На главную / Общие положения и условия/ Приложение по обработке данных

Приложение по обработке данных

 

Настоящее Приложение является неотъемлемой частью Договора и заключается:

 

  1. (i) Клиент (" Экспортер данных ")
  2. (ii) LISTREET (" Импортер данных ")

 

Каждая из них является «партией » и обычно «партиями ».

 

Преамбула

ГДЕ Импортер данных предоставляет профессиональные программные услуги, компьютерные и сопутствующие услуги;

ГДЕ в соответствии с Контрактом Импортер данных согласился предоставить Экспортеру данных услуги, указанные в Контракте («Услуги »);

В СЛУЧАЕ, предоставляя Услуги, Импортер Данных получает или извлекает выгоду из доступа к информации Экспортера Данных или информации других лиц, имеющих (потенциальные) отношения с Экспортером Данных, такая информация может быть квалифицирована как персональные данные по смыслу Регламента. (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 года о защите отдельных лиц в отношении обработки персональных данных и о свободном перемещении таких данных («GDPR ») и других применимых законов о защите данных.

ГДЕ это Приложение содержит положения и условия, применимые к сбору, обработке и использованию таких персональных данных Импортером данных в его качестве уполномоченного агента по обработке данных Экспортера данных, чтобы гарантировать, что Стороны соблюдают применимое законодательство о защите данных .

 

ПОЭТОМУ, и чтобы Стороны могли продолжать свои отношения на законных основаниях, Стороны заключили настоящее Приложение следующим образом:

Часть 1

 

1. Структура документа и определения

1.1 Структура

Настоящее Приложение состоит из следующих частей:

 

Часть 1:

содержит общие положения, например, касающиеся определений, используемых в этом Приложении, соблюдения местного законодательства, сроков и прекращения

Часть 2:

содержит основную часть стандартного документа о договорных положениях без поправок

Приложение 1.1 части 2:

содержит подробную информацию об операциях обработки, предоставленных Импортером данных Экспортеру данных в качестве уполномоченного агента по обработке данных (включая обработку, характер и цель обработки, тип персональных данных и категории субъектов данных) в соответствии с настоящим Приложение

Приложение 2 части 2:

содержит описание технических и организационных мер безопасности Импортера данных, которые применяются в связи со всеми действиями по обработке, описанными в Приложении 1.1 Части 2

Часть 3:

содержит подписи Сторон, которые должны быть связаны настоящим Приложением, и идентифицирует каждого Импортера данных.

 

1.2 Терминология и определения

Для целей настоящего Приложения применимы терминология и определения, используемые в GDPR (в основной части документа «Стандартный пункт договора» в Части 2, где определенные термины не пишутся с заглавной буквы). 

 

"государство-член"

означает страну, входящую в Европейский союз или Европейскую экономическую зону

«Особые категории (персональных) данных»

относится к персональным данным, раскрывающим расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения или членство в профсоюзах, а также генетическим данным, биометрическим данным, если они обрабатываются с целью однозначной идентификации человека, данным о здоровье, данным о поле человека. жизнь или сексуальная ориентация

«Стандартные договорные условия»

означает Стандартные договорные условия для передачи персональных данных агентов по обработке данных, созданных в третьих странах, в соответствии с Решением Комиссии 2010/87/ЕС от 5 февраля 2010 г., в которое были внесены поправки Исполнительным решением Комиссии (ЕС) 2016/2297 от 16 февраля 2010 г. декабрь 2016 г.

«Процессор данных»

означает любого агента по обработке данных, расположенного внутри или за пределами ЕС/ЕЭЗ, который соглашается получать от Импортера данных или любого другого обработчика Импортера данных персональные данные исключительно для целей обработки, которая будет выполняться Экспортером данных после передача в соответствии с инструкциями Экспортера Данных, условиями настоящего Приложения и Договора с Импортером Данных

 

 

2. Обязанности экспортера данных

2.1 Экспортер данных обязан обеспечить соблюдение всех применимых обязательств в соответствии с GDPR и любым другим применимым законодательством о защите данных, которое применяется к экспортеру данных, и продемонстрировать такое соответствие, как того требует статья 5 (2) GDPR. Экспортер данных гарантирует, что Импортер данных получил предварительное согласие субъектов данных в соответствии со статьей 6 (а) GDPR и выполнил свое обязательство по информированию субъектов данных в соответствии со статьями 13 и 14 GDPR.

