Приложение за обработка на данни

Това допълнение представлява неразделна част от договора и се сключва от:

(i) Клиентът („ Износител на данни “)
(ii) IQUALIF („ Вносител на данни “)

Всяка от тях е „ партия “ и обикновено „ партии “.

Преамбюл

КЪДЕ Вносителят на данни предоставя професионални софтуерни услуги, компютърни и свързани услуги (като браузъри с разширени функции за търсене);

КОГАТО съгласно Договора Вносителят на данни се е съгласил да предостави на Износителя на данни услугите, посочени в Договора („ Услугите “);

КОГАТО чрез предоставяне на Услугите Вносителят на данни получава или се възползва от достъп до информацията на Износителя на данни или информацията на други лица, които имат (потенциална) връзка с Износителя на данни, такава информация може да се квалифицира като лични данни по смисъла на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на лицата по отношение на обработването на лични данни и относно свободното движение на такива данни („ GDPR “) и други приложими закони за защита на данните.

КЪДЕТО това Приложение съдържа правилата и условията, приложими за събирането, обработването и използването на такива лични данни от Вносителя на данни в качеството му на упълномощен агент за обработка на данни на Износителя на данни, за да се гарантира, че Страните спазват приложимото законодателство за защита на данните .

СЛЕДОВАТЕЛНО и за да могат страните да продължат законосъобразно отношенията си, страните сключиха настоящото допълнение, както следва:

Част 1

1. Структура на документа и дефиниции

1.1 Структура

Това допълнение се състои от различни части, както следва:

Част 1:	съдържа общи разпоредби, напр. относно дефинициите, използвани в това Приложение, съответствие с местните закони, време и прекратяване
Част 2:	съдържа основния текст на непроменения документ за стандартни договорни клаузи
Приложение 1.1 към част 2:	съдържа подробностите за операциите по обработване, предоставени от Вносителя на данни на Износителя на данни като упълномощен агент за обработка на данни (включително обработката, естеството и целта на обработката, вида на личните данни и категориите субекти на данни) съгласно този Приложение
Приложение 2 към част 2:	съдържа описание на техническите и организационни мерки за сигурност на Вносителя на данни, които се прилагат във връзка с всички дейности по обработване, описани в Приложение 1.1 на Част 2
Част 3:	съдържа подписите на страните, които се обвързват с това допълнение, и идентифицира всеки вносител на данни

1.2 Терминология и дефиниции

За целите на това Приложение са приложими терминологията и дефинициите, използвани от GDPR (В основния текст на документа за стандартна договорна клауза в част 2, където дефинираните термини не са изписани с главни букви).

"Държава-членка"	означава държава, принадлежаща към Европейския съюз или Европейското икономическо пространство
„Специални категории (лични) данни“	се отнася за лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в профсъюзи, както и генетични данни, биометрични данни, ако се обработват с цел уникално идентифициране на дадено лице, данни относно здравето, данни относно пола на дадено лице живот или сексуална ориентация
„Стандартни договорни клаузи“	означава Стандартните договорни клаузи за прехвърляне на лични данни на обработващи агенти, установени в трети държави, съгласно Решение 2010/87/ЕС на Комисията от 5 февруари 2010 г., което беше изменено с Решение за изпълнение (ЕС) 2016/2297 на Комисията от 16 декември 2016 г
„Процесор на данни“.	означава всеки обработващ агент, намиращ се в или извън ЕС/ЕИП, който се съгласява да получи от Вносителя на данни или друг обработващ на Вносителя на данни, лични данни за изключителната цел на дейностите по обработване, които ще се извършват от Износителя на данни след прехвърляне в съответствие с инструкциите на Износителя на данни, условията на това Приложение и Договора с Вносителя на данни

2. Задължения на Износителя на данни

2.1 Износителят на данни има задължение да гарантира спазването на всички приложими задължения съгласно GDPR и всеки друг приложим закон за защита на данните, който се прилага за износителя на данни, и да докаже такова съответствие, както се изисква от член 5 (2) от GDPR. Износителят на данни гарантира, че вносителят на данни е получил предварителното съгласие на субектите на данни в съответствие с член 6 (a) от GDPR и е изпълнил задължението си да информира субектите на данни в съответствие с членове 13 и 14 от GDPR.

2.2 Износителят на данни трябва да предостави на вносителя на данни съответните файлове на дейностите по обработване в съответствие с член 30 (1) от GDPR, свързани с услугите съгласно това приложение, до степента, необходима на вносителя на данни, за да изпълни задължението по Член 30 (2) от GDPR.

2.3 Износителят на данни трябва да назначи длъжностно лице или представител за защита на данните в степента, изисквана от приложимото законодателство за защита на данните. Износителят на данни е длъжен да предостави данните за контакт на агента за защита на данните или представителя, ако има такъв, на вносителя на данни.

2.4. Износителят на данни потвърждава преди завършване на обработката, чрез приемане на това Приложение, че техническите и организационни мерки за сигурност на Вносителя на данни, както е посочено в Приложение 2 към Част 2, са подходящи и достатъчни за защита на правата на субекта на данните и потвърждава, че Вносителят на данни предоставя достатъчни гаранции в това отношение.

3. Съответствие с местното законодателство

За да се изпълнят изискванията за прилагане на обработващите агенти съгласно член 28 от GDPR, са приложими следните изменения:

3.1 Инструкции

(i) Износителят на данни инструктира Вносителя на данни да обработва лични данни само от името на Износителя на данни. Инструкциите на Износителя на данни са предоставени в това Приложение и в Договора. Износителят на данни има задължението да гарантира, че всички инструкции, дадени на вносителя на данни, са в съответствие с приложимите закони за защита на данните. Вносителят на данни трябва да обработва лични данни само в съответствие с инструкциите, предоставени от износителя на данни, освен ако не се изисква друго от Европейския съюз или законодателството на държавата членка (в последния случай се прилага част 1, клауза 3.2 (iv) (c)) .
(ii) Всички други инструкции, надхвърлящи инструкциите в това Приложение или в Договора, трябва да бъдат включени в предмета на това Приложение и Договора. Ако прилагането на тази допълнителна инструкция включва разходи за Вносителя на данни, Вносителят на данни информира Износителя на данни за тези разходи и предоставя обяснение, преди да изпълни инструкцията. Само след като Износителят на данни потвърди приемането на тези разходи за изпълнение на инструкцията, Вносителят на данни ще изпълни тази допълнителна инструкция. Износителят на данни трябва да даде допълнителни инструкции в писмен вид, освен ако спешност или други специфични обстоятелства не изискват друга форма (напр. устна, електронна). Инструкциите във форма, различна от писмена, трябва да бъдат потвърдени писмено и незабавно от Износителя на данни.
1. Освен ако Износителят на данни не може сам да извърши коригирането, изтриването или ограничаването на лични данни, инструкциите може също да се отнасят до коригирането, изтриването и/или ограничаването на лични данни, както е посочено в част 1, клауза 3.3.
2. Вносителят на данни трябва незабавно да информира износителя на данни, ако според него Инструкция нарушава GDPR или други приложими разпоредби за защита на данните на Европейския съюз или държава-членка („ Оспорвана инструкцияАко надзорният орган обяви оспорената инструкция за законосъобразна, Вносителят на данни изпълнява оспорената инструкция. Част 1, клауза 3.1 (ii) остава приложима.

