Додаток обробки даних
Цей Додаток є невід'ємною частиною Контракту та укладається:
Кожна з них є «партією » і зазвичай «партією ».
Преамбула
ДЕ Імпортер даних надає професійні послуги програмного забезпечення, комп'ютерні та супутні послуги;
ДЕ відповідно до Контракту Імпортер даних погодився надати Експортеру даних послуги, зазначені в Контракті (" Послуги ");
ДЕ, надаючи Послуги, Імпортер даних отримує або отримує вигоду від доступу до інформації Експортера даних або інформації інших осіб, які мають (потенційні) відносини з Експортером даних, така інформація може кваліфікуватися як персональні дані у розумінні Регламенту (ЄС) 2016/679 Європейського парламенту та Ради від 27 квітня 2016 року про захист фізичних осіб щодо обробки персональних даних та про вільне переміщення таких даних (" GDPR ") та інші застосовні закони про захист даних.
ДЕ цей Додаток містить положення та умови, що застосовуються до збору, обробки та використання таких персональних даних Імпортером даних у якості уповноваженого агента з обробки даних Експортера даних, щоб забезпечити дотримання Сторонами чинного законодавства про захист даних .
ТОМУ, і щоб Сторони могли продовжувати свої відносини на законних підставах, Сторони уклали цей Додаток таким чином:
Частина 1
1. Структура документа та визначення
1.1 Структура
Цей Додаток складається з різних частин, а саме:
Частина 1: | містить загальні положення, наприклад, щодо визначень, що використовуються в цьому Додатку, відповідності місцевим законам, термінів та припинення |
Частина 2: | містить основний текст документа зі Стандартними договірними положеннями без змін |
Додаток 1.1 частини 2: | містить деталі операцій обробки, наданих Імпортером даних Експортеру даних як уповноваженому агенту з обробки даних (включаючи обробку, характер та мету обробки, тип персональних даних та категорії суб’єктів даних) відповідно до цього Додаток |
Додаток 2 частини 2: | містить опис технічних та організаційних заходів безпеки Імпортера даних, які застосовуються у зв’язку з усіма діяльністю з обробки, описаною в Додатку 1.1 Частини 2 |
Частина 3: | містить підписи Сторін, які зобов’язуються цим Додатком, та ідентифікує кожного імпортера даних |
1.2 Термінологія та визначення
Для цілей цього Додатка застосовуються термінологія та визначення, що використовуються в GDPR (у тій частині документа «Стандартне договірне положення» у частині 2, де визначені терміни не пишуться з великої літери).
"держава-член" | означає країну, що належить до Європейського Союзу або Європейської економічної зони |
«Особливі категорії (особистих) даних» | відноситься до персональних даних, які розкривають расове або етнічне походження, політичні погляди, релігійні чи філософські переконання або членство в профспілках, а також генетичні дані, біометричні дані, якщо вони обробляються з метою однозначної ідентифікації особи, дані про стан здоров’я, дані, що стосуються статі особи життя або сексуальна орієнтація |
«Стандартні договірні положення» | означає Стандартні договірні положення щодо передачі персональних даних агентів з обробки даних, створених у третіх країнах, відповідно до Рішення Комісії 2010/87/ЄС від 5 лютого 2010 року, до якого було внесено зміни, доповнені Виконавчим рішенням Комісії (ЄС) 2016/2297 від 16 числа грудень 2016 року |
"Процесор даних" | означає будь-якого агента з обробки даних, розташованого в ЄС/ЄЕЗ або за його межами, який погоджується отримувати від Імпортера даних або будь-якого іншого обробника Імпортеру даних персональні дані виключно для цілей обробки, яка буде здійснюватися Експортером даних після передача відповідно до інструкцій Експортера даних, умов цього Додатка та Контракту з Імпортером даних |
2. Обов'язки експортера даних
2.1 Експортер даних зобов’язаний забезпечити дотримання всіх застосовних зобов’язань згідно з GDPR та будь-яким іншим застосовним законодавством про захист даних, яке застосовується до експортера даних, а також продемонструвати відповідність вимогам статті 5 (2) GDPR. Експортер даних гарантує, що Імпортер даних отримав попередню згоду суб’єктів даних відповідно до статті 6 (a) GDPR та виконав своє зобов’язання щодо інформування суб’єктів даних відповідно до статей 13 і 14 GDPR.