2.2 Экспортер данных должен предоставить Импортеру данных соответствующие файлы операций по обработке в соответствии со статьей 30 (1) GDPR, связанные с Услугами в соответствии с настоящим Приложением, в той мере, в какой это необходимо для Импортера данных для выполнения обязательства по Статья 30 (2) GDPR.

2.3 Экспортер данных должен назначить сотрудника или представителя по защите данных в той мере, в какой это требуется применимым законодательством о защите данных. Экспортер данных обязан предоставить контактные данные агента по защите данных или представителя, если таковые имеются, импортеру данных.

2.4. Экспортер данных подтверждает до завершения обработки принятием настоящего Приложения, что технические и организационные меры безопасности Импортера данных, изложенные в Приложении 2 к Части 2, являются соответствующими и достаточными для защиты прав субъекта данных. и подтверждает, что Импортер данных обеспечивает достаточные гарантии в этом отношении.

 

3. Соблюдение местного законодательства

Чтобы соответствовать требованиям реализации агентов обработки в соответствии со статьей 28 GDPR, применяются следующие поправки:

 

3.1 Инструкции

  1. (i) Экспортер данных дает указание Импортеру данных обрабатывать персональные данные только от имени Экспортера данных. Инструкции Экспортера данных приведены в этом Приложении и в Договоре. Экспортер данных обязан обеспечить, чтобы все инструкции, данные импортеру данных, соответствовали применимым законам о защите данных. Импортер данных должен обрабатывать персональные данные только в соответствии с инструкциями, предоставленными экспортером данных, если иное не требуется Европейским союзом или законодательством государства-члена (в последнем случае применяется часть 1, пункт 3.2 (iv) (c)). .
  2. (ii) Все другие инструкции, выходящие за рамки инструкций в этом Приложении или в Контракте, должны быть включены в предмет настоящего Приложения и Контракта. Если выполнение этой дополнительной инструкции связано с затратами для Импортера данных, Импортер данных должен проинформировать Экспортера данных о таких расходах и предоставить объяснение перед выполнением инструкции. Только после того, как Экспортер данных подтвердит принятие этих затрат на выполнение инструкции, Импортер данных должен выполнить эту дополнительную инструкцию. Экспортер данных должен дать дополнительные инструкции в письменной форме, кроме случаев срочности или других конкретных обстоятельств, требующих другой формы (например, устной, электронной). Инструкции в форме, отличной от письменной, должны быть подтверждены в письменной форме и без промедления Экспортером данных.
  3. 1. Если Экспортер данных не может выполнить исправление, удаление или ограничение персональных данных самостоятельно, инструкции могут также относиться к исправлению, удалению и/или ограничению персональных данных, как указано в пункте 3.3 Части 1.
  4. 2. Импортер данных должен немедленно сообщить экспортеру данных, если, по его мнению, инструкция нарушает GDPR или другие применимые положения о защите данных Европейского союза или государства-члена («Оспоренная инструкция »)."). Если Импортер данных считает, что Инструкция нарушает GDPR или другие применимые положения о защите данных Европейского Союза или государства-члена, Импортер данных не обязан следовать Оспариваемой инструкции. Если Экспортер данных подтверждает Оспариваемую инструкцию после получения информации от Импортера данных и признает свою ответственность за Оспариваемую инструкцию, Импортер данных должен выполнить Оспариваемую инструкцию, если только Оспариваемая инструкция не касается (i) реализации технических и организационных мер, (ii) прав Данных Субъекты или (iii) привлечение обработчиков данных.В случаях (i)–(iii) Импортер данных может обратиться в компетентный надзорный орган для юридической оценки оспариваемой инструкции таким органом.Если надзорный орган признает оспариваемое Распоряжение законным, Импортер данных должен выполнить оспариваемое Распоряжение. Пункт 3.1 (ii) части 1 остается в силе.

