Додаток до обробки даних

 

Цей Додаток є невід’ємною частиною Контракту і укладається між:

 

1. (i) Клієнтом ("Експортер даних")
2. (ii) IQUALIF ("Імпортер даних")

 

Кожен з яких є "Стороною", а разом – "Сторонами".

 

Преамбула

ОСКІЛЬКИ Імпортер даних надає професійні програмні послуги, комп’ютерні та суміжні послуги (такі як браузери з розширеними функціями пошуку);

ОСКІЛЬКИ відповідно до Контракту Імпортер даних погодився надати Експортеру даних послуги, зазначені в Контракті (далі – "Послуги");

ОСКІЛЬКИ, надаючи Послуги, Імпортер даних отримує або має доступ до інформації Експортера даних або інформації інших осіб, які мають (потенційні) відносини з Експортером даних, така інформація може кваліфікуватися як персональні дані відповідно до Регламенту (ЄС) 2016/679 Європейського парламенту та Ради від 27 квітня 2016 року про захист фізичних осіб у зв’язку з обробкою персональних даних та про вільний рух таких даних ("GDPR") та інших застосовних законів про захист даних.

ОСКІЛЬКИ цей Додаток містить умови, що застосовуються до збору, обробки та використання таких персональних даних Імпортером даних у його якості уповноваженого агента з обробки даних Експортера даних, щоб забезпечити дотримання Сторонами застосовного законодавства про захист даних.

 

ТАКИМ ЧИНОМ, і щоб дозволити Сторонам продовжувати свої відносини законно, Сторони уклали цей Додаток наступним чином:

Частина 1

 

1. Структура документа та визначення

1.1 Структура

Цей Додаток складається з різних частин, а саме:

 

Частина 1:	містить загальні положення, наприклад, щодо визначень, використаних у цьому Додатку, дотримання місцевих законів, термінів та припинення
Частина 2:	містить основний текст незмінених Стандартних договірних положень
Додаток 1.1 до Частини 2:	містить деталі операцій обробки, що надаються Імпортером даних Експортеру даних як уповноваженим агентом з обробки даних (включаючи обробку, характер і мету обробки, тип персональних даних та категорії суб’єктів даних) відповідно до цього Додатку
Додаток 2 до Частини 2:	містить опис технічних та організаційних заходів безпеки Імпортера даних, які застосовуються у зв’язку з усіма видами обробки, описаними в Додатку 1.1 до Частини 2
Частина 3:	містить підписи Сторін, які зобов’язуються цим Додатком, та ідентифікує кожного Імпортера даних

 

1.2 Терміни та визначення

Для цілей цього Додатку застосовуються терміни та визначення, використані в GDPR (у тексті Стандартних договірних положень у Частині 2, де визначені терміни не написані з великої літери). 

 

"Держава-член"	означає країну, що належить до Європейського Союзу або Європейської економічної зони
"Особливі категорії (персональних) даних"	відноситься до персональних даних, що розкривають расове або етнічне походження, політичні погляди, релігійні або філософські переконання, членство в профспілках, а також генетичні дані, біометричні дані, якщо вони обробляються з метою унікальної ідентифікації особи, дані про здоров’я, дані про сексуальне життя або сексуальну орієнтацію особи
"Стандартні договірні положення"	означає Стандартні договірні положення для передачі персональних даних агентам з обробки, розташованим у третіх країнах, згідно з Рішенням Комісії 2010/87/ЄС від 5 лютого 2010 року, яке було змінено Виконавчим рішенням Комісії (ЄС) 2016/2297 від 16 грудня 2016 року
“Агент з обробки даних”	означає будь-якого агента з обробки, розташованого всередині або поза межами ЄС/ЄЕЗ, який погоджується отримувати від Імпортера даних або будь-якого іншого агента з обробки Імпортера даних персональні дані виключно з метою здійснення обробки, яку має виконувати Експортер даних після передачі відповідно до інструкцій Експортера даних, умов цього Додатку та Контракту з Імпортером даних

 

 

2. Обов’язки Експортера даних

2.1 Експортер даних зобов’язаний забезпечити дотримання всіх застосовних зобов’язань відповідно до GDPR та будь-якого іншого застосовного законодавства про захист даних, що застосовується до Експортера даних, та підтверджувати таке дотримання відповідно до статті 5 (2) GDPR. Експортер даних гарантує, що Імпортер даних отримав попередню згоду суб’єктів даних відповідно до статті 6 (а) GDPR та виконав своє зобов’язання інформувати суб’єктів даних відповідно до статей 13 і 14 GDPR.

2.2 Експортер даних повинен надати Імпортеру даних відповідні файли діяльності з обробки відповідно до статті 30 (1) GDPR, що стосуються Послуг за цим Додатком, у тій мірі, яка необхідна Імпортеру даних для виконання зобов’язання відповідно до статті 30 (2) GDPR.

2.3 Експортер даних повинен призначити офіцера з захисту даних або представника у тій мірі, у якій це вимагається застосовним законодавством про захист даних. Експортер даних зобов’язаний надати контактні дані агента з захисту даних або представника, якщо такі є, Імпортеру даних.

2.4. Експортер даних підтверджує до завершення обробки, приймаючи цей Додаток, що технічні та організаційні заходи безпеки Імпортера даних, викладені в Додатку 2 до Частини 2, є відповідними та достатніми для захисту прав суб’єкта даних і підтверджує, що Імпортер даних надає достатні гарантії в цьому відношенні.

 

3. Дотримання місцевого законодавства

Для виконання вимог щодо впровадження агентів з обробки відповідно до статті 28 GDPR застосовуються такі зміни:

 

