Повернутися на головну / General Terms And Conditions/ Data processing appendix

Додаток обробки даних

 

Цей Додаток є невід’ємною частиною Контракту і укладається:

 

  1. (i) Клієнт («Експортер даних »)
  2. (ii) IQUALIF («Імпортер даних »)

 

Кожна з них є «стороною », а зазвичай «сторонами ».

 

Преамбула

ДЕ Імпортер даних надає послуги професійного програмного забезпечення, комп’ютерні та пов’язані послуги (наприклад, браузери з розширеними функціями пошуку);

ЯКЩО відповідно до Контракту Імпортер даних погодився надавати Експортеру даних послуги, зазначені в Контракті («Послуги »);

ЯКЩО, надаючи Послуги, Імпортер даних отримує або отримує вигоду від доступу до інформації Експортера даних або інформації інших осіб, які мають (потенційні) відносини з Експортером даних, така інформація може кваліфікуватися як персональні дані в розумінні Регламенту (ЄС) 2016/679 Європейського парламенту та Ради від 27 квітня 2016 року про захист осіб щодо обробки персональних даних і про вільний рух таких даних («GDPR ») та інші застосовні закони про захист даних.

ДЕ цей Додаток містить положення та умови, що застосовуються до збору, обробки та використання таких персональних даних Імпортером даних як уповноваженим агентом з обробки даних Експортера даних, для забезпечення дотримання Сторонами чинного законодавства про захист даних .

 

ТАКИМ, щоб дати можливість Сторонам продовжувати свої відносини на законних підставах, Сторони уклали цей Додаток про наступне:

Частина 1

 

1. Структура документа та визначення понять

1.1 Структура

Цей Додаток складається з наступних частин:

 

Частина 1: 

містить загальні положення, наприклад, щодо визначень, що використовуються в цьому Додатку, дотримання місцевих законів, термінів і припинення

 

Частина 2:

містить основний документ стандартних договірних положень без змін

 

Додаток 1.1 частини 2:

містить детальну інформацію про операції обробки, надані Імпортером даних Експортеру даних як уповноваженому агенту обробки даних (включаючи обробку, характер і мету обробки, тип персональних даних і категорії суб’єктів даних) відповідно до цього Додаток

 

Додаток 2 частини 2:

містить опис технічних та організаційних заходів безпеки Імпортера даних, які застосовуються у зв’язку з усіма діями обробки, описаними в Додатку 1.1 Частини 2

 

Частина 3:

містить підписи Сторін, які зобов’язуються цим Додатком, і ідентифікує кожного Імпортера даних

 

 

1.2 Терміни та визначення

Для цілей цього Додатку застосовуються термінологія та визначення, які використовуються в GDPR (у тексті стандартного договірного положення в частині 2, де визначені терміни не пишуться великими літерами). 

 

"Держава-член"

означає країну, що належить до Європейського Союзу або Європейської економічної зони

 

«Особливі категорії (персональних) даних»

стосується персональних даних, що розкривають расове чи етнічне походження, політичні погляди, релігійні чи філософські переконання чи членство в профспілках, а також генетичні дані, біометричні дані, якщо вони обробляються з метою однозначної ідентифікації особи, дані про стан здоров’я, дані про стать людини життя чи сексуальної орієнтації

 

«Стандартні договірні положення»

означають стандартні договірні положення щодо передачі персональних даних агентів обробки, заснованих у третіх країнах, згідно з Рішенням Комісії 2010/87/ЄС від 5 лютого 2010 року, до якого було внесено зміни Виконавчим рішенням Комісії (ЄС) 2016/2297 від 16 числа Грудень 2016 року

 

«Обробник даних».

означає будь-якого агента з обробки даних, який знаходиться в межах або за межами ЄС/ЄЕЗ, який погоджується отримувати від Імпортера даних або будь-якого іншого обробника Імпортера даних персональні дані виключно для цілей обробки даних, які будуть здійснюватися Експортером даних після передача відповідно до інструкцій Експортера даних, умов цього Додатку та Контракту з Імпортером даних

 

 

 

2. Обов'язки Експортера даних

2.1 Експортер даних зобов’язаний забезпечити дотримання всіх застосовних зобов’язань відповідно до GDPR та будь-якого іншого застосовного закону про захист даних, який застосовується до Експортера даних, а також продемонструвати відповідність відповідно до вимог статті 5 (2) GDPR. Експортер даних гарантує, що імпортер даних отримав попередню згоду суб’єктів даних відповідно до статті 6 (a) GDPR і виконав свої зобов’язання щодо інформування суб’єктів даних відповідно до статей 13 і 14 GDPR.

2.2 Експортер даних повинен надати Імпортеру даних відповідні файли обробки даних відповідно до статті 30 (1) GDPR, пов’язані з Послугами згідно з цим Додатком, у тій мірі, в якій це необхідно для виконання Імпортером даних зобов’язань згідно з Стаття 30 (2) GDPR.

2.3 Експортер даних повинен призначити посадову особу або представника із захисту даних у межах, передбачених чинним законодавством про захист даних. Експортер даних зобов’язаний надати Імпортеру даних контактні дані агента із захисту даних або представника, якщо такий є.

2.4. До завершення обробки Експортер даних підтверджує шляхом прийняття цього Додатку, що технічні та організаційні заходи безпеки Імпортера даних, як викладено в Додатку 2 до Частини 2, є відповідними та достатніми для захисту прав суб’єкта даних. і підтверджує, що Імпортер даних забезпечує достатні гарантії щодо цього.

 

3. Дотримання місцевого законодавства

Для того, щоб відповідати вимогам впровадження агентів обробки відповідно до статті 28 GDPR, застосовуються такі поправки:

 

3.1 Інструкції

  1. (i) Експортер даних доручає Імпортеру даних обробляти персональні дані лише від імені Експортера даних. Інструкції Експортера даних наведено в цьому Додатку та Контракті. Експортер даних зобов’язаний забезпечити відповідність усіх інструкцій, наданих імпортеру даних, чинному законодавству про захист даних. Імпортер даних повинен обробляти персональні дані лише відповідно до інструкцій, наданих Експортером даних, якщо інше не вимагається Європейським Союзом або законодавством держави-члена (в останньому випадку застосовується частина 1, пункт 3.2 (iv) (c)) .
  2. (ii) Усі інші інструкції, що виходять за рамки інструкцій у цьому Додатку або Контракті, мають бути включені до предмета цього Додатка та Контракту. Якщо виконання цієї додаткової інструкції передбачає витрати для Імпортера даних, Імпортер даних повинен повідомити Експортера даних про такі витрати та надати пояснення перед виконанням інструкції. Лише після того, як Експортер даних підтвердить прийняття цих витрат для виконання інструкції, Імпортер даних має виконати цю додаткову інструкцію. Експортер даних повинен надати додаткові інструкції в письмовій формі, якщо терміновість або інші особливі обставини не вимагають іншої форми (наприклад, усної, електронної). Інструкції у формі, відмінній від письмової, повинні бути підтверджені в письмовій формі та без затримки Експортером даних.
  3. 1. Якщо Експортер даних не може самостійно виконати виправлення, видалення чи обмеження персональних даних, інструкції також можуть стосуватися виправлення, видалення та/або обмеження персональних даних, як зазначено в частині 1, пункт 3.3.
  4. 2. Імпортер даних повинен негайно повідомити Експортера даних, якщо, на його думку, інструкція порушує GDPR або інші чинні положення щодо захисту даних Європейського Союзу чи держави-члена («Оспорювана інструкціяЯкщо наглядовий орган визнає оскаржену Інструкцію законною, Імпортер даних повинен виконати оскаржену Інструкцію. Пункт 3.1 (іі) частини 1 залишається застосовним.