3.2 Задължения на Вносителя на данни

(i) Вносителят на данни трябва да гарантира, че лицата, упълномощени от вносителя на данни да обработват лични данни от името на износителя на данни, по-специално служители на вносителя на данни и служители на всеки подизпълнител, са се задължили да спазват поверителността или са обект на подходящо законово задължение за поверителност и лицата, които имат достъп до личните данни, ги обработват в съответствие с инструкциите на Износителя на данни.
(ii) Вносителят на данни трябва да приложи техническите и организационни мерки за сигурност, както е посочено в Приложение 2 към част 2, преди да обработи личните данни от името на Износителя на данни. Вносителят на данни може да променя техническите и организационни мерки за сигурност от време на време, ако те не осигуряват по-ниска защита от тези, посочени в Приложение 2 към Част 2.
(iii) Вносителят на данни предоставя на Износителя на данни, при поискване от страна на Износителя на данни, информация, за да покаже съответствие със задълженията на Вносителя на данни съгласно настоящото Приложение. Страните се съгласяват, че това задължение за предоставяне на информация е изпълнено чрез предоставяне на Износителя на данни на одитен доклад (обхващащ сигурността на принципите, наличността на системата и поверителността) („Одитен доклад“). Ако се изискват допълнителни одитни дейности по закон, Износителят на данни може да поиска извършването на инспекции от Износителя на данни или друг одитор, назначен от Износителя на данни, при условие че такъв одитор сключи споразумение за поверителност с Вносителя на данни към Вносителя на данни разумно удовлетворение („Одит“). Този одит е предмет на следните условия: (i) предварително официално писмено приемане от страна на Вносителя на данни; и (ii) Износителят на данни поема всички разходи, свързани с Одита на място за Износителя на данни и Вносителя на данни. Износителят на данни трябва да създаде одитен доклад, обобщаващ резултатите и наблюденията от одита на място („Доклад за одита на място“). Одитните доклади на място и одитните доклади са поверителна информация на Вносителя на данни и не трябва да се разкриват на трети страни, освен ако не се изисква от приложимото законодателство за защита на данните или в съответствие със съгласието на Вносителя на данни.
(iv) Вносителят на данни има задължение да уведоми износителя на данни без неоправдано забавяне:
1. а. по отношение на всяко правно обвързващо искане за разкриване на лични данни от правоприлагащ орган, освен ако не е забранено друго, като например забрана съгласно наказателното право за защита на поверителността на разследване на правоприлагащите органи
2. b. по отношение на всяка жалба и искане, получено директно от субект на данни (напр. относно достъп, коригиране, изтриване, ограничаване на обработката, преносимост на данни, възражение срещу обработката на данни, автоматизирано вземане на решения), без да се отговаря на това искане, освен ако Вносителят на данни е упълномощен да Направи го
3. ° С. ако вносителят на данни или обработващият данни е длъжен съгласно законодателството на Европейския съюз или на държавата-членка, на което се подчинява вносителят на данни или обработващият данни, да обработва личните данни извън инструкциите на износителя на данни, преди да извърши такова обработване извън инструкциите, освен ако законите на Европейския съюз или на държавата-членка забраняват такава обработка на основания от жизненоважен обществен интерес, в който случай уведомлението до Износителя на данни трябва да уточнява правното изискване съгласно това право на Европейския съюз или на държавата-членка; или
4. д. ако вносителят на данни осъзнае нарушение на личните данни, единствено поради него самия или негов подизпълнител, което би засегнало личните данни на износителя на данни, обхванати от настоящия договор, в който случай вносителят на данни ще помогне на износителя на данни в неговото задължение, по отношение на приложимото законодателство за защита на данните, да информира субектите на данни и, когато е приложимо, надзорните органи, като предостави информацията, с която разполага, в съответствие с член 33 (3) от GDPR.
5. (v) По искане на Износителя на данни, Вносителят на данни ще бъде принуден да съдейства на Износителя на данни в задължението му да извърши оценка на въздействието върху защитата на данните, която може да се изисква от член 35 от GDPR, и предварителна консултация, която може да бъде изисква се от член 36 от GDPR по отношение на услугите, предоставяни от вносителя на данни на износителя на данни съгласно това приложение, предоставяйки необходимата информация на износителя на данни. Вносителят на данни ще бъде длъжен да предостави такава помощ само ако износителят на данни не може да изпълни задължението си по друг начин. Вносителят на данни ще информира Износителя на данни за цената на такава помощ. Веднага след като Износителят на данни потвърди, че може да поеме тези разходи, Вносителят на данни ще предостави на Износителя на данни тази помощ.
6. (vi) В края на предоставянето на услугите Износителят на данни може да поиска връщане на личните данни, обработени от Вносителя на данни съгласно настоящото Приложение в рамките на един месец след предоставянето на услугите. Освен ако законодателството на държавата-членка или на Европейския съюз не изисква вносителят на данни да съхранява или съхранява такива лични данни, вносителят на данни ще изтрие всички такива лични или нелични данни след едномесечния период, независимо дали са били върнати на Износителят на данни по негово искане или не.

