На главную / Общие положения и условия/ Приложение по обработке данных

Приложение по обработке данных

 

Настоящее Приложение является неотъемлемой частью Договора и заключается:

 

  1. (i) Клиент («Экспортер данных »)
  2. (ii) POSTCODEZIP («Импортер данных »)

 

Каждый из них является «партией » и обычно «партиями ».

 

Преамбула

ГДЕ Импортер данных предоставляет профессиональные программные услуги, компьютерные и сопутствующие услуги;

ГДЕ в соответствии с Контрактом Импортер данных согласился предоставить Экспортеру данных услуги, указанные в Контракте («Услуги »);

ЕСЛИ, предоставляя Услуги, Импортер данных получает или извлекает выгоду из доступа к информации Экспортера данных или информации других лиц, имеющих (потенциальные) отношения с Экспортером данных, такая информация может быть квалифицирована как персональные данные в значении Регламента. (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 г. о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных («GDPR ») и других применимых законах о защите данных.

ГДЕ это Приложение содержит условия, применимые к сбору, обработке и использованию таких персональных данных Импортером данных в его качестве уполномоченного агента по обработке данных Экспортера данных, чтобы гарантировать соблюдение Сторонами применимого законодательства о защите данных. .

 

ПОЭТОМУ и для того, чтобы Стороны могли продолжить свои отношения на законных основаниях, Стороны заключили настоящее Приложение следующим образом:

Часть 1

 

1. Структура документа и определения

1.1 Структура

Это Приложение состоит из следующих частей:

 

Часть 1:

содержит общие положения, например, касающиеся определений, используемых в этом Приложении, соответствия местным законам, сроков и прекращения действия

Часть 2:

содержит текст документа Стандартных договорных условий без поправок.

Приложение 1.1 части 2:

содержит подробную информацию об операциях обработки, предоставленных Импортером данных Экспортеру данных в качестве уполномоченного агента по обработке данных (включая обработку, характер и цель обработки, тип персональных данных и категории субъектов данных) в соответствии с настоящим Соглашением. Приложение

Приложение 2 части 2:

содержит описание технических и организационных мер безопасности Импортера данных, которые применяются в отношении всех операций обработки, описанных в Приложении 1.1 Части 2.

Часть 3:

содержит подписи Сторон, которые должны соблюдать настоящее Приложение, и идентифицирует каждого Импортера данных

 

1.2 Терминология и определения

Для целей данного Приложения применимы терминология и определения, используемые GDPR (в основной части документа Стандартной договорной статьи в Части 2, где определенные термины не пишутся с заглавной буквы). 

 

«Государство-член»

означает страну, принадлежащую Европейскому Союзу или Европейской экономической зоне.

«Особые категории (персональных) данных»

относится к личным данным, раскрывающим расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения или членство в профсоюзах, а также генетические данные, биометрические данные, если они обрабатываются с целью однозначной идентификации человека, данные, касающиеся здоровья, данные, касающиеся пола человека жизнь или сексуальная ориентация

«Стандартные договорные положения»

означает Стандартные договорные условия для передачи персональных данных агентов обработки, созданных в третьих странах, в соответствии с Решением Комиссии 2010/87 / EU от 5 февраля 2010 г., которое было изменено Исполнительным Решением Комиссии (ЕС) 2016/2297 от 16 февраля 2010 г. Декабрь 2016 г.

«Обработчик данных» ??

означает любой агент обработки, расположенный внутри или за пределами ЕС / ЕЭЗ, который соглашается получать от Импортера данных или любого другого процессора Импортера данных персональные данные исключительно для целей обработки, которые должны выполняться Экспортером данных после передача в соответствии с инструкциями Экспортера данных, условиями настоящего Приложения и Договора с Импортером данных

 

 

2. Обязанности Экспортера данных

2.1 Экспортер данных обязан обеспечить соблюдение всех применимых обязательств в соответствии с GDPR и любым другим применимым законом о защите данных, который применяется к Экспортеру данных, и продемонстрировать такое соблюдение, как того требует статья 5 (2) GDPR. Экспортер данных гарантирует, что импортер данных получил предварительное согласие субъектов данных в соответствии со статьей 6 (а) GDPR и выполнил свое обязательство по информированию субъектов данных в соответствии со статьями 13 и 14 GDPR.

2.2 Экспортер данных должен предоставить Импортеру данных соответствующие файлы деятельности по обработке в соответствии со статьей 30 (1) GDPR, относящейся к Услугам в соответствии с настоящим Приложением, в той мере, в какой это необходимо для Импортера данных для выполнения обязательства по Статья 30 (2) GDPR.

2.3 Экспортер данных должен назначить сотрудника или представителя по защите данных в той мере, в какой это требуется действующим законодательством о защите данных. Экспортер данных обязан предоставить импортеру данных контактные данные агента или представителя по защите данных, если таковой имеется.

2.4. Экспортер данных подтверждает до завершения обработки принятием настоящего Приложения, что технические и организационные меры безопасности Импортера данных, изложенные в Приложении 2 к Части 2, являются подходящими и достаточными для защиты прав субъекта данных. и подтверждает, что Импортер данных обеспечивает достаточные гарантии в этом отношении.

 

3. Соблюдение местного законодательства.

Чтобы соответствовать требованиям внедрения процессинговых агентов в соответствии со статьей 28 GDPR, применяются следующие поправки:

 

3.1 Инструкции

  1. (i) Экспортер данных инструктирует Импортера данных обрабатывать персональные данные только от имени Экспортера данных. Инструкции Экспортера данных приведены в этом Приложении и в Контракте. Экспортер данных обязан обеспечить, чтобы все инструкции, данные Импортеру данных, соответствовали применимым законам о защите данных. Импортер данных должен обрабатывать персональные данные только в соответствии с инструкциями, предоставленными Экспортером данных, если иное не требуется Европейским Союзом или законодательством государства-члена (в последнем случае применяется пункт 3.2 (iv) (c) части 1) .
  2. (ii) Все другие инструкции, выходящие за рамки инструкций в этом Приложении или в Контракте, должны быть включены в предмет настоящего Приложения и Контракта. Если выполнение этой дополнительной инструкции связано с расходами для Импортера данных, Импортер данных должен проинформировать Экспортера данных о таких расходах и предоставить объяснение перед выполнением инструкции. Только после того, как Экспортер данных подтвердит принятие этих затрат на выполнение инструкции, Импортер данных должен выполнить эту дополнительную инструкцию. Экспортер данных должен дать дополнительные инструкции в письменной форме, если срочность или другие особые обстоятельства не требуют другой формы (например, устной или электронной). Инструкции в форме, отличной от письменной, должны быть незамедлительно подтверждены в письменной форме Экспортером данных.
  3. 1. Если Экспортер данных не может самостоятельно выполнить исправление, стирание или ограничение личных данных, инструкции могут также относиться к исправлению, стиранию и / или ограничению личных данных, как указано в пункте 3.3 части 1.
  4. 2. Импортер данных должен немедленно проинформировать Экспортера данных, если, по его мнению, инструкция нарушает GDPR или другие применимые положения о защите данных Европейского Союза или государства-члена («Оспариваемая инструкция»"). Если Импортер данных считает, что инструкция нарушает GDPR или другие применимые положения о защите данных Европейского Союза или государства-члена, Импортер данных не обязан выполнять оспариваемую инструкцию. Если Экспортер данных подтверждает оспариваемую инструкцию после После получения информации от Импортера данных и признания своей ответственности за оспариваемую инструкцию, Импортер данных должен выполнить оспариваемую инструкцию, если только оспариваемая инструкция не касается (i) реализации технических и организационных мер, (ii) прав на данные Субъекты или (iii) привлечение обработчиков данных. В случаях (i) - (iii) Импортер данных может связаться с компетентным надзорным органом, чтобы оспариваемая инструкция была юридически оценена таким органом.Если надзорный орган признает оспариваемую Инструкцию законной, Импортер данных должен выполнить оспариваемую Инструкцию. Пункт 3.1 (ii) части 1 остается в силе.

