Приложение об обработке данных

 

Это Приложение является неотъемлемой частью Договора и заключается между:

 

  1. (i) Клиент («Экспортер данных»)
  2. (ii) IQUALIF («Импортер данных»)

 

Каждый из которых именуется «Сторона», а вместе — «Стороны».

 

Преамбула

ПОСКОЛЬКУ Импортер данных предоставляет профессиональные программные услуги, компьютерные и сопутствующие услуги (например, браузеры с расширенными функциями поиска);

ПОСКОЛЬКУ согласно Договора Импортер данных соглашается предоставить Экспортеру данных услуги в соответствии с Договором («Услуги»);

ПОСКОЛЬКУ, предоставляя Услуги, Импортер данных получает или извлекает выгоду из доступа к информации Экспортера данных или информации других лиц, имеющих (потенциальные) отношения с Экспортером данных, такая информация может быть квалифицирована как персональные данные в значении Регламента (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 г. о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных («GDPR») и других применимых законах о защите данных.

ПОСКОЛЬКУ данное Приложение содержит содержит условия, применимые к сбору, обработке и использованию таких персональных данных Импортером данных в качестве уполномоченного агента по обработке данных Экспортера данных, чтобы гарантировать соблюдение Сторонами применимого законодательства о защите данных.

 

ТО, С УЧЕТОМ ВЫШЕИЗЛОЖЕННОГО и для того, чтобы Стороны смогли продолжить свои отношения на законных основаниях, Стороны согласовали настоящее Приложение следующим образом:

Часть 1

 

1. Структура документа и определения

1.1 Структура

Настоящее Приложение состоит из следующих частей:

 

Часть 1: 

содержит общие положения, например относительно определений, используемых в этом Приложении, соблюдения местного законодательства, сроков и прекращения действия

 

Часть 2:

содержит текст документа Стандартных договорных условий без поправок

 

Приложение 1.1 к Части 2:

содержит подробную информацию об операциях обработки, предоставленных Импортером данных Экспортеру данных в качестве уполномоченного агента по обработке данных (включая обработку, характер и цель обработки, тип персональных данных и категории субъектов данных) в соответствии с настоящим Приложением

 

Приложение 2 к Части 2:

содержит описание технических и организационных мер безопасности Импортера данных, которые применяются в связи со всеми операциями обработки, описанными в Приложении 1.1 Части 2

 

Часть 3:

содержит подписи Сторон, которые должны соблюдать настоящее Приложение, и идентифицирует каждого Импортера данных

 

 

1.2 Термины и определения

Для целей настоящего Приложения применимы термины и определения, используемые в GDPR (в основной части Стандартных договорных условий в Части 2, где определенные термины не пишутся с заглавной буквы). 

 

«Государство-член»

означает страну, входящую в состав Европейского Союза или Европейской экономической зоны

 

«Специальные категории (персональных) данных»

относится к личным данным, раскрывающим расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения или членство в профсоюзах, а также генетические данные, биометрические данные, если они обрабатываются с целью однозначной идентификации человека, данные, касающиеся здоровья, данные, касающиеся интимной жизни человека или его сексуальной ориентации

 

«Стандартные договорные условия»

означает Стандартные договорные условия для передачи персональных данных агентов по обработке, созданных в третьих странах, в соответствии с Решением Комиссии 2010/87/EU от 5 февраля 2010 г., которое было изменено Исполнительным Решением Комиссии (ЕС) 2016/2297 от 16 декабря 2016 г.

 

«Обработчик данных»

означает любого агента по обработке, расположенного внутри или за пределами ЕС/ЕЭЗ, который соглашается получать от Импортера данных или любого другого обработчика Импортера данных персональные данные исключительно для целей обработки, которые будут выполняться Экспортером данных после передачи в соответствии с инструкциями Экспортера данных, условиями настоящего Приложения и Договора с Импортером данных

 

 

 

2. Обязанности Экспортера данных

2.1 Экспортер данных обязан обеспечить соблюдение всех применимых обязательств в соответствии с GDPR и любым другим применимым законом о защите данных, который применяется к Экспортеру данных, и продемонстрировать такое соблюдение, как того требует статья 5 (2) GDPR. Экспортер данных гарантирует, что Импортер данных получил предварительное согласие субъектов данных в соответствии со статьей 6 (a) GDPR и выполнил свое обязательство по информированию субъектов данных в соответствии со статьями 13 и 14 GDPR.

2.2 Экспортер данных должен предоставить Импортеру данных соответствующие файлы деятельности по обработке в соответствии со статьей 30 (1) GDPR, относящейся к Услугам в соответствии с настоящим Приложением, в той мере, в какой это необходимо для Импортера данных для выполнения обязательства по статье 30 (2) GDPR.

2.3 Экспортер данных должен назначить сотрудника или представителя по защите данных в той степени, в которой это требуется действующим законодательством о защите данных. Экспортер данных обязан предоставить Импортеру данных контактные данные агента или представителя по защите данных, если таковой имеется.

2.4. Экспортер данных подтверждает до завершения обработки принятием настоящего Приложения, что технические и организационные меры безопасности Импортера данных, изложенные в Приложении 2 к Части 2, являются подходящими и достаточными для защиты прав субъекта данных, и подтверждает, что Импортер данных обеспечивает достаточные гарантии в этом отношении.

 

3. Соблюдение местного законодательства

Чтобы соответствовать требованиям внедрения агентов по обработке в соответствии со статьей 28 GDPR, применяются следующие поправки:

 