 

3.2 Обязанности импортера данных

  1. (i) Импортер данных должен обеспечить, чтобы лица, уполномоченные Импортером данных на обработку персональных данных от имени Экспортера данных, в частности, сотрудники Импортера данных и сотрудники любого Субподрядчика, обязались соблюдать конфиденциальность или подчинялись соответствующую установленную законом обязанность соблюдать конфиденциальность, и чтобы лица, имеющие доступ к персональным данным, обрабатывали их в соответствии с инструкциями экспортера данных.
  2. (ii) Импортер данных должен принять технические и организационные меры безопасности, изложенные в Приложении 2 к Части 2, перед обработкой персональных данных от имени Экспортера данных. Импортер данных может время от времени изменять технические и организационные меры безопасности, если они не обеспечивают меньшую защиту, чем те, которые изложены в Приложении 2 к Части 2.
  3. (iii) Импортер данных должен предоставить экспортеру данных по запросу экспортера данных информацию, подтверждающую соблюдение обязательств импортера данных в соответствии с настоящим Приложением. Стороны соглашаются с тем, что это информационное обязательство выполняется путем предоставления экспортеру данных аудиторского отчета (охватывающего принципы безопасности, доступность системы и конфиденциальность) («Аудиторский отчет»). Если по закону требуются дополнительные аудиторские мероприятия, Экспортер данных может запросить проведение проверок Экспортером данных или другим аудитором, назначенным Экспортером данных, при условии заключения таким аудитором соглашения о конфиденциальности с Импортером данных в отношении Импортера данных. разумное удовлетворение («Аудит»). Данный Аудит проводится при соблюдении следующих условий:(i) предварительное официальное письменное согласие Импортера данных; и (ii) Экспортер данных несет все расходы, связанные с Аудитом на месте для Экспортера данных и Импортера данных. Экспортер данных должен создать аудиторский отчет, обобщающий результаты и наблюдения выездного аудита («Отчет о выездном аудите»). Отчеты о выездных проверках и отчеты об аудиторских проверках являются конфиденциальной информацией Импортера данных и не должны раскрываться третьим лицам, за исключением случаев, когда это требуется применимым законодательством о защите данных или в соответствии с согласием Импортера данных.Отчеты о выездных проверках и отчеты об аудиторских проверках являются конфиденциальной информацией Импортера данных и не должны раскрываться третьим лицам, за исключением случаев, когда это требуется применимым законодательством о защите данных или в соответствии с согласием Импортера данных.Отчеты о выездных проверках и отчеты об аудиторских проверках являются конфиденциальной информацией Импортера данных и не должны раскрываться третьим лицам, за исключением случаев, когда это требуется применимым законодательством о защите данных или в соответствии с согласием Импортера данных.
  4. (iv) Импортер данных обязан без неоправданной задержки уведомить экспортера данных:
    1. а. в отношении любого юридически обязывающего запроса на раскрытие персональных данных правоохранительным органом, если иное не запрещено, например, запрет в соответствии с уголовным законодательством для защиты конфиденциальности расследования правоохранительных органов
    2. б. в отношении любой жалобы и запроса, полученных непосредственно от субъекта данных (например, в отношении доступа, исправления, удаления, ограничения обработки, переносимости данных, возражения против обработки данных, автоматизированного принятия решений) без ответа на этот запрос, за исключением случаев, когда Импортер данных был уполномочен Сделай так
    3. в. если Импортер данных или обработчик данных обязан в соответствии с законодательством Европейского Союза или государства-члена, которому подчиняется Импортер данных или обработчик данных, обрабатывать персональные данные сверх инструкций Экспортера данных, прежде чем осуществлять такую ​​обработку за пределами инструкции, если законы Европейского Союза или государства-члена запрещают такую ​​обработку по соображениям жизненно важного общественного интереса, и в этом случае в уведомлении экспортеру данных должно быть указано юридическое требование в соответствии с этим законом Европейского союза или государства-члена; или
    4. д. если Импортер данных осознает нарушение личных данных исключительно из-за себя или своего субподрядчика, что повлияет на личные данные Экспортера данных, охватываемые настоящим договором, и в этом случае Импортер данных будет помогать Экспортеру данных в выполнении его обязательства, в отношении применимого законодательства о защите данных, для информирования субъектов данных и, где это применимо, надзорных органов путем предоставления информации, имеющейся в их распоряжении, в соответствии со статьей 33 (3) GDPR.
    5. (v) По запросу Экспортера данных, Импортер данных должен помочь Экспортеру данных в выполнении его обязательства по проведению оценки воздействия на защиту данных, которая может потребоваться в соответствии со статьей 35 GDPR, и предварительной консультации, которая может быть требуется статьей 36 GDPR в отношении услуг, предоставляемых Импортером данных Экспортеру данных в соответствии с настоящим Приложением, предоставляя необходимую информацию Экспортеру данных. Импортер данных будет обязан предоставить такую ​​помощь только в том случае, если экспортер данных не сможет выполнить свои обязательства другими способами. Импортер данных сообщит экспортеру данных стоимость такой помощи. Как только экспортер данных подтвердит, что он может нести эти расходы, импортер данных предоставит экспортеру данных эту помощь.
    6. (vi) По окончании предоставления услуг Экспортер данных может запросить возврат персональных данных, обработанных Импортером данных в соответствии с настоящим Приложением, в течение одного месяца после оказания услуг. Если законодательство государства-члена или Европейского союза не требует, чтобы импортер данных хранил или сохранял такие персональные данные, импортер данных удалит все такие персональные или неперсональные данные по истечении одного месяца, независимо от того, были ли они возвращены Экспортер данных по его запросу или нет.