3.3 Права на засегнатите лица

1. (i) Износителят на данни управлява и отговаря на заявки, направени от субекти на данни. Вносителят на данни не е длъжен да отговаря директно на субектите на данни.
2. (ii) Ако Износителят на данни изисква съдействието на Вносителя на данни при обработката и отговарянето на заявките на Субекта на данни, Износителят на данни издава допълнителни инструкции в съответствие с клауза 3.1 (ii) от Част 1. Вносителят на данни ще съдейства на Износителя на данни със следните подходящи и технически организационни мерки за отговор на исканията за упражняване на правата на субектите на данни, посочени в глава III от GDPR, както следва:
3. а. По отношение на исканията за информация, вносителят на данни ще предостави на износителя на данни само информацията, изисквана от членове 13 и 14 от PGRD, която може да има на свое разположение, ако износителят на данни не може да я намери сам.
4. b. По отношение на исканията за достъп (член 15 от GDPR), Вносителят на данни ще предостави на Износителя на данни само информацията, която трябва да бъде предоставена на субект на данни за посоченото искане за достъп, която може да има на свое разположение, ако последният не може да го намери сам.
5. ° С. По отношение на искания за корекция (член 16 от GDPR), искания за изтриване (член 17 от GDPR), ограничаване на искания за обработка (член 18 от GDPR) или искания за преносимост (член 20 от GDPR), и само ако Износителят на данни не може сам да коригира или изтрие, ограничи или предаде личните данни на друга трета страна, Вносителят на данни ще предложи на Износителя на данни възможността да коригира или изтрие, ограничи или предаде съответните лични данни на другата трета страна, или ако това не е възможно, ще предостави помощ за коригиране или изтриване, ограничаване или предаване на другата трета страна на съответните лични данни.
6. д. По отношение на уведомлението, свързано с коригиране, изтриване или ограничаване на обработката (член 19 от GDPR), вносителят на данни ще съдейства на износителя на данни, като уведоми всички получатели на лични данни, ангажирани от вносителя на данни като обработващи, ако износителят на данни поиска това и ако Износителят на данни не може сам да коригира ситуацията.
7. д. По отношение на правото на възражение, упражнено от субект на данни (членове 21 и 22 от GDPR), Износителят на данни ще определи дали опозицията е законна и как да се справи с нея.
8. (iii) Задълженията за съдействие на Вносителя на данни са ограничени до лични данни, обработвани в рамките на неговата инфраструктура (напр. бази данни, системи, приложения, притежавани или предоставени от Вносителя на данни).
9. (iv) Износителят на данни определя дали даден субект на данни може да упражнява правата на субектите на данни, посочени в клауза 3.1 от тази част 1, и информира вносителя на данни за степента, до която помощта, посочена в клауза 3.3 (ii), ( iii) от част 1 е необходимо.
10. (v) Ако Износителят на данни поиска допълнителни или модифицирани технически и организационни мерки за спазване на правата на субектите на данни, които надхвърлят помощта, предоставена от Вносителя на данни съгласно подточка 3.3 (ii), (iii) от Част 1, Данните Вносителят информира Износителя на данни за разходите за прилагане на такива допълнителни или модифицирани технически и организационни мерки. Веднага след като Износителят на данни потвърди, че може да поеме тези разходи, Вносителят на данни прилага такива допълнителни или модифицирани технически и организационни мерки, за да помогне на Износителя на данни да отговори на исканията на Субектите на данни.
11. (vi) Без да ограничава обхвата на клауза 3.3 (v) от част 1, износителят на данни е длъжен да възстанови на вносителя на данни неговите разумни разходи, направени в отговор на исканията на субектите на данни.

3.4 Подобработка

1. (i) Износителят на данни разрешава използването от страна на вносителя на данни на подизпълнители за предоставяне на услуги съгласно това допълнение. Вносителят на данни избира внимателно такъв(и) обработващ(и) данни. Износителят на данни одобрява обработващия(ите) данни, изброени в Приложение 1.1 в края на Част 2.
2. (ii) Вносителят на данни ще прехвърли задълженията си по настоящото допълнение към обработващия(ите) данни до степента, приложима за услугите, предоставени от подизпълнители.
3. (iii) Вносителят на данни може да уволни, замени или назначи друг подходящ и надежден обработващ(и) данни по свое усмотрение. Ако това бъде поискано писмено от Износителя на данни, Вносителят на данни трябва да следва процедурата, посочена по-долу:
1. а. Вносителят на данни информира Износителя на данни преди каквито и да било промени в списъка с обработващи данни, посочени в клауза 3.4 (i) от част 1. Ако износителят на данни не възрази по клауза 3.4. (b) от част 1 тридесет дни след получаване на уведомление от Вносителя на данни, допълнителните обработващи данни се считат за приети.
2. b. Ако Износителят на данни има законна причина да възрази срещу допълнителен обработващ данни, той ще изпрати предварително писмено известие до Вносителя на данни в рамките на тридесет дни след получаване на уведомлението от Вносителя на данни и преди услугата на Вносителя на данни да бъде пусната в действие. Ако Износителят на данни възрази срещу използването на допълнителен процесор за обработка на данни, Вносителят на данни може да отмени възражението чрез една от следните опции (избрани по негово усмотрение): (A) Вносителят на данни ще отмени своите планове за използване на допълнителен процесор по отношение на личните данни на износителя на данни; (B) Вносителят на данни ще предприеме коригиращите мерки, поискани от Износителя на данни в неговото възражение (анулиране на възражението) и ще използва допълнителния процесор по отношение на личните данни на Износителя на данни;
1. (iv) ако обработващият данни е базиран извън ЕС-ЕИП в държава, която не е призната като предлагаща адекватно ниво на защита на данните след решение на Европейската комисия, вносителят на данни ще предприеме мерките за спазване на адекватно ниво на защита на данните в съответствие с GDPR (такива мерки могат да включват - наред с другото и - използването на договори за обработка на данни въз основа на клаузите на модела на ЕС, прехвърляне към самосертифицирани обработващи данни в рамките на защитния щит между ЕС и САЩ , или подобна програма).

3.5 Изтичане

Изтичането на това Приложение е идентично с датата на изтичане на съответния Договор. Освен ако не е предвидено друго в това Приложение, правата и задълженията, свързани с прекратяването, са същите като тези, съдържащи се в Договора.

4. Ограничение на отговорността

4.1 Всяка страна се справя със задълженията си съгласно това Приложение и приложимото законодателство за защита на данните.

4.2 Всяка отговорност, свързана с нарушение на задълженията по това Приложение или приложимото законодателство за защита на данните, е предмет и се управлява от разпоредбите за отговорност, посочени в или приложими към Договора, освен ако не е предвидено друго в това Приложение. Ако отговорността се урежда от разпоредбите за отговорност, изложени в или приложими към Договора, за изчисляване на лимити на отговорност или определяне на прилагането на други ограничения на отговорността, всяка отговорност, произтичаща от това Приложение, ще се счита, че произтича от Договора.

5. Общи положения

5.1 Ако има някакви несъответствия или несъответствия между части 1 и 2 на това допълнение, част 2 ще има предимство. По-конкретно, дори в такъв случай, част 1, която просто надхвърля част 2 (т.е. условията на стандартните клаузи), без да й противоречи, остава валидна.

5.2 Ако възникне несъответствие между разпоредбите на това Приложение и тези на други договори, обвързващи страните, това Приложение има предимство по отношение на задълженията на страните за защита на данните. В случай на съмнение относно това дали клаузи в други договори засягат задълженията на страните за защита на данните, това Приложение има предимство.