2.2 Експортер даних повинен надати Імпортеру даних відповідні файли діяльності з обробки відповідно до статті 30 (1) GDPR, пов’язаних із Послугами згідно з цим Додатком, у міру, необхідному, щоб Імпортер даних виконував зобов’язання згідно Стаття 30 (2) GDPR.
2.3 Експортер даних повинен призначити посадову особу або представника із захисту даних у межах, передбачених чинним законодавством про захист даних. Експортер даних зобов’язаний надати імпортеру даних контактні дані агента із захисту даних або представника, якщо такий є.
2.4. Експортер даних підтверджує до завершення обробки, приймаючи цей Додаток, що технічні та організаційні заходи безпеки Імпортера даних, викладені в Додатку 2 до Частини 2, є відповідними та достатніми для захисту прав суб’єкта даних. і підтверджує, що імпортер даних забезпечує достатні гарантії щодо цього.
3. Дотримання місцевого законодавства
Щоб задовольнити вимоги щодо впровадження агентів обробки відповідно до статті 28 GDPR, застосовуються такі зміни:
3.1 Інструкції
3.2 Обов'язки імпортера даних
3.3 Права зацікавлених осіб
3.4 Підобробка
3.5 Термін дії
Термін дії цього Додатка ідентичний терміну дії відповідного Договору. Якщо інше не передбачено в цьому Додатку, права та обов’язки, пов’язані з припиненням, будуть такими ж, як і в Контракті.
4. Обмеження відповідальності
4.1 Кожна сторона виконує свої зобов'язання згідно з цим Додатком та чинним законодавством про захист даних.
4.2 Будь-яка відповідальність, пов'язана з порушенням зобов'язань за цим Додатком або чинним законодавством про захист даних, підлягає і регулюється положеннями про відповідальність, викладеними в Контракті або застосовними до нього, якщо інше не передбачено в цьому Додатку. Якщо відповідальність регулюється положеннями про відповідальність, викладеними в Контракті або застосовними до нього, для обчислення лімітів відповідальності або визначення застосування інших обмежень відповідальності, будь-яка відповідальність, що виникає згідно з цим Додатком, вважається такою, що виникає за Договором.
5. Загальні положення
5.1 У разі будь-яких невідповідностей або розбіжностей між частинами 1 і 2 цього Додатка, частина 2 має перевагу. Зокрема, навіть у такому випадку частина 1, яка просто виходить за межі частини 2 (тобто умов Стандартних положень), не суперечить їй, залишається чинною.
5.2 Якщо виникне будь-яка розбіжність між положеннями цього Додатка та положеннями інших договорів, які зобов’язують сторони, цей Додаток має перевагу щодо зобов’язань сторін щодо захисту даних. У разі сумнівів щодо того, чи стосуються положення інших договорів зобов’язання сторін щодо захисту даних, перевагу має цей Додаток.
5.3 Якщо будь-яке положення цього Додатка є недійсним або не має законної сили, решта цього Додатка залишається в повній силі. Недійсне або невиконане положення буде (i) змінено, щоб забезпечити його дійсність і придатність до виконання, зберігаючи, наскільки це можливо, наміри сторін, або - якщо це неможливо - (ii) інтерпретувати, як ніби недійсна або невиконана частина мала ніколи не був частиною договору. Вищезазначене також застосовується, якщо в цьому Додатку є пропуск.
5.5 У міру необхідності Сторони можуть вимагати внесення змін до Частини 1, Пункту 3 (Відповідність місцевому законодавству) або інших частин Додатка з метою дотримання тлумачень, директив або наказів, виданих компетентними органами Союзу або Держави-члени, національні правозастосовні положення або будь-які інші юридичні зміни, що стосуються GDPR чи інших умов делегування будь-яким організаціям, які беруть участь у обробці даних, зокрема щодо використання Стандартних договірних положень у GDPR. Умови Стандартних договірних положень не можуть бути змінені або замінені, якщо Європейська Комісія не схвалить це прямо (наприклад, новими адекватними положеннями та стандартами захисту даних).
5.6 Будь-яке посилання в цьому Додатку на «Положення» має розумітися як посилання на всі положення цього Додатка, якщо не вказано інше.
5.7 Вибір закону в частині 2, пункт 9 застосовується до всього Договору.