 

3.3 Права заинтересованных лиц

  1.  
    1. (i) Экспортер данных управляет запросами субъектов данных и отвечает на них. Импортер данных не обязан напрямую отвечать субъектам данных.
    2. (ii) Если Экспортеру данных требуется помощь Импортера данных в обработке и ответе на запросы Субъекта данных, Экспортер данных должен выдать дополнительные инструкции в соответствии с пунктом 3.1 (ii) Части 1. Импортер данных будет помогать Экспортеру данных. со следующими соответствующими техническими организационными мерами для ответа на запросы об осуществлении прав субъектов данных, изложенных в главе III GDPR, следующим образом:
    3. а. Что касается запросов на информацию, Импортер данных будет предоставлять Экспортеру данных только информацию, требуемую статьями 13 и 14 PGRD, которая может быть в его распоряжении, если Экспортер данных не может найти ее самостоятельно.
    4. б. Что касается запросов на доступ (статья 15 GDPR), Импортер данных будет предоставлять Экспортеру данных только ту информацию, которая должна быть предоставлена ​​субъекту данных для указанного запроса на доступ, которая может быть в его распоряжении, если последний не может найти его в одиночку.
    5. в. Что касается запросов на исправление (статья 16 GDPR), запросов на удаление (статья 17 GDPR), ограничения запросов на обработку (статья 18 GDPR) или запросов на переносимость (статья 20 GDPR) и только если Экспортер данных не может сам исправить или стереть, ограничить или передать персональные данные другой третьей стороне, Импортер данных предложит Экспортеру данных возможность исправить или стереть, ограничить или передать соответствующие персональные данные другой третьей стороне, или, если это невозможно, он окажет помощь в исправлении или удалении, ограничении или передаче другой третьей стороне соответствующих персональных данных.
    6. д. Что касается уведомления об исправлении, удалении или ограничении обработки (статья 19 GDPR), Импортер данных будет помогать Экспортеру данных, уведомляя всех получателей персональных данных, привлеченных Импортером данных в качестве обработчиков, если Экспортер данных попросит об этом, и если Экспортер данных не может исправить ситуацию самостоятельно.
    7. е. Что касается права на возражение, осуществляемого субъектом данных (статьи 21 и 22 GDPR), экспортер данных определяет, является ли возражение законным и как с ним бороться.
    8. (iii) Обязательства Импортера данных по оказанию помощи ограничиваются персональными данными, обрабатываемыми в рамках его инфраструктуры (например, баз данных, систем, приложений, принадлежащих или предоставляемых Импортером данных).
    9. (iv) Экспортер данных должен определить, может ли Субъект данных осуществлять права Субъектов данных, изложенные в пункте 3.1 настоящей Части 1, и должен сообщить Импортеру данных, в какой степени помощь, указанная в пунктах 3.3 (ii), ( iii) части 1.
    10. (v) Если Экспортер данных запрашивает дополнительные или измененные технические и организационные меры для соблюдения прав субъектов данных, которые выходят за рамки помощи, предоставляемой Импортером данных в соответствии с подпунктом 3.3 (ii), (iii) Части 1, Данные Импортер информирует Экспортера данных о расходах на реализацию таких дополнительных или измененных технических и организационных мер. Как только Экспортер данных подтвердит, что он может покрыть эти расходы, Импортер данных должен принять такие дополнительные или измененные технические и организационные меры, чтобы помочь Экспортеру данных в ответ на запросы Субъектов данных.
    11. (vi) Без ограничения сферы действия пункта 3.3 (v) Части 1, Экспортер данных обязан возместить Импортеру данных его разумные расходы, понесенные в ответ на запросы Субъектов данных.