 

3.2 Обов’язки Імпортера даних

  1. (i) Імпортер даних повинен переконатися, що особи, уповноважені Імпортером даних обробляти персональні дані від імені Експортера даних, зокрема співробітники Імпортера даних і співробітники будь-якого Субпідрядника, взяли на себе зобов’язання дотримуватися конфіденційності або підлягають відповідний законодавчий обов’язок щодо конфіденційності, а також те, що такі особи, які мають доступ до персональних даних, обробляють їх відповідно до інструкцій Експортера даних.
  2. (ii) Імпортер даних повинен запровадити технічні та організаційні заходи безпеки, як викладено в Додатку 2 до Частини 2, перед обробкою персональних даних від імені Експортера даних. Імпортер даних може час від часу змінювати технічні та організаційні заходи безпеки, якщо вони не забезпечують менший захист, ніж ті, що викладені в Додатку 2 до Частини 2.
  3. (iii) Імпортер даних надає Експортеру даних, на запит Експортера даних, інформацію, яка демонструє дотримання зобов’язань Імпортера даних згідно з цим Додатком. Сторони погоджуються, що це зобов’язання щодо надання інформації виконується шляхом надання Експортеру даних аудиторського звіту (що стосується безпеки принципів, доступності системи та конфіденційності) («Аудиторський звіт»). Якщо додаткові аудиторські дії вимагаються законодавством, Експортер даних може вимагати проведення перевірок Експортером даних або іншим аудитором, призначеним Експортером даних, за умови виконання таким аудитором угоди про конфіденційність з Імпортером даних до Імпортера даних. розумне задоволення («Аудит»). Цей аудит проводиться з дотриманням таких умов: (i) попередній офіційний письмовий дозвіл Імпортера даних; та (ii) Експортер даних несе всі витрати, пов’язані з Аудитом на місці для Експортера та Імпортера даних. Експортер даних повинен створити аудиторський звіт із узагальненням результатів і зауважень аудиту на місці («Звіт аудиту на місці»). Звіти про аудит на місці та звіти про аудит є конфіденційною інформацією Імпортера даних і не повинні розкриватися третім особам, якщо цього не вимагає чинне законодавство про захист даних або відповідно до згоди Імпортера даних.
  4. (iv) Імпортер даних зобов’язаний повідомити Експортера даних без невиправданої затримки:
    1. a. щодо будь-якого юридично обов’язкового запиту на розкриття персональних даних правоохоронним органом, якщо інше не заборонено, наприклад, заборона кримінального законодавства для захисту конфіденційності розслідування правоохоронних органів
    2. b. щодо будь-якої скарги та запиту, отриманого безпосередньо від суб’єкта даних (наприклад, щодо доступу, виправлення, видалення, обмеження обробки, переносимості даних, заперечення проти обробки даних, автоматизованого прийняття рішень), не відповідаючи на цей запит, якщо імпортер даних не отримав повноваження зроби так
    3. в. якщо імпортер даних або обробник даних зобов’язаний відповідно до законодавства Європейського Союзу або держави-члена, якому підпорядковується імпортер даних або обробник даних, обробляти персональні дані поза вказівками експортера даних, перш ніж виконувати таку обробку поза межами інструкції, окрім випадків, коли закони Європейського Союзу або держави-члена забороняють таку обробку з міркувань життєво важливого суспільного інтересу, у такому випадку в повідомленні Експортеру даних має бути вказано юридичну вимогу відповідно до законодавства Європейського Союзу або держави-члена; або
    4. d. якщо Імпортер даних усвідомлює порушення персональних даних виключно через нього самого або його субпідрядника, що вплине на персональні дані Експортера даних, на які поширюється цей контракт, у такому випадку Імпортер даних допоможе Експортеру даних у виконанні його зобов’язань, відповідно до чинного законодавства про захист даних, інформувати суб’єктів даних і, якщо це застосовно, наглядові органи шляхом надання інформації, яка є в його розпорядженні, відповідно до статті 33 (3) GDPR.
    5. (v) На запит Експортера даних Імпортер даних буде змушений допомогти Експортеру даних виконати його зобов’язання щодо проведення оцінки впливу на захист даних, яка може вимагатися відповідно до статті 35 GDPR, і попередньої консультації, яка може бути вимагається статтею 36 GDPR щодо послуг, які імпортер даних надає експортеру даних згідно з цим Додатком, надаючи необхідну інформацію експортеру даних. Імпортер даних буде зобов’язаний надати таку допомогу, лише якщо Експортер даних не зможе виконати свої зобов’язання іншими засобами. Імпортер даних повідомить Експортеру даних вартість такої допомоги. Як тільки експортер даних підтвердить, що він може нести ці витрати, імпортер даних надасть експортеру даних цю допомогу.
    6. (vi) Після завершення надання послуг Експортер даних може вимагати повернення персональних даних, оброблених Імпортером даних згідно з цим Додатком, протягом одного місяця після надання послуг. Якщо законодавство держави-члена чи Європейського Союзу не вимагає від імпортера даних зберігати або зберігати такі персональні дані, імпортер даних видалить усі такі персональні чи неособисті дані після місячного періоду, незалежно від того, чи було їх повернуто до експортера даних на його запит чи ні.

