської комісії, Імпортер даних вживе заходів для дотримання належного рівня захисту даних відповідно до GDPR (такі заходи можуть включати, серед іншого, і - використання контрактів на обробку даних на основі положень моделі ЄС, передачу самосертифікованим обробникам даних у рамках програми EU-US Protection Shield , або подібна програма).

 

3.5 Термін дії

Термін дії цього Додатка ідентичний терміну дії відповідного Договору. Якщо інше не передбачено в цьому Додатку, права та обов’язки, пов’язані з припиненням, будуть такими ж, як і в Контракті.

 

4. Обмеження відповідальності

4.1 Кожна сторона виконує свої зобов'язання згідно з цим Додатком та чинним законодавством про захист даних.

4.2 Будь-яка відповідальність, пов'язана з порушенням зобов'язань за цим Додатком або чинним законодавством про захист даних, підлягає і регулюється положеннями про відповідальність, викладеними в Контракті або застосовними до нього, якщо інше не передбачено в цьому Додатку. Якщо відповідальність регулюється положеннями про відповідальність, викладеними в Контракті або застосовними до нього, для обчислення лімітів відповідальності або визначення застосування інших обмежень відповідальності, будь-яка відповідальність, що виникає згідно з цим Додатком, вважається такою, що виникає за Договором.

 

5. Загальні положення

5.1 У разі будь-яких невідповідностей або розбіжностей між частинами 1 і 2 цього Додатка, частина 2 має перевагу. Зокрема, навіть у такому випадку частина 1, яка просто виходить за межі частини 2 (тобто умов Стандартних положень), не суперечить їй, залишається чинною.

5.2 Якщо виникне будь-яка розбіжність між положеннями цього Додатка та положеннями інших договорів, які зобов’язують сторони, цей Додаток має перевагу щодо зобов’язань сторін щодо захисту даних. У разі сумнівів щодо того, чи стосуються положення інших договорів зобов’язання сторін щодо захисту даних, перевагу має цей Додаток.

5.3 Якщо будь-яке положення цього Додатка є недійсним або не має законної сили, решта цього Додатка залишається в повній силі. Недійсне або невиконане положення буде (i) змінено, щоб забезпечити його дійсність і придатність до виконання, зберігаючи, наскільки це можливо, наміри сторін, або - якщо це неможливо - (ii) інтерпретувати, як ніби недійсна або невиконана частина мала ніколи не був частиною договору. Вищезазначене також застосовується, якщо в цьому Додатку є пропуск.

5.5 У міру необхідності Сторони можуть вимагати внесення змін до Частини 1, Пункту 3 (Відповідність місцевому законодавству) або інших частин Додатка з метою дотримання тлумачень, директив або наказів, виданих компетентними органами Союзу або Держави-члени, національні правозастосовні положення або будь-які інші юридичні зміни, що стосуються GDPR чи інших умов делегування будь-яким організаціям, які беруть участь у обробці даних, зокрема щодо використання Стандартних договірних положень у GDPR. Умови Стандартних договірних положень не можуть бути змінені або замінені, якщо Європейська Комісія не схвалить це прямо (наприклад, новими адекватними положеннями та стандартами захисту даних).

5.6 Будь-яке посилання в цьому Додатку на «Положення» має розумітися як посилання на всі положення цього Додатка, якщо не вказано інше.

5.7 Вибір закону в частині 2, пункт 9 застосовується до всього Договору.

 

6.  Персональні дані, що передаються та обробляються сторонами в особистих цілях (передача від розпорядника даних до розпорядника даних)

6.1 Сторони повністю знають, що певні персональні дані будуть передані від Експортера даних до Імпортеру даних і навпаки, і що такі дані обробляються кожною Стороною для власних цілей. Що стосується таких персональних даних, то це не впливає на інші положення цього Додатка (крім цього пункту 6).

6.2 Експортер даних може передавати персональні дані, що стосуються персоналу Імпортера даних, Імпортеру даних, включаючи інформацію про інциденти з безпекою, або будь-які інші документи чи файли, створені чи створені Експортером даних у зв’язку з Послугами, які надаються персоналом імпортер даних. Імпортер даних може обробляти такі персональні дані для власних цілей, зокрема у своїх професійних відносинах з персоналом Імпортеру даних, для контролю якості та навчання, або для бізнес-цілей.

6.3. Імпортер даних може передати персональні дані Експортеру даних, включаючи ім’я та контактні дані персоналу Імпортера даних. Експортер даних може обробляти такі персональні дані для власних цілей.