3.1 Инструкции

  1. (i) Экспортер данных дает указание Импортеру данных обрабатывать персональные данные только от имени Экспортера данных. Инструкции Экспортера данных приведены в данном Приложении и в Договоре. Экспортер данных обязан обеспечить, чтобы все инструкции, данные Импортеру данных, соответствовали применимым законам о защите данных. Импортер данных должен обрабатывать персональные данные только в соответствии с инструкциями, предоставленными Экспортером данных, если иное не требуется Европейским Союзом или законодательством государства-члена (в последнем случае применяется пункт 3.2 (iv) (c) части 1).
  2. (ii) Все другие инструкции, выходящие за рамки инструкций в этом Приложении или в Договоре, должны быть включены в предмет настоящего Приложения и Договора. Если выполнение этой дополнительной инструкции связано с расходами для Импортера данных, Импортер данных должен проинформировать Экспортера данных о таких расходах и предоставить объяснение перед выполнением инструкции. Только после того, как Экспортер данных подтвердит принятие затрат на выполнение инструкции, Импортер данных должен выполнить эту дополнительную инструкцию. Экспортер данных должен дать дополнительные инструкции в письменной форме, если срочность или другие особые обстоятельства не требуют другой формы (например, устной или электронной). Инструкции в иной форме, чем письменная, должны быть незамедлительно подтверждены в письменной форме Экспортером данных.
  3. 1. Если Экспортер данных не может самостоятельно выполнить исправление, стирание или ограничение персональных данных, инструкции могут также относиться к исправлению, стиранию и/или ограничению персональных данных, как указано в пункте 3.3 части 1.
  4. 2. Импортер данных должен немедленно проинформировать Экспортера данных, если, по его мнению, инструкция нарушает GDPR или другие применимые положения о защите данных Европейского Союза или государства-члена («Оспариваемая инструкция»). Если Импортер данных считает, что инструкция нарушает GDPR или другие применимые положения о защите данных Европейского Союза или государства-члена, Импортер данных не обязан выполнять оспариваемую инструкцию. Если Экспортер данных подтверждает оспариваемую инструкцию после получения информации от Импортера данных и признает свою ответственность за оспариваемую инструкцию, Импортер данных должен выполнить оспариваемую инструкцию, если только оспариваемая инструкция не касается (i) реализации технических и организационных мер, (ii) прав субъектов данных или (iii) привлечения обработчиков данных. В случаях с (i) по (iii) Импортер данных может связаться с компетентным надзорным органом, чтобы оспариваемая инструкция была юридически оценена таким органом. Если надзорный орган признает оспариваемую инструкцию законной, Импортер данных должен выполнить оспариваемую инструкцию. Часть 1, пункт 3.1 (ii) остается в силе.

 

3.2 Обязанности Импортера данных

  1. (i) Импортер данных должен гарантировать, что лица, уполномоченные Импортером данных обрабатывать персональные данные от имени Экспортера данных, в частности, сотрудники Импортера данных и сотрудники любого субподрядчика, обязались соблюдать конфиденциальность или попадают под действие соответствующего закона о конфиденциальности, и чтобы такие лица, которые имеют доступ к персональным данным, обрабатывали их в соответствии с инструкциями Экспортера данных.
  2. (ii) Импортер данных должен реализовать технические и организационные меры безопасности, указанные в Приложении 2 к Части 2, перед обработкой персональных данных от имени Экспортера данных. Импортер данных может время от времени изменять технические и организационные меры безопасности, если они не обеспечивают меньшую защиту, чем те, которые указаны в Приложении 2 к Части 2.
  3. (iii) Импортер данных должен предоставить Экспортеру данных по его запросу информацию, подтверждающую соблюдение Импортером данных обязательств в соответствии с настоящим Приложением. Стороны соглашаются, что это информационное обязательство выполняется путем предоставления Экспортеру данных аудиторского отчета (охватывающего принципы безопасности, доступности системы и конфиденциальности) («Аудиторский отчет»). Если по закону требуются дополнительные аудиторские мероприятия, Экспортер данных может потребовать, чтобы проверки проводились Экспортером данных или другим аудитором, назначенным Экспортером данных, при условии выполнения таким аудитором соглашения о конфиденциальности с Импортером данных в пределах разумного удовлетворения Импортера данных («Аудит»). Данный аудит проводится при соблюдении следующих условий: (i) предварительное формальное письменное согласие Импортера данных; и (ii) Экспортер данных несет все расходы, связанные с аудитом на месте для Экспортера данных и Импортера данных. Экспортер данных должен создать отчет об аудите, суммирующий результаты и наблюдения аудита на месте («Отчет об аудите на месте»). Отчеты об аудите на месте и отчеты об аудите являются конфиденциальной информацией Импортера данных и не должны раскрываться третьим лицам, кроме случаев, когда это требуется в соответствии с применимым законодательством о защите данных или с согласия Импортера данных.
  4. (iv) Импортер данных обязан без неоправданной задержки уведомить Экспортера данных:
    1. a. о любом юридически обязывающем запросе на раскрытие персональных данных правоохранительным органом, если иное не запрещено, например, запрет в соответствии с уголовным законодательством для защиты конфиденциальности расследования правоохранительных органов
    2. b. в отношении любой жалобы и запроса, полученных непосредственно от субъекта данных (например, относительно доступа, исправления, удаления, ограничения обработки, переноса данных, возражения против обработки данных, автоматического принятия решений) без ответа на этот запрос, если Импортер данных не был уполномочен сделать так
    3. c. если Импортер данных или обработчик данных обязан в соответствии с законодательством Европейского Союза или государства-члена, которому подчиняется Импортер или обработчик данных, обрабатывать персональные данные вне инструкций Экспортера данных, за исключением случаев, когда законы Европейского Союза или государства-члена запрещают такую обработку по жизненно важным соображениям общественного интереса, и в этом случае уведомление Экспортеру данных должно содержать юридические требования в соответствии с этим законодательством Европейского Союза или государства-члена; или же
    4. d. если Импортер данных осознает нарушение персональных данных исключительно из-за себя или своего субподрядчика, которое может повлиять на персональные данные Экспортера данных, на которые распространяется настоящий договор, и в этом случае Импортер данных будет помогать Экспортеру данных в выполнении его обязательства в соответствии с применимым законодательством о защите данных, чтобы информировать субъектов данных и, если применимо, надзорные органы, предоставляя информацию, имеющуюся в их распоряжении, в соответствии со статьей 33 (3) GDPR.
  5. (v) По запросу Экспортера данных Импортер данных будет вынужден помочь Экспортеру данных в выполнении его обязательства по проведению оценки воздействия на защиту данных, которая может потребоваться статьей 35 GDPR, и предварительной консультации, которая может потребоваться в соответствии со статьей 36 GDPR в отношении услуг, предоставляемых Импортером данных Экспортеру данных в соответствии с настоящим Приложением, предоставляя необходимую информацию Экспортеру данных. Импортер данных будет обязан оказывать такую помощь только в том случае, если Экспортер данных не может выполнить свои обязательства другими способами. Импортер данных сообщит Экспортеру данных стоимость такой помощи. Как только Экспортер данных подтвердит, что он может нести эти расходы, Импортер данных предоставит Экспортеру данных эту помощь.
  6. (vi) По окончании предоставления услуг Экспортер данных может запросить возврат персональных данных, обработанных Импортером данных в соответствии с настоящим Приложением, в течение одного месяца после оказания услуг. Если законодательство государства-члена или Европейского Союза не требует от Импортера данных хранить или удерживать такие персональные данные, Импортер данных удалит все персональные и не персональные данные по истечении одного месяца, независимо от того, были ли они возвращены Экспортеру данных по его запросу или нет.