 

3.3 Права зацікавлених осіб

  1.  
    1. (i) Експортер даних керує запитами суб’єктів даних і відповідає на них. Імпортер даних не зобов’язаний відповідати безпосередньо суб’єктам даних.
    2. (ii) Якщо Експортеру даних потрібна допомога Імпортера даних в обробці та відповіді на запити Суб’єкта даних, Експортер даних повинен видати подальшу інструкцію відповідно до пункту 3.1 (ii) Частини 1. Імпортер даних допоможе Експортеру даних з наступними відповідними та технічними організаційними заходами для відповіді на запити щодо реалізації прав суб’єктів даних, викладених у розділі III GDPR, а саме:
    3. a. Що стосується запитів на інформацію, імпортер даних надасть експортеру даних лише інформацію, яку вимагає стаття 13 і 14 PGRD, яку він може мати у своєму розпорядженні, якщо експортер даних не може знайти її самостійно.
    4. b. Щодо запитів на доступ (стаття 15 GDPR), імпортер даних надасть експортеру даних лише ту інформацію, яка має бути надана суб’єкту даних для зазначеного запиту на доступ, яку він може мати у своєму розпорядженні, якщо останній не може знайти його сам.
    5. в. Що стосується запитів на виправлення (стаття 16 GDPR), запитів на видалення (стаття 17 GDPR), обмеження запитів на обробку (стаття 18 GDPR) або запитів на перенесення (стаття 20 GDPR), і лише якщо Експортер даних не може сам виправити чи стерти, обмежити чи передати персональні дані іншій третій стороні, Імпортер даних запропонує Експортеру даних можливість виправити чи стерти, обмежити чи передати відповідні персональні дані іншій третій стороні, або, якщо це неможливо, він надасть допомогу для виправлення або видалення, обмеження або передачі іншій третій стороні відповідних персональних даних.
    6. d. Що стосується сповіщення щодо виправлення, стирання або обмеження обробки (стаття 19 GDPR), Імпортер даних допоможе Експортеру даних, повідомляючи всіх одержувачів персональних даних, залучених Імпортером даних як обробників, якщо Експортер даних цього вимагає, і якщо Експортер даних не може самостійно виправити ситуацію.
    7. д. Щодо права на заперечення, яке використовує суб’єкт даних (ст. 21 і 22 GDPR), експортер даних визначатиме, чи є заперечення законним і як з ним впоратися.
    8. (iii) Зобов’язання Імпортера даних щодо допомоги обмежуються персональними даними, які обробляються в межах його інфраструктури (наприклад, баз даних, систем, програм, якими володіє або надає Імпортер даних).
    9. (iv) Експортер даних визначає, чи може Суб’єкт даних користуватися правами Суб’єктів даних, викладеними в пункті 3.1 цієї Частини 1, і повідомляє Імпортеру даних про ступінь допомоги, визначеної в пункті 3.3 (ii), ( iii) частини 1 є необхідним.
    10. (v) Якщо Експортер даних запитує додаткові або модифіковані технічні та організаційні заходи для забезпечення прав суб’єктів даних, які виходять за межі допомоги, наданої Імпортером даних відповідно до підпункту 3.3 (ii), (iii) Частини 1, Дані Імпортер інформує Експортера даних про витрати на впровадження таких додаткових або змінених технічних та організаційних заходів. Як тільки Експортер даних підтвердить, що він може покрити ці витрати, Імпортер даних повинен запровадити такі додаткові або модифіковані технічні та організаційні заходи, щоб допомогти Експортеру даних у відповіді на запити Суб’єктів даних.
    11. (vi) Не обмежуючи сферу застосування пункту 3.3 (v) частини 1, Експортер даних зобов’язаний відшкодувати Імпортеру даних обґрунтовані витрати, понесені у відповідь на запити Суб’єктів даних.

 

3.4 Додаткова обробка

  1.  
    1. (i) Експортер даних дозволяє імпортеру даних використовувати субпідрядників для надання послуг згідно з цим Додатком. Імпортер даних має ретельно обирати таких обробників даних. Експортер даних затверджує обробника даних, перелічених у Додатку 1.1 у кінці частини 2.
    2. (ii) Імпортер даних передає свої зобов’язання згідно з цим Додатком обробнику(ам) даних у межах, застосовних до субпідрядних послуг.
    3. (iii) Імпортер даних може звільнити, замінити або призначити іншого належного та надійного обробника даних на власний розсуд. За письмовим запитом Експортера даних Імпортер даних повинен дотримуватися процедури, викладеної нижче:
  2.  
    1. a. Імпортер даних інформує експортера даних перед будь-якими змінами в списку обробників даних, зазначених у пункті 3.4 (i) частини 1. Якщо експортер даних не заперечує згідно з пунктом 3.4. (b) Частини 1 через тридцять днів після отримання повідомлення від Імпортера даних додаткові обробники даних вважаються прийнятими.
    2. b. Якщо Експортер даних має законні підстави заперечувати проти додаткового обробника даних, він надасть попереднє письмове повідомлення Імпортеру даних протягом тридцяти днів після отримання повідомлення від Імпортера даних і до початку роботи послуги Імпортера даних. Якщо експортер даних заперечує проти використання додаткового процесора даних, імпортер даних може скасувати заперечення за допомогою одного з таких варіантів (на власний розсуд): (A) імпортер даних скасовує свої плани щодо використання додаткового процесора щодо особисті дані Експортера даних; (B) Імпортер даних вживе коригувальних заходів, які вимагає Експортер даних у своєму запереченні (скасовуючи заперечення), і використає додатковий обробник персональних даних Експортера даних;
  3.  
    1. (iv) якщо обробник даних знаходиться за межами ЄС-ЄЕЗ у країні, яка не визнана такою, що пропонує належний рівень захисту даних згідно з рішенням Європейської комісії, імпортер даних вживатиме заходів для дотримання належного рівня захисту даних відповідно до GDPR (такі заходи можуть включати, серед іншого, використання контрактів на обробку даних на основі положень моделі ЄС, передачу самосертифікованим обробникам даних у рамках щита захисту між ЄС і США). або подібна програма).

 

3.5 Термін дії

Закінчення терміну дії цього Додатку є ідентичним даті закінчення відповідного Контракту. Якщо інше не передбачено в цьому Додатку, права та обов’язки, пов’язані з розірванням, будуть такими самими, як ті, що містяться в Контракті.

 

4. Обмеження відповідальності

4.1 Кожна сторона виконує свої зобов’язання відповідно до цього Додатку та чинного законодавства про захист даних.

4.2 Будь-яка відповідальність, пов’язана з порушенням зобов’язань згідно з цим Додатком або застосовним законодавством про захист даних, регулюється та регулюється положеннями про відповідальність, викладеними в Контракті або застосовними до нього, за винятком випадків, передбачених цим Додатком. Якщо відповідальність регулюється положеннями про відповідальність, викладеними в Контракті або застосовними до нього, для розрахунку лімітів відповідальності або визначення застосування інших обмежень відповідальності, будь-яка відповідальність, що виникає згідно з цим Додатком, вважається такою, що виникає за Контрактом.

 

5. Загальні положення

5.1 Якщо є будь-які невідповідності або розбіжності між частинами 1 і 2 цього Додатка, частина 2 має переважну силу. Зокрема, навіть у такому випадку Частина 1, яка просто виходить за межі Частини 2 (тобто умови стандартних положень), але не суперечить їй, залишається чинною.