6. Персональні дані, що передаються та обробляються сторонами в особистих цілях (передача від розпорядника даних до розпорядника даних)
6.1 Сторони повністю знають, що певні персональні дані будуть передані від Експортера даних до Імпортеру даних і навпаки, і що такі дані обробляються кожною Стороною для власних цілей. Що стосується таких персональних даних, то це не впливає на інші положення цього Додатка (крім цього пункту 6).
6.2 Експортер даних може передавати персональні дані, що стосуються персоналу Імпортера даних, Імпортеру даних, включаючи інформацію про інциденти з безпекою, або будь-які інші документи чи файли, створені чи створені Експортером даних у зв’язку з Послугами, які надаються персоналом імпортер даних. Імпортер даних може обробляти такі персональні дані для власних цілей, зокрема у своїх професійних відносинах з персоналом Імпортеру даних, для контролю якості та навчання, або для бізнес-цілей.
6.3. Імпортер даних може передати персональні дані Експортеру даних, включаючи ім’я та контактні дані персоналу Імпортера даних. Експортер даних може обробляти такі персональні дані для власних цілей.
6.4 При зборі, обробці та використанні таких персональних даних, отриманих від іншої сторони відповідно до пункту 1 частини 1, обидві сторони повинні дотримуватися будь-якого чинного законодавства про захист даних, включаючи GDPR. Зокрема, обидві сторони вживають належних заходів безпеки, забезпечуючи рівень захисту подібний до заходів безпеки, зазначених у Додатку 2 частини 2. Будь-який доступ до таких персональних даних обмежується необхідністю їх знати.
6.5 Обидві Сторони повинні видалити такі персональні дані якомога швидше після досягнення цілей.
Частина 2
РІШЕННЯ КОМІСІЇ
5 лютого 2010 року
про стандартні договірні положення щодо передачі персональних даних обробникам даних, створеним у сторонніх країнах відповідно до Директиви Європейського Парламенту та Ради 95/46/EC
Пункт 1
Визначення
За змістом пунктів:
а) «персональні дані», «спеціальні категорії даних», «обробка/обробка», «контролер», «обробник», «суб’єкт даних» та «наглядовий орган» мають те саме значення, що й у 95/46/EC Директива Європейського Парламенту та Ради від 24 жовтня 1995 року про захист фізичних осіб щодо обробки персональних даних та про вільне переміщення таких даних (1);
b) «Експортер даних» є контролером даних, який передає персональні дані;
c) «Імпортер даних» — це обробник даних, який погоджується отримувати від Експортера даних персональні дані, призначені для обробки від імені Експортера даних після передачі відповідно до його інструкцій та на умовах цих положень, і який не є підпадає під дію механізму третьої країни, що забезпечує належний захист у значенні статті 25(1) Директиви 95/46/ЄС; (d) «Обробник даних» означає обробника даних, залученого Імпортером даних або будь-яким іншим обробником даних Імпортером даних, який погоджується отримувати від Імпортера даних або будь-якого іншого обробника даних Імпортер даних персональні дані виключно для діяльності з обробки для здійснюватися від імені Експортера даних після передачі відповідно до інструкцій Експортера даних,на умовах, викладених у цих Пунктах, і на умовах письмового субпідрядного договору про обробку даних;
e) «застосовне законодавство про захист даних» означає законодавство, яке захищає основні права і свободи осіб, включаючи право на приватність щодо обробки персональних даних, і застосовується до контролера в державі-члені, де зареєстровано Експортер даних;
f) "технічні та організаційні заходи, що стосуються безпеки" означає заходи, спрямовані на захист персональних даних від випадкового чи незаконного знищення або випадкової втрати, зміни, несанкціонованого розкриття або доступу, зокрема, якщо обробка передбачає передачу даних через мережі, а також від усіх інших незаконних форм обробки.
Пункт 2
Деталі передачі
Деталі передачі, включаючи, у відповідних випадках, спеціальні категорії персональних даних, зазначені в Додатку 1, який є невід’ємною частиною цих положень.