 

3.3 Права заинтересованных лиц

  1.  
    1. (i) Экспортер данных управляет запросами субъектов данных и отвечает на них. Импортер данных не обязан напрямую отвечать субъектам данных.
    2. (ii) Если Экспортеру данных требуется помощь Импортера данных в обработке и ответе на запросы субъекта данных, Экспортер данных должен издать дополнительную инструкцию в соответствии с Пунктом 3.1 (ii) Части 1. Импортер данных поможет Экспортеру данных с последующими соответствующими и техническими организационными мерами для ответа на запросы об осуществлении прав субъектов данных, изложенных в Главе III GDPR, а именно:
      1. a. Что касается запросов на информацию, Импортер данных будет предоставлять Экспортеру данных только информацию, требуемую статьями 13 и 14 GDPR, которую он может иметь в своем распоряжении, если Экспортер данных не может найти ее самостоятельно.
      2. b. Что касается запросов на доступ (статья 15 GDPR), Импортер данных будет предоставлять Экспортеру данных только ту информацию, которая должна быть предоставлена субъекту данных для указанного запроса на доступ, которую он может иметь в своем распоряжении, если последний не может найти ее самостоятельно.
      3. c. Что касается запросов на исправление (статья 16 GDPR), запросов на удаление (статья 17 GDPR), ограничения запросов на обработку (статья 18 GDPR) или запросов на переносимость (статья 20 GDPR) и только если Экспортер данных не может сам исправить или стереть, ограничить или передать персональные данные третьей стороне, Импортер данных предложит Экспортеру данных возможность исправить или удалить, ограничить или передать соответствующие персональные данные третьей стороне, или, если это невозможно, он предоставит помощь для исправления или удаления, ограничения или передачи третьей стороне соответствующих персональных данных.
      4. d. Что касается уведомления об исправлении, удалении или ограничении обработки (статья 19 GDPR), Импортер данных будет помогать Экспортеру данных, уведомляя всех получателей персональных данных, задействованных Импортером данных в качестве обработчиков, если Экспортер данных запрашивает и если Экспортер данных не может исправить ситуацию самостоятельно.
      5. e. Что касается права на возражение, осуществляемого субъектом данных (статьи 21 и 22 GDPR), Экспортер данных определит, является ли возражение законным и как его решить.
    3. (iii) Обязательства Импортера данных по оказанию помощи ограничиваются персональными данными, обрабатываемыми в рамках его инфраструктуры (например, базы данных, системы, приложения, принадлежащие или предоставляемые Импортером данных).
    4. (iv) Экспортер данных должен определить, может ли Субъект данных воспользоваться правами Субъекта данных, изложенными в пункте 3.1 настоящей Части 1, и сообщить Импортеру данных о том, в какой степени помощь, указанная в пунктах 3.3 (ii), (iii) из Части 1 необходима.
    5. (v) Если Экспортер данных запрашивает дополнительные или измененные технические и организационные меры для соблюдения прав субъектов данных, которые выходят за рамки помощи, предоставляемой Импортером данных в соответствии с подпунктом 3.3 (ii), (iii) Части 1, Импортер данных должен проинформировать Экспортера данных о расходах на реализацию таких дополнительных или измененных технических и организационных мер. Как только Экспортер данных подтвердит, что он может покрыть эти расходы, Импортер данных должен реализовать такие дополнительные или измененные технические и организационные меры, чтобы помочь Экспортеру данных в ответах на запросы Субъектов данных.
    6. (vi) Не ограничивая сферу применения пункта 3.3 (v) части 1, Экспортер данных обязан возместить Импортеру данных его разумные расходы, понесенные при ответе на запросы Субъектов данных.

 

3.4 Субподряд

 

  1. (i) Экспортер данных разрешает Импортеру данных использовать субподрядчиков для предоставления услуг в соответствии с настоящим Приложением. Импортер данных должен тщательно выбирать таких обработчиков данных. Экспортер данных утверждает обработчиков данных, перечисленных в Приложении 1.1 в конце Части 2.
  2. (ii) Импортер данных должен передать свои обязательства по настоящему Приложению обработчику(-ам) данных в той мере, в какой это применимо к субподрядным услугам.
  3. (iii) Импортер данных может уволить, заменить или назначить другого подходящего и надежного обработчика данных по своему усмотрению. По письменному запросу Экспортера данных Импортер данных должен следовать процедуре, изложенной ниже:
    1. a. Импортер данных должен информировать Экспортера данных перед любыми изменениями в списке обработчиков данных, упомянутых в пункте 3.4 (i) Части 1. Если Экспортер данных не возражает по пункту 3.4. (b) Части 1, через тридцать дней после получения уведомления от Импортера данных дополнительные обработчики данных считаются принятыми.
    2. b. Если у Экспортера данных есть законная причина возражать против дополнительного обработчика данных, он направит Импортеру данных предварительное письменное уведомление в течение тридцати дней с момента получения уведомления Импортера данных и до того, как служба импортера данных будет запущена. Если Экспортер данных возражает против использования дополнительного обработчика данных, Импортер данных может снять возражение одним из следующих вариантов (выбранных по своему усмотрению): (A) Импортер данных отменит свои планы использования дополнительного обработчика в отношении персональных данных Экспортера данных; (B) Импортер данных примет корректирующие меры, запрошенные Экспортером данных в его возражении (отменяя возражения), и использует дополнительного обработчика в отношении персональных данных Экспортера данных; (C) Импортер данных может прекратить предоставление или Экспортер данных может согласиться не использовать (временно или постоянно) определенный аспект услуги, который будет включать использование дополнительных обработчиков персональных данных Экспортера данных.
  4. (iv) если обработчик данных находится за пределами ЕС-ЕЭЗ в стране, которая не признана предлагающей адекватный уровень защиты данных в соответствии с решением Европейской комиссии, Импортер данных примет меры для соблюдения адекватного уровня защиты данных в соответствии с GDPR (такие меры могут включать, среди прочего, использование контрактов на обработку данных, основанных на положениях Модели ЕС, передачу самосертифицированным обработчикам данных в рамках EU-US Protection Shield или аналогичной программы).

 

3.5 Срок действия

Истечение срока действия настоящего Приложения идентично дате истечения срока действия соответствующего Договора. Если иное не предусмотрено в этом Приложении, права и обязанности, связанные с прекращением действия, должны быть такими же, как те, которые содержатся в Договоре.

 

4. Ограничение ответственности

4.1 Каждая сторона выполняет свои обязательства в соответствии с настоящим Приложением и применимым законодательством о защите данных.

4.2 Любая ответственность, связанная с нарушением обязательств по настоящему Приложению или применимому законодательству о защите данных, регулируется положениями об ответственности, изложенными в Договоре или применимыми к нему, за исключением случаев, предусмотренных в настоящем Приложении. Если ответственность регулируется положениями об ответственности, изложенными в Договоре или применимыми к нему, для расчета ограничений ответственности или определения применения других ограничений ответственности, любая ответственность, возникающая в соответствии с настоящим Приложением, считается возникающей по Договору.