3.1 Інструкції

1. (i) Експортер даних дає Імпортеру даних інструкції обробляти персональні дані виключно від імені Експортера даних. Інструкції Експортера даних надаються в цьому Додатку та в Контракті. Експортер даних зобов’язаний забезпечити, щоб усі інструкції, надані Імпортеру даних, відповідали застосовному законодавству про захист даних. Імпортер даних повинен обробляти персональні дані лише відповідно до інструкцій Експортера даних, якщо інше не вимагається законодавством Європейського Союзу або законодавством Держави-члена (у такому випадку застосовується пункт 3.2 (iv) (c) Частини 1).
2. (ii) Усі інші інструкції, що виходять за межі інструкцій у цьому Додатку або в Контракті, повинні бути включені до предмета цього Додатку та Контракту. Якщо виконання цієї додаткової інструкції пов’язане з витратами для Імпортера даних, Імпортер даних повинен повідомити Експортера даних про такі витрати та надати пояснення перед виконанням інструкції. Лише після підтвердження Експортером даних прийняття цих витрат Імпортер даних виконає цю додаткову інструкцію. Експортер даних повинен надавати додаткові інструкції в письмовій формі, якщо терміновість або інші особливі обставини не вимагають іншої форми (наприклад, усної, електронної). Інструкції в іншій формі, ніж письмова, повинні бути підтверджені письмово та без зволікань Експортером даних.
3. 1. Якщо Експортер даних не може самостійно здійснити виправлення, видалення або обмеження персональних даних, інструкції можуть також стосуватися виправлення, видалення та/або обмеження персональних даних, як викладено в пункті 3.3 Частини 1.
4. 2. Імпортер даних повинен негайно повідомити Експортера даних, якщо на його думку, інструкція порушує GDPR або інші застосовні положення про захист даних Європейського Союзу або Держави-члена ("Спірна інструкція"). Якщо Імпортер даних вважає, що інструкція порушує GDPR або інші застосовні положення про захист даних Європейського Союзу або Держави-члена, Імпортер даних не зобов’язаний виконувати Спірну інструкцію. Якщо Експортер даних підтверджує Спірну інструкцію після отримання інформації від Імпортера даних і визнає свою відповідальність за Спірну інструкцію, Імпортер даних виконає Спірну інструкцію, якщо тільки Спірна інструкція не стосується (i) впровадження технічних та організаційних заходів, (ii) прав суб’єктів даних або (iii) залучення агентів з обробки даних. У випадках (i)–(iii) Імпортер даних може звернутися до компетентного контролюючого органу для юридичної оцінки спірної інструкції таким органом. Якщо контролюючий орган визнає спірну інструкцію законною, Імпортер даних виконає спірну інструкцію. Застосовується пункт 3.1 (ii) Частини 1.

 

3.2 Обов’язки Імпортера даних

1. (i) Імпортер даних повинен забезпечити, щоб особи, уповноважені Імпортером даних обробляти персональні дані від імені Експортера даних, зокрема працівники Імпортера даних та працівники будь-якого субпідрядника, взяли на себе зобов’язання дотримуватися конфіденційності або підпадають під відповідний законодавчий обов’язок конфіденційності, і щоб такі особи, які мають доступ до персональних даних, обробляли їх відповідно до інструкцій Експортера даних.
2. (ii) Імпортер даних повинен впровадити технічні та організаційні заходи безпеки, викладені в Додатку 2 до Частини 2, перед обробкою персональних даних від імені Експортера даних. Імпортер даних може час від часу змінювати технічні та організаційні заходи безпеки, якщо вони не забезпечують менший рівень захисту, ніж ті, що викладені в Додатку 2 до Частини 2.
3. (iii) Імпортер даних повинен надавати Експортеру даних, за запитом Експортера даних, інформацію, що підтверджує дотримання Імпортером даних своїх зобов’язань за цим Додатком. Сторони погоджуються, що це зобов’язання виконується шляхом надання Експортеру даних аудиторського звіту (що охоплює принципи безпеки, доступність системи та конфіденційність) ("Аудиторський звіт"). Якщо додаткові аудиторські заходи є законодавчо необхідними, Експортер даних може вимагати проведення перевірок Експортером даних або іншим аудитором, призначеним Експортером даних, за умови підписання таким аудитором угоди про конфіденційність з Імпортером даних на розумних для Імпортера даних умовах ("Аудит"). Цей Аудит підлягає таким умовам: (i) попередня формальна письмова згода Імпортера даних; та (ii) Експортер даних несе всі витрати, пов’язані з проведенням Аудиту на місці для Експортера даних та Імпортера даних. Експортер даних повинен створити аудиторський звіт, що підсумовує результати та спостереження Аудиту на місці ("Звіт про аудит на місці"). Звіти про аудит на місці та аудиторські звіти є конфіденційною інформацією Імпортера даних і не повинні розголошуватися третім сторонам, якщо це не вимагається застосовним законодавством про захист даних або відповідно до згоди Імпортера даних.
4. (iv) Імпортер даних зобов’язаний без необґрунтованої затримки повідомляти Експортера даних про:
   1. a. будь-який юридично обов’язковий запит на розкриття персональних даних від правоохоронного органу, якщо інше не заборонено, наприклад, забороною кримінального законодавства для захисту конфіденційності розслідування;
   2. b. будь-яку скаргу та запит, отримані безпосередньо від суб’єкта даних (наприклад, щодо доступу, виправлення, видалення, обмеження обробки, передачі даних, заперечення проти обробки даних, автоматизованого прийняття рішень) без відповіді на цей запит, якщо Імпортер даних не уповноважений це робити;
   3. c. якщо Імпортер даних або агент з обробки даних зобов’язані за законодавством Європейського Союзу або Держави-члена, до якої вони підпадають, обробляти персональні дані понад інструкції Експортера даних, до початку такої обробки, якщо закони ЄС або Держави-члена не забороняють таку обробку з важливих суспільних інтересів, у такому випадку повідомлення Експортеру даних має містити відповідну правову вимогу;
   4. d. якщо Імпортер даних виявляє порушення персональних даних виключно через себе або свого субпідрядника, що може вплинути на персональні дані Експортера даних, охоплені цим контрактом, у такому випадку Імпортер даних допомагатиме Експортеру даних у його зобов’язанні відповідно до застосовного законодавства про захист даних інформувати суб’єктів даних і, за потреби, контролюючі органи, надаючи наявну у нього інформацію відповідно до статті 33 (3) GDPR.
   5. (v) За запитом Експортера даних Імпортер даних зобов’язаний допомогти Експортеру даних у виконанні оцінки впливу на захист даних, яка може бути необхідною відповідно до статті 35 GDPR, та попередньої консультації, яка може бути необхідною відповідно до статті 36 GDPR, щодо послуг, що надаються Імпортером даних Експортеру даних за цим Додатком, надаючи необхідну інформацію. Імпортер даних зобов’язаний надавати таку допомогу лише якщо Експортер даних не може виконати це з інших способів. Імпортер даних повідомить Експортера даних про вартість такої допомоги. Як тільки Експортер даних підтвердить, що може покрити ці витрати, Імпортер даних надасть цю допомогу.
   6. (vi) Після завершення надання послуг Експортер даних може вимагати повернення персональних даних, оброблених Імпортером даних за цим Додатком, протягом одного місяця після завершення послуг. Якщо законодавство Держави-члена або Європейського Союзу не вимагає від Імпортера даних зберігати або утримувати такі персональні дані, Імпортер даних видалить усі такі персональні або неперсональні дані після закінчення місячного терміну, незалежно від того, чи були вони повернені Експортеру даних за його запитом.