 

3.2 Обязанности импортера данных

  1. (i) Импортер данных должен гарантировать, что лица, уполномоченные Импортером данных обрабатывать персональные данные от имени Экспортера данных, в частности, сотрудники Импортера данных и сотрудники любого Субподрядчика, обязались соблюдать конфиденциальность или подпадают под действие соответствующая установленная законом обязанность сохранять конфиденциальность, и чтобы лица, имеющие доступ к персональным данным, обрабатывали их в соответствии с инструкциями Экспортера данных.
  2. (ii) Импортер данных должен реализовать технические и организационные меры безопасности, изложенные в Приложении 2 к Части 2, перед обработкой персональных данных от имени Экспортера данных. Импортер данных может время от времени изменять технические и организационные меры безопасности, если они не обеспечивают меньшую защиту, чем те, которые указаны в Приложении 2 к Части 2.
  3. (iii) Импортер данных должен предоставлять Экспортеру данных по запросу Экспортера данных информацию, демонстрирующую соблюдение обязательств Импортера данных в соответствии с настоящим Приложением. Стороны соглашаются, что это информационное обязательство выполняется путем предоставления Экспортеру данных аудиторского отчета (охватывающего принципы безопасности, доступности системы и конфиденциальности) («Аудиторский отчет»). Если по закону требуются дополнительные аудиторские мероприятия, Экспортер данных может потребовать, чтобы проверки проводились Экспортером данных или другим аудитором, назначенным Экспортером данных, при условии выполнения таким аудитором соглашения о конфиденциальности с Импортером данных перед Импортером данных. разумное удовлетворение («Аудит»). Данный Аудит проводится при соблюдении следующих условий:(i) предварительное формальное письменное согласие Импортера данных; и (ii) Экспортер данных несет все расходы, связанные с аудитом на месте для Экспортера данных и Импортера данных. Экспортер данных должен создать отчет об аудите, обобщающий результаты и наблюдения аудита на месте («Отчет об аудите на месте»). Отчеты об аудите на месте и отчеты об аудите являются конфиденциальной информацией Импортера данных и не должны раскрываться третьим лицам, если это не требуется в соответствии с применимым законодательством о защите данных или в соответствии с согласием Импортера данных.Отчеты об аудите на месте и отчеты об аудите являются конфиденциальной информацией Импортера данных и не должны раскрываться третьим лицам, если это не требуется в соответствии с применимым законодательством о защите данных или в соответствии с согласием Импортера данных.Отчеты об аудите на месте и отчеты об аудите являются конфиденциальной информацией Импортера данных и не должны раскрываться третьим лицам, если это не требуется в соответствии с применимым законодательством о защите данных или в соответствии с согласием Импортера данных.
  4. (iv) Импортер данных обязан незамедлительно уведомить Экспортера данных:
    1. а. в отношении любого юридически обязательного запроса на раскрытие персональных данных правоохранительным органом, если иное не запрещено, например, запрет в соответствии с уголовным законодательством для защиты конфиденциальности расследования правоохранительных органов
    2. б. в отношении любой жалобы и запроса, полученных непосредственно от субъекта данных (например, в отношении доступа, исправления, удаления, ограничения обработки, переносимости данных, возражения против обработки данных, автоматического принятия решений) без ответа на этот запрос, если Импортер данных не был уполномочен Сделай так
    3. c. если Импортер данных или обработчик данных обязан в соответствии с законодательством Европейского Союза или государства-члена, которому подчиняется Импортер данных или обработчик данных, обрабатывать персональные данные помимо инструкций Экспортера данных, прежде чем выполнять такую ​​обработку за пределами инструкции, за исключением случаев, когда законы Европейского Союза или государства-члена запрещают такую ​​обработку по жизненно важным соображениям общественного интереса, и в этом случае уведомление Экспортеру данных должно указывать юридические требования в соответствии с этим законодательством Европейского Союза или государства-члена; или
    4. d. если Импортер данных осознает нарушение личных данных исключительно из-за себя или своего субподрядчика, которое может повлиять на личные данные Экспортера данных, на которые распространяется настоящий договор, и в этом случае Импортер данных будет помогать Экспортеру данных в выполнении его обязательства, в соответствии с действующим законодательством о защите данных, чтобы информировать субъектов данных и, где это применимо, надзорные органы, предоставляя информацию, имеющуюся в их распоряжении, в соответствии со статьей 33 (3) GDPR.
    5. (v) По запросу Экспортера данных Импортер данных будет вынужден помочь Экспортеру данных в выполнении его обязательства по проведению оценки воздействия на защиту данных, которая может потребоваться в соответствии со статьей 35 GDPR, и предварительной консультации, которая может быть требуется статьей 36 GDPR в отношении услуг, предоставляемых Импортером данных Экспортеру данных в соответствии с настоящим Приложением, предоставляя необходимую информацию и информацию Экспортеру данных. Импортер данных будет обязан предоставить такую ​​помощь только в том случае, если Экспортер данных не может выполнить свои обязательства другими способами. Импортер данных сообщит Экспортеру данных стоимость такой помощи. Как только экспортер данных подтвердит, что он может нести эти расходы, импортер данных предоставит экспортеру данных эту помощь.
    6. (vi) По окончании предоставления услуг Экспортер данных может запросить возврат персональных данных, обработанных Импортером данных в соответствии с настоящим Приложением, в течение одного месяца после оказания услуг. Если законодательство государства-члена или Европейского Союза не требует от Импортера данных хранить или хранить такие личные данные, Импортер данных удалит все такие личные или неличные данные по истечении одного месяца, независимо от того, были ли они возвращены в Экспортер данных по его запросу или нет.