6.4 При зборі, обробці та використанні таких персональних даних, отриманих від іншої сторони відповідно до пункту 1 частини 1, обидві сторони повинні дотримуватися будь-якого чинного законодавства про захист даних, включаючи GDPR. Зокрема, обидві сторони вживають належних заходів безпеки, забезпечуючи рівень захисту подібний до заходів безпеки, зазначених у Додатку 2 частини 2. Будь-який доступ до таких персональних даних обмежується необхідністю їх знати.

6.5 Обидві Сторони повинні видалити такі персональні дані якомога швидше після досягнення цілей.

Частина 2

 

РІШЕННЯ КОМІСІЇ

5 лютого 2010 року

про стандартні договірні положення щодо передачі персональних даних обробникам даних, створеним у сторонніх країнах відповідно до Директиви Європейського Парламенту та Ради 95/46/EC

 

 

 

Пункт 1

Визначення

За змістом пунктів:

а) «персональні дані», «спеціальні категорії даних», «обробка/обробка», «контролер», «обробник», «суб’єкт даних» та «наглядовий орган» мають те саме значення, що й у 95/46/EC Директива Європейського Парламенту та Ради від 24 жовтня 1995 року про захист фізичних осіб щодо обробки персональних даних та про вільне переміщення таких даних (1);

b) «Експортер даних» є контролером даних, який передає персональні дані;

c) «Імпортер даних» — це обробник даних, який погоджується отримувати від Експортера даних персональні дані, призначені для обробки від імені Експортера даних після передачі відповідно до його інструкцій та на умовах цих положень, і який не є підпадає під дію механізму третьої країни, що забезпечує належний захист у значенні статті 25(1) Директиви 95/46/ЄС; (d) «Обробник даних» означає обробника даних, залученого Імпортером даних або будь-яким іншим обробником даних Імпортером даних, який погоджується отримувати від Імпортера даних або будь-якого іншого обробника даних Імпортер даних персональні дані виключно для діяльності з обробки для здійснюватися від імені Експортера даних після передачі відповідно до інструкцій Експортера даних,на умовах, викладених у цих Пунктах, і на умовах письмового субпідрядного договору про обробку даних;

e) «застосовне законодавство про захист даних» означає законодавство, яке захищає основні права і свободи осіб, включаючи право на приватність щодо обробки персональних даних, і застосовується до контролера в державі-члені, де зареєстровано Експортер даних;

f) "технічні та організаційні заходи, що стосуються безпеки" означає заходи, спрямовані на захист персональних даних від випадкового чи незаконного знищення або випадкової втрати, зміни, несанкціонованого розкриття або доступу, зокрема, якщо обробка передбачає передачу даних через мережі, а також від усіх інших незаконних форм обробки.

Пункт 2

Деталі передачі

Деталі передачі, включаючи, у відповідних випадках, спеціальні категорії персональних даних, зазначені в Додатку 1, який є невід’ємною частиною цих положень.

Пункт 3

Застереження щодо третьої сторони-бенефіціара

1. Суб'єкт даних може застосувати проти Експортера даних цей пункт, пункт 4(b)–(i), пункт 5(a)–(e) та (g)–(j), пункт 6(1) та (2) ), Пункт 7, Пункт 8(2) та Пункти 9-12 як бенефіціар третьої сторони

2. Суб’єкт даних може застосувати цей пункт, пункт 5 (a) – (e) і (g), пункт 6, пункт 7, пункт 8 (2) та пункти 9 – 12 проти імпортера даних, якщо експортер даних фізично зник або припинив своє існування в законодавстві, якщо всі його юридичні зобов’язання не були передані за договором або в силу закону юридичній особі-правонаступнику, до якої, таким чином, повертаються права та обов’язки Експортера даних, і проти якої дані тому суб'єкт може забезпечити виконання зазначених положень.

Суб’єкт даних може застосувати цей пункт, пункт 5 (a) – (e) і (g), пункт 6, пункт 7, пункт 8 (2) і пункти 9 – 12 проти обробника даних, але лише у випадках, коли дані Експортер та Імпортер даних фізично зникли, припинили своє існування або стали неплатоспроможними, якщо всі юридичні зобов’язання Експортера даних не були передані за договором або на підставі закону правонаступнику, якому права та Таким чином, зобов’язання експортера даних покладені на нього, і тому суб’єкт даних може застосувати такі положення. Така відповідальність Обробника даних має бути обмежена його власною обробкою відповідно до цих положень.