 

3.4 Подобработка

  1.  
    1. (i) Экспортер данных разрешает Импортеру данных использовать субподрядчиков для предоставления услуг в соответствии с настоящим Приложением. Импортер данных должен тщательно выбирать таких обработчиков данных. Экспортер данных утверждает обработчиков данных, перечисленных в Приложении 1.1 в конце Части 2.
    2. (ii) Импортер данных передает свои обязательства в соответствии с настоящим Приложением обработчику данных в той мере, в какой это применимо к субподрядным услугам.
    3. (iii) Импортер данных может уволить, заменить или назначить другого подходящего и надежного обработчика данных по своему усмотрению. По письменному запросу Экспортера данных, Импортер данных должен следовать процедуре, изложенной ниже:
  1.  
    1. а. Импортер данных должен информировать экспортера данных перед любыми изменениями в списке обработчиков данных, указанных в пункте 3.4 (i) части 1. Если экспортер данных не возражает в соответствии с пунктом 3.4. (b) Части 1 через тридцать дней после получения уведомления от Импортера данных дополнительные обработчики данных считаются принятыми.
    2. б. Если у Экспортера данных есть законная причина возражать против дополнительного обработчика данных, он направит предварительное письменное уведомление Импортеру данных в течение тридцати дней с момента получения уведомления Импортера данных и до того, как услуга Импортера данных будет введена в действие. Если Экспортер данных возражает против использования дополнительного процессора данных, Импортер данных может снять возражение одним из следующих вариантов (выбирается по своему усмотрению): (A) Импортер данных отменит свои планы по использованию дополнительного процессора в отношении личные данные экспортера данных; (B) Импортер данных предпримет корректирующие меры, запрошенные Экспортером данных в его возражении (отменив возражение), и будет использовать дополнительный процессор в отношении персональных данных Экспортера данных;(C) Импортер данных может прекратить предоставлять или Экспортер данных может согласиться не использовать (временно или постоянно) определенный аспект услуги, который будет включать использование дополнительного процессора Экспортера данных персональных данных Экспортера данных.
  2.  
    1. (iv) если обработчик данных находится за пределами ЕС-ЕЭЗ в стране, которая не признана предлагающей адекватный уровень защиты данных в соответствии с решением Европейской комиссии, Импортер данных примет меры для соблюдения адекватного уровня защиты данных в соответствии с GDPR (такие меры могут включать, среди прочего, и - использование контрактов на обработку данных, основанных на положениях Модели ЕС, передачу самосертифицированным обработчикам данных в рамках Защитного щита ЕС-США или аналогичная программа).

 

3.5 Срок действия

Срок действия настоящего Приложения идентичен сроку действия соответствующего Договора. Если иное не предусмотрено в настоящем Приложении, права и обязанности, связанные с расторжением, аналогичны тем, которые содержатся в Контракте.

 

4. Ограничение ответственности

4.1 Каждая сторона выполняет свои обязательства в соответствии с настоящим Приложением и применимым законодательством о защите данных.

4.2 Любая ответственность, связанная с нарушением обязательств по настоящему Приложению или применимому законодательству о защите данных, регулируется положениями об ответственности, изложенными в Договоре или применимыми к нему, за исключением случаев, предусмотренных в настоящем Приложении. Если ответственность регулируется положениями об ответственности, изложенными в Контракте или применимыми к нему, для расчета пределов ответственности или определения применения других ограничений ответственности считается, что любая ответственность, возникающая в соответствии с настоящим Приложением, возникает в соответствии с Контрактом.