 

3.3 Права заинтересованных лиц

  1.  
    1. (i) Экспортер данных управляет запросами субъектов данных и отвечает на них. Data Importer не обязан напрямую отвечать субъектам данных.
    2. (ii) Если Экспортеру данных требуется помощь Импортера данных в обработке и ответе на запросы Субъекта данных, Экспортер данных должен издать дополнительную инструкцию в соответствии с Пунктом 3.1 (ii) Части 1. Импортер данных будет помогать Экспортеру данных со следующими соответствующими техническими организационными мерами для ответа на запросы об осуществлении прав субъектов данных, изложенных в главе III GDPR, следующим образом:
    3. а. Что касается запросов на информацию, Импортер данных будет предоставлять Экспортеру данных только информацию, требуемую статьями 13 и 14 PGRD, которые он может иметь в своем распоряжении, если Экспортер данных не может найти ее самостоятельно.
    4. б. Что касается запросов на доступ (статья 15 GDPR), Импортер данных будет предоставлять Экспортеру данных только ту информацию, которая должна быть предоставлена ​​субъекту данных для указанного запроса на доступ, который он может иметь в своем распоряжении, если последний не может найти его в одиночку.
    5. c. Что касается запросов на исправление (статья 16 GDPR), запросов на удаление (статья 17 GDPR), ограничения запросов на обработку (статья 18 GDPR) или запросов на переносимость (статья 20 GDPR) и только если Экспортер данных не может сам исправить или стереть, ограничить или передать личные данные другой третьей стороне, Импортер данных предложит Экспортеру данных возможность исправить или стереть, ограничить или передать соответствующие личные данные другой третьей стороне, или, если это невозможно, он окажет помощь в исправлении или удалении, ограничении или передаче другой третьей стороне соответствующих личных данных.
    6. d. Что касается уведомления об исправлении, удалении или ограничении обработки (статья 19 GDPR), Импортер данных будет помогать Экспортеру данных, уведомляя всех получателей персональных данных, задействованных Импортером данных в качестве обработчиков, если Экспортер данных запрашивает и если Экспортер данных не может исправить ситуацию самостоятельно.
    7. е. Что касается права на возражение, осуществляемого субъектом данных (статьи 21 и 22 GDPR), Экспортер данных определяет, является ли возражение законным и как с ним бороться.
    8. (iii) Обязательства Импортера данных по оказанию помощи ограничиваются персональными данными, обрабатываемыми в его инфраструктуре (например, базами данных, системами, приложениями, принадлежащими или предоставляемыми Импортером данных).
    9. (iv) Экспортер данных должен определить, может ли Субъект данных осуществлять права Субъекта данных, изложенные в пункте 3.1 настоящей Части 1, и сообщить Импортеру данных о степени, в которой помощь, указанная в пунктах 3.3 (ii), ( iii) Части 1 необходимо.
    10. (v) Если Экспортер данных запрашивает дополнительные или измененные технические и организационные меры для соблюдения прав субъектов данных, которые выходят за рамки помощи, предоставляемой Импортером данных в соответствии с подпунктом 3.3 (ii), (iii) Части 1, Данные Импортер должен информировать Экспортера данных о затратах на реализацию таких дополнительных или измененных технических и организационных мер. Как только Экспортер данных подтвердит, что он может покрыть эти расходы, Импортер данных должен реализовать такие дополнительные или модифицированные технические и организационные меры, чтобы помочь Экспортеру данных в ответах на запросы Субъектов данных.
    11. (vi) Не ограничивая объем пункта 3.3 (v) Части 1, Экспортер данных обязан возместить Импортеру данных его разумные расходы, понесенные при ответе на запросы Субъектов данных.

 

3.4 Дополнительная обработка

  1.  
    1. (i) Экспортер данных разрешает импортеру данных использовать субподрядчиков для предоставления услуг в соответствии с настоящим Приложением. Импортер данных должен тщательно выбирать таких обработчиков данных. Экспортер данных утверждает обработчиков данных, перечисленных в Приложении 1.1 в конце Части 2.
    2. (ii) Импортер данных передает свои обязательства по настоящему Приложению обработчику (ам) данных в той мере, в какой это применимо к субподрядным услугам.
    3. (iii) Импортер данных может уволить, заменить или назначить другого подходящего и надежного обработчика (ов) данных по своему усмотрению. По письменному запросу Экспортера данных Импортер данных должен следовать процедуре, изложенной ниже:
  1.  
    1. а. Импортер данных должен проинформировать Экспортера данных перед любыми изменениями в списке обработчиков данных, упомянутых в пункте 3.4 (i) Части 1. Если Экспортер данных не возражает по пункту 3.4. (b) Части 1 через тридцать дней после получения уведомления от Импортера данных дополнительные обработчики данных считаются принятыми.
    2. б. Если у экспортера данных есть законная причина возражать против дополнительного обработчика данных, он направит импортеру данных предварительное письменное уведомление в течение тридцати дней с момента получения уведомления импортера данных и до того, как служба импортера данных будет запущена. Если Экспортер данных возражает против использования дополнительного процессора данных, Импортер данных может снять возражение одним из следующих вариантов (выбранных по своему усмотрению): (A) Импортер данных отменит свои планы использования дополнительного процессора в отношении личные данные Экспортера данных; (B) Импортер данных примет корректирующие меры, запрошенные Экспортером данных в его возражении (отмена возражения), и использует дополнительный процессор в отношении личных данных Экспортера данных;(C) Импортер данных может прекратить предоставление или Экспортер данных может согласиться не использовать (временно или постоянно) определенный аспект услуги, который будет включать использование дополнительных обработчиков персональных данных Экспортера данных.
  2.  
    1. (iv) если Обработчик данных находится за пределами ЕС-ЕЭЗ в стране, которая не признана предлагающей адекватный уровень защиты данных в соответствии с решением Европейской комиссии, Импортер данных примет меры для соблюдения адекватного уровня защиты данных в соответствии с GDPR (такие меры могут включать, среди прочего, и - использование контрактов на обработку данных, основанных на положениях Модели ЕС, передачу самосертифицированным обработчикам данных в рамках EU-US Protection Shield , или аналогичная программа).

 

3.5 Истечение срока

Истечение срока действия данного Приложения идентично дате истечения срока действия соответствующего Контракта. Если иное не предусмотрено в этом Приложении, права и обязанности, связанные с прекращением действия, должны быть такими же, как те, которые содержатся в Контракте.

 

4. Ограничение ответственности

4.1 Каждая сторона выполняет свои обязательства в соответствии с настоящим Приложением и применимым законодательством о защите данных.