 

3.3 Права зацікавлених осіб

1.  
   1. (i) Експортер даних керує та відповідає на запити, зроблені суб’єктами даних. Імпортер даних не зобов’язаний безпосередньо відповідати суб’єктам даних.
   2. (ii) Якщо Експортер даних потребує допомоги Імпортера даних у обробці та відповіді на запити суб’єкта даних, Експортер даних видасть додаткову інструкцію відповідно до пункту 3.1 (ii) Частини 1. Імпортер даних допомагатиме Експортеру даних із відповідними технічними та організаційними заходами для реагування на запити щодо реалізації прав суб’єктів даних, викладених у Розділі III GDPR, а саме:
   3. a. Щодо запитів на інформацію, Імпортер даних надасть Експортеру даних лише ту інформацію, що вимагається статтями 13 і 14 GDPR і яка може бути у його розпорядженні, якщо Експортер даних не може її самостійно знайти.
   4. b. Щодо запитів на доступ (стаття 15 GDPR), Імпортер даних надасть Експортеру даних лише ту інформацію, яка має бути надана суб’єкту даних за таким запитом на доступ, якщо останній не може її самостійно знайти.
   5. c. Щодо запитів на виправлення (стаття 16 GDPR), видалення (стаття 17 GDPR), обмеження обробки (стаття 18 GDPR) або передачу даних (стаття 20 GDPR), і лише якщо Експортер даних не може самостійно виправити, видалити, обмежити або передати персональні дані іншій третій стороні, Імпортер даних запропонує Експортеру даних можливість виправити, видалити, обмежити або передати відповідні персональні дані іншій третій стороні, або, якщо це неможливо, надасть допомогу у виправленні, видаленні, обмеженні або передачі відповідних персональних даних іншій третій стороні.
   6. d. Щодо повідомлення про виправлення, видалення або обмеження обробки (стаття 19 GDPR), Імпортер даних допомагатиме Експортеру даних, повідомляючи всіх отримувачів персональних даних, залучених Імпортером даних як агентами з обробки, якщо Експортер даних цього забажає і якщо Експортер даних не може самостійно усунути ситуацію.
   7. e. Щодо права на заперечення, реалізованого суб’єктом даних (статті 21 і 22 GDPR), Експортер даних визначатиме, чи є заперечення законним і як з ним діяти.
   8. (iii) Обов’язки Імпортера даних щодо допомоги обмежуються персональними даними, обробленими в його інфраструктурі (наприклад, бази даних, системи, додатки, що належать або надаються Імпортером даних).
   9. (iv) Експортер даних визначає, чи може суб’єкт даних реалізувати права, викладені в пункті 3.1 цієї Частини 1, і повідомляє Імпортера даних про обсяг необхідної допомоги, зазначеної в пунктах 3.3 (ii), (iii) Частини 1.
   10. (v) Якщо Експортер даних запитує додаткові або змінені технічні та організаційні заходи для забезпечення прав суб’єктів даних, що виходять за межі допомоги, наданої Імпортером даних за підпунктами 3.3 (ii), (iii) Частини 1, Імпортер даних повідомить Експортера даних про вартість впровадження таких додаткових або змінених заходів. Як тільки Експортер даних підтвердить, що може покрити ці витрати, Імпортер даних впровадить такі додаткові або змінені технічні та організаційні заходи для допомоги Експортеру даних у реагуванні на запити суб’єктів даних.
   11. (vi) Без обмеження обсягу пункту 3.3 (v) Частини 1, Експортер даних зобов’язаний відшкодувати Імпортеру даних розумні витрати, понесені ним у зв’язку з реагуванням на запити суб’єктів даних.

 

3.4 Субпідрядництво

1.  
   1. (i) Експортер даних уповноважує Імпортера даних використовувати субпідрядників для надання послуг за цим Додатком. Імпортер даних повинен ретельно обирати таких агентів з обробки даних. Експортер даних затверджує агентів з обробки даних, перелічених у Додатку 1.1 наприкінці Частини 2.
   2. (ii) Імпортер даних передає свої зобов’язання за цим Додатком агентам з обробки даних у тій мірі, в якій це застосовується до субпідрядних послуг.
   3. (iii) Імпортер даних може звільняти, замінювати або призначати інших відповідних і надійних агентів з обробки даних на свій розсуд. Якщо це буде письмово запитано Експортером даних, Імпортер даних повинен дотримуватися наведеної нижче процедури:
2.  
   1. a. Імпортер даних повинен повідомити Експортера даних про будь-які зміни у списку агентів з обробки даних, зазначених у пункті 3.4 (i) Частини 1. Якщо Експортер даних не заперечує проти цього відповідно до пункту 3.4 (b) Частини 1 протягом тридцяти днів після отримання повідомлення від Імпортера даних, додаткові агенти з обробки даних вважаються прийнятими.
   2. b. Якщо Експортер даних має законну підставу заперечувати проти додаткового агента з обробки даних, він повинен письмово повідомити Імпортера даних протягом тридцяти днів після отримання повідомлення від Імпортера даних і до початку надання послуг Імпортером даних. Якщо Експортер даних заперечує проти використання додаткового агента з обробки даних, Імпортер даних може усунути заперечення одним із наступних способів (на свій розсуд): (A) Імпортер даних скасує свої плани щодо використання додаткового агента з обробки даних стосовно персональних даних Експортера даних; (B) Імпортер даних вживе коригувальних заходів, запитаних Експортером даних у його запереченні (скасування заперечення) і використовуватиме додаткового агента з обробки даних стосовно персональних даних Експортера даних; (C) Імпортер даних може припинити надання або Експортер даних може погодитися не використовувати (тимчасово або постійно) певний аспект послуги, який передбачає використання додаткового агента з обробки персональних даних Експортера даних.
3.  
   1. (iv) якщо агент з обробки даних розташований поза межами ЄС-ЄЕЗ у країні, яка не визнана такою, що забезпечує адекватний рівень захисту даних за рішенням Європейської Комісії, Імпортер даних вживатиме заходів для забезпечення адекватного рівня захисту даних відповідно до GDPR (такі заходи можуть включати – серед іншого – використання договорів про обробку даних на основі положень моделі ЄС, передачу агентам з обробки даних, що самостійно сертифікуються, у рамках програми EU-US Protection Shield або подібної програми).

 

3.5 Закінчення строку дії

Строк дії цього Додатку збігається з датою закінчення відповідного Контракту. Якщо інше не передбачено цим Додатком, права та обов’язки, пов’язані з припиненням, будуть такими ж, як і ті, що містяться в Контракті.

 

4. Обмеження відповідальності

4.1 Кожна сторона виконує свої зобов’язання за цим Додатком та застосовним законодавством про захист даних.