4. Сторони не заперечують проти того, щоб суб'єкт даних представляв асоціація або інший орган, якщо він або вона цього бажає і якщо це дозволяє національне законодавство.

Пункт 4

Обов'язки експортера даних

Експортер даних приймає та гарантує наступне:

a) обробка, включаючи фактичну передачу персональних даних, здійснювалася і буде здійснюватися відповідно до відповідних положень чинного законодавства про захист даних (і, якщо застосовно, була повідомлена компетентним органам держави-члена в якому базується Експортер даних) і не порушує відповідних положень цієї Держави;

b) вони доручили і будуть доручати Імпортеру даних обробляти персональні дані, передані виключно від імені Експортера даних, відповідно до чинного законодавства про захист даних та цих положень, і будуть доручати на період надання послуг з обробки персональних даних;

c) Імпортер даних забезпечить достатні гарантії щодо технічних та організаційних заходів безпеки, зазначених у Додатку 2 до цього контракту;

d) після оцінки вимог чинного законодавства про захист даних заходи безпеки є достатніми для захисту персональних даних від випадкового чи незаконного знищення чи випадкової втрати, зміни, несанкціонованого розкриття чи доступу, зокрема, якщо обробка передбачає передачу даних через мережу та проти всіх інших незаконних форм обробки та забезпечити рівень безпеки, відповідний ризикам, які представляє обробка, і характеру даних, які підлягають захисту, з урахуванням рівня технології та вартості впровадження;

д) забезпечуватимуть дотримання заходів безпеки;

f) якщо передача стосується спеціальних категорій даних, суб’єкт даних був поінформований або буде поінформований до передачі або якомога швидше після передачі, що його чи її дані можуть бути передані до третьої країни, яка не пропонує відповідний рівень захисту відповідно до Директиви 95/46/EC;

g) вони надсилатимуть будь-яке повідомлення, отримане від Імпортера даних або будь-якого обробника даних відповідно до пунктів 5 (b) і 8 (3) до органу нагляду за захистом даних, якщо він вирішить продовжити передачу або скасувати її призупинення;

h) вони надають суб'єктам даних, якщо вони цього запитують, копію цих положень, за винятком Додатка 2, та короткий опис заходів безпеки, а також копію будь-якої подальшої угоди про субпідряд, укладеної відповідно до цих положень, якщо не Пункти або договір містять комерційну інформацію, у цьому випадку він може відкликати таку інформацію;

i) у разі надання субпідряду на процес обробки даних, діяльність з обробки здійснюється відповідно до пункту 11 обробником даних, що забезпечує принаймні такий самий рівень захисту персональних даних і прав суб’єкта даних, що й імпортер даних відповідно до цих положень. ; і

j) це забезпечить відповідність пункту 4 (a)–(i).

Пункт 5

Обов'язки імпортера даних

Імпортер даних приймає та гарантує наступне:

а) вони оброблятимуть персональні дані лише від імені Експортера даних та згідно з інструкціями Експортера даних та цими положеннями; якщо він не може виконати з будь-якої причини, вони погоджуються якомога швидше повідомити Експортера даних про свою неспроможність, і в цьому випадку Експортер даних може призупинити передачу даних та/або розірвати контракт;

b) у них немає підстав вважати, що застосовне до них законодавство перешкоджає йому виконувати інструкції, дані Експортером даних, і зобов'язання, покладені на нього за контрактом, і якщо таке законодавство підлягає зміні, яка може мати суттєві негативні наслідки вплив на гарантії та зобов’язання згідно з положеннями, він повинен повідомити Експортер даних про зміну негайно після того, як дізнався про це, і в цьому випадку Експортер даних може призупинити передачу даних та/або припинити дію контракту; (c) вони вжили технічних та організаційних заходів безпеки, зазначених у Додатку 2, до обробки переданих персональних даних;

d) вони негайно повідомлять Експортеру даних:

i) будь-який обов'язковий запит на розкриття персональних даних від правоохоронного органу, якщо не зазначено інше, наприклад, кримінальна заборона, спрямована на збереження таємниці поліцейського розслідування;

ii) будь-який випадковий або несанкціонований доступ; і

iii) будь-який запит, отриманий безпосередньо від зацікавлених осіб без відповіді на нього, якщо він не уповноважений на це; адміністратори

e) вони швидко та належним чином розглядатимуть усі запити від Експортера даних щодо обробки ним персональних даних, що передаються, та діятимуть відповідно до висновку наглядового органу щодо обробки переданих даних;