 

5. Основные положения

5.1 Если есть какие-либо несоответствия или расхождения между Частями 1 и 2 настоящего Приложения, Часть 2 имеет преимущественную силу. В таком случае Часть 1, которая выходит за рамки Части 2 (то есть условий стандартных пунктов), не противореча ей, остается в силе.

5.2 Если возникает какое-либо несоответствие между положениями настоящего Приложения и положениями других договоров, связывающих стороны, это Приложение имеет преимущественную силу в отношении обязательств сторон по защите данных. В случае сомнений относительно того, касаются ли положения других договоров обязательств сторон по защите данных, данное Приложение имеет преимущественную силу.

5.3 Если какое-либо положение данного Приложения является недействительным или не имеющим исковой силы, остальная часть этого Приложения остается в полной силе. Недействительное или неисполнимое положение будет (i) изменено, чтобы обеспечить его действительность и исковую силу, при сохранении, насколько это возможно, намерений сторон, или - если это невозможно - (ii) интерпретируется так, как если бы недействительная или неисполнимая часть никогда не была частью договора. Вышеизложенное также применяется, если в этом Приложении есть упущение.

5.4 В необходимых случаях Стороны могут запросить поправки к Части 1, пункту 3 (Соответствие местному законодательству) или другим частям Приложения, чтобы соответствовать интерпретациям, директивам или распоряжениям, изданным компетентными органами Союза или государства-члена, национальным положениям о правоприменении или любым другим правовым изменениям, касающимся GDPR или других условий делегирования полномочий любым организациям, участвующим в обработке данных, и, в частности, в отношении использования стандартных договорных положений в GDPR. Положения Стандартных договорных условий не могут быть изменены или заменены, если Европейская Комиссия прямо не одобрит это (например, новыми соответствующими положениями и стандартами защиты данных).

5.5 Любая ссылка в этом Приложении на «Пункты» должна пониматься как относящаяся ко всем положениям этого Приложения, если не указано иное.

5.6 Выбор закона в Части 2, пункте 9 применяется ко всему Договору.

 

6. Персональные данные, передаваемые и обрабатываемые сторонами в личных целях (передача от контроллера данных к контроллеру данных)

6.1 Стороны полностью осведомлены о том, что определенные персональные данные будут передаваться от Экспортера данных Импортеру данных и наоборот, и что такие данные обрабатываются каждой Стороной для своих собственных целей. Что касается таких персональных данных, это не влияет на другие положения настоящего Приложения (за исключением этого пункта 6).

6.2 Экспортер данных может передавать Импортеру данных персональные данные, относящиеся к персоналу Импортера данных, включая информацию об инцидентах безопасности, или любые другие документы или файлы, созданные или созданные Экспортером данных в связи с Услугами, предоставляемыми персоналом Импортера данных. Импортер данных может обрабатывать такие персональные данные для своих собственных целей, в частности, в своих профессиональных отношениях с персоналом Импортера данных, для контроля качества и обучения или для деловых целей..

6.3. Импортер данных может передавать Экспортеру данных персональные данные, включая имя и контактные данные сотрудников Импортера данных. Экспортер данных может обрабатывать такие персональные данные в своих целях.

6.4 Обе стороны должны соблюдать все применимые законы о защите данных, включая GDPR, при сборе, обработке и использовании таких персональных данных, полученных от другой стороны в соответствии с пунктом 1 Части 1. В частности, обе стороны должны принять достаточные меры безопасности, обеспечивая уровень защиты аналогично мерам безопасности, изложенным в Приложении 2 к Части 2. Любой доступ к таким персональным данным ограничивается необходимостью их знания.

6.5 Обе стороны должны удалить такие персональные данные как можно скорее после достижения целей.

Часть 2

 

РЕШЕНИЕ КОМИССИИ

от 5 февраля 2010

о стандартных договорных условиях для передачи персональных данных обработчикам данных, установленным в сторонних странах в соответствии с Директивой 95/46/EC Европейского парламента и Совета

 

 

 

Положение 1

Определения

В целях удовлетворения положений:

a) определения «персональные данные», «особая категория данных», «обрабатывать/обработка», «контроллер», «обработчик», «субъект данных» и «надзирательный орган» должны иметь одинаковое значение, как в Директиве 95/46/EC Европейского парламента и Европейского совета от 24 октября 1995 года по защите индивидуумов относительно обработки персональных данных, так и при свободном движении таких данных (1);

b) «Экспортер данных» означает контроллера, который передает персональные данные;

c) «Импортер данных» — это обработчик данных, который соглашается принимать от Экспортера данных персональные данные с целью обработки от имени и на пользу Экспортера в соответствии с инструкциями и условиями Положений, а также не подчиняется механизму третьих стран, гарантируя соответствующую защиту в рамках статьи 25(1) Директивы 95/46/EC; (d) «Обработчик данных» — это обработчик данных, привлеченный Импортером данных или любым другим обработчиком данных Импортера данных, который соглашается получать от Импортера данных или любого другого обработчика данных Импортера данных персональные данные исключительно для обработки, выполняемой от имени Экспортера данных после передачи в соответствии с инструкциями Экспортера данных, в соответствии с условиями, изложенными в этих пунктах, и в соответствии с условиями письменного субподряда по договору на обработку данных;

e) «применимое законодательство в области защиты данных» означает законодательство, направленное на защиту фундаментальных прав и свобод лиц, и, в частности, их права на конфиденциальность в целях обработки персональных данных, применимого к оператору данных в государстве-члене, в котором Экспортер данных зарегистрирован;

f) «технические и организационные меры безопасности» – меры, направленные на защиту персональных данных от случайных или незаконных нарушений или случайной утери, ущерба, неавторизованного раскрытия или доступа, в частности, если обработка подразумевает передачу по сети, или от иных противозаконных форм обработки. 

Положение 2

Детали передачи

Детали передачи, в частности, специальных категорий персональных данных на случай необходимости указаны в Приложении 1, которое является неотъемлемой частью данных положений.

Положение 3

Положение о стороннем бенефициаре

1. Субъект данных может применить к Экспортеру данных настоящее Положение, Положение 4 (b) - (i), Положение 5 (a) - (e) и (g) - (j), Положение 6 (1) и (2), Положение 7, Положение 8 (2) и Положения 9–12 в качестве стороннего бенефициара.