4.2 Будь-яка відповідальність, пов’язана з порушенням зобов’язань за цим Додатком або застосовним законодавством про захист даних, підлягає та регулюється положеннями про відповідальність, викладеними в Контракті або застосовними до нього, якщо інше не передбачено цим Додатком. Якщо відповідальність регулюється положеннями про відповідальність, викладеними в Контракті або застосовними до нього, для розрахунку меж відповідальності або визначення застосування інших обмежень відповідальності будь-яка відповідальність за цим Додатком вважається такою, що виникла за Контрактом.

 

5. Загальні положення

5.1 Якщо виникають будь-які невідповідності або розбіжності між Частинами 1 і 2 цього Додатку, перевага надається Частині 2. Зокрема, навіть у такому випадку Частина 1, яка просто доповнює Частину 2 (тобто умови Стандартних положень) без суперечностей з нею, залишається чинною.

5.2 Якщо виникає розбіжність між положеннями цього Додатку та іншими контрактами, що зобов’язують сторони, цей Додаток має перевагу щодо зобов’язань сторін у сфері захисту даних. У разі сумнівів щодо того, чи стосуються положення інших контрактів зобов’язань сторін у сфері захисту даних, перевага надається цьому Додатку.

5.3 Якщо будь-яке положення цього Додатку є недійсним або нездійсненним, решта цього Додатку залишається в повній силі. Недійсне або нездійсненне положення буде (i) змінено для забезпечення його дійсності та здійсненності, з максимально можливим збереженням намірів сторін, або – якщо це неможливо – (ii) тлумачено так, ніби недійсна або нездійсненна частина ніколи не була частиною контракту. Вищезазначене також застосовується у разі пропуску в цьому Додатку.

5.5 У разі необхідності Сторони можуть вимагати внесення змін до Частини 1, пункту 3 (Дотримання місцевого законодавства) або інших частин Додатку для дотримання тлумачень, директив або наказів компетентних органів Союзу або Держав-членів, національних положень про виконання або будь-яких інших правових змін, що стосуються GDPR або інших умов делегування будь-яким суб’єктам, залученим до обробки даних, зокрема щодо використання Стандартних договірних положень у GDPR. Умови Стандартних договірних положень не можуть бути змінені або замінені, якщо Європейська Комісія явно не схвалить це (наприклад, новими адекватними положеннями та стандартами захисту даних).

5.6 Будь-яке посилання в цьому Додатку на "Положення" слід розуміти як посилання на всі положення цього Додатку, якщо не зазначено інше.

5.7 Вибір права, зазначений у Частині 2, пункті 9, застосовується до всього Контракту.

 

6. Персональні дані, передані та оброблені сторонами для особистих цілей (передача від контролера даних до контролера даних)

6.1 Сторони повністю усвідомлюють, що певні персональні дані будуть передані від Експортера даних до Імпортера даних і навпаки, і що такі дані обробляються кожною Стороною для власних цілей. Щодо таких персональних даних інші положення цього Додатку (крім цього пункту 6) не впливають.

6.2 Експортер даних може передавати Імпортеру даних персональні дані, що стосуються персоналу Імпортера даних, включаючи інформацію про інциденти безпеки або будь-які інші документи чи файли, створені або встановлені Експортером даних у зв’язку з Послугами, наданими персоналом Імпортера даних. Імпортер даних може обробляти такі персональні дані для власних цілей, зокрема у професійних відносинах із персоналом Імпортера даних, для контролю якості та навчання або з комерційною метою.

6.3 Імпортер даних може передавати персональні дані Експортеру даних, включаючи ім’я та контактні дані персоналу Імпортера даних. Експортер даних може обробляти такі персональні дані для власних цілей.

6.4 Обидві сторони повинні дотримуватися будь-яких застосовних законів про захист даних, включаючи GDPR, при зборі, обробці та використанні таких персональних даних, отриманих від іншої сторони відповідно до пункту 1 Частини 1. Зокрема, обидві Сторони повинні вживати адекватних заходів безпеки, забезпечуючи рівень захисту, подібний до заходів безпеки, викладених у Додатку 2 Частини 2. Будь-який доступ до таких персональних даних повинен бути обмежений необхідністю їх знати.

6.5 Обидві Сторони повинні видалити такі персональні дані якнайшвидше після досягнення цілей.

Частина 2

 

РІШЕННЯ КОМІСІЇ

від 5 лютого 2010 року

про стандартні договірні положення для передачі персональних даних агентам з обробки, розташованим у третіх країнах, відповідно до Директиви 95/46/ЄС Європейського парламенту та Ради

 

 

 

Положення 1

Визначення

У значенні цих положень:

a) "персональні дані", "особливі категорії даних", "обробка/обробляти", "контролер", "агент з обробки", "суб’єкт даних" та "контролюючий орган" мають те саме значення, що й у Директиві 95/46/ЄС Європейського парламенту та Ради від 24 жовтня 1995 року про захист фізичних осіб у зв’язку з обробкою персональних даних та про вільний рух таких даних (1);

b) "Експортер даних" – це контролер даних, який передає персональні дані;

c) "Імпортер даних" – це агент з обробки даних, який погоджується отримувати від Експортера даних персональні дані, призначені для обробки від імені Експортера даних після передачі відповідно до його інструкцій і на умовах цих положень і який не підпадає під механізм третьої країни, що забезпечує адекватний захист у значенні статті 25(1) Директиви 95/46/ЄС; (d) "Агент з обробки даних" означає агента з обробки даних, залученого Імпортером даних або будь-яким іншим агентом з обробки Імпортера даних, який погоджується отримувати від Імпортера даних або будь-якого іншого агента з обробки Імпортера даних персональні дані виключно для здійснення обробки від імені Експортера даних після передачі відповідно до інструкцій Експортера даних, на умовах, викладених у цих Положеннях, та на умовах письмового договору субпідряду на обробку даних;

e) "застосовне законодавство про захист даних" означає законодавство, що захищає основні права і свободи фізичних осіб, включаючи право на приватність щодо обробки персональних даних, і застосовується до контролера в Державі-члені, де розташований Експортер даних;

f) "технічні та організаційні заходи, пов’язані з безпекою" означають заходи, призначені для захисту персональних даних від випадкового або незаконного знищення, випадкової втрати, зміни, несанкціонованого розкриття або доступу, особливо коли обробка включає передачу даних через мережі, а також від усіх інших незаконних форм обробки.

Положення 2

Деталі передачі

Деталі передачі, включаючи, за потреби, особливі категорії персональних даних, зазначені в Додатку 1, який є невід’ємною частиною цих положень.

Положення 3

Положення про третю сторону-бенефіціара

1. Суб’єкт даних може застосовувати проти Експортера даних це Положення, Положення 4(b)–(i), Положення 5(a)–(e) та (g)–(j), Положення 6 (1) і (2), Положення 7, Положення 8(2) та Положення 9–12 як третя сторона-бенефіціар.