f) на прохання експортера даних вони піддадуть свої засоби обробки даних аудиту діяльності з обробки даних, що охоплюються цими положеннями, яку буде здійснювати Експортер даних або наглядовий орган, що складається з незалежних членів з необхідною професійною кваліфікацією, підлягає зобов’язанням зберігати секретність і обирається Експортером даних, якщо це необхідно, за згодою наглядового органу;

g) вони нададуть суб'єкту даних, якщо він цього вимагає, копію цих положень або будь-якого існуючого субпідрядного договору про обробку даних, якщо положення або контракт не містять комерційну інформацію, і в такому випадку він може видалити таку інформація, за винятком Додатка 2, яка буде замінена стислим описом заходів безпеки, якщо суб’єкт даних не може отримати копію від Експортера даних;

h) у разі подальшого конфіденційного надання субпідряду на обробку даних, він забезпечить завчасне інформування Експортера даних та отримання письмової згоди Експортера даних;

i) послуги обробки, що надаються Обробником даних, повинні відповідати пункту 11;

j) вони негайно надішлють експортеру даних копію будь-якого субпідрядного договору про обробку даних, укладеного ним відповідно до цих положень.

Пункт 6

Відповідальність

1. Сторони погоджуються, що будь-який суб'єкт даних, який зазнав збитків через порушення зобов'язань, зазначених у пункті 3 або пункті 11, однією стороною або обробником даних, може отримати компенсацію від Експортера даних за заподіяну шкоду.

2. Якщо суб’єкту даних заборонено подати позов про відшкодування збитків, зазначених у параграфі 1, проти Експортера даних через невиконання Імпортером даних або його обробником даних будь-яких своїх зобов’язань згідно з пунктом 3 або пунктом 11, оскільки дані Експортер фізично зник, припинив своє існування або став неплатоспроможним, Імпортер даних погоджується, що суб’єкт даних може подати скаргу на нього, як на експортера даних, якщо всі юридичні зобов’язання Експортера даних не були передані за договором або відповідно до закону, його правонаступнику, проти якого суб’єкт даних може потім відстоювати свої права. Імпортер даних не може покладатися на порушення своїх зобов’язань обробником даних, щоб уникнути власної відповідальності.

3. Якщо суб’єкту даних заборонено подати позов, зазначений у параграфах 1 і 2, проти Експортера даних або Імпортера даних за порушення обробником даних своїх зобов’язань згідно з пунктом 3 або пунктом 11, оскільки експортер даних та імпортер даних фізично зникли, припинили своє існування або стали неплатоспроможними, Обробник даних погоджується, що суб’єкт даних може подати на нього скаргу щодо його власної діяльності з обробки відповідно до цих положень, як якщо б він був Експортером або Імпортером даних, якщо всі юридичні обов’язки Експортера даних або Імпортера даних були передані за договором або в силу закону до правонаступника, проти якого суб’єкт даних може потім відстоювати свої права.Відповідальність обробника даних має бути обмежена його власною діяльністю з обробки відповідно до цих положень.

 

Пункт 7

Медіація та юрисдикція

1. Імпортер даних погоджується, що якщо відповідно до положень суб’єкт даних посилається проти нього на право третьої сторони-бенефіціара та/або вимагає компенсації за заподіяну шкоду, він прийме рішення суб’єкта даних:

а) передати спір на посередництво незалежною особою або, у разі необхідності, наглядовим органом;

b) передати спір до суду країни-члена, де знаходиться Експортер даних.

2. Сторони погоджуються, що вибір, зроблений суб'єктом даних, не впливає на процесуальне або матеріальне право суб'єкта даних на отримання відшкодування відповідно до інших положень національного або міжнародного права.

Пункт 8

Співпраця з контролюючими органами

1. Експортер даних погоджується передати на зберігання копію цього договору наглядовому органу, якщо цього вимагає останній або якщо таке зберігання передбачено чинним законодавством про захист даних.

2. Сторони погоджуються, що наглядовий орган може проводити перевірки в Імпортері даних та будь-якому обробнику даних у тому ж обсязі та на тих самих умовах, що й перевірки, що проводяться в Експортері даних відповідно до чинного законодавства про захист даних.

3. Імпортер даних якнайшвидше інформує Експортера даних про існування законодавства щодо Імпортера даних або будь-якого обробника даних, яке перешкоджає перевірці Імпортером даних або будь-яким обробником даних відповідно до параграфа 2. У такому випадку, Експортер даних може вжити заходів, передбачених пунктом 5 (b).