Пункт 3
Застереження щодо третьої сторони-бенефіціара
1. Суб'єкт даних може застосувати проти Експортера даних цей пункт, пункт 4(b)–(i), пункт 5(a)–(e) та (g)–(j), пункт 6(1) та (2) ), Пункт 7, Пункт 8(2) та Пункти 9-12 як бенефіціар третьої сторони
2. Суб’єкт даних може застосувати цей пункт, пункт 5 (a) – (e) і (g), пункт 6, пункт 7, пункт 8 (2) та пункти 9 – 12 проти імпортера даних, якщо експортер даних фізично зник або припинив своє існування в законодавстві, якщо всі його юридичні зобов’язання не були передані за договором або в силу закону юридичній особі-правонаступнику, до якої, таким чином, повертаються права та обов’язки Експортера даних, і проти якої дані тому суб'єкт може забезпечити виконання зазначених положень.
Суб’єкт даних може застосувати цей пункт, пункт 5 (a) – (e) і (g), пункт 6, пункт 7, пункт 8 (2) і пункти 9 – 12 проти обробника даних, але лише у випадках, коли дані Експортер та Імпортер даних фізично зникли, припинили своє існування або стали неплатоспроможними, якщо всі юридичні зобов’язання Експортера даних не були передані за договором або на підставі закону правонаступнику, якому права та Таким чином, зобов’язання експортера даних покладені на нього, і тому суб’єкт даних може застосувати такі положення. Така відповідальність Обробника даних має бути обмежена його власною обробкою відповідно до цих положень.
4. Сторони не заперечують проти того, щоб суб'єкт даних представляв асоціація або інший орган, якщо він або вона цього бажає і якщо це дозволяє національне законодавство.
Пункт 4
Обов'язки експортера даних
Експортер даних приймає та гарантує наступне:
a) обробка, включаючи фактичну передачу персональних даних, здійснювалася і буде здійснюватися відповідно до відповідних положень чинного законодавства про захист даних (і, якщо застосовно, була повідомлена компетентним органам держави-члена в якому базується Експортер даних) і не порушує відповідних положень цієї Держави;
b) вони доручили і будуть доручати Імпортеру даних обробляти персональні дані, передані виключно від імені Експортера даних, відповідно до чинного законодавства про захист даних та цих положень, і будуть доручати на період надання послуг з обробки персональних даних;
c) Імпортер даних забезпечить достатні гарантії щодо технічних та організаційних заходів безпеки, зазначених у Додатку 2 до цього контракту;
d) після оцінки вимог чинного законодавства про захист даних заходи безпеки є достатніми для захисту персональних даних від випадкового чи незаконного знищення чи випадкової втрати, зміни, несанкціонованого розкриття чи доступу, зокрема, якщо обробка передбачає передачу даних через мережу та проти всіх інших незаконних форм обробки та забезпечити рівень безпеки, відповідний ризикам, які представляє обробка, і характеру даних, які підлягають захисту, з урахуванням рівня технології та вартості впровадження;
д) забезпечуватимуть дотримання заходів безпеки;
f) якщо передача стосується спеціальних категорій даних, суб’єкт даних був поінформований або буде поінформований до передачі або якомога швидше після передачі, що його чи її дані можуть бути передані до третьої країни, яка не пропонує відповідний рівень захисту відповідно до Директиви 95/46/EC;
g) вони надсилатимуть будь-яке повідомлення, отримане від Імпортера даних або будь-якого обробника даних відповідно до пунктів 5 (b) і 8 (3) до органу нагляду за захистом даних, якщо він вирішить продовжити передачу або скасувати її призупинення;
h) вони надають суб'єктам даних, якщо вони цього запитують, копію цих положень, за винятком Додатка 2, та короткий опис заходів безпеки, а також копію будь-якої подальшої угоди про субпідряд, укладеної відповідно до цих положень, якщо не Пункти або договір містять комерційну інформацію, у цьому випадку він може відкликати таку інформацію;
i) у разі надання субпідряду на процес обробки даних, діяльність з обробки здійснюється відповідно до пункту 11 обробником даних, що забезпечує принаймні такий самий рівень захисту персональних даних і прав суб’єкта даних, що й імпортер даних відповідно до цих положень. ; і
j) це забезпечить відповідність пункту 4 (a)–(i).