2. Суб’єкт даних може застосовувати це Положення, Положення 5 (a)–(e) та (g), Положення 6, Положення 7, Положення 8 (2) та Положення 9–12 проти Імпортера даних, якщо Експортер даних фізично зник або припинив існування в праві, якщо всі його юридичні зобов’язання не були передані за договором або за законом наступнику, якому належать права та обов’язки Експортера даних, і проти якого суб’єкт даних може застосовувати вказані положення.

Суб’єкт даних може застосовувати це Положення, Положення 5 (a)–(e) та (g), Положення 6, Положення 7, Положення 8 (2) та Положення 9–12 проти агента з обробки даних, але лише у випадках, коли Експортер даних і Імпортер даних фізично зникли, припинили існування в праві або стали неплатоспроможними, якщо всі юридичні зобов’язання Експортера даних не були передані за договором або за законом правонаступнику, якому належать права та обов’язки Експортера даних, і проти якого суб’єкт даних може застосовувати такі положення. Відповідальність агента з обробки даних має бути обмежена його власною діяльністю з обробки за цими положеннями.

4. Сторони не заперечують проти того, щоб суб’єкта даних представляла асоціація або інший орган, якщо він чи вона цього бажає і якщо це дозволяє національне законодавство.

Положення 4

Обов’язки Експортера даних

Експортер даних приймає та гарантує наступне:

a) обробка, включаючи фактичну передачу персональних даних, була і буде здійснюватися відповідно до відповідних положень застосовного законодавства про захист даних (і, за потреби, була повідомлена компетентним органам Держави-члена, де розташований Експортер даних) і не порушує відповідних положень цієї Держави;

b) він надав і надаватиме протягом терміну надання послуг з обробки персональних даних Імпортеру даних інструкції обробляти передані персональні дані виключно від імені Експортера даних і відповідно до застосовного законодавства про захист даних та цих положень;

c) Імпортер даних надасть достатні гарантії щодо технічних та організаційних заходів безпеки, зазначених у Додатку 2 до цього контракту;

d) після оцінки вимог застосовного законодавства про захист даних заходи безпеки є адекватними для захисту персональних даних від випадкового або незаконного знищення, випадкової втрати, зміни, несанкціонованого розкриття або доступу, особливо коли обробка включає передачу даних через мережу, та від усіх інших незаконних форм обробки і забезпечують рівень безпеки, відповідний ризикам, що виникають у процесі обробки, та характеру даних, що підлягають захисту, з урахуванням рівня технологій і вартості впровадження;

e) він забезпечить дотримання заходів безпеки;

f) якщо передача стосується особливих категорій даних, суб’єкт даних був або буде поінформований до передачі або якнайшвидше після передачі про те, що його або її дані можуть бути передані до третьої країни, яка не забезпечує адекватний рівень захисту відповідно до Директиви 95/46/ЄС;

g) він передасть будь-яке повідомлення, отримане від Імпортера даних або будь-якого агента з обробки даних відповідно до Положень 5 (b) і 8 (3), до контролюючого органу з питань захисту даних, якщо він вирішить продовжити передачу або скасувати її призупинення;

h) він надасть суб’єктам даних, якщо вони цього забажають, копію цих Положень, за винятком Додатку 2, а також стислий опис заходів безпеки та копію будь-якої подальшої угоди про субпідряд, укладеної відповідно до цих Положень, якщо Положення або угода не містять комерційну інформацію, у такому разі він може вилучити таку інформацію;

i) у разі субпідряду на обробку даних діяльність з обробки здійснюється відповідно до Положення 11 агентом з обробки даних, який забезпечує принаймні такий самий рівень захисту персональних даних і прав суб’єктів даних, як Імпортер даних за цими Положеннями; та

j) він забезпечить дотримання Положень 4 (a)–(i).

Положення 5

Обов’язки Імпортера даних

Імпортер даних приймає та гарантує наступне:

a) він оброблятиме персональні дані лише від імені Експортера даних і відповідно до інструкцій Експортера даних та цих Положень; якщо він не зможе цього зробити з будь-якої причини, він погоджується повідомити Експортера даних про свою нездатність якнайшвидше, у такому випадку Експортер даних може призупинити передачу даних і/або припинити контракт;

b) він не має підстав вважати, що застосовне до нього законодавство забороняє йому виконувати інструкції, надані Експортером даних, та зобов’язання, що покладаються на нього за контрактом, і якщо таке законодавство зміниться, що може суттєво негативно вплинути на гарантії та зобов’язання за Положеннями, він повідомить Експортера даних про зміну без зволікань після того, як дізнається про неї, у такому випадку Експортер даних може призупинити передачу даних і/або припинити контракт; (c) він впровадив технічні та організаційні заходи безпеки, зазначені в Додатку 2, перед обробкою переданих персональних даних;

d) він повідомить Експортера даних без зволікань:

i) будь-який обов’язковий запит на розкриття персональних даних від правоохоронного органу, якщо не вказано інше, наприклад, кримінальна заборона, спрямована на збереження таємниці поліцейського розслідування;

ii) будь-який випадковий або несанкціонований доступ; та

iii) будь-який запит, отриманий безпосередньо від зацікавлених осіб, без відповіді на нього, якщо він не був уповноважений це робити;

e) він оперативно і належним чином розглядатиме всі запити від Експортера даних щодо обробки персональних даних, що передаються, і діятиме відповідно до думки контролюючого органу щодо обробки переданих даних;

f) за запитом Експортера даних він піддасть свої засоби обробки даних аудиту діяльності з обробки, що охоплюється цими Положеннями, який проводитиме Експортер даних або контрольний орган, що складається з незалежних членів із відповідною професійною кваліфікацією, за умови дотримання конфіденційності та вибору Експортера даних, за згодою контролюючого органу, якщо це доречно;

g) він надасть суб’єкту даних, якщо той цього забажає, копію цих Положень або будь-якого існуючого договору субпідряду на обробку даних, якщо Положення або договір не містять комерційну інформацію, у такому разі він може вилучити таку інформацію, за винятком Додатку 2, який буде замінено стислим описом заходів безпеки, якщо суб’єкт даних не може отримати копію від Експортера даних;

h) у разі конфіденційного подальшого субпідряду на обробку даних він забезпечить, що заздалегідь повідомить Експортера даних і отримає його письмову згоду;

i) послуги з обробки, що надаються агентом з обробки даних, відповідатимуть Положенню 11;

j) він оперативно надішле копію будь-якого договору субпідряду на обробку даних, укладеного ним за цими Положеннями, Експортеру даних.