4.2 Любая ответственность, связанная с нарушением обязательств в соответствии с настоящим Приложением или применимым законодательством о защите данных, регулируется положениями об ответственности, изложенными в Договоре или применимыми к нему, за исключением случаев, предусмотренных в настоящем Приложении. Если ответственность регулируется положениями об ответственности, изложенными в Контракте или применимыми к нему, для расчета пределов ответственности или определения применения других ограничений ответственности, любая ответственность, возникающая в соответствии с настоящим Приложением, считается возникающей по Контракту.

 

5. Общие положения.

5.1. Если есть какие-либо несоответствия или несоответствия между частями 1 и 2 настоящего Приложения, часть 2 имеет преимущественную силу. В частности, даже в таком случае Часть 1, которая просто выходит за рамки Части 2 (т.е. условия Стандартных статей), не противореча ей, остается в силе.

5.2 Если возникает какое-либо несоответствие между положениями настоящего Приложения и положениями других договоров, связывающих стороны, это Приложение имеет преимущественную силу в отношении обязательств сторон по защите данных. В случае сомнений относительно того, касаются ли положения других договоров обязательств сторон по защите данных, данное Приложение имеет преимущественную силу.

5.3 Если какое-либо положение этого Приложения является недействительным или не имеющим исковой силы, остальная часть этого Приложения остается в полной силе. Недействительное или неисполнимое положение будет (i) изменено для обеспечения его действительности и исковой силы при сохранении, насколько это возможно, намерений сторон, или - если это невозможно - (ii) истолковано так, как если бы недействительная или неисполнимая часть имела никогда не был частью контракта. Вышеизложенное также применяется в случае упущения в этом Приложении.

5.5 В необходимых случаях Стороны могут запросить поправки к пункту 3 части 1 (Соответствие местному законодательству) или другим частям Приложения, чтобы соответствовать интерпретациям, директивам или распоряжениям, изданным компетентными органами Союза или Государства-члены, положения национального правоприменения или любые другие правовые изменения, касающиеся GDPR или других условий делегирования полномочий любым организациям, участвующим в обработке данных и, в частности, в отношении использования стандартных договорных положений в GDPR. Условия Стандартных договорных условий не могут быть изменены или заменены, если это прямо не одобрено Европейской Комиссией (например, новыми соответствующими положениями и стандартами защиты данных).

5.6 Любая ссылка в этом Приложении на «Пункты» должна пониматься как относящаяся ко всем положениям этого Приложения, если не указано иное.

5.7 Выбор права в Части 2, Пункте 9 применяется ко всему Контракту.

 

6.  Персональные данные, передаваемые и обрабатываемые сторонами в личных целях (передача от контроллера данных к контроллеру данных)

6.1 Стороны полностью осведомлены о том, что определенные персональные данные будут передаваться от Экспортера данных Импортеру данных и наоборот, и что такие данные обрабатываются каждой Стороной для своих собственных целей. Что касается таких персональных данных, это не влияет на другие положения настоящего Приложения (за исключением этого пункта 6).

6.2 Экспортер данных может передавать импортеру данных персональные данные, относящиеся к персоналу Импортера данных, включая информацию об инцидентах безопасности, или любые другие документы или файлы, созданные или созданные Экспортером данных в связи с Услугами, предоставляемыми персоналом Импортер данных. Импортер данных может обрабатывать такие персональные данные для своих собственных целей, в частности, в своих профессиональных отношениях с персоналом Импортера данных, для контроля качества и обучения или для деловых целей.

6.3. Импортер данных может передавать Экспортеру данных личные данные, включая имя и контактные данные сотрудников Импортера данных. Экспортер данных может обрабатывать такие персональные данные в своих целях.

6.4 Обе стороны должны соблюдать все применимые законы о защите данных, включая GDPR, при сборе, обработке и использовании таких персональных данных, полученных от другой стороны в соответствии с пунктом 1 Части 1. В частности, обе стороны принимают адекватные меры безопасности, при условии, что уровень защиты аналогичен мерам безопасности, изложенным в Приложении 2 части 2. Любой доступ к таким личным данным ограничивается необходимостью их знания.

6.5 Обе стороны должны удалить такие личные данные как можно скорее после достижения целей.

Часть 2

 

РЕШЕНИЕ КОМИССИИ

5 февраля 2010 г.

о стандартных договорных условиях для передачи персональных данных обработчикам данных, установленным в сторонних странах в соответствии с Директивой 95/46 / EC Европейского парламента и Совета

 

 

 

Пункт 1

Определения

По смыслу пунктов:

а) «персональные данные», «особые категории данных», «обработка / обработка», «контролер», «обработчик», «субъект данных» и «надзорный орган» имеют то же значение, что и в 95/46 / EC. Директива Европейского парламента и Совета от 24 октября 1995 г. о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных (1);

б) «Экспортер данных» - это контроллер данных, передающий персональные данные;

c) «Импортер данных» - это обработчик данных, который соглашается получать от Экспортера данных персональные данные, предназначенные для обработки от имени Экспортера данных после передачи в соответствии с его инструкциями и условиями этих пунктов, и который не в соответствии с механизмом третьей страны, обеспечивающей адекватную защиту по смыслу статьи 25 (1) Директивы 95/46 / ЕС; (d) «Обработчик данных» означает обработчик данных, нанятый Импортером данных или любым другим обработчиком данных Импортера данных, который соглашается получать от Импортера данных или любого другого обработчика данных Импортера данных персональные данные исключительно для операций по обработке с целью будет осуществляться от имени Экспортера данных после передачи в соответствии с инструкциями Экспортера данных,в соответствии с условиями, изложенными в этих пунктах, и в соответствии с условиями письменного субподряда в контракте на обработку данных;

e) «применимый закон о защите данных» означает законодательство, защищающее основные права и свободы людей, включая право на неприкосновенность частной жизни в отношении обработки персональных данных, и применимое к контроллеру в государстве-члене, где учрежден Экспортер данных;

е) «технические и организационные меры, связанные с безопасностью»? означает меры, предназначенные для защиты персональных данных от случайного или незаконного уничтожения или случайной потери, изменения, несанкционированного раскрытия или доступа, в частности, когда обработка включает передачу данных по сетям, а также от всех других незаконных форм обработки.

Пункт 2

Детали перевода

Детали передачи, включая, где это уместно, особые категории персональных данных, указаны в Приложении 1, которое является неотъемлемой частью этих пунктов.

Пункт 3

Оговорка о стороннем бенефициаре

1. Субъект данных может применить к Экспортеру данных настоящий Пункт, Пункты 4 (b) - (i), Пункты 5 (a) - (e) и (g) - (j), Пункты 6 (1) и (2). ), Пункта 7, пункта 8 (2) и пунктов 9–12 в качестве стороннего выгодоприобретателя.