Пункт 5
Обов'язки імпортера даних
Імпортер даних приймає та гарантує наступне:
а) вони оброблятимуть персональні дані лише від імені Експортера даних та згідно з інструкціями Експортера даних та цими положеннями; якщо він не може виконати з будь-якої причини, вони погоджуються якомога швидше повідомити Експортера даних про свою неспроможність, і в цьому випадку Експортер даних може призупинити передачу даних та/або розірвати контракт;
b) у них немає підстав вважати, що застосовне до них законодавство перешкоджає йому виконувати інструкції, дані Експортером даних, і зобов'язання, покладені на нього за контрактом, і якщо таке законодавство підлягає зміні, яка може мати суттєві негативні наслідки вплив на гарантії та зобов’язання згідно з положеннями, він повинен повідомити Експортер даних про зміну негайно після того, як дізнався про це, і в цьому випадку Експортер даних може призупинити передачу даних та/або припинити дію контракту; (c) вони вжили технічних та організаційних заходів безпеки, зазначених у Додатку 2, до обробки переданих персональних даних;
d) вони негайно повідомлять Експортеру даних:
i) будь-який обов'язковий запит на розкриття персональних даних від правоохоронного органу, якщо не зазначено інше, наприклад, кримінальна заборона, спрямована на збереження таємниці поліцейського розслідування;
ii) будь-який випадковий або несанкціонований доступ; і
iii) будь-який запит, отриманий безпосередньо від зацікавлених осіб без відповіді на нього, якщо він не уповноважений на це; адміністратори
e) вони швидко та належним чином розглядатимуть усі запити від Експортера даних щодо обробки ним персональних даних, що передаються, та діятимуть відповідно до висновку наглядового органу щодо обробки переданих даних;
f) на прохання експортера даних вони піддадуть свої засоби обробки даних аудиту діяльності з обробки даних, що охоплюються цими положеннями, яку буде здійснювати Експортер даних або наглядовий орган, що складається з незалежних членів з необхідною професійною кваліфікацією, підлягає зобов’язанням зберігати секретність і обирається Експортером даних, якщо це необхідно, за згодою наглядового органу;
g) вони нададуть суб'єкту даних, якщо він цього вимагає, копію цих положень або будь-якого існуючого субпідрядного договору про обробку даних, якщо положення або контракт не містять комерційну інформацію, і в такому випадку він може видалити таку інформація, за винятком Додатка 2, яка буде замінена стислим описом заходів безпеки, якщо суб’єкт даних не може отримати копію від Експортера даних;
h) у разі подальшого конфіденційного надання субпідряду на обробку даних, він забезпечить завчасне інформування Експортера даних та отримання письмової згоди Експортера даних;
i) послуги обробки, що надаються Обробником даних, повинні відповідати пункту 11;
j) вони негайно надішлють експортеру даних копію будь-якого субпідрядного договору про обробку даних, укладеного ним відповідно до цих положень.
Пункт 6
Відповідальність
1. Сторони погоджуються, що будь-який суб'єкт даних, який зазнав збитків через порушення зобов'язань, зазначених у пункті 3 або пункті 11, однією стороною або обробником даних, може отримати компенсацію від Експортера даних за заподіяну шкоду.
2. Якщо суб’єкту даних заборонено подати позов про відшкодування збитків, зазначених у параграфі 1, проти Експортера даних через невиконання Імпортером даних або його обробником даних будь-яких своїх зобов’язань згідно з пунктом 3 або пунктом 11, оскільки дані Експортер фізично зник, припинив своє існування або став неплатоспроможним, Імпортер даних погоджується, що суб’єкт даних може подати скаргу на нього, як на експортера даних, якщо всі юридичні зобов’язання Експортера даних не були передані за договором або відповідно до закону, його правонаступнику, проти якого суб’єкт даних може потім відстоювати свої права. Імпортер даних не може покладатися на порушення своїх зобов’язань обробником даних, щоб уникнути власної відповідальності.
3. Якщо суб’єкту даних заборонено подати позов, зазначений у параграфах 1 і 2, проти Експортера даних або Імпортера даних за порушення обробником даних своїх зобов’язань згідно з пунктом 3 або пунктом 11, оскільки експортер даних та імпортер даних фізично зникли, припинили своє існування або стали неплатоспроможними, Обробник даних погоджується, що суб’єкт даних може подати на нього скаргу щодо його власної діяльності з обробки відповідно до цих положень, як якщо б він був Експортером або Імпортером даних, якщо всі юридичні обов’язки Експортера даних або Імпортера даних були передані за договором або в силу закону до правонаступника, проти якого суб’єкт даних може потім відстоювати свої права.Відповідальність обробника даних має бути обмежена його власною діяльністю з обробки відповідно до цих положень.