2. Субъект данных может применять по отношению к Импортеру данных настоящее Положение, Положение 5 (a) до (e) и (g), Положение 6, Положение 7, Положение 8 (2), и Положения 9 до 12 в случаях, если Экспортер данных фактически пропадает или прекращает существовать в законодательстве до тех пор, пока какое-либо лицо-правопреемник не принимает все юридические обязательства Экспортера данных по договору или в соответствии с применимым законодательством, в результате чего он принимает на себя права и обязанности Экспортера данных, как следствие субъект данных  применяет настоящие Положения по отношению к такому лицу.

Субъект данных может применять по отношению к обработчику данных настоящее Положение, Положения 5 (a) до (e) и (g), Положение 6, Положение 7, Положение 8 (2), и Положения 9 до 12, в случаях, если Экспортер данных и импортер данных фактически исчезли или прекратили существовать в законодательстве или оказались банкротами, пока любое лицо-правопреемник  не приобретает все юридические обязательства Экспортера данных по договору или в соответствии с законодательством, в результате чего оно принимает на себя права и обязанности экспортера данных, в таком случае субъект данных применяет такие Положения по отношению к такому лицу. Такая ответственность обработчика данных ограничивается выполнением обработки в соответствии с Положениями.

4. Стороны не возражают, если субъект данных представлен ассоциацией или иным органом при условии согласия субъекта данных и разрешения со стороны национального законодательства.

Положение 4

Обязательства Экспортера данных

Экспортер данных соглашается и гарантирует:

a) что обработка персональных данных, включая саму их передачу, была и будет проводиться в соответствии с соответствующими положениями применимого законодательства по защите данных (и при необходимости соответствующие органы государства-члена, в которой зарегистрирован Экспортер данных, должны быть оповещены) и не нарушает соответствующих положений этого государства;

b) что он проинструктировал, а также будет инструктировать Импортера данных на протяжении всего срока обработки персональных данных о том, что при обработке персональных данных передача производится только от лица и на пользу Экспортера данных и в соответствии с применимым законодательством по защите данных и настоящими Положениями;

c) что Импортер данных будет предоставлять надлежащие гарантии в целях разработки технических и организационных мер безопасности, указанных в Приложении 1 настоящего договора;

d) что после оценки требований применимого законодательства по защите данных меры безопасности важны для защиты персональных данных от случайной или незаконной утери, ущерба, неавторизованного раскрытия или доступа, в частности, если обработка включает передачу данных по сети, и по отношению иных незаконных форм обработки, а также что такие меры гарантируют соответствующий уровень защиты, адекватный рискам, возникающим в связи с обработкой и природой данных, которые требуют защиты в соответствии с современным состоянием и расходами на реализацию;

e) ​что он будет гарантировать соблюдение мер безопасности;

f) что в случае, если передача включает специальные категории данных, субъект данных информируется или будет информирован заблаговременно или как можно раньше после передачи о том, что данные могут быть переданы в третью страну без предоставления соответствующих мер защиты в рамках Директивы 95/46/EC;

g) обязуется направлять уведомления, полученные от Импортера данных или обработчика данных, на основании Положений 5 (b) и 8 (3) в надзорный орган защиты данных, если Экспортер данных решает продолжать передачу или снять приостановку передачи;

h) предоставлять субъекту данных по запросу копию Положений, за исключением Приложения 2, а также заключительное описание мер безопасности, а также копию любого договора со сторонними обработчиками, которые были заключены в соответствии с настоящими Положениями, причем если договор содержит коммерческую информацию, он имеет право удалить такую коммерческую информацию;

i) что, в случае сторонней обработки, процесс обработки производится в соответствии с Положением 11 сторонним обработчиком, придерживающимся соответствующего уровня защиты персональных данных и соблюдающего права субъекта данных наравне с правами Импортера данных в соответствии с Положениями; и

j) что он гарантирует соблюдение Положений 4 (a) до (i).

Положение 5

Обязательства Импортера данных

Импортер данных соглашается и гарантирует:

a) обрабатывать персональные данные только от лица и на пользу Экспортера данных и в соответствии с инструкциями, полученными от него, и Положениями; в случае невозможности соблюдения таковых ввиду разумных причин он соглашается оперативно информировать Экспортера данных о невозможности соблюдения положений документов, в таком случае Экспортер данных вправе приостановить и/или прекратить действие договора;

b) что у него нет оснований считать, что применимое законодательство мешает выполнению инструкций, полученных от Экспортера данных, а также его обязанностей по договору, и что в случае изменения законодательства, что может иметь негативный эффект на гарантии и обязанности по настоящим Положениям, он будет оперативно информировать об изменениях Экспортера данных как можно раньше после получения информации, в случае чего экспортер данных имеет право приостановить и/или прекратить действие договора; (c) что он применяет технические и организационные меры безопасности, указанные в Приложении 2 перед началом обработки переданных персональных данных;

d) что он оперативно будет оповещать Экспортера данных о следующем:

i) любом юридически обязывающем запросе раскрытия персональных данных по принуждению властей, так как обратное запрещено, например, уголовное право запрещает сохранять конфиденциальность при юридически обязывающем расследовании;

ii) любом случайном или неавторизованном доступе, и

iii) любом запросе, полученном напрямую от субъектов данных, не отвечая на такой запрос, пока он не имеет разрешения на то; 

e) незамедлительно и должным образом реагировать на запросы Экспортера данных в связи с обработкой персональных данных с целью передачи и придерживаться указаний надзирательного органа в связи с обработкой данных при передаче;

f) по запросу Экспортера данных предоставлять средства обработки данных аудиту процесса по обработке, на основании Положений, который будет выполняться Экспортером данных или надзорным органом, состоящим из независимых членов с необходимой профессиональной квалификацией, при условии соблюдения конфиденциальности, избран Экспортером данных, если необходимо, с согласия надзорного органа;

g) ​предоставить по запросу субъекта данных копию Положений или действующего Договора о сторонней обработке при условии, что Положения или договор не содержат коммерческой информации, за исключением Приложения 2, которое должно заменяться общим описанием мер безопасности в подобных случаях, когда субъект данных не имеет возможности получить копию от Экспортера данных;

h) что в случае применения сторонней обработки, он будет предварительно информировать Экспортера данных в письменной форме;

i) ​что услуги по обработке, предоставляемые сторонним обработчиком, производятся в соответствии с Положением 11;

j) незамедлительно направлять копию договора по сторонней обработке, заключенного на основании настоящих Положений, Экспортеру данных.

Положение 6

Ответственность

1. Стороны соглашаются, что любой субъект данных, который подвергается ущербу в результате нарушения обязательств по Положению 3 или Положению 11 любой из сторон или сторонним обработчиком, имеет право получить компенсацию от Экспортера данных за понесенный ущерб.