Положення 6

Відповідальність

1. Сторони погоджуються, що будь-який суб’єкт даних, який зазнав шкоди через порушення зобов’язань, зазначених у Положенні 3 або Положенні 11 однією зі сторін або агентом з обробки даних, може отримати компенсацію від Експортера даних за завдану шкоду.

2. Якщо суб’єкт даних не може подати позов про відшкодування шкоди, як зазначено в пункті 1, проти Експортера даних через невиконання Імпортером даних або його агентом з обробки зобов’язань за Положеннями 3 або 11 через те, що Експортер даних фізично зник, припинив існування в праві або став неплатоспроможним, Імпортер даних погоджується, що суб’єкт даних може подати скаргу проти нього, ніби він є Експортером даних, якщо всі юридичні зобов’язання Експортера даних не були передані за договором або за законом його правонаступнику, проти якого суб’єкт даних може застосовувати свої права. Імпортер даних не може посилатися на порушення своїх зобов’язань агентом з обробки даних, щоб уникнути власної відповідальності.

3. Якщо суб’єкт даних не може подати позов, як зазначено в пунктах 1 і 2, проти Експортера даних або Імпортера даних через порушення агентом з обробки зобов’язань за Положеннями 3 або 11 через те, що Експортер даних і Імпортер даних фізично зникли, припинили існування в праві або стали неплатоспроможними, агент з обробки погоджується, що суб’єкт даних може подати скаргу проти нього щодо його власної діяльності з обробки відповідно до цих положень, ніби він є Експортером даних або Імпортером даних, якщо всі юридичні зобов’язання Експортера даних або Імпортера даних не були передані за договором або за законом правонаступнику, проти якого суб’єкт даних може застосовувати свої права. Відповідальність агента з обробки має бути обмежена його власною діяльністю з обробки відповідно до цих положень.

 

Положення 7

Посередництво та юрисдикція

1. Імпортер даних погоджується, що якщо за цими положеннями суб’єкт даних заявить проти нього право третьої сторони-бенефіціара і/або вимагатиме компенсації за завдану шкоду, він прийме рішення суб’єкта даних:

a) передати спір на посередництво незалежній особі або, за потреби, контролюючому органу;

b) подати спір до судів Держави-члена, де розташований Експортер даних.

2. Сторони погоджуються, що вибір, зроблений суб’єктом даних, не вплине на процесуальні або матеріальні права суб’єкта даних на отримання відшкодування відповідно до інших положень національного або міжнародного права.

Положення 8

Співпраця з контролюючими органами

1. Експортер даних погоджується подати копію цього контракту до контролюючого органу, якщо це буде вимагатися останнім або якщо таке подання передбачено застосовним законодавством про захист даних.

2. Сторони погоджуються, що контролюючий орган може проводити перевірки у Імпортера даних та будь-якого агента з обробки даних у такому ж обсязі та на таких же умовах, як і перевірки у Експортера даних відповідно до застосовного законодавства про захист даних.

3. Імпортер даних повинен якнайшвидше повідомити Експортера даних про існування законодавства, що стосується Імпортера даних або будь-якого агента з обробки даних, яке забороняє перевірку у Імпортера даних або будь-якого агента з обробки даних відповідно до пункту 2. У такому випадку Експортер даних може вжити заходів, передбачених у Положенні 5 (b).

Положення 9

Застосовне право

Ці положення застосовуються і регулюються правом Держави-члена, де розташований Експортер даних.

Положення 10

Зміна контракту

Сторони зобов’язуються не змінювати ці положення. Сторони залишаються вільними включати інші комерційні положення, які вони вважають необхідними, за умови, що вони не суперечать цим положенням.

Положення 11

Подальший субпідряд

1. Імпортер даних не повинен передавати субпідряду жодної зі своїх діяльностей з обробки, що здійснюються від імені Експортера даних за цими положеннями, без попередньої письмової згоди Експортера даних. Імпортер даних може передавати субпідряду свої зобов’язання за цими Положеннями лише за письмовою угодою з агентом з обробки даних, яка накладає на агента з обробки такі самі зобов’язання, як і на Імпортера даних за цими Положеннями. Якщо агент з обробки не може виконати свої зобов’язання щодо захисту даних за цією письмовою угодою, Імпортер даних залишається повністю відповідальним перед Експортером даних за виконання цих зобов’язань.

2. Попередня письмова угода між Імпортером даних і агентом з обробки даних також повинна містити положення про третю сторону-бенефіціара, як викладено в Положенні 3, для випадків, коли суб’єкт даних не може подати позов про відшкодування шкоди, зазначений у Положенні 6 (1), проти Експортера даних або Імпортера даних через те, що Експортер даних або Імпортер даних фізично зникли, припинили існування в праві або стали неплатоспроможними, і всі юридичні зобов’язання Експортера даних або Імпортера даних не були передані за договором або за законом іншій правонаступній особі. Відповідальність агента з обробки має бути обмежена його власною діяльністю з обробки відповідно до цих положень.

3. Положення, що стосуються аспектів захисту даних у субпідряді на обробку даних за договором, зазначеним у пункті 1, регулюються правом Держави-члена, в якій розташований Експортер даних.

4. Експортер даних веде список договорів субпідряду на обробку даних, укладених за цими Положеннями і повідомлених Імпортером даних відповідно до Положення 5 (j), який оновлюється щонайменше раз на рік. Цей список надається контролюючому органу з питань захисту даних Експортера даних.

Положення 12

Зобов’язання після припинення послуг з обробки персональних даних

1. Сторони погоджуються, що після завершення послуг з обробки даних Імпортер даних і агент з обробки даних за бажанням Експортера даних повернуть усі передані персональні дані та їх копії Експортеру даних або знищать усі такі дані та нададуть підтвердження знищення Експортеру даних, якщо законодавство, що застосовується до Імпортера даних, не забороняє йому повертати або знищувати всі або частину переданих персональних даних. У такому випадку Імпортер даних гарантує, що забезпечить конфіденційність переданих персональних даних і більше не буде активно їх обробляти.

2. Імпортер даних і агент з обробки даних забезпечать, що, якщо це буде запитано Експортером даних і/або контролюючим органом, вони піддадуть свої засоби обробки даних перевірці заходів, зазначених у пункті 1.

 

 

 

 

Додаток 1.1 до Частини 2

Деталі передачі

 

 

Експортер даних

Експортером даних є Клієнт, визначений у Договірній угоді.

 

Імпортер даних

Імпортером даних є IQUALIF, який призначений для обробки даних, надаючи послуги Експортеру даних.