Пункт 7
Медіація та юрисдикція
1. Імпортер даних погоджується, що якщо відповідно до положень суб’єкт даних посилається проти нього на право третьої сторони-бенефіціара та/або вимагає компенсації за заподіяну шкоду, він прийме рішення суб’єкта даних:
а) передати спір на посередництво незалежною особою або, у разі необхідності, наглядовим органом;
b) передати спір до суду країни-члена, де знаходиться Експортер даних.
2. Сторони погоджуються, що вибір, зроблений суб'єктом даних, не впливає на процесуальне або матеріальне право суб'єкта даних на отримання відшкодування відповідно до інших положень національного або міжнародного права.
Пункт 8
Співпраця з контролюючими органами
1. Експортер даних погоджується передати на зберігання копію цього договору наглядовому органу, якщо цього вимагає останній або якщо таке зберігання передбачено чинним законодавством про захист даних.
2. Сторони погоджуються, що наглядовий орган може проводити перевірки в Імпортері даних та будь-якому обробнику даних у тому ж обсязі та на тих самих умовах, що й перевірки, що проводяться в Експортері даних відповідно до чинного законодавства про захист даних.
3. Імпортер даних якнайшвидше інформує Експортера даних про існування законодавства щодо Імпортера даних або будь-якого обробника даних, яке перешкоджає перевірці Імпортером даних або будь-яким обробником даних відповідно до параграфа 2. У такому випадку, Експортер даних може вжити заходів, передбачених пунктом 5 (b).
Пункт 9
Застосовне право
Ці положення застосовуються та регулюються законодавством країни-члена, де знаходиться Експортер даних.
Пункт 10
Внесення змін до договору
Сторони зобов'язуються не змінювати ці положення. Сторони залишаються вільними включати інші комерційні положення, які вони вважають необхідними, за умови, що вони не суперечать цим положенням.
Пункт 11
Подальший субпідряд
1. Імпортер даних не має на субпідряді жодної зі своїх операцій з обробки даних, що здійснюються від імені Експортера даних відповідно до цих положень, без попередньої письмової згоди Експортера даних. Імпортер даних передає на субпідряд свої зобов’язання згідно з цими положеннями лише за згодою Експортера даних через письмову угоду з обробником даних, яка накладає на обробника даних ті самі зобов’язання, що й на Імпортера даних відповідно до цих положень. Якщо обробник даних не може виконувати свої зобов’язання щодо захисту даних за цією письмовою угодою, Імпортер даних несе повну відповідальність перед Експортером даних за виконання цих зобов’язань.
2. Попередня письмова угода між Імпортером даних і Обробником даних також включає положення про третю сторону-бенефіціар, як зазначено в Пункті 3, для випадків, коли суб'єкт даних не може пред'явити позов про відшкодування збитків, зазначених у Статті 6 (1 ), проти Експортера даних або Імпортера даних, оскільки Експортер даних або Імпортер даних фізично зник, припинив своє існування або став неплатоспроможним, а всі юридичні зобов'язання Експортера даних або Імпортера даних не були передані за контрактом або в результаті операції закону, іншому суб'єкту-правонаступнику. Відповідальність обробника даних має бути обмежена його власною обробкою відповідно до цих положень.
3. Положення, що стосуються аспектів захисту даних підряду на обробку даних контракту, зазначеного в параграфі 1, регулюються законодавством держави-члена, в якій зареєстровано Експортер даних.
4. Експортер даних повинен вести перелік субпідрядних угод про обробку даних, укладених відповідно до цих положень та повідомлених Імпортером даних відповідно до пункту 5 (j), який оновлюється принаймні один раз на рік. Цей список надається органу нагляду за захистом даних Експортера даних.
Пункт 12
Зобов'язання після припинення надання послуг з обробки персональних даних
1. Сторони погоджуються, що після завершення послуг з обробки даних Імпортер даних і Обробник даних, за зручного для Експортера даних, повернуть усі передані персональні дані та їх копії Експортеру даних або знищать усі такі дані та нададуть докази знищення експортеру даних, якщо законодавство, накладене на імпортер даних, не перешкоджає йому повернути або знищити всі або частину переданих персональних даних. У цьому випадку Імпортер даних гарантує, що забезпечить конфіденційність переданих персональних даних і більше не буде активно обробляти дані.