5.2 У разі виникнення будь-яких розбіжностей між положеннями цього Додатку та положеннями інших договорів, які зобов’язують сторони, цей Додаток має переважну силу щодо зобов’язань сторін щодо захисту даних. У разі сумнівів щодо того, чи стосуються положення інших договорів зобов’язання сторін щодо захисту даних, перевагу матиме цей Додаток.

5.3 Якщо будь-яке положення цього Додатку є недійсним або таким, що не підлягає виконанню, решта цього Додатку залишатиметься в повній силі. Недійсне або таке, що не має позовної сили, положення буде (i) змінено, щоб забезпечити його дійсність і можливість виконання, зберігаючи, наскільки це можливо, наміри сторін, або - якщо це неможливо - (ii) тлумачити так, ніби недійсна або нездійсненна частина мала ніколи не був частиною контракту. Вищезазначене також застосовується, якщо в цьому Додатку є пропуск.

5.5 Наскільки це необхідно, Сторони можуть вимагати внесення змін до частини 1, пункту 3 (Відповідність місцевому законодавству) або інших частин Додатку з метою відповідності тлумаченням, директивам або розпорядженням, виданим компетентними органами Союзу або Держави-члени, національні правозастосовні положення або будь-які інші зміни законодавства щодо GDPR або інші умови делегування будь-яким організаціям, залученим до обробки даних, зокрема щодо використання Стандартних договірних положень у GDPR. Умови Стандартних договірних положень не можуть бути змінені або замінені, якщо це прямо не схвалено Європейською Комісією (наприклад, новими відповідними положеннями та стандартами захисту даних).

5.6 Будь-яке посилання в цьому Додатку на «Положення» має розумітися як посилання на всі положення цього Додатку, якщо не зазначено інше.

5.7 Вибір права в частині 2, пункт 9 застосовується до всього Контракту.

 

6. Персональні дані, що передаються та обробляються сторонами для особистих цілей (передача від контролера даних до контролера даних)

6.1 Сторони повністю знають, що певні особисті дані будуть передані від Експортера даних до Імпортера даних і навпаки, і що такі дані обробляються кожною Стороною для власних цілей. Що стосується таких персональних даних, це не впливає на інші положення цього Додатку (за винятком цього пункту 6).

6.2 Експортер даних може передавати імпортеру даних особисті дані, що стосуються персоналу імпортера даних, включно з інформацією про інциденти безпеки або будь-які інші документи чи файли, створені або створені експортером даних у зв’язку з Послугами, які надаються персоналом імпортер даних. Імпортер даних може обробляти такі персональні дані для власних цілей, зокрема у своїх професійних відносинах з персоналом Імпортера даних, для контролю якості та навчання, або для комерційних цілей.

6.3. Імпортер даних може передавати особисті дані Експортеру даних, включаючи ім’я та контактні дані персоналу Імпортера даних. Експортер даних може обробляти такі персональні дані для власних цілей.

6.4 Обидві сторони повинні дотримуватися будь-яких застосовних законів про захист даних, включаючи GDPR, під час збору, обробки та використання таких персональних даних, отриманих від іншої сторони згідно з пунктом 1 частини 1. Зокрема, обидві сторони повинні вжити відповідних заходів безпеки, забезпечуючи рівень захисту, аналогічний заходам безпеки, викладеним у Додатку 2 частини 2. Будь-який доступ до таких персональних даних обмежується необхідністю їх знати.

6.5 Обидві Сторони повинні видалити такі особисті дані якомога швидше після досягнення цілей.

Частина 2

 

РІШЕННЯ КОМІСІЇ

5 лютого 2010 року

про стандартні договірні положення щодо передачі персональних даних обробникам даних, заснованим у третіх країнах згідно з Директивою 95/46/EC Європейського Парламенту та Ради

 

 

 

Пункт 1

визначення

У значенні пунктів:

a) «персональні дані», «спеціальні категорії даних», «обробка/обробка», «контролер», «обробник», «суб’єкт даних» і «наглядовий орган» мають те саме значення, що й у 95/46/EC Директива Європейського Парламенту та Ради від 24 жовтня 1995 року про захист осіб щодо обробки персональних даних та про вільний рух таких даних (1);

b) «Експортер даних» — це контролер даних, який передає персональні дані;

c) «Імпортер даних» — це обробник даних, який погоджується отримувати від Експортера даних персональні дані, призначені для обробки від імені Експортера даних після передачі відповідно до його інструкцій та згідно з умовами цих пунктів, і який не відповідно до механізму третьої країни, що забезпечує належний захист у значенні статті 25(1) Директиви 95/46/ЄС; (d) «Обробник даних» означає обробника даних, залученого Імпортером даних або будь-яким іншим обробником даних Імпортера даних, який погоджується отримувати від Імпортера даних або будь-якого іншого обробника даних Імпортера даних персональні дані виключно для обробки даних для виконуватися від імені Експортера даних після передачі відповідно до інструкцій Експортера даних,

e) «застосовне законодавство про захист даних» означає законодавство, яке захищає основні права та свободи осіб, включаючи право на конфіденційність щодо обробки персональних даних, і застосовується до контролера в державі-члені, де зареєстровано Експортера даних;

f) «технічні та організаційні заходи, пов’язані з безпекою» означає заходи, призначені для захисту персональних даних від випадкового чи незаконного знищення або випадкової втрати, зміни, несанкціонованого розкриття чи доступу, зокрема, якщо обробка включає передачу даних через мережі, а також від усі інші незаконні форми обробки.

Пункт 2

Деталі переказу

Деталі передачі, у тому числі, у відповідних випадках, спеціальні категорії персональних даних, визначені в Додатку 1, який є невід’ємною частиною цих пунктів.

Пункт 3

Застереження щодо третьої сторони-бенефіціара

1. Суб’єкт даних може застосувати проти Експортера даних цей пункт, пункти 4(b) – (i), пункти 5(a) – (e) і (g) – (j), пункти 6 (1) і (2). ), пункт 7, пункт 8(2) і пункти з 9 по 12 як сторонній бенефіціар

2. Суб’єкт даних може застосувати цей пункт, пункти 5 (a) – (e) і (g), пункт 6, пункт 7, пункт 8 (2) і пункти 9 – 12 проти Імпортера даних, якщо Експортер даних фізично зник або припинив своє існування за законом, якщо всі його юридичні зобов’язання не були передані за договором або в силу закону суб’єкту-правонаступнику, до якого таким чином повертаються права та обов’язки Експортера даних і проти якого дані тому суб'єкт може забезпечити виконання зазначених положень.