2. В случае, если субъект данных не имеет возможности направить заявление на компенсацию в соответствии с параграфом 1 в адрес экспортера данных, возникающее в связи с нарушением Импортером данных или сторонним обработчиком любых обязательств по Положению 3 или 11, в связи с тем, что Экспортер данных фактически исчез или прекратил существование в законодательстве или оказался банкротом, Импортер данных соглашается, что субъект данных имеет право направлять заявление в сторону Импортера данных, пока иное лицо-правопреемник не принял юридические обязательства Экспортера данных по договору или законодательству, в случае чего субъект данных имеет право направить запрос в сторону такого лица. Импортер данных имеет право не возлагать ответственность за нарушение обязательств на стороннего обработчика во избежание исполнения собственных обязательств.

3. В случае, если субъект данных не имеет возможности направить заявление в сторону Экспортера данных или Импортера данных на основании параграфов 1 и 2, возникающее в связи с нарушением сторонними обработчиками их обязательств по Положениям 3 и 11,  в связи с тем, что Импортер данных и Экспортер данных фактически исчезли или прекратили существование в законодательстве или оказались банкротами, сторонний обработчик соглашается, что субъект данных имеет право направить заявление в сторону стороннего обработчика данных, пока иное лицо-правопреемник не принял юридические обязательства Экспортера данных или Импортера данных по договору или законодательству, в таком случае субъект данных имеет право направить запрос в сторону такого лица.  Ответственность стороннего обработчика ограничивается операциями по обработке в соответствии с Положениями.

 

Положение 7

Посредничество и юрисдикция

1. Импортер данных соглашается, что в случае, если субъект данных ссылается в его сторону на права бенефициара третьей стороны и/или заявляет на компенсацию ущерба на основании Положений, Импортер данных принимает решение относительно субъекта данных:

a) направить диспут о посредничестве независимым лицом или, при необходимости, надзорным органом;

b) направить диспут в суды государства-члена, в которой зарегистрирован Экспортер данных.

2. Стороны соглашаются, что выбор, произведенный субъектом данных, не нанесет ущерб его материальным или процессуальным правам при поиске средств правовой защиты в соответствии с другими положениями национального или международного права.

Положение 8

Сотрудничество с органами надзора

1. Экспортер данных соглашается предоставлять копию договора надзирательному органу по запросу, если предоставление такой документации требуется по применимому законодательству по защите данных.

2. Стороны соглашаются, что надзирательный орган имеет право проводить аудит Импортера данных или иного стороннего обработчика, который имеет равноценный объем и подвергается равноценным условиям проведения, что и аудит Экспортера данных в соответствии с применимым законодательством защиты данных.

3. Импортер данных обязуется оперативно сообщать Экспортеру данных о существовании законодательства, применимому к нему или иному стороннему обработчику, препятствующему проведению аудита Импортера данных или иного стороннего обработчика в соответствии с параграфом 2.  В таком случае Экспортер данных обязуется предпринять меры, указанные в Положении 5 (b).

Положение 9

Действующее законодательство

Положения регулируются законодательством государства-члена, в котором зарегистрирован Экспортер данных.

Положение 10

Вариации договора

Стороны не имеют права предпринимать попытки варьировать или изменять настоящие Положения. Сторонам не запрещается добавлять предложения, связанным с вопросами бизнеса, в случае, если требуется, и это не препятствует Положениям.

Положение 11

Обработка данных третьими сторонами

1. Импортер данных не имеет права заключать договор субподряда с третьими лицами относительно обработки данных от имени Экспортера данных в соответствии с Положениями без получения предварительного письменного разрешения Экспортера данных. Если Импортер данных заключает договор субподряда на основании Положений с разрешения Экспортера данных при условии, что разрешение получено от Экспортера данных, то договор составляется в письменном виде со сторонним обработчиком, который приобретает равноценные обязательства, что и Импортер данных на основании Положений. Если сторонний обработчик нарушает обязательства по защите данных по письменному договору, Импортер данных несет полную юридическую ответственность за действия стороннего обработчика согласно такого договора..

2. Предварительный письменный договор между Импортером данных и сторонним обработчиком также должен обеспечивать положения для бенефициара третьей стороны, как указано в Положении 3 для случаев, если субъект данных не имеет возможности направлять заявление на компенсацию, как указывается в параграфе 1 положения 6 по отношению к Экспортеру данных или Импортеру данных в связи с тем, что они фактически исчезли или прекратили существование или оказались банкротами, и ни одно лицо-правопреемник не приняло полную юридическую ответственность Экспортера данных или Импортера данных по договору или действующему законодательству. Такая ответственность сторонних подрядчиков ограничивается обработкой данных в соответствии с Положениями.

3. Положения, связанные с аспектами защиты данных для договоров субподряда, указанные в параграфе 1, должны управляться законодательством государства-члена, в котором зарегистрирован Экспортер данных.

4. Экспортер данных обязуется заключать список договоров субподряда на основании Положений и в соответствии с требованиями Импортера данных, оговоренных в Положении 5 (j), а также обновлять такие договоры по крайней мере раз в год. Список должен быть доступен органу надзора по защите данных Экспортера данных.

Положение 12

Ответственность после прекращения оказания услуг по обработке персональных данных

1. Стороны соглашаются, что по прекращении предоставления услуг по обработке данных Импортер данных и сторонний обработчик обязуются возвратить все переданные персональные данные и копии таковых Экспортеру данных по его выбору или уничтожить все персональные данные и подтвердить удаление Экспортеру данных, за исключением случаев, когда юридические обязательства, возложенные на Импортера данных, препятствуют возвращению или удалению всех или части полученных персональных данных. В таком случае Импортер данных гарантирует поддерживать конфиденциальность передаваемых персональных данных и прекратить дальнейшую обработку данных.

2. Импортер данных и сторонний обработчик гарантируют, что по запросу Экспортера данных и/или органа надзора, они предоставят свое оборудование по обработке данных на аудит, оговариваемый в параграфе 1.

 

 

 

 

Приложение 1.1 к Части 2

Детали передачи

 

 

Экспортер данных

Экспортером данных является клиент, определенный в Договорном соглашении.

 

Импортер данных

Импортером данных является IQUALIF, и он предназначен для обработки данных и предоставления услуг Экспортеру данных.

 

Предмет данных

Передаваемые персональные данные относятся к следующим категориям субъектов данных:

☒ телефонные абоненты, внесенные в универсальный справочник

☐ Другое, включая:

 

Категории 

Передаваемые персональные данные относятся к следующим категориям данных:

 

Категории персональных данных субъектов данных Экспортера данных, в частности,

☒ Полное имя

☒ Почтовый адрес

☒ Контакты (e-mail, телефон, IP адрес и т.д.)

☒ Подробная информация о маркетинговых мероприятиях, связанных с телефонным абонентом

☒ Другие, в том числе тип жилья, доход и средний возраст в городе, сделанные анонимно.