 

5. Общие положения

5.1 В случае каких-либо несоответствий или расхождений между частями 1 и 2 настоящего Приложения, часть 2 имеет преимущественную силу. В частности, даже в таком случае Часть 1, которая просто выходит за рамки Части 2 (т. е. условий Стандартных положений), не противореча ей, остается в силе.

5.2 В случае возникновения каких-либо расхождений между положениями настоящего Приложения и положениями других договоров, связывающих стороны, настоящее Приложение имеет преимущественную силу в отношении обязательств сторон по защите данных. В случае сомнений относительно того, касаются ли положения других договоров обязательств сторон по защите данных, настоящее Приложение имеет преимущественную силу.

5.3 Если какое-либо положение настоящего Приложения является недействительным или неисполнимым, остальная часть настоящего Приложения остается в полной силе и действии. Недействительное или не имеющее исковой силы положение будет (i) изменено, чтобы обеспечить его действительность и применимость при сохранении, насколько это возможно, намерения сторон, или, если это невозможно, (ii) будет истолковано так, как если бы недействительная или не имеющая исковой силы часть была никогда не было частью контракта. Вышеизложенное также применяется, если в настоящем Приложении имеется пропуск.

5.5 В той мере, в какой это необходимо, Стороны могут запросить поправки к Части 1, Пункту 3 (Соответствие местному законодательству) или другим частям Приложения, чтобы соответствовать толкованиям, директивам или распоряжениям, изданным компетентными органами Союза или Государства-члены, национальные положения о правоприменении или любые другие правовые изменения, касающиеся GDPR или других условий делегирования полномочий любым организациям, участвующим в обработке данных, и, в частности, в отношении использования Стандартных договорных положений GDPR. Условия Стандартных договорных пунктов не могут быть изменены или заменены, если Европейская комиссия прямо не одобрит это (например, новыми адекватными пунктами и стандартами защиты данных).

5.6 Любая ссылка в этом Приложении на «Положения» должна пониматься как относящаяся ко всем положениям этого Приложения, если не указано иное.

5.7 Выбор права в Части 2, Пункт 9 применяется ко всему Контракту.

 

6.  Персональные данные, передаваемые и обрабатываемые сторонами в личных целях (передача от контроллера данных контроллеру данных)

6.1 Стороны полностью осведомлены о том, что определенные персональные данные будут передаваться от Экспортера данных к Импортеру данных и наоборот, и что такие данные обрабатываются каждой Стороной для своих собственных целей. В отношении таких персональных данных это не влияет на другие положения настоящего Приложения (кроме настоящего пункта 6).

6.2 Экспортер данных может передавать личные данные, относящиеся к персоналу Импортера данных, Импортеру данных, включая информацию об инцидентах, связанных с безопасностью, или любые другие документы или файлы, созданные или созданные Экспортером данных в связи с Услугами, предоставляемыми персоналом Импортер данных. Импортер данных может обрабатывать такие персональные данные в своих собственных целях, в частности, в своих профессиональных отношениях с персоналом Импортера данных, для контроля качества и обучения или в деловых целях.

6.3. Импортер данных может передавать персональные данные экспортеру данных, включая имена и контактные данные персонала импортера данных. Экспортер данных может обрабатывать такие персональные данные в своих целях.

6.4 Обе стороны должны соблюдать любые применимые законы о защите данных, включая GDPR, при сборе, обработке и использовании таких персональных данных, полученных от другой стороны в соответствии с пунктом 1 Части 1. В частности, обе стороны должны принимать адекватные меры безопасности, обеспечивая уровень защиты аналогичен мерам безопасности, изложенным в Приложении 2 Части 2. Любой доступ к таким персональным данным ограничивается необходимостью их знать.

6.5 Обе Стороны должны удалить такие персональные данные как можно скорее после достижения целей.

Часть 2

 

РЕШЕНИЕ КОМИССИИ

5 февраля 2010 г.