2. Субъект данных может обеспечить соблюдение настоящего пункта, пункта 5 (a) - (e) и (g), пункта 6, пункта 7, пункта 8 (2) и пунктов 9–12 в отношении Импортера данных, если Экспортер данных физически исчез или прекратил свое существование по закону, если все его юридические обязательства не были переданы по контракту или в силу закона юридическому лицу-правопреемнику, которому, таким образом, возвращаются права и обязанности Экспортера данных, и против которого данные поэтому субъект может обеспечить соблюдение указанных положений.

Субъект данных может обеспечить соблюдение этого пункта, пункта 5 (a) - (e) и (g), пункта 6, пункта 7, пункта 8 (2) и пунктов 9–12 в отношении обработчика данных, но только в тех случаях, когда Данные Экспортер и Импортер данных физически исчезли, прекратили свое существование по закону или стали неплатежеспособными, если все юридические обязательства Экспортера данных не были переданы по контракту или в силу закона правопреемнику, права и Таким образом, на Экспортера данных возлагаются обязательства, и в отношении которого субъект данных может применять такие положения. Такая ответственность обработчика данных должна ограничиваться его собственной обработкой в ​​соответствии с этими пунктами.

4. Стороны не возражают против того, чтобы субъект данных был представлен ассоциацией или другим органом, если он или она того пожелает и если это разрешено национальным законодательством.

Пункт 4

Обязанности Экспортера данных

Экспортер данных принимает и гарантирует следующее:

а) обработка, включая фактическую передачу персональных данных, осуществлялась и будет продолжаться в соответствии с соответствующими положениями применимого закона о защите данных (и, если применимо, была уведомлена компетентными органами государства-члена в котором находится Экспортер данных) и не нарушает соответствующие положения этого государства;

б) они проинструктировали и проинструктируют Импортера данных обрабатывать персональные данные, переданные от единственного имени Экспортера данных и в соответствии с применимым законодательством о защите данных и настоящими пунктами;

c) Импортер данных обеспечит достаточные гарантии в отношении технических и организационных мер безопасности, указанных в Приложении 2 к настоящему контракту;

d) после оценки требований применимого закона о защите данных меры безопасности являются адекватными для защиты персональных данных от случайного или незаконного уничтожения или случайной потери, изменения, несанкционированного раскрытия или доступа, в частности, когда обработка включает передачу данных. по сети и от всех других незаконных форм обработки и обеспечить уровень безопасности, соответствующий рискам, связанным с обработкой, и характеру данных, которые необходимо защитить, с учетом уровня технологии и стоимости внедрения;

д) они обеспечат соблюдение мер безопасности;

f) если передача относится к особым категориям данных, субъект данных был проинформирован или будет проинформирован до передачи или как можно скорее после передачи, что его или ее данные могут быть переданы в третью страну, которая не предлагает адекватный уровень защиты по смыслу Директивы 95/46 / EC;

g) они направят любое уведомление, полученное от Импортера данных или любого обработчика данных в соответствии с Пунктами 5 (b) и 8 (3), органу надзора за защитой данных, если он решит продолжить передачу или отменить приостановку;

h) они должны предоставить субъектам данных, если они того потребуют, копию этих пунктов, за исключением Приложения 2, и краткое описание мер безопасности, а также копию любого дополнительного соглашения о субподряде, заключенного в соответствии с этими пунктами, если только Пункты или соглашение содержат коммерческую информацию, и в этом случае он может отозвать такую ​​информацию;

i) в случае субподряда на процесс обработки данных, обработка данных осуществляется в соответствии с пунктом 11 обработчиком данных, обеспечивающим, по крайней мере, такой же уровень защиты личных данных и прав субъекта данных, что и Импортер данных в соответствии с этими пунктами. ; а также

j) он обеспечит соответствие пунктам 4 (a) - (i).

Пункт 5

Обязанности импортера данных

Импортер данных принимает и гарантирует следующее:

a) они будут обрабатывать персональные данные только от имени Экспортера данных и в соответствии с инструкциями Экспортера данных и этими пунктами; если он не может выполнить требования по какой-либо причине, они соглашаются как можно скорее проинформировать Экспортера данных о своей неспособности, и в этом случае Экспортер данных может приостановить передачу данных и / или расторгнуть договор;

б) у них нет оснований полагать, что применимый к ним закон не позволяет ему выполнять инструкции, данные Экспортером данных, и обязательства, возложенные на него по контракту, и если в такой закон могут быть внесены изменения, которые могут иметь существенные неблагоприятные последствия влияет на гарантии и обязательства в соответствии с Пунктами, он должен уведомить Экспортера данных об изменении незамедлительно после того, как узнал об этом, и в этом случае Экспортер данных может приостановить передачу данных и / или расторгнуть договор; (c) они реализовали технические и организационные меры безопасности, указанные в Приложении 2, до обработки переданных персональных данных;

г) они незамедлительно уведомят Экспортера данных:

i) любой имеющий обязательную силу запрос на раскрытие личных данных от правоохранительных органов, если не указано иное, например, уголовный запрет, направленный на сохранение тайны полицейского расследования;

ii) любой случайный или несанкционированный доступ; а также

iii) любой запрос, полученный непосредственно от заинтересованных лиц без ответа на него, если он не уполномочен на это; администраторы

e) они будут оперативно и надлежащим образом реагировать на все запросы Экспортера данных относительно обработки передаваемых персональных данных и будут действовать в соответствии с мнением надзорного органа в отношении обработки переданных данных;

f) по запросу Экспортера данных он подвергнет свои средства обработки данных аудиту операций по обработке, охватываемых этими пунктами, который будет осуществляться Экспортером данных или надзорным органом, состоящим из независимых членов с необходимой профессиональной квалификацией, при условии соблюдения конфиденциальности и выбранных Экспортером данных, в соответствующих случаях, с согласия надзорного органа;

g) они будут предоставлять субъекту данных, если он этого требует, копию этих пунктов или любой существующей субподрядной договоренности об обработке данных, если статьи или договор не содержат коммерческую информацию, и в этом случае он может удалить такую информация, за исключением Приложения 2, которое будет заменено кратким описанием мер безопасности, если субъект данных не может получить копию от Экспортера данных;

h) в случае конфиденциального дальнейшего субподряда на обработку данных он гарантирует, что он заранее проинформирует Экспортера данных и получит письменное согласие Экспортера данных;

i) услуги обработки, предоставляемые обработчиком данных, должны соответствовать пункту 11;

j) они незамедлительно отправят Экспортеру данных копию любого субподряда по соглашению об обработке данных, заключенному им в соответствии с настоящими Пунктами.

Пункт 6

Обязанность

1. Стороны соглашаются, что любой субъект данных, которому был причинен ущерб из-за нарушения обязательств, указанных в пункте 3 или пункте 11 одной стороной или обработчиком данных, может получить компенсацию от Экспортера данных за понесенный ущерб.