 

Особые категории данных (если применимо)

Передаваемые персональные данные относятся к следующим специальным категориям данных:

☒ Передача особых категорий данных не предусмотрена.

☐ Расовое или этническое происхождение

☐ Религиозные или философские убеждения

☐ Членство в профсоюзе

☐ Политические взгляды

☐ Генетическая информация

☐ Биометрическая информация

☐ Информация о сексуальной ориентации и интимной жизни

☐ Информация о здоровье

 

Деятельность по обработке

Переданные персональные данные будут подвергаться следующим основным процессам обработки:

 

  •  
    • Цель обработки

Обработка, осуществляемая от имени Экспортера данных, основана на следующих аспектах, в частности:

☒ Поддержка продуктов и услуг, предлагаемых Экспортером данных

☒ Предложение продукта или услуги, которое может запросить названное лицо

☒ Заказы, полученные от названных лиц, и дальнейшая обработка этих заказов

☒ Исследования и анализы

☒ Телемаркетинг

☐ Другое, включая:

 

  •  
    • Характер и цель обработки

Импортер данных обрабатывает персональные данные субъектов данных от имени Экспортера данных, чтобы предоставлять следующие услуги, в частности:

☒ Продажи и маркетинг

☒ Другое, включая обновление баз данных мэрий и политических партий

 

  •  
    • Предоставление услуг и наем поставщиков услуг

 

IQUALIF в основном объединяет, централизует и предоставляет услуги Экспортеру данных. Услуги, предоставляемые указанным поставщиком услуг, могут быть структурированы (среди прочего, в зависимости от обстоятельств) вокруг следующих вспомогательных услуг: (i) предоставление приложений, инструментов, систем и IT-инфраструктуры по отношению к используемым центрам обработки данных с целью предоставления и поддерживания услуг, включая обработку персональных данных субъектов данных, как описано выше, с помощью таких приложений, инструментов и систем, (ii) предоставление IT-поддержки, обслуживания и других услуг, относящихся к таким приложениям, инструментам, системам и IT-инфраструктуре, включая потенциальный доступ к персональным данным, хранящимся в таких приложениях, инструментах и ​​системах, и (iii) предоставление услуг защиты данных, мониторинга защиты и услуг реагирования на инциденты, включая потенциальный доступ к персональным данным при предоставлении таких услуг защиты. IQUALIF может привлекать обработчиков данных, как указано ниже, для предоставления услуг, включая вспомогательные услуги.

 

  •  
    • • Внешние сторонние поставщики услуг как субъекты, назначенные для обработки данных

 

IQUALIF привлекает внешних и сторонних поставщиков услуг, которые не являются дочерними компаниями IQUALIF, для поддержки предоставления услуг Экспортеру данных. Экспортер данных утверждает таких внешних сторонних поставщиков услуг в качестве субъектов, назначенных для обработки данных.

 

Если субъект, занимающийся обработкой данных, находится за пределами ЕС/ЕЭЗ, в стране, которая, как считается, не имеет адекватного уровня защиты данных в соответствии с решением Европейской комиссии, Импортер данных предпримет шаги для получения адекватного уровня защита данных в соответствии с GDPR и разделом 3.4 (iv) части 1.

 

 

Приложение 2, Часть 2

Технические и организационные меры защиты

 

Импортер данных должен принять следующие технические и организационные меры защиты, подтвержденные Экспортером данных, чтобы гарантировать соответствующий уровень безопасности прав и свобод людей, в зависимости от рисков. При оценке соответствующего уровня защиты Экспортер данных учитывает, в частности, риски, связанные с обработкой, включая случайное или незаконное уничтожение, изменение, несанкционированное раскрытие или доступ к передаваемым, хранимым или обрабатываемым персональным данным. Уточнение: эти технические и организационные меры защиты не применяются к приложениям, инструментам, системам и/или IT-инфраструктуре, предоставляемым Экспортером данных.

1 Основные технические и организационные меры защиты
1.1 Основная информация и стратегии защиты данных
Чтобы следовать общим стратегиям защиты данных и информации, необходимо предпринять следующие шаги:
  • a) принять меры для оценки принятых стратегий в отношении технической и организационной защиты;
  • b) провести обучение для повышения осведомленности сотрудников;
  • c) иметь описание соответствующих систем и предоставлять доступ сотрудникам;
  • d) установить формальный процесс документации всякий раз, когда системы внедряются или модифицируются;
  • e) документировать организационную структуру, процессов, ответственности и соответствующих оценок;
 
1.2 Организация информационной защиты
Следующие меры должны быть приняты для координации действий по защите данных и информации.:
  • a) определенные обязанности по защите информации и данных (например, посредством политики управления защитой данных);
  • b) необходимые навыки защиты данных и информации, остающихся доступными;
  • c) обязательство сотрудников обеспечить конфиденциальность персональных данных и информирование о потенциальных последствиях нарушения этого обязательства.
 
1.3 Контроль доступа к участкам обработки
Необходимо принять следующие меры для предотвращения доступа посторонних лиц к системам обработки данных (в частности, программному и аппаратному обеспечению) при обработке, хранении или передаче персональных данных:
  • a) создать безопасные зоны;
  • b) защищать и ограничивать доступ к системам обработки данных;
  • c) установить права доступа для сотрудников и третьих лиц, включая соответствующие документы;
  • d) регистрировать любой доступ к центрам обработки данных, в которых хранятся персональные данные.
 
1.4 Контроль доступа к системам обработки данных
Для предотвращения несанкционированного доступа к системам обработки данных необходимо принять следующие меры:
  • a) политики и процедуры аутентификации пользователей;
  • b) использование паролей на всех компьютерных системах;
  • c) удаленный доступ к сети с многофакторной аутентификацией, который предоставляется заинтересованному лицу в соответствии с его обязанностями и после авторизации;
  • d) доступ к определенным функциям основан на должностных функциях и/или атрибутах, индивидуально присвоенных учетной записи пользователя;
  • e) права доступа к персональным данным регулярно пересматриваются;
  • f) записи об изменениях прав доступа постоянно обновляются.
 
1.5 Контроль доступа к отдельным областям использования систем обработки данных
Следующие меры должны быть приняты для обеспечения того, чтобы уполномоченные лица, имеющие право использовать систему обработки данных, могли получать доступ к данным только в рамках своих соответствующих обязанностей и разрешений на доступ, и что персональные данные не могут быть прочитаны, скопированы, изменены или удалены без разрешения:
  1.  
    1. a) политики, инструкции и обучение сотрудников, касающиеся обязательств каждого из них в отношении конфиденциальности, прав доступа к персональным данным и объема обработки персональных данных;
  • b) дисциплинарные меры в отношении лиц, получающих доступ к персональным данным без разрешения;
  • c) доступ к персональным данным только уполномоченным лицам по служебной необходимости;
  • d) список системных администраторов и соответствующие меры для мониторинга системных администраторов;
  • e) не копировать и не воспроизводить персональные данные в любой системе хранения, чтобы неуполномоченные лица могли удалить информацию об отправителе;
  • f) контроль и документирование удаления или уничтожения данных;
  • g) безопасное хранение всех персональных данных, которые должны храниться по юридическим или нормативным причинам (например, обязательства по хранению данных), и только в течение срока, требуемого законом.
 