2. Імпортер даних та обробник даних забезпечують, щоб на вимогу експортера даних та/або наглядового органу вони піддали свої засоби обробки даних перевірці заходів, зазначених у параграфі 1.
Додаток 1.1 до ч.2
Деталі передачі
Експортер даних
Експортер даних — це Замовник, визначений у Контрактній угоді.
Імпортер даних
Імпортер даних є POSTCODEZIP і призначений для обробки даних, надання послуг експортеру даних.
Суб'єкти даних
Передані персональні дані стосуються таких категорій суб’єктів даних:
â˜?? телефонних абонентів, зазначених в універсальному довіднику
â˜' Інші, у тому числі:
Категорії даних
Передані персональні дані стосуються таких категорій даних:
Категорії персональних даних суб'єктів даних Експортера даних, зокрема,
â˜?? Повне ім'я
â˜' Поштова адреса
â˜?? Контактні дані (електронна пошта, телефон, IP-адреса тощо)
â˜?? Деталі маркетингової діяльності щодо телефонного абонента
â˜' Інші, включаючи тип житла, дохід та середній вік за містом, зроблені анонімно
Спеціальні категорії даних (якщо є)
Передані персональні дані стосуються наступних спеціальних категорій даних:
â˜' Передача спеціальних категорій даних не передбачається
â˜?? Расове або етнічне походження
â˜?? Релігійні або філософські переконання
â˜?? Членство в профспілці
â˜?? Політичні погляди
â˜?? Генетична інформація
â˜?? Біометрична інформація
â˜?? Інформація про сексуальну орієнтацію або сексуальне життя
â˜?? Дані про здоров'я
Діяльність з обробки
Передані персональні дані підлягатимуть таким основним обробкам:
Обробка, що здійснюється від імені Експортера даних, ґрунтується на таких предметах, зокрема:
â˜' Бере на себе відповідальність за продукти або послуги, які пропонує Експортер даних
â˜' Пропозиція продукту або послуги, яку може запросити особа, за яку викликають
â˜' Замовлення, отримані від викликаних осіб та подальша обробка цих розпоряджень
â˜' Анкети та аналізи для вивчення
â˜' Телемаркетинг
â˜?? Інші, у тому числі:
Імпортер даних обробляє персональні дані суб’єктів даних від імені Експортера даних з метою надання наступних послуг, зокрема:
â˜' Продажі та маркетинг
â˜' Інші, включаючи оновлення баз даних ратуш та політичних партій
POSTCODEZIP в основному об'єднує, централізує та надає послуги для експортера даних. Послуги, що надаються названим постачальником послуг, можуть бути структуровані (з-поміж інших, якщо це необхідно) навколо таких допоміжних послуг: (i) надання додатків, інструментів, систем та ІТ-інфраструктури стосовно центрів обробки даних, що використовуються для надання і підтримувати послуги, включаючи обробку персональних даних суб'єктів даних, як описано вище, через такі програми, інструменти та системи, (ii) надання ІТ-підтримки, обслуговування та інших послуг, пов'язаних з такими програмами, інструментами, системами та ІТ-інфраструктури, включаючи потенційний доступ до персональних даних, що зберігаються в таких програмах, інструментах і системах, і (iii) надання послуг із захисту даних, моніторингу захисту та служб реагування на інциденти,включаючи потенційний доступ до персональних даних під час надання таких послуг захисту. POSTCODEZIP може залучати обробників даних, як зазначено нижче, для надання послуг, включаючи допоміжні послуги.
POSTCODEZIP залучає зовнішніх і сторонніх постачальників послуг, які не є дочірніми компаніями POSTCODEZIP, для підтримки надання послуг Експортеру даних. Експортер даних затверджує таких зовнішніх сторонніх постачальників послуг як суб'єкти, призначені для обробки даних.
Якщо суб'єкт, який займається обробкою даних, знаходиться за межами ЄС/ЄЕЗ, у країні, яка не має належного рівня захисту даних згідно з рішенням Європейської Комісії, Імпортер даних вживе заходів для отримання належного рівня захист даних відповідно до GDPR та розділу 3.4 (iv) частини 1.