2. Если субъекту данных запрещается предъявить иск о возмещении ущерба, как указано в параграфе 1, против Экспортера данных за невыполнение Импортером данных или его обработчиком данных любого из своих обязательств в соответствии с Пунктом 3 или Пунктом 11, поскольку Данные Экспортер физически исчез, прекратил свое существование по закону или стал неплатежеспособным, Импортер данных соглашается, что субъект данных может подать жалобу против него, как если бы он был Экспортером данных, если все юридические обязательства Экспортера данных не были переданы по контракту. или в силу закона его правопреемнику, против которого субъект данных может затем реализовать свои права. Импортер данных не может полагаться на нарушение своих обязательств обработчиком данных, чтобы избежать своей ответственности.

3. Если субъекту данных запрещается подавать иски, указанные в параграфах 1 и 2, против Экспортера данных или Импортера данных за нарушение обработчиком данных своих обязательств в соответствии с Пунктом 3 или Пунктом 11, поскольку Экспортер данных и Импортер данных физически исчезли, перестали существовать по закону или стали неплатежеспособными, обработчик данных соглашается с тем, что субъект данных может подать против него жалобу в отношении своей собственной деятельности по обработке в соответствии с этими пунктами, как если бы он был экспортером данных или импортером данных, если все юридические обязательства Экспортера данных или Импортера данных были переданы по контракту или в силу закона правопреемнику, против которого субъект данных может отстаивать свои права.Ответственность обработчика данных должна ограничиваться его собственной обработкой в ​​соответствии с этими пунктами.

 

Пункт 7

Посредничество и юрисдикция

1. Импортер данных соглашается с тем, что, если в соответствии с положениями, субъект данных ссылается против него на право третьего лица-бенефициара и / или требует компенсации за нанесенный ущерб, он примет решение субъекта данных:

а) передать спор на рассмотрение при посредничестве независимого лица или, при необходимости, надзорного органа;

б) передать спор в суды государства-члена, в котором находится Экспортер данных.

2. Стороны соглашаются, что выбор, сделанный субъектом данных, не влияет на процессуальное или материальное право субъекта данных на получение компенсации в соответствии с другими положениями национального или международного права.

Пункт 8

Сотрудничество с надзорными органами

1. Экспортер данных соглашается передать копию настоящего контракта в надзорный орган, если последний того требует или если такое депонирование предусмотрено применимым законодательством о защите данных.

2. Стороны соглашаются, что надзорный орган может проводить проверки у Импортера данных и любого обработчика данных в той же степени и на тех же условиях, что и проверки, проводимые у Экспортера данных, в соответствии с применимым законодательством о защите данных.

3. Импортер данных должен как можно скорее проинформировать Экспортера данных о существовании законодательства, касающегося Импортера данных или любого обработчика данных, которое препятствует проверке у Импортера данных или любого обработчика данных в соответствии с параграфом 2. В таком случае Экспортер данных может принимать меры, предусмотренные в Пункте 5 (b).

Пункт 9

Применимый закон

Положения применяются и регулируются законодательством государства-члена, в котором находится Экспортер данных.

Статья 10.

Изменение договора

Стороны обязуются не изменять настоящие пункты. Стороны вправе включать другие коммерческие положения, которые они сочтут необходимыми, при условии, что они не противоречат настоящим положениям.

Пункт 11

Последующий субподряд

1. Импортер данных не передает на субподряд ни одну из своих операций по обработке, выполняемых от имени Экспортера данных в соответствии с этими пунктами, без предварительного письменного согласия Экспортера данных. Импортер данных обязуется передавать свои обязательства по этим пунктам субподряду только с согласия Экспортера данных посредством письменного соглашения с обработчиком данных, налагающим на обработчика данных те же обязательства, что и на импортера данных в соответствии с этими пунктами. Если обработчик данных не может выполнить свои обязательства по защите данных в соответствии с этим письменным соглашением, Импортер данных остается полностью ответственным перед Экспортером данных за выполнение этих обязательств.

2. Предварительное письменное соглашение между Импортером данных и обработчиком данных также должно включать положение о стороннем бенефициаре, как указано в пункте 3, для случаев, когда субъект данных не может подать иск о возмещении убытков, указанных в пункте 6 (1). ) против Экспортера данных или Импортера данных, потому что Экспортер данных или Импортер данных физически исчез, прекратил свое существование по закону или стал неплатежеспособным, и все юридические обязательства Экспортера данных или Импортера данных не были переданы по контракту или в результате операции. закона другому правопреемнику. Ответственность обработчика данных должна ограничиваться его собственной обработкой в ​​соответствии с этими пунктами.

3. Положения, касающиеся аспектов защиты данных при субподряде обработки данных контракта, упомянутого в параграфе 1, регулируются законодательством государства-члена, в котором учрежден Экспортер данных.

4. Экспортер данных должен вести список субподрядчиков соглашений об обработке данных, заключенных в соответствии с настоящими Пунктами и уведомленных Импортером данных в соответствии с Пунктом 5 (j), который должен обновляться не реже одного раза в год. Этот список должен быть передан в надзорный орган по защите данных Экспортера данных.

Пункт 12

Обязательства после прекращения оказания услуг по обработке персональных данных

1. Стороны соглашаются, что после завершения услуг по обработке данных, Импортер данных и Обработчик данных, по усмотрению Экспортера данных, вернут все переданные персональные данные и их копии Экспортеру данных или уничтожат все такие данные и предоставят доказательства. уничтожение для Экспортера данных, если только законодательство, наложенное на Импортера данных, не препятствует ему вернуть или уничтожить все или часть переданных личных данных. В этом случае Импортер данных гарантирует, что он обеспечит конфиденциальность переданных личных данных и что он больше не будет активно их обрабатывать.

2. Импортер данных и обработчик данных должны гарантировать, что по запросу Экспортера данных и / или надзорного органа они подвергают свои средства обработки данных проверке мер, указанных в параграфе 1.

 

 

 

 

Приложение 1.1 к Части 2

Детали перевода

 

 

Экспортер данных

Экспортером данных является Заказчик, определенный в Контрактном соглашении.

 

Импортер данных

Импортер данных - это POSTCODEZIP, он предназначен для обработки данных и предоставления услуг Экспортеру данных.

 

Субъекты данных

Передаваемые персональные данные относятся к следующим категориям субъектов данных:

☠?? телефонные абоненты, внесенные в универсальный справочник

â Другие, в том числе:

 

Категории данных

Передаваемые персональные данные относятся к следующим категориям данных:

 

Категории персональных данных субъектов данных Экспортера данных, в частности,

☠?? Полное имя

☠' Почтовый адрес

☠?? Контактные данные (электронная почта, телефон, IP-адрес и т. Д.)