Пункт 9

Застосовне право

Ці положення застосовуються та регулюються законодавством країни-члена, де знаходиться Експортер даних.

Пункт 10

Внесення змін до договору

Сторони зобов'язуються не змінювати ці положення. Сторони залишаються вільними включати інші комерційні положення, які вони вважають необхідними, за умови, що вони не суперечать цим положенням.

Пункт 11

Подальший субпідряд

1. Імпортер даних не має на субпідряді жодної зі своїх операцій з обробки даних, що здійснюються від імені Експортера даних відповідно до цих положень, без попередньої письмової згоди Експортера даних. Імпортер даних передає на субпідряд свої зобов’язання згідно з цими положеннями лише за згодою Експортера даних через письмову угоду з обробником даних, яка накладає на обробника даних ті самі зобов’язання, що й на Імпортера даних відповідно до цих положень. Якщо обробник даних не може виконувати свої зобов’язання щодо захисту даних за цією письмовою угодою, Імпортер даних несе повну відповідальність перед Експортером даних за виконання цих зобов’язань.

2. Попередня письмова угода між Імпортером даних і Обробником даних також включає положення про третю сторону-бенефіціар, як зазначено в Пункті 3, для випадків, коли суб'єкт даних не може пред'явити позов про відшкодування збитків, зазначених у Статті 6 (1 ), проти Експортера даних або Імпортера даних, оскільки Експортер даних або Імпортер даних фізично зник, припинив своє існування або став неплатоспроможним, а всі юридичні зобов'язання Експортера даних або Імпортера даних не були передані за контрактом або в результаті операції закону, іншому суб'єкту-правонаступнику. Відповідальність обробника даних має бути обмежена його власною обробкою відповідно до цих положень.

3. Положення, що стосуються аспектів захисту даних підряду на обробку даних контракту, зазначеного в параграфі 1, регулюються законодавством держави-члена, в якій зареєстровано Експортер даних.

4. Експортер даних повинен вести перелік субпідрядних угод про обробку даних, укладених відповідно до цих положень та повідомлених Імпортером даних відповідно до пункту 5 (j), який оновлюється принаймні один раз на рік. Цей список надається органу нагляду за захистом даних Експортера даних.

Пункт 12

Зобов'язання після припинення надання послуг з обробки персональних даних

1. Сторони погоджуються, що після завершення послуг з обробки даних Імпортер даних і Обробник даних, за зручного для Експортера даних, повернуть усі передані персональні дані та їх копії Експортеру даних або знищать усі такі дані та нададуть докази знищення експортеру даних, якщо законодавство, накладене на імпортер даних, не перешкоджає йому повернути або знищити всі або частину переданих персональних даних. У цьому випадку Імпортер даних гарантує, що забезпечить конфіденційність переданих персональних даних і більше не буде активно обробляти дані.

2. Імпортер даних та обробник даних забезпечують, щоб на вимогу експортера даних та/або наглядового органу вони піддали свої засоби обробки даних перевірці заходів, зазначених у параграфі 1.

 

 

 

 

Додаток 1.1 до ч.2

Деталі передачі

 

 

Експортер даних

Експортер даних — це Замовник, визначений у Контрактній угоді.

 

Імпортер даних

Імпортер даних є POSTCODEZIP і призначений для обробки даних, надання послуг експортеру даних.

 

Суб'єкти даних

Передані персональні дані стосуються таких категорій суб’єктів даних:

â˜?? телефонних абонентів, зазначених в універсальному довіднику

â˜' Інші, у тому числі:

 

Категорії даних

Передані персональні дані стосуються таких категорій даних:

 

Категорії персональних даних суб'єктів даних Експортера даних, зокрема,

â˜?? Повне ім'я

â˜' Поштова адреса

â˜?? Контактні дані (електронна пошта, телефон, IP-адреса тощо)

â˜?? Деталі маркетингової діяльності щодо телефонного абонента

â˜' Інші, включаючи тип житла, дохід та середній вік за містом, зроблені анонімно

 

Спеціальні категорії даних (якщо є)

Передані персональні дані стосуються наступних спеціальних категорій даних:

â˜' Передача спеціальних категорій даних не передбачається

â˜?? Расове або етнічне походження

â˜?? Релігійні або філософські переконання

â˜?? Членство в профспілці

â˜?? Політичні погляди

â˜?? Генетична інформація

â˜?? Біометрична інформація

â˜?? Інформація про сексуальну орієнтацію або сексуальне життя

â˜?? Дані про здоров'я

 