 

Суб’єкти даних

Передані персональні дані стосуються таких категорій суб’єктів даних:

☒ абоненти телефонного довідника, включені до універсального довідника

☐ Інші, зокрема:

 

Категорії даних

Передані персональні дані стосуються таких категорій даних:

 

Категорії персональних даних суб’єктів даних Експортера даних, зокрема,

☒ Повне ім’я

☒ Поштова адреса

☒ Контактні дані (електронна пошта, телефон, IP-адреса тощо)

☒ Деталі маркетингової діяльності, що стосуються телефонного абонента

☒ Інші, зокрема тип житла, доходи та середній вік за містом, зроблені анонімно

 

Особливі категорії даних (за потреби)

Передані персональні дані стосуються таких особливих категорій даних:

☒ Передача особливих категорій даних не передбачена

☐ Расове або етнічне походження

☐ Релігійні або філософські переконання

☐ Членство в профспілках

☐ Політичні погляди

☐ Генетична інформація

☐ Біометрична інформація

☐ Інформація про сексуальну орієнтацію або сексуальне життя

☐ Дані про здоров’я

 

Діяльність з обробки

Передані персональні дані підлягатимуть таким основним видам обробки:

 

•  
  • • Мета обробки

Обробка, здійснювана від імені Експортера даних, базується, зокрема, на таких цілях:

☒ Обробка замовлень на продукти або послуги, що пропонуються Експортером даних

☒ Пропозиція продукту або послуги, яку може запросити особа, що телефонує

☒ Прийом замовлень від осіб, що телефонує, та подальша обробка цих замовлень

☒ Опитування та аналізи

☒ Телемаркетинг

☐ Інші, зокрема:

 

•  
  • • Характер і мета обробки

Імпортер даних обробляє персональні дані суб’єктів даних від імені Експортера даних, щоб надавати такі послуги, зокрема:

☒ Продажі та маркетинг

☒ Інші, зокрема оновлення баз даних міських рад і політичних партій

 

•  
  • • Надання послуг і залучення постачальників послуг

 

IQUALIF переважно об’єднує, централізує та надає послуги Експортеру даних. Послуги, що надаються зазначеним постачальником послуг, можуть бути структуровані (серед іншого, за потреби) навколо таких допоміжних послуг: (i) надання додатків, інструментів, систем і ІТ-інфраструктури, пов’язаних із центрами обробки даних, що використовуються, для надання та підтримки послуг, включаючи обробку персональних даних суб’єктів даних, як описано вище, через такі додатки, інструменти та системи, (ii) надання ІТ-підтримки, технічного обслуговування та інших послуг, пов’язаних із такими додатками, інструментами, системами та ІТ-інфраструктурою, включаючи потенційний доступ до персональних даних, збережених у таких додатках, інструментах і системах, та (iii) надання послуг із захисту даних, моніторингу захисту та реагування на інциденти, включаючи потенційний доступ до персональних даних під час надання таких послуг із захисту. IQUALIF може залучати агентів з обробки даних, як зазначено нижче, для надання послуг, включаючи допоміжні послуги.

 

•  
  • • Залучення зовнішніх третіх сторін як суб’єктів, призначених для обробки даних

 

IQUALIF залучає зовнішніх і третіх сторін, які не є дочірніми компаніями IQUALIF, для підтримки надання послуг Експортеру даних. Експортер даних затверджує таких зовнішніх третіх сторін як суб’єктів, призначених для обробки даних.

 

Якщо суб’єкт, залучений до обробки даних, розташований поза межами ЄС/ЄЕЗ у країні, яка вважається такою, що не забезпечує адекватний рівень захисту даних за рішенням Європейської Комісії, Імпортер даних вживатиме заходів для забезпечення адекватного рівня захисту даних відповідно до GDPR та розділу 3.4 (iv) Частини 1.

 

 

Додаток 2, Частина 2

Технічні та організаційні заходи захисту

 

Імпортер даних вживатиме такі технічні та організаційні заходи захисту, підтверджені Експортером даних, щоб гарантувати відповідний рівень безпеки прав і свобод фізичних осіб залежно від ризиків. При оцінці рівня захисту Експортер даних врахував, зокрема, ризики, пов’язані з обробкою, включаючи випадкове або незаконне знищення, зміну, несанкціоноване розкриття або доступ до персональних даних, що передаються, зберігаються або іншим чином обробляються. Для уточнення: ці технічні та організаційні заходи захисту не застосовуються до додатків, інструментів, систем і/або ІТ-інфраструктури, наданих Експортером даних.

1 Загальні технічні та організаційні заходи захисту

1.1 Загальна інформація та стратегії захисту даних

Слід вжити такі кроки для дотримання загальних стратегій захисту даних та інформації:

a) вживати заходів для оцінки вжитих технічних та організаційних заходів захисту;

b) проводити навчання для підвищення обізнаності серед працівників;

c) мати опис відповідних систем і надавати доступ працівникам;

d) встановлювати формальний процес документування щоразу, коли системи впроваджуються або змінюються;

e) документувати організаційну структуру, процеси, відповідальності та відповідні оцінки;

1.2 Організація захисту інформації

Слід вжити такі заходи для координації діяльності з захисту даних та інформації:

a) визначені відповідальні особи за захист інформації та даних (наприклад, через політику управління захистом даних);

b) необхідна експертиза щодо захисту інформації та даних залишається доступною;

c) усі працівники зобов’язані забезпечувати конфіденційність персональних даних і були поінформовані про можливі наслідки порушення цього зобов’язання.

1.3 Контроль доступу до зон обробки

Слід вжити такі заходи, щоб запобігти несанкціонованому доступу до систем обробки даних (зокрема програмного та апаратного забезпечення) під час обробки, зберігання або передачі персональних даних:

a) встановлення захищених зон;

b) захист і обмеження доступу до систем обробки даних;

c) встановлення дозволів на доступ для працівників і третіх сторін, включаючи відповідні документи;

d) будь-який доступ до центрів обробки даних, у яких зберігаються персональні дані, повинен бути зафіксований у журналі.

1.4 Контроль доступу до систем обробки даних

Слід вжити такі заходи, щоб запобігти несанкціонованому доступу до систем обробки даних:

a) політики та процедури автентифікації користувачів;

b) використання паролів на всіх комп’ютерних системах;

c) віддалений доступ до мережі вимагає багатофакторної автентифікації і надається особі відповідно до її обов’язків і за дозволом;

d) доступ до конкретних функцій базується на робочих функціях і/або атрибутах, індивідуально призначених обліковому запису користувача;

e) права доступу, пов’язані з персональними даними, регулярно переглядаються;

f) ведеться актуальний облік змін прав доступу.