☠?? Подробная информация о маркетинговой деятельности в отношении телефонного абонента

â ˜ ' Другие, в том числе тип жилья, доход и средний возраст города, сделанные анонимно

 

Особые категории данных (если применимо)

Передаваемые персональные данные относятся к следующим особым категориям данных:

☠' Передача специальных категорий данных не предусмотрена

☠?? Раса или этническое происхождение

☠?? Религиозные или философские убеждения

☠?? Членство в профсоюзе

☠?? Политические взгляды

☠?? Генетическая информация

☠?? Биометрическая информация

☠?? Информация о сексуальной ориентации или сексуальной жизни

☠?? Данные о здоровье

 

Обработка деятельности

Переданные персональные данные будут подвергаться следующим основным процессам обработки:

 

  •  
    • •  Цель обработки

Обработка, осуществляемая от имени Экспортера данных, основана на следующих аспектах, в частности:

â ' Ответственность за продукты или услуги, предлагаемые Экспортером данных

â ☠' предложение продукта или услуги, которую может запросить вызываемое лицо

â ˜ ' Заказы, полученные от лиц, которым звонили, и дальнейшая обработка этих заказов

â Изучите анкеты и анализы

☠' Телемаркетинг

☠?? Другие, в том числе:

 

  •  
    • •  Характер и цель обработки

Импортер данных обрабатывает персональные данные субъектов данных от имени Экспортера данных для предоставления следующих услуг, в частности:

  • ☠' Автоматическое заполнение формы
  • ☠' Форма проверки адресов

â « Продажи и маркетинг

â Другое, включая обновление баз данных мэрий и политических партий.

 

  •  
    • •  Предоставление услуг и трудоустройство поставщиков услуг

 

POSTCODEZIP в основном объединяет, централизует и предоставляет услуги экспортеру данных. Услуги, предоставляемые указанным поставщиком услуг, могут быть структурированы (среди прочего, в зависимости от обстоятельств) вокруг следующих вспомогательных услуг: (i) предоставление приложений, инструментов, систем и ИТ-инфраструктуры по отношению к используемым центрам обработки данных для обеспечения и поддерживать услуги, включая обработку персональных данных субъектов данных, как описано выше, с помощью таких приложений, инструментов и систем, (ii) предоставление ИТ-поддержки, обслуживания и других услуг, связанных с такими приложениями, инструментами, системами и ИТ-инфраструктура, включая потенциальный доступ к персональным данным, хранящимся в таких приложениях, инструментах и ​​системах, и (iii) предоставление услуг защиты данных, мониторинга защиты и услуг реагирования на инциденты,включая потенциальный доступ к личным данным при предоставлении таких услуг защиты. POSTCODEZIP может привлекать обработчиков данных, как указано ниже, для предоставления услуг, включая вспомогательные услуги.

 

  •  
    • • Внешние сторонние поставщики услуг как субъекты, назначенные для обработки данных

 

POSTCODEZIP привлекает внешних и сторонних поставщиков услуг, которые не являются дочерними компаниями POSTCODEZIP, для поддержки предоставления услуг Экспортеру данных. Экспортер данных утверждает таких внешних сторонних поставщиков услуг в качестве подгрупп, назначенных для обработки данных.

 

Если субъект, участвующий в обработке данных, находится за пределами ЕС / ЕЭЗ, в стране, которая, как считается, не имеет адекватного уровня защиты данных в соответствии с решением Европейской комиссии, Импортер данных предпримет шаги для получения адекватного уровня защита данных в соответствии с GDPR и разделом 3.4 (iv) части 1.

 

 

Приложение 2, часть 2

Технические и организационные меры защиты

 

Импортер данных должен принять следующие технические и организационные меры защиты, подтвержденные Экспортером данных, чтобы гарантировать надлежащий уровень безопасности прав и свобод людей, в зависимости от рисков. При оценке соответствующего уровня защиты Экспортер данных учел, в частности, риски, связанные с обработкой, включая случайное или незаконное уничтожение, изменение, несанкционированное раскрытие или доступ к передаваемым, хранимым или обрабатываемым личным данным. Уточнение: эти технические и организационные меры защиты не применяются к приложениям, инструментам, системам и / или ИТ-инфраструктуре, предоставляемым Экспортером данных.

1 Общие технические и организационные меры защиты

1.1 Общая информация и стратегии защиты данных

Чтобы следовать общим стратегиям защиты данных и информации, необходимо предпринять следующие шаги:

  • а) принимать меры по оценке принятых в отношении технической и организационной защиты;
  • б) проводить обучение для повышения осведомленности сотрудников;
  • c) иметь описание соответствующих систем и предоставлять доступ сотрудникам;
  • d) установить формальный процесс документации всякий раз, когда системы внедряются или модифицируются;
  • e) документирование организационной структуры, процессов, ответственности и соответствующих оценок;

1.2 Организация защиты информации

Для координации действий по защите данных и информации необходимо принять следующие меры:

  • a) определенные обязанности по защите информации и данных (например, посредством политики управления защитой данных);
  • б) необходимая экспертиза по защите информации и данных, оставшихся доступными;
  • c) все сотрудники стремятся обеспечить конфиденциальность личных данных и были проинформированы о потенциальных последствиях нарушения этого обязательства.

1.3 Контроль доступа к участкам обработки

Необходимо принять следующие меры для предотвращения доступа посторонних лиц к системам обработки данных (в частности, программному и аппаратному обеспечению) при обработке, хранении или передаче личных данных:

  • а) установить безопасные зоны;
  • б) защищать и ограничивать доступ к системам обработки данных;
  • c) установить права доступа для сотрудников и третьих лиц, включая соответствующие документы;
  • г) любой доступ к центрам обработки данных, в которых хранятся персональные данные, должен регистрироваться.

1.4 Контроль доступа к системам обработки данных

Для предотвращения несанкционированного доступа к системам обработки данных необходимо принять следующие меры:

  • а) политики и процедуры аутентификации пользователей;
  • б) использование паролей во всех компьютерных системах;
  • c) удаленный доступ к сети требует многофакторной аутентификации и предоставляется заинтересованному лицу в соответствии с его обязанностями и после авторизации;
  • d) доступ к определенным функциям основан на должностных функциях и / или атрибутах, индивидуально присваиваемых учетной записи пользователя;
  • д) права доступа к персональным данным регулярно пересматриваются;
  • f) записи об изменениях прав доступа должны обновляться.