Діяльність з обробки

Передані персональні дані підлягатимуть таким основним обробкам:

 

  •  
    • •  Мета обробки

Обробка, що здійснюється від імені Експортера даних, ґрунтується на таких предметах, зокрема:

â˜' Бере на себе відповідальність за продукти або послуги, які пропонує Експортер даних

â˜' Пропозиція продукту або послуги, яку може запросити особа, за яку викликають

â˜' Замовлення, отримані від викликаних осіб та подальша обробка цих розпоряджень

â˜' Анкети та аналізи для вивчення

â˜' Телемаркетинг

â˜?? Інші, у тому числі:

 

  •  
    • •  Характер і мета обробки

Імпортер даних обробляє персональні дані суб’єктів даних від імені Експортера даних з метою надання наступних послуг, зокрема:

  • â˜' Автоматичне заповнення форми
  • â˜' Адреса форми перевірки

â˜' Продажі та маркетинг

â˜' Інші, включаючи оновлення баз даних ратуш та політичних партій

 

  •  
    • •  Надання послуг та працевлаштування постачальників послуг

 

POSTCODEZIP в основному об'єднує, централізує та надає послуги для експортера даних. Послуги, що надаються названим постачальником послуг, можуть бути структуровані (з-поміж інших, якщо це необхідно) навколо таких допоміжних послуг: (i) надання додатків, інструментів, систем та ІТ-інфраструктури стосовно центрів обробки даних, що використовуються для надання і підтримувати послуги, включаючи обробку персональних даних суб'єктів даних, як описано вище, через такі програми, інструменти та системи, (ii) надання ІТ-підтримки, обслуговування та інших послуг, пов'язаних з такими програмами, інструментами, системами та ІТ-інфраструктури, включаючи потенційний доступ до персональних даних, що зберігаються в таких програмах, інструментах і системах, і (iii) надання послуг із захисту даних, моніторингу захисту та служб реагування на інциденти,включаючи потенційний доступ до персональних даних під час надання таких послуг захисту. POSTCODEZIP може залучати обробників даних, як зазначено нижче, для надання послуг, включаючи допоміжні послуги.

 

  •  
    • • Зовнішні сторонні постачальники послуг як суб'єкти, призначені для обробки даних

 

POSTCODEZIP залучає зовнішніх і сторонніх постачальників послуг, які не є дочірніми компаніями POSTCODEZIP, для підтримки надання послуг Експортеру даних. Експортер даних затверджує таких зовнішніх сторонніх постачальників послуг як суб'єкти, призначені для обробки даних.

 

Якщо суб'єкт, який займається обробкою даних, знаходиться за межами ЄС/ЄЕЗ, у країні, яка не має належного рівня захисту даних згідно з рішенням Європейської Комісії, Імпортер даних вживе заходів для отримання належного рівня захист даних відповідно до GDPR та розділу 3.4 (iv) частини 1.

 

 

Додаток 2 ч. 2

Техніко-організаційні захисні заходи

 

Імпортер даних вживає наступних технічних та організаційних заходів захисту, підтверджених Експортером даних, щоб гарантувати належний рівень безпеки прав і свобод осіб, залежно від ризиків. Оцінюючи відповідний рівень захисту, Експортер даних врахував, зокрема, ризики, пов’язані з обробкою, включаючи випадкове або незаконне знищення, зміну, несанкціоноване розкриття або доступ до персональних даних, які передаються, зберігаються або обробляються іншим чином. Уточнення: ці технічні та організаційні заходи захисту не застосовуються до програм, інструментів, систем та/або ІТ-інфраструктури, наданих Експортером даних.

1 Загальні технічні та організаційні заходи захисту

1.1 Загальна інформація та стратегії захисту даних

Для дотримання загальних стратегій захисту даних та інформації слід виконати наступні кроки:

  • а) вжити заходів щодо оцінки вжитих щодо технічного та організаційного захисту;
  • б) забезпечити навчання для підвищення обізнаності серед працівників;
  • c) мати опис відповідних систем і надавати доступ співробітникам;
  • d) встановити офіційний процес документування кожного разу, коли системи впроваджуються або змінюються;
  • e) документування організаційної структури, процесів, відповідальності та відповідних оцінок;

1.2 Організація захисту інформації

Для координації діяльності із захисту даних та інформації необхідно вжити таких заходів:

  • а) визначені обов'язки щодо захисту інформації та даних (наприклад, через політику управління захистом даних);
  • b) необхідний досвід щодо захисту інформації та даних, які залишаються доступними;
  • c) всі співробітники зобов’язуються забезпечити конфіденційність персональних даних і були поінформовані про потенційні наслідки порушення цього зобов’язання.