Суб’єкт даних може застосувати цей пункт, пункти 5 (a) – (e) і (g), пункт 6, пункт 7, пункт 8 (2) і пункти 9 – 12 проти Обробника даних, але лише у випадках, коли Дані Експортер та Імпортер даних фізично зникли, припинили своє існування за законом або стали неплатоспроможними, якщо всі юридичні зобов’язання Експортера даних не були передані за договором або в силу закону правонаступнику, якому належать права та Таким чином, на Експортера даних покладаються зобов’язання, і проти кого суб’єкт даних може застосувати такі положення. Така відповідальність Обробника даних має бути обмежена його власною діяльністю з обробки згідно з цими пунктами.

4. Сторони не заперечують проти того, щоб суб’єкт даних був представлений асоціацією чи іншим органом, якщо він або вона цього бажає та якщо це дозволяє національне законодавство.

Пункт 4

Зобов'язання експортера даних

Експортер даних приймає та гарантує таке:

a) обробка, включно з фактичною передачею персональних даних, здійснювалася та продовжуватиметься відповідно до відповідних положень чинного законодавства про захист даних (і, якщо застосовно, було повідомлено компетентні органи держави-члена в якій знаходиться Експортер даних) і не порушує відповідні положення цієї держави;

b) вони дали вказівки та будуть доручати Імпортеру даних обробляти персональні дані, передані виключно від імені Експортера даних і відповідно до чинного законодавства про захист даних і цих пунктів, протягом терміну надання послуг з обробки персональних даних;

c) Імпортер даних забезпечить достатні гарантії щодо технічних та організаційних заходів безпеки, зазначених у Додатку 2 до цього контракту;

d) після оцінки вимог чинного законодавства про захист даних заходи безпеки є достатніми для захисту персональних даних від випадкового чи незаконного знищення або випадкової втрати, зміни, несанкціонованого розкриття чи доступу, зокрема, якщо обробка передбачає передачу даних через мережу та проти всіх інших незаконних форм обробки та забезпечення рівня безпеки, який відповідає ризикам, пов’язаним з обробкою, і характером даних, які підлягають захисту, з огляду на рівень технології та вартість реалізації;

д) забезпечуватимуть дотримання заходів безпеки;

f) якщо передача стосується спеціальних категорій даних, суб’єкта даних було поінформовано або буде проінформовано до передачі або якомога швидше після передачі про те, що його дані можуть бути передані до третьої країни, яка не пропонує адекватний рівень захисту в розумінні Директиви 95/46/ЄС;

g) вони перешлють будь-яке повідомлення, отримане від Імпортера даних або будь-якого обробника даних відповідно до статей 5 (b) і 8 (3), до наглядового органу із захисту даних, якщо він вирішить продовжити передачу або скасувати призупинення;

h) вони повинні надавати суб’єктам даних, якщо вони цього вимагають, копію цих статей, за винятком Додатку 2, і короткий опис заходів безпеки, а також копію будь-якої подальшої угоди субпідряду, укладеної відповідно до цих статей, крім випадків, коли Пункти або угода містять комерційну інформацію, у такому разі він може відкликати таку інформацію;

i) у разі субпідряду на процес обробки даних, діяльність з обробки здійснюється відповідно до пункту 11 обробником даних, який забезпечує принаймні той самий рівень захисту персональних даних і прав суб’єкта даних, що й імпортер даних згідно з цими пунктами. ; і

j) це забезпечить дотримання пункту 4 (a) - (i).

Пункт 5

Обов'язки Імпортера даних

Імпортер даних приймає та гарантує таке:

a) вони оброблятимуть персональні дані лише від імені Експортера даних і згідно з інструкціями Експортера даних і цими пунктами; якщо він не може виконати вимоги з будь-якої причини, вони погоджуються повідомити Експортера даних про свою нездатність якнайшвидше, і в цьому випадку Експортер даних може призупинити передачу даних та/або розірвати договір;

b) у них немає підстав вважати, що застосовне до них законодавство перешкоджає йому виконувати інструкції, надані Експортером даних, і зобов’язання, покладені на нього за контрактом, і якщо таке законодавство підлягає зміні, яка може мати істотні негативні наслідки вплинути на гарантії та зобов’язання відповідно до положень, він повинен повідомити Експортера даних про зміну без затримки після того, як йому стало відомо про це, і в цьому випадку Експортер даних може призупинити передачу даних та/або розірвати договір; (c) вони запровадили технічні та організаційні заходи безпеки, зазначені в Додатку 2, перед обробкою переданих персональних даних;

d) вони негайно повідомлять Експортера даних:

i) будь-який обов’язковий запит на розкриття персональних даних від правоохоронного органу, якщо не вказано інше, наприклад, кримінальна заборона, спрямована на збереження таємниці поліцейського розслідування;

ii) будь-який випадковий або неавторизований доступ; і

iii) будь-який запит, отриманий безпосередньо від зацікавлених осіб, без відповіді на нього, якщо він не був на це уповноважений; адміністратори

e) вони будуть оперативно та належним чином розглядати всі запити від Експортера даних щодо обробки ним персональних даних, що передаються, і діятимуть згідно з висновком наглядового органу щодо обробки переданих даних;

f) на вимогу Експортера даних вони піддадуть його засоби обробки даних аудиту дій з обробки, які охоплюються цими пунктами, які будуть проводитися Експортером даних або наглядовим органом, що складається з незалежних членів з необхідною професійною кваліфікацією, підлягає зобов’язанню зберігати секретність і вибирається Експортером даних, у відповідних випадках за згодою наглядового органу;

g) вони нададуть суб’єкту даних, якщо він цього попросить, копію цих положень або будь-якого існуючого субпідрядного договору про обробку даних, за винятком випадків, коли положення або договір містять комерційну інформацію, у такому випадку він може видалити таку інформацію, за винятком Додатку 2, який буде замінено коротким описом заходів безпеки, якщо суб’єкт даних не може отримати копію від Експортера даних;

h) у разі конфіденційного подальшого субпідряду на обробку даних він переконається, що він заздалегідь поінформує Експортера даних і отримає письмову згоду Експортера даних;

i) послуги обробки, що надаються обробником даних, повинні відповідати пункту 11;

j) вони негайно надішлють Експортеру даних копію будь-якої субпідрядної угоди про обробку даних, укладеної ним відповідно до цих положень.

Пункт 6

Відповідальність

1. Сторони погоджуються, що будь-який суб’єкт даних, який зазнав збитків через порушення зобов’язань, зазначених у пункті 3 або пункті 11, однією зі сторін або обробником даних, може отримати від Експортера даних компенсацію за завдані збитки.