5.3 Ако някоя от разпоредбите на това Приложение е невалидна или неприложима, останалата част от това Приложение остава в пълна сила и действие. Невалидната или неприложима разпоредба ще бъде (i) изменена, за да се гарантира нейната валидност и изпълнимост, като същевременно се запази, доколкото е възможно, намерението на страните, или - ако това не е възможно - (ii) тълкувана така, сякаш невалидната или неприложима част е имала никога не е бил част от договора. Горното се прилага и ако има пропуск в това допълнение.

5.5 Доколкото е необходимо, страните могат да поискат изменения на част 1, клауза 3 (Съответствие с местното законодателство) или други части на Приложението, за да се съобразят с тълкувания, директиви или заповеди, издадени от компетентните органи на Съюза или Държави членки, национални разпоредби за прилагане или всякакви други правни промени относно GDPR или други условия за делегиране на субекти, участващи в обработката на данни, и по-специално по отношение на използването на Стандартните договорни клаузи в GDPR. Условията на стандартните договорни клаузи не могат да бъдат променяни или заменени, освен ако Европейската комисия изрично не го одобри (напр. чрез нови подходящи клаузи и стандарти за защита на данните).

5.6 Всяко позоваване в това Приложение на „клаузите“ се разбира като отнасящо се до всички разпоредби на това Приложение, освен ако не е посочено друго.

5.7 Изборът на закон в част 2, клауза 9 се прилага за целия договор.

6. Лични данни, предавани и обработвани от страните за лични цели (прехвърляне от администратора на данни към администратора)

6.1 Страните знаят напълно, че определени лични данни ще бъдат прехвърлени от Износителя на данни към Вносителя на данни и обратно, и че тези данни се обработват от всяка Страна за нейните собствени цели. По отношение на такива лични данни, това не засяга другите разпоредби на това Приложение (с изключение на тази клауза 6).

6.2 Износителят на данни може да прехвърли лични данни, свързани с персонала на Вносителя на данни, на Вносителя на данни, включително информация за инциденти, свързани със сигурността, или всякакви други документи или файлове, създадени или установени от Износителя на данни във връзка с Услугите, предоставяни от персонала на вносителя на данни. Вносителят на данни може да обработва такива лични данни за свои собствени цели, по-специално в професионалните си отношения с персонала на вносителя на данни, за контрол на качеството и обучение или за бизнес цели.

6.3. Вносителят на данни може да прехвърли лични данни на износителя на данни, включително името и данните за контакт на персонала на вносителя на данни. Износителят на данни може да обработва такива лични данни за свои собствени цели.

6.4 И двете страни трябва да спазват всички приложими закони за защита на данните, включително GDPR, при събирането, обработването и използването на такива лични данни, получени от другата страна съгласно клауза 1 от част 1. По-специално, двете страни предприемат адекватни мерки за сигурност, осигурявайки ниво на защита, подобно на мерките за сигурност, посочени в допълнение 2 към част 2. Всеки достъп до такива лични данни се ограничава до необходимостта да ги познавате.

6.5 И двете страни трябва да изтрият такива лични данни възможно най-скоро след постигане на целите.

Част 2

РЕШЕНИЕ НА КОМИСИЯТА

на 5 февруари 2010 г

относно стандартни договорни клаузи за предаване на лични данни на обработващи данни, установени в трети страни, съгласно Директива 95/46/ЕО на Европейския парламент и на Съвета

клауза 1

Определения

По смисъла на клаузите:

а) „лични данни“, „специални категории данни“, „обработване/обработка“, „администратор“, „обработващ“, „субект на данни“ и „надзорен орган“ имат същото значение като в 95/46/ЕО Директива на Европейския парламент и на Съвета от 24 октомври 1995 г. относно защитата на лицата при обработването на лични данни и относно свободното движение на такива данни (1);

б) „Износителят на данни“ е администраторът на данни, който прехвърля личните данни;

в) „Вносителят на данни“ е обработващият данни, който се съгласява да получи от износителя на данни лични данни, предназначени да бъдат обработени от името на износителя на данни след прехвърлянето в съответствие с неговите инструкции и съгласно условията на тези клаузи, и който не е предмет на механизма на трета страна, осигуряваща адекватна защита по смисъла на член 25, параграф 1 от Директива 95/46/ЕО; (d) „Обработващ данни“ означава обработващият данни, ангажиран от вносителя на данни или от всеки друг обработващ данни на вносителя на данни, който се съгласява да получава от вносителя на данни или друг обработващ данни на вносителя на данни лични данни изключително за дейности по обработване на да се извършва от името на Износителя на данни след прехвърлянето в съответствие с инструкциите на Износителя на данни,

д) „приложимо право за защита на данните“ означава законодателството, защитаващо основните права и свободи на физическите лица, включително правото на неприкосновеност на личния живот по отношение на обработката на лични данни, и приложимо към администратор в държавата членка, в която е установен износителят на данни;

е) „технически и организационни мерки, свързани със сигурността“ означава мерки, предназначени да защитят личните данни срещу случайно или незаконно унищожаване или случайна загуба, промяна, неоторизирано разкриване или достъп, по-специално когато обработката включва предаване на данни по мрежи, и срещу всички други незаконни форми на обработка.

клауза 2

Подробности за прехвърлянето

Подробностите за прехвърлянето, включително, когато е подходящо, специални категории лични данни, са посочени в Приложение 1, което представлява неразделна част от тези клаузи.

клауза 3

Клауза за трето лице бенефициент

1. Субектът на данни може да наложи срещу Износителя на данни тази клауза, клауза 4(b) до (i), клауза 5(a) до (e) и (g) до (j), клауза 6 (1) и (2 ), клауза 7, клауза 8(2) и клаузи 9 до 12 като трета страна бенефициент

2. Субектът на данните може да наложи тази клауза, клауза 5 (a) до (e) и (g), клауза 6, клауза 7, клауза 8 (2) и клаузи 9 до 12 срещу вносителя на данни, когато износителят на данни физически е изчезнал или е престанал да съществува по закон, освен ако всички негови правни задължения не са били прехвърлени по силата на договор или по силата на закона на субекта правоприемник, към който следователно се връщат правата и задълженията на Износителя на данни и срещу които данните следователно субектът може да приложи посочените клаузи.

Субектът на данните може да наложи тази клауза, клауза 5 (a) до (e) и (g), клауза 6, клауза 7, клауза 8 (2) и клаузи 9 до 12 срещу обработващия данни, но само в случаите, когато Данните Износителят и вносителят на данни са изчезнали физически, престанали са да съществуват по закон или са станали неплатежоспособни, освен ако всички правни задължения на износителя на данни не са прехвърлени по договор или по силата на закона на правоприемника, на когото правата и следователно са възложени задължения на Износителя на данни и срещу кого следователно субектът на данните може да наложи такива клаузи. Тази отговорност на обработващия данни трябва да бъде ограничена до неговите собствени дейности по обработка съгласно тези клаузи.