1.3 Контроль доступу до зон обробки

Для запобігання доступу сторонніх осіб до систем обробки даних (зокрема до програмного та апаратного забезпечення) під час обробки, зберігання або передачі персональних даних необхідно вжити таких заходів:

  • а) створити безпечні зони;
  • б) захистити та обмежити доступ до систем обробки даних;
  • в) встановлює дозвіл на доступ працівників та третіх осіб, включаючи відповідні документи;
  • d) будь-який доступ до центрів обробки даних, в яких зберігаються персональні дані, реєструється.

1.4 Контроль доступу до систем обробки даних

Для запобігання несанкціонованому доступу до систем обробки даних необхідно вжити таких заходів:

  • а) політика та процедури аутентифікації користувачів;
  • б) використання паролів на всіх комп'ютерних системах;
  • в) віддалений доступ до мережі вимагає багатофакторної аутентифікації та надається відповідній особі відповідно до її обов'язків та після авторизації;
  • г) доступ до конкретних функцій базується на посадових функціях та/або атрибутах, індивідуально призначених для облікового запису користувача;
  • e) права доступу до персональних даних регулярно переглядаються;
  • f) оновлюються записи про зміни прав доступу.

1.5 Контроль доступу до окремих областей використання систем обробки даних

Необхідно вжити наступних заходів для забезпечення того, щоб уповноважені особи, які мають право використовувати систему обробки даних, мали доступ до даних лише в межах своїх відповідних обов’язків та дозволів доступу, а персональні дані не можна було читати, копіювати, змінювати чи видаляти без дозволу:

  1. 1. 
    1. а) політику, інструкції та навчання працівників щодо зобов'язань кожного з них щодо конфіденційності, прав доступу до персональних даних та обсягу обробки персональних даних;
  • б) дисциплінарні заходи щодо осіб, які несанкціоновано отримують доступ до персональних даних;
  • в) доступ до персональних даних надається лише уповноваженим особам на підставі необхідності знати;
  • г) вести список системних адміністраторів та вживати відповідних заходів для моніторингу системних адміністраторів;
  • e) не копіювати та не відтворювати персональні дані в будь-якій системі зберігання, щоб дозволити неуповноваженим особам видалити інформацію автора;
  • f) контрольоване та документальне видалення або знищення даних;
  • g) безпечно зберігати всі персональні дані, які необхідно зберігати з правових або нормативних причин (наприклад, зобов’язання зберігати дані), і лише протягом того часу, як цього вимагає закон.

1.6 Управління трансмісією

Щоб запобігти читанню, копіюванню, зміні або видаленню персональних даних третіми сторонами під час передачі або транспортування пристроїв зберігання даних (залежно від здійсненої обробки персональних даних), необхідно вжити таких заходів:

  1. 1. 
    1. а) використання брандмауерів;
  • b) уникнення зберігання персональних даних на мобільних пристроях зберігання для транспортних цілей або шифрування пристроїв;
  • в) використовувати на ноутбуках та інших мобільних пристроях лише після активації захисту шифрування;
  • г) реєстрація передачі персональних даних.

1.7 Контроль введення даних

Необхідно вжити наступних заходів для забезпечення можливості перевірити та визначити, чи були персональні дані введені або видалені з систем обробки даних і ким:

  1. 1. 
    1. а) політика дозволу читання, зміни та видалення збережених даних;
  • b) заходи захисту щодо читання, зміни та видалення збережених даних.

1.8 Контроль роботи

У разі делегованої обробки персональних даних необхідно вжити таких заходів для забезпечення обробки таких даних відповідно до вказівок керівника:

  1. 1. 
    1. а) суб'єкти або суб'єкти, призначені для обробки даних, обрані ретельно (постачальники послуг, які обробляють персональні дані від імені контролера);
  • b) інструкції щодо обсягу будь-якої обробки персональних даних для співробітників, суб'єктів або суборганізацій, призначених для обробки даних;
  • в) права на аудит, узгоджені з суб'єктами або суб'єктами, призначеними для обробки даних;
  • d) укладені угоди з суб'єктами або суб'єктами, призначеними для обробки даних.