1.5 Контроль доступа к определенным областям использования систем обработки данных

Следующие меры должны быть приняты для обеспечения того, чтобы уполномоченные лица, имеющие право использовать систему обработки данных, могли получить доступ к данным только в рамках своих соответствующих обязанностей и разрешений на доступ, и что личные данные не могут быть прочитаны, скопированы, изменены или удалены без разрешения:

  1. 1. 
    1. а) политики, инструкции и обучение сотрудников, касающиеся обязательств каждого из них в отношении конфиденциальности, прав доступа к персональным данным и объема обработки персональных данных;
  • б) дисциплинарные меры в отношении лиц, несанкционированных доступа к персональным данным;
  • в) доступ к персональным данным предоставляется только уполномоченным лицам по служебной необходимости;
  • г) вести список системных администраторов и принимать соответствующие меры для мониторинга системных администраторов;
  • e) не копировать и не воспроизводить личные данные в какой-либо системе хранения, чтобы неуполномоченные лица могли удалить информацию об отправителе;
  • f) контролируемое и задокументированное удаление или уничтожение данных;
  • g) надежно хранить все персональные данные, которые должны храниться по юридическим или нормативным причинам (например, обязательства по хранению данных), и только до тех пор, пока это требуется по закону.

1.6 Управление трансмиссией

Следующие меры должны быть приняты для предотвращения чтения, копирования, изменения или удаления личных данных неавторизованными третьими лицами во время передачи или транспортировки устройств хранения данных (в зависимости от предпринятой обработки личных данных):

  1. 1. 
    1. а) использование межсетевых экранов;
  • б) отказ от хранения личных данных на мобильных устройствах хранения в транспортных целях или их шифрование;
  • в) использовать на ноутбуках и других мобильных устройствах только после активации защиты шифрования;
  • г) регистрация передачи персональных данных.

1.7 Контроль ввода данных

Следующие меры должны быть приняты для обеспечения возможности проверки и определения того, были ли персональные данные введены или удалены из систем обработки данных и кем:

  1. 1. 
    1. а) политика авторизации чтения, изменения и удаления сохраненных данных;
  • б) меры защиты, касающиеся чтения, изменения и удаления сохраненных данных.

1.8 Контроль работы

В случае делегированной обработки персональных данных необходимо принять следующие меры для обеспечения того, чтобы такие данные обрабатывались в соответствии с инструкциями Супервайзера:

  1. 1. 
    1. a) субъекты или субъекты, назначенные для обработки данных, выбранные с осторожностью (поставщики услуг, обрабатывающие личные данные от имени контролера);
  • б) инструкции относительно объема любой обработки персональных данных для сотрудников, организаций или подразделений, назначенных для обработки данных;
  • c) права аудита, согласованные с субъектами или подразделениями, которым назначена обработка данных;
  • d) действующие соглашения с объектами или подобъектами, назначенными для обработки данных.

1.9 Отделение от обработки для других целей

Чтобы данные, собранные для других целей, можно было обрабатывать отдельно, необходимо принять следующие меры:

  1. 1. 
    1. а) раздельный доступ к персональным данным в соответствии с имеющимися правами пользователей;
  • б) интерфейсы, пакетная обработка и отчетность предназначены для других целей и функций, так что данные, собранные для других целей, могут обрабатываться отдельно.

1.10 Псевдонимизация

В отношении псевдонимизации персональных данных необходимо принять следующие меры:

  1. 1. 
    1. а) Если Экспортер данных заказывает определенную операцию обработки или если Импортер данных считает это целесообразным в соответствии с действующими законами о защите данных, касающимися определенных операций обработки, обработка персональных данных будет осуществляться таким образом, что данные больше не могут быть отнесены к конкретному человеку без использования дополнительной информации. Эта дополнительная информация будет храниться отдельно;
  • б) использование методов псевдонимизации, включая рандомизацию списка распределения; создание ценностей в виде колющих предметов.

1.11 Шифрование

Для шифрования личных данных в приложениях и передачах, поддерживающих шифрование, необходимо предпринять следующие шаги:

  1.  
    1. а) использование методов шифрования;
  • b) установление управления шифрованием для поддержки разрешенных к использованию методов шифрования;
  • c) поддержка использования криптографии с помощью процедур и протоколов для создания, изменения, отзыва, уничтожения, распространения, сертификации, хранения, захвата, использования и архивирования криптографических ключей для защиты от несанкционированного изменения и раскрытия.

1.12 Полнота систем и услуг обработки данных

Для обеспечения полноты систем и услуг обработки данных необходимо принять следующие меры:

  1. 1. a) защита систем обработки данных от манипуляций или уничтожения соответствующими средствами (например, антивирусное программное обеспечение, программное обеспечение для предотвращения потери данных и программное обеспечение от вредоносных программ, программные исправления, межсетевые экраны и управляемая защита настольных компьютеров);
  • б) запретить установку любых услуг или программного обеспечения, вредных для систем обработки данных, услуг или манипулирование личными данными;
  • в) использование системы обнаружения и предотвращения сетевых вторжений в структуру самой сети.

1.13 Доступность систем и сервисов обработки данных и возможность восстановления доступа к персональным данным и их использования в случае материального или технического инцидента.

Следующие меры должны быть приняты для обеспечения доступности систем обработки данных, а также для возможности быстрого восстановления доступности и доступа к персональным данным в случае материального или технического инцидента (в частности, путем обеспечения того, чтобы личные данные защищены от случайного уничтожения или потери):

  • а) иметь средства контроля для хранения резервных копий и восстановления утерянных или удаленных данных;
  • б) инфраструктурное резервирование и тестирование производительности;
  • в) физическая защита компьютерных ресурсов;
  • г) использование инструментов для мониторинга состояния и доступности внутренней сети;
  • e) политики отчетности и реагирования на инциденты, регулирующие процедуру управления инцидентами, и подтверждение соблюдения этих политик в рамках регулярного обучения;
  • е) резервные копии (иногда вне офиса) для восстановления системы, чтобы она снова могла выполнять свои функции;
  • g) планы обеспечения непрерывности бизнеса / аварийного восстановления

1.14 Устойчивость систем и услуг обработки данных

Для обеспечения отказоустойчивости систем и служб обработки данных необходимо принять следующие меры:

  • a) системы и согласованно настроены с использованием утвержденных параметров безопасности;
  • б) резервирование сети;
  • c) защитная оболочка критических систем.

1.15 Процедура регулярного тестирования, оценки и оценки эффективности технических и организационных мер для обеспечения безопасности обработки данных

Процедура регулярного тестирования, оценки и оценки эффективности технических и организационных мер по защите обработки данных.

  • а) предпринять необходимые шаги для оценки рисков и стратегий снижения;
  • б) служебные аналитические собрания ИТ-отдела для решения текущих вопросов;
  • c) планы обеспечения непрерывности бизнеса / аварийного восстановления регулярно обновляются.

 

Часть 3

Подписи сторон и список импортеров данных

 

Когда вы заполняете онлайн-форму заказа и подтверждаете ее, установив флажок, подтверждающий принятие общих условий использования, заключается договор, регулирующий отношения между Клиентом и POSTCODEZIP.

Отправка платежа в POSTCODEZIP будет считать договор согласованным и заключенным.

Обратите внимание: этот текст переведен с французского. Оригинальная французская версия, действующая и имеющая юридические ограничения, доступна  здесь .