4. Страните не възразяват субектът на данни да бъде представляван от асоциация или друг орган, ако той или тя желае това и ако националното законодателство позволява това.

Клауза 4

Задължения на Износителя на данни

Износителят на данни приема и гарантира следното:

а) обработването, включително действителното предаване на лични данни, е било и ще продължи да се извършва в съответствие със съответните разпоредби на приложимото законодателство за защита на данните (и, когато е приложимо, е било уведомено до компетентните органи на държавата-членка в която е базиран Износителят на данни) и не нарушава съответните разпоредби на тази държава;

б) те са инструктирали и ще инструктират за срока на услугите за обработка на лични данни на Вносителя на данни да обработва личните данни, прехвърлени единствено от името на Износителя на данни и в съответствие с приложимото законодателство за защита на данните и тези клаузи;

в) Вносителят на данни ще осигури достатъчни гаранции по отношение на техническите и организационни мерки за сигурност, посочени в Приложение 2 към настоящия договор;

г) след оценка на изискванията на приложимия закон за защита на данните мерките за сигурност са адекватни за защита на личните данни срещу случайно или незаконно унищожаване или случайна загуба, промяна, неразрешено разкриване или достъп, по-специално когато обработката включва предаване на данни по мрежа и срещу всички други незаконни форми на обработка и гарантира ниво на сигурност, подходящо за рисковете, свързани с обработката и естеството на данните, които трябва да бъдат защитени, като се има предвид нивото на технологията и разходите за изпълнение;

д) ще гарантират спазването на мерките за сигурност;

е) ако трансферът се отнася до специални категории данни, субектът на данните е бил информиран или ще бъде информиран преди трансфера или възможно най-скоро след трансфера, че неговите или нейните данни могат да бъдат прехвърлени на трета държава, която не предлага адекватно ниво на защита по смисъла на Директива 95/46/ЕО;

g) те ще препратят всяка нотификация, получена от Вносителя на данни или който и да е обработващ данни съгласно клаузи 5 (b) и 8 (3) до надзорния орган за защита на данните, ако той реши да продължи прехвърлянето или да отмени своето спиране;

з) те предоставят на субектите на данни, ако поискат това, копие от тези клаузи, с изключение на Приложение 2, и обобщено описание на мерките за сигурност, както и копие от всяко допълнително споразумение за подизпълнение, сключено съгласно тези клаузи, освен ако Клаузите или споразумението съдържат търговска информация, в който случай той може да оттегли такава информация;

i) в случай на възлагане на подизпълнител на процеса на обработване на данни, дейността по обработване се извършва в съответствие с клауза 11 от обработващ данни, осигуряващ най-малко същото ниво на защита на личните данни и правата на субекта на данни като вносителя на данни съгласно тези клаузи. ; и

й) ще осигури съответствие с клауза 4 (a) до (i).

Клауза 5

Задължения на Вносителя на данни

Вносителят на данни приема и гарантира следното:

а) ще обработват личните данни само от името на Износителя на данни и съгласно инструкциите на Износителя на данни и тези клаузи; ако не може да се съобрази по някаква причина, те се съгласяват да информират Износителя на данни за невъзможността си възможно най-скоро, в който случай Износителят на данни може да спре прехвърлянето на данни и/или да прекрати договора;

б) нямат причина да смятат, че приложимото към тях право му пречи да изпълни инструкциите, дадени от Износителя на данни и задълженията, възложени му по договора, и ако това право подлежи на промяна, която може да има съществени неблагоприятни последици ефект върху гаранциите и задълженията по клаузите, той уведомява Износителя на данни за промяната незабавно, след като узнае за нея, в който случай Износителят на данни може да спре прехвърлянето на данни и/или да прекрати договора; в) са въвели техническите и организационни мерки за сигурност, посочени в допълнение 2, преди обработката на прехвърлените лични данни;

г) те ще уведомят Износителя на данни без забавяне:

i) всяко обвързващо искане за разкриване на лични данни от правоприлагащ орган, освен ако не е посочено друго, като например наказателна забрана, насочена към запазване на тайната на полицейско разследване;

ii) всеки случаен или неоторизиран достъп; и

iii) всяко искане, получено директно от заинтересованите лица, без да отговаря на него, освен ако не е упълномощено да го направи; администратори

д) те ще се справят своевременно и правилно с всички запитвания от страна на Износителя на данни относно обработката на личните данни, които се прехвърлят, и ще действат съгласно становището на надзорния орган по отношение на обработката на прехвърлените данни;

е) по искане на Износителя на данни, те ще подложат своите съоръжения за обработка на данни на одит на дейностите по обработка, обхванати от тези клаузи, който ще се извърши от Износителя на данни или надзорен орган, съставен от независими членове с необходимата професионална квалификация, предмет на задължение за поверителност и избран от Износителя на данни, когато е подходящо със съгласието на надзорния орган;

g) те ще предоставят на субекта на данните, ако той поиска това, копие от тези клаузи или всеки съществуващ подизпълнител на договора за обработка на данни, освен ако клаузите или договорът съдържат търговска информация, в който случай може да премахне такава информация, с изключение на Приложение 2, което ще бъде заменено от обобщено описание на мерките за сигурност, когато субектът на данните не може да получи копие от Износителя на данни;

з) в случай на поверително по-нататъшно възлагане на обработката на данни на подизпълнител, той ще гарантира, че информира Износителя на данни предварително и ще получи писменото съгласие на Износителя на данни;

i) услугите за обработка, предоставени от обработващия данни, трябва да отговарят на клауза 11;

j) незабавно ще изпратят копие от всяко подизпълнение на споразумението за обработка на данни, сключено от тях съгласно тези клаузи, на Износителя на данни.

Клауза 6

Отговорност

1. Страните се съгласяват, че всеки субект на данни, който е претърпял вреди поради нарушение на задълженията, посочени в клауза 3 или клауза 11 от една страна или от обработващ данни, може да получи обезщетение от износителя на данни за претърпените вреди.

2. Ако субект на данни е възпрепятстван да заведе иск за обезщетение, както е посочено в параграф 1, срещу Износителя на данни поради неизпълнение от страна на Вносителя на данни или неговия обработващ данни на което и да е от задълженията му по Клауза 3 или Клауза 11, защото Данните Износителят е физически изчезнал, престанал е да съществува по закон или е станал неплатежоспособен, вносителят на данни се съгласява, че субектът на данните може да подаде жалба срещу него, сякаш е износител на данни, освен ако всички правни задължения на износителя на данни не са прехвърлени чрез договор или по силата на закона, на неговия правоприемник, срещу който субектът на данните може след това да наложи правата си. Вносителят на данни не може да разчита на нарушение на задълженията си от обработващ данни, за да избегне собствената си отговорност.