2. Якщо суб’єкт даних не може подати позов про відшкодування збитків, як зазначено в пункті 1, проти Експортера даних через невиконання Імпортером даних або його обробником даних будь-яких своїх зобов’язань згідно з пунктом 3 або пунктом 11, оскільки Дані Експортер фізично зник, припинив своє існування за законом або став неплатоспроможним, Імпортер даних погоджується з тим, що суб’єкт даних може подати скаргу проти нього, як якщо б він був Експортером даних, якщо всі юридичні зобов’язання Експортера даних не були передані за договором або в силу закону, його правонаступнику, проти якого суб’єкт даних може потім захистити свої права. Імпортер даних не може покладатися на порушення своїх зобов’язань обробником даних, щоб уникнути власної відповідальності.

3. Якщо суб’єкт даних не може подати позов, зазначений у параграфах 1 і 2, проти Експортера даних або Імпортера даних за порушення Обробником даних своїх зобов’язань відповідно до пункту 3 або пункту 11, оскільки Експортер даних та Імпортер даних фізично зникли, припинили своє існування за законом або стали неплатоспроможними, обробник даних погоджується, що суб’єкт даних може подати на нього скаргу щодо його власної діяльності з обробки відповідно до цих пунктів, як якщо б він був експортером або імпортером даних, якщо всі юридичні зобов’язання Експортера або Імпортера даних були передані за контрактом або в силу закону правонаступнику, проти якого суб’єкт даних може відстоювати свої права.Відповідальність Обробника даних має бути обмежена його власною діяльністю з обробки відповідно до цих пунктів.

 

Пункт 7

Медіація та юрисдикція

1. Імпортер даних погоджується з тим, що якщо відповідно до положень суб’єкт даних посилається на своє право третьої сторони-бенефіціара та/або вимагає компенсацію за завдану шкоду, він погодиться з рішенням суб’єкта даних:

a) передати спір на розгляд незалежної особи або, у відповідних випадках, наглядового органу;

b) передавати спір до судів держави-члена, де знаходиться Експортер даних.

2. Сторони погоджуються, що вибір, зроблений суб’єктом даних, не впливає на процесуальне чи матеріальне право суб’єкта даних отримати відшкодування відповідно до інших положень національного чи міжнародного права.

Пункт 8

Співпраця з контролюючими органами

1. Експортер даних погоджується передати копію цього контракту наглядовому органу, якщо останній цього вимагає або якщо таке зберігання передбачено чинним законодавством про захист даних.

2. Сторони погоджуються, що наглядовий орган може проводити перевірки Імпортера даних і будь-якого обробника даних у тому ж обсязі та на тих же умовах, що й перевірки, що проводяться Експортером даних відповідно до чинного законодавства про захист даних.

3. Імпортер даних якнайшвидше інформує Експортера даних про існування законодавства щодо Імпортера даних або будь-якого обробника даних, яке перешкоджає перевірці в Імпортера даних або будь-якого обробника даних відповідно до пункту 2. У такому випадку, Експортер даних може вжити заходів, передбачених пунктом 5 (b).

Пункт 9

Застосовне право

Положення застосовуються та регулюються законодавством держави-члена, де знаходиться Експортер даних.

Пункт 10

Внесення змін до договору

Сторони зобов'язуються не змінювати ці положення. Сторони залишаються вільними включати інші комерційні положення, які вони вважають необхідними, за умови, що вони не суперечать цим положенням.

Пункт 11

Наступний субпідряд

1. Імпортер даних не повинен передавати субпідрядну діяльність щодо обробки, яка виконується від імені Експортера даних згідно з цими пунктами, без попередньої письмової згоди Експортера даних. Імпортер даних може передати свої зобов’язання згідно з цими пунктами лише за згодою експортера даних через письмову угоду з обробником даних, яка покладає на обробника даних ті самі зобов’язання, що й ті, що покладаються на імпортера даних згідно з цими пунктами. Якщо обробник даних не може виконати свої зобов’язання щодо захисту даних згідно з цією письмовою угодою, імпортер даних несе повну відповідальність перед експортером даних за виконання цих зобов’язань.

2. Попередня письмова угода між імпортером даних і обробником даних також повинна містити положення про бенефіціара третьої сторони, як зазначено в пункті 3, для випадків, коли суб’єкт даних не може подати позов про відшкодування збитків, згаданий у пункті 6 (1 ), проти Експортера або Імпортера даних, оскільки Експортер або Імпортер даних фізично зник, припинив своє існування за законом або став неплатоспроможним, а всі юридичні зобов’язання Експортера або Імпортера даних не були передані за контрактом або за операцією закону, іншому правонаступнику. Відповідальність Обробника даних має бути обмежена його власною діяльністю з обробки відповідно до цих пунктів.

3. Положення, що стосуються аспектів захисту даних субпідряду на обробку даних контракту, зазначеного в параграфі 1, регулюються законодавством держави-члена, в якій засновано Експортера даних.

4. Експортер даних повинен вести перелік субпідрядних угод про обробку даних, укладених згідно з цими пунктами та повідомлених імпортером даних відповідно до пункту 5 (j), який оновлюється принаймні один раз на рік. Цей список має бути наданий органу нагляду за захистом даних Експортера даних.

Пункт 12

Зобов’язання після припинення надання послуг обробки персональних даних

1. Сторони погоджуються, що після завершення надання послуг з обробки даних Імпортер даних і Обробник даних у зручний для Експортера даних повернуть усі передані персональні дані та їх копії Експортеру даних або знищать усі такі дані та нададуть докази знищення Експортеру даних, якщо законодавство, накладене на Імпортера даних, не забороняє йому повернути або знищити всі або частину переданих персональних даних. У цьому випадку Імпортер даних гарантує, що він забезпечить конфіденційність переданих персональних даних і що він більше не буде активно обробляти дані.

2. Імпортер даних та обробник даних гарантують, що на вимогу експортера даних та/або наглядового органу вони піддадуть свої засоби обробки даних перевірці заходів, зазначених у параграфі 1.

 

 

 

 

Додаток 1.1 до ч.2

Деталі переказу

 

 

Експортер даних

Експортером даних є Клієнт, визначений у Договірній угоді.

 

Імпортер даних

Імпортером даних є IQUALIF, і йому призначено обробку даних, надання послуг експортеру даних.