1.9 Відокремлення від обробки для інших цілей

Для того, щоб дані, зібрані для інших цілей, можна було обробляти окремо, необхідно вжити таких заходів:

  1. 1. 
    1. а) окремий доступ до персональних даних відповідно до наявних прав користувачів;
  • b) інтерфейси, пакетна обробка та звітність призначені для інших цілей і функцій, щоб дані, зібрані для інших цілей, могли оброблятися окремо.

1.10 Псевдонімізація

Для псевдонімізації персональних даних необхідно вжити таких заходів:

  1. 1. 
    1. a) Якщо Експортер даних замовляє конкретну операцію обробки або якщо Імпортер даних вважає це доцільним відповідно до чинного законодавства про захист даних щодо певної діяльності з обробки, обробка персональних даних буде здійснюватися таким чином, щоб дані більше не можуть бути віднесені до конкретної особи без використання додаткової інформації. Ця додаткова інформація зберігатиметься окремо;
  • b) використання методів псевдонімізації, включаючи рандомізацію списку розподілу; створення цінностей у вигляді диез.

1.11 Шифрування

Для шифрування особистих даних у програмах та передаваннях, які підтримують шифрування, слід виконати наступні кроки:

  1.  
    1. а) використання методів шифрування;
  • b) встановлення управління шифруванням для підтримки методів шифрування, дозволених для використання;
  • c) підтримка використання криптографії за допомогою процедур і протоколів для створення, модифікації, скасування, знищення, розповсюдження, сертифікації, зберігання, захоплення, використання та архівування криптографічних ключів для захисту від несанкціонованої модифікації та розкриття.

1.12 Повнота систем і сервісів обробки даних

Для забезпечення повноти систем і послуг обробки даних необхідно вжити таких заходів:

  1. 1. а) захист систем обробки даних від маніпуляцій або знищення відповідними засобами (наприклад, антивірусне програмне забезпечення, програмне забезпечення для запобігання втраті даних і програмне забезпечення від шкідливих програм, програмні виправлення, брандмауери та керований захист робочого столу);
  • b) заборонити встановлення будь-яких послуг або програмного забезпечення, шкідливого для систем обробки даних, послуг або маніпулювання персональними даними;
  • в) використання системи виявлення та запобігання вторгненню в мережу в структурі самої мережі.

1.13 Наявність систем і сервісів обробки даних і можливість відновлення доступу до персональних даних та їх використання у разі матеріального або технічного інциденту

Для забезпечення доступності систем обробки даних, а також для швидкого відновлення доступності та доступу до персональних даних у разі матеріального чи технічного інциденту (зокрема шляхом забезпечення того, що персональні дані захищені від випадкового знищення або втрати):

  • а) мати засоби контролю для збереження резервних копій та відновлення втрачених або видалених даних;
  • б) інфраструктурне резервування та тестування продуктивності;
  • в) фізичний захист комп'ютерних ресурсів;
  • г) використання засобів моніторингу стану та доступності внутрішньої мережі;
  • e) політика звітності про інциденти та реагування, що регулює процедуру управління інцидентами, а також повторне дотримання цієї політики в рамках регулярного навчання;
  • f) резервне копіювання (іноді за межами сайту) для відновлення системи, щоб вона знову могла виконувати свої функції;
  • g) плани безперервності бізнесу/плани аварійного відновлення

1.14 Стійкість систем і сервісів обробки даних

Для забезпечення стійкості систем і служб обробки даних необхідно вжити таких заходів:

  • а) системи та гармонійно налаштовані з використанням затверджених параметрів безпеки;
  • б) резервування мережі;
  • в) захист критичних систем.

1.15 Порядок регулярного тестування, оцінки та оцінки ефективності технічних та організаційних заходів щодо забезпечення безпеки обробки даних

Порядок регулярного тестування, оцінки та оцінки ефективності технічних та організаційних заходів захисту обробки даних.

  • а) вжити необхідних заходів для оцінки ризиків та стратегій пом'якшення;
  • б) наради з аналізу послуг ІТ-відділу для вирішення поточних питань;
  • c) плани забезпечення безперервності бізнесу/плани аварійного відновлення регулярно оновлюються.

 

Частина 3

Підписи сторін та список імпортерів даних

 

Коли ви заповнюєте форму онлайн-замовлення та підтверджуєте її, поставивши галочку, що приймає загальні умови використання, встановлюється договір, який регулює відносини між Клієнтом та POSTCODEZIP.

Надсилаючи платіж до POSTCODEZIP, буде вважатися, що договір погоджено та встановлено.

Зверніть увагу: цей текст перекладено з французької. Оригінальна французька версія, яка є дійсною та юридично обмежуваною, доступна  тут .