3. Ако субект на данни е възпрепятстван да заведе действието, посочено в параграфи 1 и 2, срещу Износителя на данни или Вносителя на данни за нарушение от страна на обработващия данни на задълженията му по Клауза 3 или Клауза 11, тъй като Износителят на данни и Вносителят на данни са физически изчезнали, престанали да съществуват по закон или са станали неплатежоспособни, обработващият данни се съгласява, че субектът на данните може да подаде жалба срещу него относно собствените му дейности по обработване в съответствие с тези клаузи, сякаш е Износител или Вносител на данни, освен ако всички правните задължения на износителя или вносителя на данни са били прехвърлени по силата на договор или по силата на закона на правоприемника, срещу когото субектът на данни след това може да предяви своите права.Отговорността на обработващия данни трябва да бъде ограничена до неговите собствени дейности по обработка в съответствие с тези клаузи.

Клауза 7

Медиация и юрисдикция

1. Вносителят на данни се съгласява, че ако съгласно клаузите субектът на данните се позове срещу него на правото на трета страна бенефициер и/или поиска обезщетение за претърпените вреди, той ще приеме решението на субекта на данните:

а) да предостави спора за посредничество от независимо лице или, когато е подходящо, от надзорния орган;

б) да отнесе спора пред съдилищата на държавата членка, в която е базиран Износителят на данни.

2. Страните се съгласяват, че изборът, направен от субекта на данните, не засяга процесуалното или материалното право на субекта на данните да получи обезщетение в съответствие с други разпоредби на националното или международното право.

Клауза 8

Сътрудничество с надзорни органи

1. Износителят на данни се съгласява да депозира копие от настоящия договор при надзорния орган, ако последният го изисква или ако такова депозиране е предвидено от приложимото законодателство за защита на данните.

2. Страните се съгласяват, че надзорният орган може да извършва проверки при Вносителя на данни и всеки обработващ данни в същата степен и при същите условия, както при проверките, извършвани при Износителя на данни в съответствие с приложимото законодателство за защита на данните.

3. Вносителят на данни информира износителя на данни възможно най-скоро за съществуването на законодателство относно вносителя на данни или всеки обработващ данни, който възпрепятства проверката при вносителя на данни или който и да е обработващ данни в съответствие с параграф 2. В такъв случай, Износителят на данни може да предприеме мерките, предвидени в клауза 5 (b).

Клауза 9

Приложим закон

Клаузите се прилагат и се уреждат от законодателството на държавата членка, в която е базиран Износителят на данни.

Клауза 10

Изменение на договора

Страните се задължават да не променят настоящите клаузи. Страните остават свободни да включват други търговски клаузи, които считат за необходими, при условие че не противоречат на настоящите клаузи.

Клауза 11

Последващо подизпълнение

1. Вносителят на данни няма да възлага на подизпълнител нито една от своите дейности по обработка, извършвани от името на износителя на данни съгласно тези клаузи, без предварителното писмено съгласие на износителя на данни. Вносителят на данни възлага на подизпълнители задълженията си по тези клаузи само със съгласието на износителя на данни чрез писмено споразумение с обработващия данни, налагащо на обработващия данни същите задължения като тези, наложени на вносителя на данни съгласно тези клаузи. Ако обработващият данни не може да изпълни своите задължения за защита на данните съгласно това писмено споразумение, вносителят на данни остава изцяло отговорен пред износителя на данни за изпълнението на тези задължения.

2. Предварителното писмено споразумение между вносителя на данни и обработващия данни включва също клауза за трета страна бенефициер, както е посочено в клауза 3, за случаите, когато субектът на данните е възпрепятстван да предяви иска за обезщетение, посочен в клауза 6 (1 ), срещу Износителя или Вносителя на данни, тъй като Износителят или Вносителят на данни е физически изчезнал, престанал е да съществува по закон или е станал неплатежоспособен и всички правни задължения на Износителя или Вносителя на данни не са били прехвърлени, по договор или по операция по закон, на друг правоприемник. Отговорността на обработващия данни трябва да бъде ограничена до неговите собствени дейности по обработка в съответствие с тези клаузи.

3. Разпоредбите, свързани с аспектите на защитата на данните при възлагането на подизпълнител на обработката на данни по договора, посочен в параграф 1, се уреждат от правото на държавата членка, в която е установен износителят на данни.

4. Износителят на данни поддържа списък на подизпълнителите и споразуменията за обработка на данни, сключени съгласно тези клаузи и нотифицирани от вносителя на данни в съответствие с клауза 5 (j), който се актуализира най-малко веднъж годишно. Този списък се предоставя на надзорния орган за защита на данните на износителя на данни.

Клауза 12

Задължение след прекратяване на услугите по обработка на лични данни

1. Страните се съгласяват, че след завършване на услугите за обработка на данни, вносителят на данни и обработващият данни, когато е удобно за износителя на данни, ще върнат всички прехвърлени лични данни и копия от тях на износителя на данни или ще унищожат всички такива данни и ще предоставят доказателство унищожаването на Износителя на данни, освен ако законодателството, наложено на Вносителя на данни, му пречи да върне или унищожи всички или част от прехвърлените лични данни. В този случай Вносителят на данни гарантира, че ще гарантира поверителността на прехвърлените лични данни и че повече няма да обработва активно данните.

2. Вносителят на данни и обработващият данни гарантират, че при поискване от износителя на данни и/или надзорния орган те ще подложат своите средства за обработка на данни на проверка на мерките, посочени в параграф 1.

Приложение 1.1 към част 2

Подробности за прехвърлянето

Износител на данни

Износител на данни е Клиентът, определен в Договорното споразумение.

Импортер на данни

Вносителят на данни е IQUALIF и е назначен да обработва данните, предоставяйки услуги на Износителя на данни.

Субекти на данните

Предадените лични данни се отнасят за следните категории субекти на данни:

˜' телефонни абонати, вписани в универсалния указател

˜ Други, включително:

Категории данни

Предадените лични данни се отнасят до следните категории данни:

Категории лични данни на субектите на данни на износителя на данни, по-специално,

˜ Пълно име

˜' Пощенски адрес

˜ Данни за контакт (имейл, телефон, IP адрес и др.)