 

Суб'єкти даних

Передані персональні дані стосуються таких категорій суб’єктів даних:

˜» телефонні абоненти, занесені в універсальний довідник

˜ Інші, зокрема:

 

Категорії даних

Передані персональні дані стосуються таких категорій даних:

 

Категорії персональних даних суб’єктів даних Експортера даних, зокрема,

˜' Повне ім'я

˜' Поштова адреса

˜' Контактні дані (електронна пошта, телефон, IP-адреса тощо)

• Деталі маркетингової діяльності щодо телефонного абонента

˜' Інші, включаючи тип житла, дохід і середній вік у місті, зроблені анонімно

 

Спеціальні категорії даних (за наявності)

Передані персональні дані стосуються таких спеціальних категорій даних:

˜' Передача спеціальних категорій даних не передбачається

˜ Раса або етнічне походження

˜ Релігійні чи філософські переконання

˜ Членство в профспілці

˜ Політичні погляди

˜ Генетична інформація

˜ Біометрична інформація

˜ Інформація про сексуальну орієнтацію чи сексуальне життя

˜ Дані про здоров’я

 

Переробна діяльність

Передані персональні дані будуть підлягати наступним основним діям обробки:

 

  •  
    • Мета обробки

Обробка, яка здійснюється від імені Експортера даних, базується на наступних питаннях, зокрема:

˜' Взяття на себе відповідальності за продукти або послуги, які пропонує Експортер даних

˜ Пропозиція продукту чи послуги, яку може запросити особа, якій телефонують

˜' Прийняття замовлень від викликаних осіб та подальша обробка цих замовлень

• Вивчіть анкети та аналізи

˜' Телемаркетинг

˜ Інші, зокрема:

 

  •  
    • Характер і мета обробки

Імпортер даних обробляє персональні дані суб’єктів даних від імені Експортера даних, щоб надавати такі послуги, зокрема:

• Продажі та маркетинг

˜ Інші, зокрема оновлення баз даних мерій та політичних партій

 

  •  
    • Надання послуг та працевлаштування постачальників послуг

 

IQUALIF в основному поєднує, централізує та надає послуги експортеру даних. Послуги, які надає вказаний постачальник послуг, можуть бути структуровані (зокрема, у відповідних випадках) навколо таких допоміжних послуг: (i) надання додатків, інструментів, систем та ІТ-інфраструктури щодо використовуваних центрів обробки даних, щоб забезпечити і підтримувати послуги, включаючи обробку персональних даних суб’єктів даних, як описано вище, за допомогою таких програм, інструментів і систем, (ii) надання ІТ-підтримки, обслуговування та інших послуг, пов’язаних із такими програмами, інструментами, системами та ІТ-інфраструктура, включаючи потенційний доступ до персональних даних, що зберігаються в таких програмах, інструментах і системах, і (iii) надання послуг захисту даних, моніторингу захисту та послуг реагування на інциденти, включаючи потенційний доступ до персональних даних під час надання таких послуг захисту. IQUALIF може залучати обробників даних, як зазначено нижче, для надання послуг, включаючи додаткові послуги.

 

  •  
    • • Зовнішні сторонні постачальники послуг як суб’єкти, призначені для обробки даних

 

IQUALIF залучає зовнішніх і сторонніх постачальників послуг, які не є дочірніми компаніями IQUALIF, для підтримки надання послуг Експортеру даних. Експортер даних затверджує таких зовнішніх сторонніх постачальників послуг як суб’єкти, призначені для обробки даних.

 

Якщо дочірня організація, яка бере участь в обробці даних, розташована за межами ЄС/ЄЕЗ, у країні, яка згідно з рішенням Європейської комісії не має належного рівня захисту даних, Імпортер даних вживає заходів для отримання належного рівня захисту даних. захист даних відповідно до GDPR та розділу 3.4 (iv) частини 1.

 

 

Додаток 2, частина 2

Технічні та організаційні заходи захисту

 

Імпортер даних вживає наступних технічних та організаційних заходів захисту, підтверджених Експортером даних, щоб гарантувати належний рівень безпеки прав і свобод осіб залежно від ризиків. Оцінюючи відповідний рівень захисту, Експортер даних врахував, зокрема, ризики, пов’язані з обробкою, включаючи випадкове або незаконне знищення, зміну, несанкціоноване розкриття або доступ до персональних даних, які передаються, зберігаються або обробляються іншим чином. До пояснення: ці технічні та організаційні заходи захисту не застосовуються до програм, інструментів, систем та/або ІТ-інфраструктури, наданої Експортером даних.

1 Загальні технічні та організаційні заходи захисту
1.1 Загальна інформація та стратегії захисту даних
Для дотримання загальних стратегій захисту даних та інформації необхідно вжити таких кроків:
  • a) вжити заходів для оцінки вжитих щодо технічного та організаційного захисту;
  • b) забезпечити навчання для підвищення обізнаності серед працівників;
  • c) мати опис відповідних систем і надавати доступ працівникам;
  • d) встановити формальний процес документування щоразу, коли системи впроваджуються або модифікуються;
  • e) документування організаційної структури, процесів, відповідальності та відповідних оцінок;
 
1.2 Організація захисту інформації
Для координації діяльності із захисту даних та інформації необхідно вжити таких заходів:
  • a) визначені обов’язки щодо захисту інформації та даних (наприклад, через політику управління захистом даних);
  • b) необхідні знання щодо захисту інформації та даних, що залишаються доступними;
  • c) усі співробітники зобов’язуються забезпечити конфіденційність персональних даних і були поінформовані про можливі наслідки порушення цього зобов’язання.
 
1.3 Контроль доступу до зон обробки
Необхідно вжити наступних заходів для запобігання доступу неавторизованих осіб до систем обробки даних (зокрема, програмного та апаратного забезпечення), коли персональні дані обробляються, зберігаються або передаються:
  • a) створити зони безпеки;
  • b) захищати та обмежувати доступ до систем обробки даних;
  • c) встановити повноваження доступу для працівників і третіх сторін, включаючи відповідні документи;
  • d) будь-який доступ до центрів обробки даних, у яких зберігаються персональні дані, повинен реєструватися.
 
1.4 Контроль доступу до систем обробки даних
Для запобігання несанкціонованому доступу до систем обробки даних необхідно вжити таких заходів:
  • a) політики та процедури автентифікації користувачів;
  • б) використання паролів на всіх комп'ютерних системах;
  • c) віддалений доступ до мережі потребує багатофакторної автентифікації та надається відповідній особі відповідно до її обов’язків та після авторизації;
  • d) доступ до певних функцій базується на посадових функціях та/або атрибутах, індивідуально призначених обліковому запису користувача;
  • e) права доступу до персональних даних переглядаються регулярно;
  • f) записи про зміни прав доступу постійно оновлюються.
 
1.5 Контроль доступу до окремих сфер використання систем обробки даних
Необхідно вжити наступних заходів, щоб переконатися, що уповноважені особи, які мають право використовувати систему обробки даних, можуть отримати доступ до даних лише в межах своїх відповідних обов’язків і повноважень доступу, і що особисті дані не можна читати, копіювати, змінювати або видаляти без дозволу:
  1.  
    1. a) політики, інструкції та навчання працівників щодо зобов’язань кожного з них щодо конфіденційності, прав доступу до персональних даних та обсягу обробки персональних даних;
  • b) дисциплінарні заходи щодо осіб, які мають доступ до персональних даних без дозволу;
  • c) доступ до персональних даних надається лише уповноваженим особам на основі принципу необхідності;
  • г) вести список системних адміністраторів і вживати відповідних заходів для моніторингу системних адміністраторів;
  • e) не копіювати та не відтворювати персональні дані в будь-якій системі зберігання, щоб дати можливість неавторизованим особам видалити інформацію автора;
  • f) контрольоване та задокументоване видалення або знищення даних;
  • g) безпечно зберігати всі особисті дані, які повинні зберігатися з юридичних або нормативних причин (наприклад, зобов’язання зберігати дані), і лише протягом часу, який вимагається законом.
 