Додаток 2 ч. 2
Техніко-організаційні захисні заходи
Імпортер даних вживає наступних технічних та організаційних заходів захисту, підтверджених Експортером даних, щоб гарантувати належний рівень безпеки прав і свобод осіб, залежно від ризиків. Оцінюючи відповідний рівень захисту, Експортер даних врахував, зокрема, ризики, пов’язані з обробкою, включаючи випадкове або незаконне знищення, зміну, несанкціоноване розкриття або доступ до персональних даних, які передаються, зберігаються або обробляються іншим чином. Уточнення: ці технічні та організаційні заходи захисту не застосовуються до програм, інструментів, систем та/або ІТ-інфраструктури, наданих Експортером даних.
1 Загальні технічні та організаційні заходи захисту |
1.1 Загальна інформація та стратегії захисту даних |
Для дотримання загальних стратегій захисту даних та інформації слід виконати наступні кроки: |
|
|
|
|
|
1.2 Організація захисту інформації |
Для координації діяльності із захисту даних та інформації необхідно вжити таких заходів: |
|
|
|
1.3 Контроль доступу до зон обробки |
Для запобігання доступу сторонніх осіб до систем обробки даних (зокрема до програмного та апаратного забезпечення) під час обробки, зберігання або передачі персональних даних необхідно вжити таких заходів: |
|
|
|
|
1.4 Контроль доступу до систем обробки даних |
Для запобігання несанкціонованому доступу до систем обробки даних необхідно вжити таких заходів: |
|
|
|
|
|
|
1.5 Контроль доступу до окремих областей використання систем обробки даних |
Необхідно вжити наступних заходів для забезпечення того, щоб уповноважені особи, які мають право використовувати систему обробки даних, мали доступ до даних лише в межах своїх відповідних обов’язків та дозволів доступу, а персональні дані не можна було читати, копіювати, змінювати чи видаляти без дозволу: |
|
|
|
|
|
|
|
1.6 Управління трансмісією |
Щоб запобігти читанню, копіюванню, зміні або видаленню персональних даних третіми сторонами під час передачі або транспортування пристроїв зберігання даних (залежно від здійсненої обробки персональних даних), необхідно вжити таких заходів: |
|
|
|
1.7 Контроль введення даних |
Необхідно вжити наступних заходів для забезпечення можливості перевірити та визначити, чи були персональні дані введені або видалені з систем обробки даних і ким: |
|
|
1.8 Контроль роботи |
У разі делегованої обробки персональних даних необхідно вжити таких заходів для забезпечення обробки таких даних відповідно до вказівок керівника: |
|
|
|
|
1.9 Відокремлення від обробки для інших цілей |
Для того, щоб дані, зібрані для інших цілей, можна було обробляти окремо, необхідно вжити таких заходів: |
|
|
1.10 Псевдонімізація |
Для псевдонімізації персональних даних необхідно вжити таких заходів: |
|
|
1.11 Шифрування |
Для шифрування особистих даних у програмах та передаваннях, які підтримують шифрування, слід виконати наступні кроки:
|
|
|
1.12 Повнота систем і сервісів обробки даних |
Для забезпечення повноти систем і послуг обробки даних необхідно вжити таких заходів: |
|
|
|
1.13 Наявність систем і сервісів обробки даних і можливість відновлення доступу до персональних даних та їх використання у разі матеріального або технічного інциденту |
Для забезпечення доступності систем обробки даних, а також для швидкого відновлення доступності та доступу до персональних даних у разі матеріального чи технічного інциденту (зокрема шляхом забезпечення того, що персональні дані захищені від випадкового знищення або втрати): |
|
|
|
|
|
|
|
1.14 Стійкість систем і сервісів обробки даних |
Для забезпечення стійкості систем і служб обробки даних необхідно вжити таких заходів: |
|
|
|
1.15 Порядок регулярного тестування, оцінки та оцінки ефективності технічних та організаційних заходів щодо забезпечення безпеки обробки даних |
Порядок регулярного тестування, оцінки та оцінки ефективності технічних та організаційних заходів захисту обробки даних. |
|
|
|
Частина 3
Підписи сторін та список імпортерів даних
Коли ви заповнюєте форму онлайн-замовлення та підтверджуєте її, поставивши галочку, що приймає загальні умови використання, встановлюється договір, який регулює відносини між Клієнтом та POSTCODEZIP.
Надсилаючи платіж до POSTCODEZIP, буде вважатися, що договір погоджено та встановлено.
Зверніть увагу: цей текст перекладено з французької. Оригінальна французька версія, яка є дійсною та юридично обмежуваною, доступна тут .