1.5 Контроль доступу до окремих зон використання систем обробки даних

Слід вжити такі заходи, щоб упевнитися, що уповноважені особи з правом користування системою обробки даних можуть отримувати доступ лише до даних у межах своїх відповідальностей і дозволів на доступ, і що персональні дані не можуть бути прочитані, скопійовані, змінені або видалені без дозволу:

a) політики, інструкції та навчання працівників щодо їхніх обов’язків щодо конфіденційності, прав доступу до персональних даних і обсягу обробки персональних даних;

b) дисциплінарні заходи щодо осіб, які отримали доступ до персональних даних без дозволу;

c) доступ до персональних даних надається лише уповноваженим особам за принципом необхідності знати;

d) ведення списку системних адміністраторів і вжиття відповідних заходів для їх контролю;

e) заборона копіювання або відтворення персональних даних на будь-яких носіях для запобігання несанкціонованому вилученню інформації відправника;

f) контрольоване та документоване видалення або знищення даних;

g) надійне зберігання всіх персональних даних, які потрібно зберігати з юридичних або нормативних причин (наприклад, зобов’язання щодо зберігання даних), і лише протягом часу, передбаченого законом.

1.6 Контроль передачі

Слід вжити такі заходи, щоб запобігти читанню, копіюванню, зміні або видаленню персональних даних несанкціонованими третіми сторонами під час передачі або транспортування пристроїв зберігання даних (залежно від обробки персональних даних):

a) використання міжмережевих екранів (фаєрволів);

b) уникнення зберігання персональних даних на мобільних пристроях для транспортування або шифрування таких пристроїв; c) використання ноутбуків та інших мобільних пристроїв лише після активації захисту шифрування;

d) ведення журналу передачі персональних даних.

1.7 Контроль введення даних

Слід вжити такі заходи, щоб упевнитися, що можна перевірити і визначити, чи були персональні дані введені або видалені з систем обробки даних і ким:

a) політика авторизації читання, зміни та видалення збережених даних;

b) заходи захисту щодо читання, зміни та видалення збережених даних.

1.8 Контроль роботи

У разі делегованої обробки персональних даних слід вжити такі заходи, щоб упевнитися, що такі дані обробляються відповідно до інструкцій Контролера:

a) ретельно обрані суб’єкти або суб’єкти, призначені для обробки даних (постачальники послуг, що обробляють персональні дані від імені контролера);

b) інструкції щодо обсягу будь-якої обробки персональних даних працівникам, суб’єктам або суб’єктам, призначеним для обробки даних;

c) узгоджені права на аудит із суб’єктами або суб’єктами, призначеними для обробки даних;

d) укладені угоди із суб’єктами або суб’єктами, призначеними для обробки даних.

1.9 Відокремлення від обробки для інших цілей

Слід вжити такі заходи, щоб упевнитися, що дані, зібрані для інших цілей, можуть оброблятися окремо:

a) окремий доступ до персональних даних відповідно до існуючих прав користувачів;

b) інтерфейси, пакетна обробка та звітування призначені для інших цілей і функцій, щоб дані, зібрані для інших цілей, могли оброблятися окремо.

1.10 Псевдонімізація

Слід вжити такі заходи щодо псевдонімізації персональних даних:

a) Якщо Експортер даних замовляє конкретну операцію обробки або якщо це вважається доцільним Імпортером даних відповідно до чинного законодавства про захист даних щодо певних видів обробки, обробка персональних даних здійснюватиметься таким чином, щоб дані більше не можна було віднести до конкретної особи без використання додаткової інформації. Ця додаткова інформація зберігатиметься окремо;

b) використання технік псевдонімізації, включаючи рандомізацію списку розподілу; створення значень у вигляді хешів.

1.11 Шифрування

Слід вжити такі кроки для шифрування персональних даних у додатках і передачах, що підтримують шифрування:   a) використання технік шифрування;

b) встановлення управління шифруванням для підтримки дозволених технік шифрування;

c) підтримка використання криптографії через процедури та протоколи для генерації, зміни, відкликання, знищення, розповсюдження, сертифікації, зберігання, захоплення, використання та архівування криптографічних ключів для захисту від несанкціонованої зміни та розкриття.

1.12 Повнота систем і послуг обробки даних

Слід вжити такі заходи для забезпечення повноти систем і послуг обробки даних:

a) захист систем обробки даних від маніпуляцій або знищення відповідними засобами (наприклад, антивірусне програмне забезпечення, програмне забезпечення для запобігання втраті даних і проти шкідливого ПЗ, патчі, фаєрволи та керований захист робочого столу);

b) заборона встановлення будь-яких служб або програм, шкідливих для систем обробки даних, послуг або маніпуляції персональними даними;

c) використання системи виявлення та запобігання вторгненням у мережу в самій структурі мережі.

1.13 Доступність систем і послуг обробки даних та можливість відновлення доступу до персональних даних і їх використання у разі матеріального або технічного інциденту

Слід вжити такі заходи для забезпечення доступності систем обробки даних, а також для швидкого відновлення доступності та доступу до персональних даних у разі матеріального або технічного інциденту (зокрема шляхом забезпечення захисту персональних даних від випадкового знищення або втрати):

a) мати засоби контролю для збереження резервних копій і відновлення втрачених або видалених даних;

b) інфраструктурна надлишковість і тестування продуктивності;

c) фізичний захист комп’ютерних ресурсів;

d) використання інструментів для моніторингу стану та доступності внутрішньої мережі;

e) політики звітування про інциденти та реагування, що регулюють процедуру управління інцидентами, та повторне дотримання цих політик у рамках регулярного навчання;

f) резервне копіювання (іноді поза офісом) для відновлення системи, щоб вона могла знову виконувати свої функції;

g) плани безперервності бізнесу/відновлення після катастроф

1.14 Стійкість систем і послуг обробки даних

Слід вжити такі заходи для забезпечення стійкості систем і послуг обробки даних:

a) системи налаштовані гармонійно, з використанням затверджених параметрів безпеки;

b) надлишковість мережі;

c) захист критичних систем.

1.15 Процедура регулярного тестування, оцінки та перевірки ефективності технічних та організаційних заходів для забезпечення безпеки обробки даних

Процедура регулярного тестування, оцінки та перевірки ефективності технічних та організаційних заходів для захисту обробки даних.

a) вживати необхідних заходів для оцінки ризиків і стратегій їх пом’якшення;

b) проводити наради IT-відділу для аналізу поточних питань;

c) плани безперервності бізнесу/відновлення після катастроф регулярно оновлюються.

 

Частина 3

Підписи сторін та список Імпортерів даних

 

Після заповнення онлайн-форми замовлення та підтвердження її шляхом встановлення прапорця про прийняття загальних умов використання, контракт, що регулює відносини між Клієнтом та IQUALIF, вважається укладеним.

Надсилання платежу до IQUALIF вважається підтвердженням укладення контракту.

---

Зверніть увагу: цей текст перекладено з французької. Оригінальна французька версія, яка є дійсною та юридично обов’язковою, доступна тут.