• Подробности за маркетинговите дейности по отношение на телефонния абонат

˜' Други, включително тип жилище, доходи и средна възраст в града, направени анонимно

Специални категории данни (ако е приложимо)

Предадените лични данни се отнасят до следните специални категории данни:

˜ Не се предвижда прехвърляне на специални категории данни

˜ Раса или етнически произход

˜ Религиозни или философски вярвания

˜ Профсъюзно членство

˜ Политически възгледи

˜ Генетична информация

˜ Биометрична информация

˜ Информация за сексуална ориентация или сексуален живот

˜ Здравни данни

Преработвателни дейности

Прехвърлените лични данни ще бъдат обект на следните основни дейности по обработка:

- • Цел на обработката

Обработката, предприета от името на Износителя на данни, се основава на следните теми, по-специално:

˜' Поемане на отговорност за продуктите или услугите, предлагани от Износителя на данни

˜' Предложението за продукт или услуга, които повикваното лице може да поиска

˜' Поръчки, взети от повиканите лица и по-нататъшна обработка на тези поръчки

˜ Проучване на въпросници и анализи

• Телемаркетинг

˜ Други, включително:

- • Естество и цел на обработката

Вносителят на данни обработва личните данни на субектите на данни от името на Износителя на данни, за да предостави следните услуги и най-вече:

• Продажби и маркетинг

˜' Други, включително актуализиране на бази данни на кметства и политически партии

- • Предоставяне на услуги и наемане на доставчици на услуги

IQUALIF основно комбинира, централизира и предоставя услуги на Износителя на данни. Услугите, предоставяни от посочения доставчик на услуги, могат да бъдат структурирани (наред с други, според случая) около следните спомагателни услуги: (i) предоставяне на приложения, инструменти, системи и ИТ инфраструктура във връзка с използваните центрове за обработка на данни, за да се осигури и поддържа услугите, включително обработката на личните данни на субектите на данни, както е описано по-горе, чрез такива приложения, инструменти и системи, (ii) предоставянето на ИТ поддръжка, поддръжка и други услуги, свързани с такива приложения, инструменти, системи и ИТ инфраструктура, включително потенциален достъп до лични данни, съхранявани в такива приложения, инструменти и системи, и (iii) предоставяне на услуги за защита на данните, наблюдение на защитата и услуги за реакция при инциденти, включително потенциален достъп до лични данни при предоставяне на такива услуги за защита. IQUALIF може да ангажира обработващи данни, както е посочено по-долу, за предоставяне на услугите, включително спомагателни услуги.

- • Външни трети страни доставчици на услуги като подсубекти, на които е възложено обработването на данни

IQUALIF ангажира външни и трети страни доставчици на услуги, които не са дъщерни дружества на IQUALIF, за подпомагане на предоставянето на услуги на Износителя на данни. Износителят на данни одобрява такива външни доставчици на услуги от трети страни като подсубекти, назначени за обработка на данни.

Ако субект, участващ в обработката на данни, се намира извън ЕС/ЕИП, в държава, за която се счита, че няма адекватно ниво на защита на данните съгласно решение на Европейската комисия, Вносителят на данни ще предприеме стъпки за получаване на адекватно ниво на защита на данните. защита на данните в съответствие с GDPR и раздел 3.4 (iv) от част 1.

Приложение 2, част 2

Технически и организационни защитни мерки

Вносителят на данни предприема следните технически и организационни мерки за защита, потвърдени от Износителя на данни, за да гарантира подходящо ниво на сигурност за правата и свободите на лицата, в зависимост от рисковете. При оценката на съответното ниво на защита, Износителят на данни е взел предвид по-специално рисковете, свързани с обработката, включително случайно или незаконно унищожаване, промяна, неразрешено разкриване или достъп до лични данни, предавани, съхранявани или обработвани по друг начин. Чрез пояснение: Тези технически и организационни мерки за защита не се прилагат за приложенията, инструментите, системите и/или ИТ инфраструктурата, предоставени от Износителя на данни.

1 Общи технически и организационни мерки за защита

1.1 Обща информация и стратегии за защита на данните

Трябва да се предприемат следните стъпки, за да се следват общите стратегии за защита на данните и информацията:

а) предприема мерки за оценка на взетите по отношение на техническата и организационната защита;

б) осигурява обучение за повишаване на осведомеността сред служителите;

в) има описание на съответните системи и предоставя достъп на служителите;

d) установява официален процес на документиране, когато системите се внедряват или модифицират;

д) документиране на организационната структура, процеси, отговорности и съответните оценки;

1.2 Организация на защитата на информацията

Следва да се предприемат следните мерки за координиране на дейностите по защита на данните и информацията:

а) определени отговорности за защита на информацията и данните (напр. чрез политиката за управление на защитата на данните);

б) необходимите експертни познания за защита на информацията и данните, които остават налични;

в) всички служители са поели ангажимент да гарантират, че личните данни са поверителни и са били информирани за потенциалните последици от нарушаване на този ангажимент.

1.3 Контрол на достъпа до зоните за обработка

Трябва да се предприемат следните мерки, за да се предотврати получаването на достъп на неоторизирани лица до системите за обработка на данни (по-специално софтуер и хардуер), когато личните данни се обработват, съхраняват или предават:

а) създаване на защитени зони;

б) защита и ограничаване на достъпа до системи за обработка на данни;

в) установява разрешения за достъп на служители и трети страни, включително съответните документи;

г) всеки достъп до центрове за обработка на данни, в които се съхраняват лични данни, се регистрира.

1.4 Контрол на достъпа до системи за обработка на данни

Трябва да се вземат следните мерки, за да се предотврати неоторизиран достъп до системите за обработка на данни:

а) политики и процедури за удостоверяване на потребителя;

б) използването на пароли на всички компютърни системи;

в) отдалеченият достъп до мрежата изисква многофакторно удостоверяване и се предоставя на съответното лице в съответствие с неговите отговорности и след разрешение;

г) достъпът до специфични функции се основава на длъжностни функции и/или атрибути, индивидуално присвоени на акаунта на потребителя;

д) правата за достъп, свързани с личните данни, се преразглеждат редовно;

е) записите на промените в правата на достъп се поддържат актуални.

1.5 Контролиране на достъпа до определени области на използване на системи за обработка на данни

Следните мерки трябва да бъдат взети, за да се гарантира, че упълномощените лица с право да използват системата за обработка на данни имат достъп до данни само в рамките на съответните им отговорности и разрешения за достъп и че личните данни не могат да бъдат четени, копирани, модифицирани или изтривани без разрешение:

1. а) политики, инструкции и обучение на служителите относно задълженията на всеки един от тях за поверителност, права на достъп до лични данни и обхвата на обработката на лични данни;

б) дисциплинарни мерки срещу лица, които имат достъп до лични данни без разрешение;

в) достъп до лични данни се предоставя само на упълномощени лица, при необходимост да се знае;

г) поддържа списък на системните администратори и предприема подходящи мерки за наблюдение на системните администратори;

д) да не копира или възпроизвежда лични данни в която и да е система за съхранение, за да позволи на неоторизирани лица да премахнат информацията на автора;

е) контролирано и документирано изтриване или унищожаване на данни;

g) да съхранява сигурно всички лични данни, които трябва да бъдат запазени по законови или регулаторни причини (напр. задължения за запазване на данни) и само толкова дълго, колкото се изисква от закона.