1.6 Управління трансмісіями
Необхідно вжити наступних заходів, щоб запобігти читанню, копіюванню, зміні або видаленню особистих даних неавторизованими третіми сторонами під час передачі чи транспортування пристроїв зберігання даних (залежно від виконаної обробки персональних даних):
  1.  
    1. а) використання брандмауерів;
  • b) уникнення зберігання персональних даних на мобільних пристроях зберігання для транспортних цілей або шифрування пристроїв;
  • в) використання на ноутбуках та інших мобільних пристроях лише після активації захисту від шифрування;
  • d) реєстрація передачі персональних даних.
 
1.7 Контроль введення даних
Необхідно вжити таких заходів, щоб забезпечити можливість перевірити та визначити, чи були персональні дані введені в системи обробки даних або видалені з них і ким:
  1.  
    1. a) політика дозволу на читання, зміну та видалення збережених даних;
  • b) заходи захисту щодо читання, зміни та видалення збережених даних.
 
1.8 Контроль роботи
У разі делегованої обробки персональних даних необхідно вжити таких заходів, щоб забезпечити обробку таких даних відповідно до вказівок Супервайзера:
  1.  
    1. a) суб’єкти або суб’єкти, призначені для обробки даних, обрані ретельно (постачальники послуг, що обробляють персональні дані від імені контролера);
  • b) інструкції щодо обсягу будь-якої обробки персональних даних для працівників, організацій або суб’єктів, яким призначено обробку даних;
  • c) права аудиту, узгоджені з суб’єктами або суб’єктами, яким призначено обробку даних;
  • d) наявні угоди з організаціями або суб’єктами, яким призначено обробку даних.
 
1.9 Відокремлення від обробки для інших цілей
Необхідно вжити таких заходів, щоб дані, зібрані для інших цілей, могли оброблятися окремо:
  1.  
    1. а) окремий доступ до персональних даних відповідно до існуючих прав користувачів;
  • b) інтерфейси, пакетна обробка та звітування призначені для інших цілей і функцій, щоб дані, зібрані для інших цілей, могли оброблятися окремо.
 
1.10 Псевдонімізація
Щодо псевдонімізації персональних даних необхідно вжити таких заходів:
  1.  
    1. a) Якщо Експортер даних замовляє певну операцію з обробки або якщо Імпортер даних вважає це доцільним відповідно до чинного законодавства про захист даних щодо певної діяльності з обробки, обробка персональних даних здійснюватиметься таким чином, щоб дані більше не можна приписати конкретній особі без використання додаткової інформації. Ця додаткова інформація зберігатиметься окремо;
  • b) використання методів псевдонімізації, включаючи рандомізацію списку розподілу; створення значень у формі дієз.
 
1.11 Шифрування

Для шифрування особистих даних у програмах і передаваннях, які підтримують шифрування, слід виконати наступні дії:

  1.  
    1. а) використання методів шифрування;
  • b) встановлення управління шифруванням для підтримки методів шифрування, дозволених до використання;
  • c) підтримка використання криптографії за допомогою процедур і протоколів для створення, модифікації, анулювання, знищення, розповсюдження, сертифікації, зберігання, захоплення, використання та архівування криптографічних ключів для захисту від несанкціонованої модифікації та розкриття.
 
1.12 Повнота систем і послуг обробки даних
Для забезпечення повноти систем обробки даних і послуг необхідно вжити таких заходів:
  1. a) захист систем обробки даних від маніпуляцій або знищення відповідними засобами (наприклад, антивірусне програмне забезпечення, програмне забезпечення для запобігання втраті даних і програмне забезпечення від зловмисного програмного забезпечення, програмні патчі, брандмауери та керований захист робочого столу);
  • b) забороняти інсталяцію будь-якої служби або програмного забезпечення, що завдає шкоди системам обробки даних, службам або маніпулювання персональними даними;
  • в) використання системи виявлення та запобігання вторгненням у мережу в структурі самої мережі.
 
1.13 Наявність систем і сервісів обробки даних і можливість відновлення доступу та використання персональних даних у разі матеріально-технічного інциденту
Необхідно вжити наступних заходів, щоб забезпечити доступність систем обробки даних, а також мати можливість швидко відновити доступність і доступ до персональних даних у разі матеріального чи технічного інциденту (зокрема, забезпечивши, щоб персональні дані захищені від випадкового знищення або втрати):
  • a) мати засоби контролю для зберігання резервних копій і відновлення втрачених або видалених даних;
  • b) резервування інфраструктури та тестування продуктивності;
  • в) фізичний захист ресурсів ЕОМ;
  • г) використання засобів моніторингу стану та доступності внутрішньої мережі;
  • e) звітування про інциденти та політику реагування, яка регулює процедуру управління інцидентами, а також повторне дотримання цих політик як частину регулярного навчання;
  • f) резервне копіювання (іноді за межами сайту) для відновлення системи, щоб вона знову могла виконувати свої функції;
  • g) плани безперервності діяльності/аварійного відновлення
 
1.14 Стійкість систем обробки даних і послуг
Необхідно вжити наступних заходів для забезпечення стійкості систем обробки даних і послуг:
  • a) системи та гармонійно налаштовані з використанням затверджених параметрів безпеки;
  • б) резервування мережі;
  • c) захист критичних систем.
 
1.15 Процедура регулярного тестування, оцінювання та оцінювання ефективності технічних та організаційних заходів для забезпечення безпеки обробки даних
Процедура регулярного тестування, оцінювання та оцінки ефективності технічних та організаційних заходів захисту обробки даних.
  • a) вжити необхідних заходів для оцінки ризиків і стратегій пом'якшення;
  • б) наради з аналізу послуг ІТ-відділу для вирішення поточних питань;
  • c) плани забезпечення безперервності діяльності/аварійного відновлення регулярно оновлюються.

 

Частина 3

Підписи сторін та список Імпортерів даних

 

Коли ви заповнюєте онлайн-форму замовлення та підтверджуєте її, встановлюючи прапорець, приймаючи загальні положення та умови використання, укладається договір, який регулює відносини між Клієнтом та IQUALIF.

Надсилання платежу IQUALIF вважатиме договір узгодженим і укладеним.

Зверніть увагу: цей текст перекладено з французької. Оригінальна версія французькою мовою, яка є дійсною та має юридичні обмеження, доступна тут .