1.6 Контроль передачи данных
Следующие меры должны быть приняты для предотвращения чтения, копирования, изменения или удаления персональных данных неавторизованными третьими лицами во время передачи или транспортировки устройств хранения данных (в зависимости от предпринятой обработки персональных данных):
  1.  
    1. a) использовать брандмауэры;
  • b) избегать хранения персональных данных на переносных устройствах хранения для транспортных целей, или шифрование устройств;
  • c) использовать на ноутбуках и других мобильных устройствах только после активации защиты шифрования;
  • d) регистрировать передачи персональных данных.
 
1.7 Контроль ввода данных
Следующие меры должны быть приняты для обеспечения возможности проверки и определения того, были ли персональные данные введены или удалены из систем обработки данных, и кем:
  1.  
    1. a) политика авторизации чтения, изменения и удаления сохраненных данных;
  • b) меры защиты, касающиеся чтения, изменения и удаления сохраненных данных.
 
1.8 Контроль рабочего процесса
В случае делегированной обработки персональных данных необходимо принять следующие меры для обеспечения обработки таких данных в соответствии с инструкциями Супервайзера:
  1.  
    1. a) организации или подразделения, назначенные для обработки данных, выбранные с осторожностью (поставщики услуг, обрабатывающие персональные данные от имени контроллера);
  • b) инструкции относительно объема любой обработки персональных данных для сотрудников, организаций или подразделений, назначенных для обработки данных;
  • c) права аудита, согласованные с организациями или подразделениями, которым назначена обработка данных;
  • d) действующие соглашения с организациями или подразделениями, назначенными для обработки данных.
 
1.9 Отделение обработки для других целей
Чтобы данные, собранные для других целей, можно было обрабатывать отдельно, необходимо принять следующие меры:
  1.  
    1. a) раздельный доступ к персональным данным в соответствии с имеющимися правами пользователей;
  • b) интерфейсы, пакетная обработка и отчетность предназначены для других целей и функций, поэтому данные, собранные для других целей, можно обрабатывать отдельно.
 
1.10 Псевдонимизация
В отношении псевдонимизации персональных данных необходимо принять следующие меры:
  1.  
    1. a) если Экспортер данных заказывает определенную операцию обработки или если Импортер данных считает это целесообразным в соответствии с действующими законами о защите данных в отношении определенных операций обработки, обработка персональных данных будет осуществляться таким образом, чтобы данные можно было не относить к конкретному человеку без использования дополнительной информации. Эта дополнительная информация будет храниться отдельно;
  • b) использование методов псевдонимизации, в том числе рандомизации списков распределения; создание значений в виде шарпов.
 
1.11 Шифрование

Для шифрования личных данных в приложениях и передачах, поддерживающих шифрование, необходимо предпринять следующие шаги:

  1.  
    1. a) применение техники шифрования;
  • b) установка управления шифрованием для поддержки разрешенных к использованию методов шифрования;
  • c) поддержка использования криптографии с помощью процедур и протоколов для создания, изменения, отзыва, уничтожения, распространения, сертификации, хранения, захвата, использования и архивирования криптографических ключей для защиты от несанкционированного изменения и раскрытия.
 
1.12 Полнота систем и услуг обработки данных
Следующие меры должны быть приняты для обеспечения полноты систем и услуг обработки данных:
  1. a) защита систем обработки данных от манипуляций или уничтожения соответствующими средствами (например, антивирусное программное обеспечение, программное обеспечение для предотвращения потери данных и программное обеспечение от вредоносных программ, программные исправления, брандмауэры и управляемая защита настольных компьютеров);
  • b) запрет установки любых сервисов или программного обеспечения, вредных для систем обработки данных, сервисов, или манипулирования персональными данными;
  • c) использование системы обнаружения и предотвращения сетевых вторжений в структуру самой сети.
 
1.13 Доступность систем и сервисов обработки данных и возможность восстановления доступа и использования персональных данных в случае материального или технического инцидента
Следующие меры должны быть приняты для обеспечения доступности систем обработки данных, а также для возможности быстрого восстановления доступа к персональным данным в случае материального или технического инцидента (в частности, путем обеспечения того, чтобы персональные данные были защищены от случайного уничтожения или потери):
  • a) иметь средства контроля для хранения резервных копий и восстановления утерянных или удаленных данных;
  • b) инфраструктурное резервирование и тестирование производительности;
  • c) физическая защита компьютерных ресурсов;
  • d) использование инструментов для мониторинга состояния и доступности внутренней сети;
  • e) политики отчетности и реагирования на инциденты, регулирующие процедуру управления инцидентами, и подтверждение соблюдения этих политик в рамках регулярного обучения;
  • f) резервные копии (иногда удаленные) для восстановления системы, чтобы она снова могла выполнять свои функции;
  • g) планы обеспечения непрерывности бизнеса/аварийного восстановления
 
1.14 Устойчивость систем и сервисов обработки данных
Для обеспечения отказоустойчивости систем и услуг обработки данных необходимо принять следующие меры:
  • a) сбалансированная настройка систем с использованием утвержденных параметров безопасности;
  • b) резервирование сети;
  • c) защитная оболочка критических систем.
 
1.15 Процедура регулярного тестирования, оценки и оценки эффективности технических и организационных мер по обеспечению безопасности обработки данных
Процедура регулярного тестирования и оценки эффективности технических и организационных мер по защите обработки данных.
  • a) предпринять необходимые шаги для оценки рисков и стратегий их снижения;
  • b) проводить аналитические встречи IT-отдела для решения текущих вопросов;
  • c) регулярно обновлять планы обеспечения непрерывности/аварийного восстановления бизнеса.

 

Часть 3

Подписи сторон и список Импортеров данных

 

Когда вы заполняете онлайн-форму заказа и подтверждаете ее, отмечая галочкой поле, подтверждающее принятие общих условий использования, заключается договор, регулирующий отношения между Клиентом и IQUALIF.

Отправка платежа в IQUALIF будет означать, что договор согласован и заключен.


Обратите внимание: этот текст переведен с французского. Оригинальная французская версия, действительная и имеющая юридические ограничения, доступна здесь.