1.6 Управление на трансмисиите

Трябва да се предприемат следните мерки, за да се предотврати четене, копиране, промяна или изтриване на лични данни от неоторизирани трети страни по време на предаването или транспортирането на устройства за съхранение на данни (в зависимост от предприетата обработка на лични данни):

1. а) използване на защитни стени;

б) избягване на съхраняването на лични данни на мобилни устройства за съхранение за транспортни цели или криптиране на устройствата;
в) използване на лаптопи и други мобилни устройства само след активирана криптираща защита;

г) регистриране на предавания на лични данни.

1.7 Контрол на въвеждане на данни

Трябва да се предприемат следните мерки, за да се гарантира, че е възможно да се провери и определи дали личните данни са въведени или изтрити от системите за обработка на данни и от кого:

1. a) политика за разрешаване на четене, промяна и изтриване на съхранени данни;

б) мерки за защита по отношение на четенето, промяната и изтриването на съхранени данни.

1.8 Контрол на работата

В случай на делегирано обработване на лични данни трябва да се предприемат следните мерки, за да се гарантира, че тези данни се обработват в съответствие с инструкциите на Супервайзера:

1. а) субекти или подсубекти, на които е възложено обработването на данни, избрани внимателно (доставчици на услуги, обработващи лични данни от името на администратора);

б) инструкции относно обхвата на всяко обработване на лични данни към служителите, субектите или подсубектите, на които е възложено обработването на данни;

в) права за одит, договорени със субектите или подсубектите, на които е възложено обработването на данни;

г) действащи споразумения със субектите или подсубектите, на които е възложено да обработват данните.

1.9 Отделяне от обработка за други цели

Трябва да се вземат следните мерки, за да се гарантира, че данните, събрани за други цели, могат да бъдат обработвани отделно:

1. а) отделен достъп до личните данни в съответствие със съществуващите права на потребителите;

б) интерфейсите, груповата обработка и докладването са за други цели и функции, така че данните, събрани за други цели, да могат да се обработват отделно.

1.10 Псевдонимизация

Следните мерки трябва да бъдат взети по отношение на псевдонимизацията на личните данни:

1. a) Ако Износителят на данни поръча конкретна операция по обработване или ако това се счита за подходящо от Вносителя на данни в съответствие с действащите закони за защита на данните относно определени дейности по обработване, обработката на личните данни ще се извърши по такъв начин, че данните вече не могат да се приписват на конкретно лице без използването на допълнителна информация. Тази допълнителна информация ще се съхранява отделно;

б) използване на техники за псевдонимизация, включително рандомизиране на списъка за разпределение; създаване на стойности под формата на диез.

1.11 Шифроване

Трябва да се предприемат следните стъпки за криптиране на лични данни в приложения и предавания, които поддържат криптиране:

1. а) използване на техники за криптиране;

б) установяване на управление на криптиране в подкрепа на разрешените за използване техники за криптиране;

в) подпомагане на използването на криптография чрез процедури и протоколи за генериране, модифициране, отмяна, унищожаване, разпространение, сертифициране, съхраняване, улавяне, използване и архивиране на криптографски ключове за защита срещу неоторизирано модифициране и разкриване.

1.12 Пълнота на системите и услугите за обработка на данни

Трябва да се предприемат следните мерки, за да се гарантира пълнотата на системите и услугите за обработка на данни:

а) защита на системите за обработка на данни срещу манипулиране или унищожаване чрез подходящи средства (напр. антивирусен софтуер, софтуер за предотвратяване на загуба на данни и софтуер срещу зловреден софтуер, софтуерни корекции, защитни стени и управлявана защита на работния плот);

б) забранява инсталирането на каквато и да е услуга или софтуер, вредни за системите за обработка на данни, услугите или манипулирането на лични данни;

в) използване на система за откриване и предотвратяване на проникване в мрежата в структурата на самата мрежа.

1.13 Наличие на системи и услуги за обработка на данни и възможност за възстановяване на достъпа и използването на лични данни в случай на материален или технически инцидент

Трябва да се предприемат следните мерки, за да се гарантира наличността на системите за обработка на данни, както и за да може бързо да се възстанови наличността и достъпа до лични данни, в случай на материален или технически инцидент (по-специално като се гарантира, че личните данни са защитени срещу случайно унищожаване или загуба):

а) разполагат със средства за контрол за съхраняване на резервни копия и възстановяване на изгубени или изтрити данни;

б) инфраструктурно резервиране и тестване на производителността;

в) физическа защита на компютърните ресурси;

г) използване на инструменти за наблюдение на състоянието и достъпността на вътрешната мрежа;

д) политики за докладване и реагиране на инциденти, уреждащи процедурата за управление на инциденти, и повторно спазване на тези политики като част от редовно обучение;

е) резервни копия (понякога извън обекта) за възстановяване на системата, за да може отново да изпълнява функциите си;

ж) планове за непрекъснатост на работата/възстановяване след бедствие

1.14 Устойчивост на системите и услугите за обработка на данни

Трябва да се вземат следните мерки, за да се гарантира устойчивостта на системите и услугите за обработка на данни:

а) системи и конфигурирани хармонично, като се използват одобрени параметри за сигурност;

б) мрежово резервиране;

в) херметизираща защита на критични системи.

1.15 Процедура за редовно тестване, оценка и оценка на ефективността на техническите и организационни мерки за гарантиране на сигурността на обработката на данни

Процедура за редовно тестване, оценка и оценка на ефективността на техническите и организационни мерки за защита на обработката на данни.

а) предприема необходимите стъпки за оценка на рисковете и стратегии за смекчаване;

б) срещи за анализ на услугите на ИТ отдела за решаване на текущи проблеми;

в) плановете за непрекъснатост на бизнеса/възстановяване след бедствие се актуализират редовно.

Част 3

Подписи на страните и списък на вносителите на данни

Когато попълните формуляра за онлайн поръчка и го потвърдите, като поставите отметка в полето за приемане на общите условия за ползване, се установява договорът, уреждащ отношенията между Клиента и IQUALIF.

Изпращането на плащането до IQUALIF ще счита, че договорът е договорен и установен.

Обърнете внимание: Този текст е преведен от френски. Оригиналната френска версия, която е валидна и законово ограничителна, е достъпна тук .