о стандартных договорных положениях о передаче персональных данных обработчикам данных, созданным в третьих странах в соответствии с Директивой 95/46/EC Европейского парламента и Совета

 

 

 

Пункт 1

Определения

По смыслу пунктов:

а) «персональные данные», «особые категории данных», «обработка/обработка», «контролер», «обработчик», «субъект данных» и «надзорный орган» имеют то же значение, что и в 95/46/EC. Директива Европейского парламента и Совета от 24 октября 1995 г. о защите отдельных лиц в отношении обработки персональных данных и о свободном перемещении таких данных (1);

б) «Экспортер данных» — это контролер данных, передающий персональные данные;

c) «Импортер данных» — это обработчик данных, который соглашается получать от Экспортера данных персональные данные, предназначенные для обработки от имени Экспортера данных, после передачи в соответствии с его инструкциями и в соответствии с условиями настоящих пунктов и который не с учетом механизма третьей страны, обеспечивающего надлежащую защиту по смыслу статьи 25(1) Директивы 95/46/ЕС; (d) «Обработчик данных» означает процессор данных, нанятый Импортером данных или любым другим обработчиком данных Импортера данных, который соглашается получать от Импортера данных или любого другого обработчика данных Импортера данных личные данные исключительно для обработки действий для осуществляться от имени Экспортера данных после передачи в соответствии с инструкциями Экспортера данных,на условиях, изложенных в настоящих Пунктах, и на условиях письменного субподряда договора на обработку данных;

e) «применимое законодательство о защите данных» означает законодательство, защищающее основные права и свободы людей, включая право на неприкосновенность частной жизни в отношении обработки персональных данных, и применимое к контролеру в государстве-члене, где учрежден Экспортер данных;

f) «технические и организационные меры, относящиеся к безопасности» означает меры, направленные на защиту персональных данных от случайного или незаконного уничтожения или случайной потери, изменения, несанкционированного раскрытия или доступа, в частности, когда обработка включает передачу данных по сетям, а также от всех других незаконных форм обработки.

Пункт 2

Детали трансфера

Детали передачи, включая, при необходимости, специальные категории персональных данных, указаны в Приложении 1, которое является неотъемлемой частью настоящих пунктов.

Пункт 3

Оговорка о третьей стороне-бенефициаре

1. Субъект данных может потребовать от Экспортера данных настоящего пункта, пунктов 4(b)–(i), пунктов 5(a)–(e) и (g)–(j), пунктов 6 (1) и (2). ), Пункт 7, Пункт 8(2) и Пункты 9-12 в качестве третьего лица-бенефициара

2. Субъект данных может применить этот Пункт, Пункт 5 (a)–(e) и (g), Пункт 6, Пункт 7, Пункт 8 (2) и Пункты 9–12 в отношении Импортера данных, если Экспортер данных физически исчез или прекратил свое существование по закону, если только все его юридические обязательства не были переданы по договору или в силу закона правопреемнику, к которому, таким образом, возвращаются права и обязанности Экспортера данных и против которого данные Таким образом, субъект может обеспечить соблюдение указанных пунктов.

Субъект данных может применить этот Пункт, Пункт 5 (a)–(e) и (g), Пункт 6, Пункт 7, Пункт 8 (2) и Пункты 9–12 в отношении обработчика Данных, но только в тех случаях, когда Данные Экспортер и Импортер данных физически исчезли, прекратили свое существование по закону или стали неплатежеспособными, если только все юридические обязательства Экспортера данных не были переданы по договору или в силу закона правопреемнику, которому принадлежат права и Таким образом, возлагаются обязательства Экспортера данных, и в отношении кого субъект данных может, следовательно, применять такие положения. Такая ответственность обработчика данных должна быть ограничена его собственной деятельностью по обработке в соответствии с настоящими пунктами.

4. Стороны не возражают против того, чтобы субъект данных был представлен ассоциацией или другим органом, если он или она того желает и если это разрешено национальным законодательством.

Пункт 4

Обязанности экспортера данных

Экспортер данных принимает и гарантирует следующее:

а) обработка, включая фактическую передачу персональных данных, осуществлялась и будет продолжать осуществляться в соответствии с соответствующими положениями применимого законодательства о защите данных (и, где это применимо, было уведомлено компетентные органы государства-члена в котором находится Экспортер данных) и не нарушает соответствующие положения этого государства;

б) они проинструктировали и будут проинструктировать на время оказания услуг по обработке персональных данных Импортера данных об обработке персональных данных, переданных исключительно от имени Экспортера данных и в соответствии с применимым законодательством о защите данных и настоящими положениями;

c) Импортер данных обеспечит достаточные гарантии в отношении технических и организационных мер безопасности, указанных в Приложении 2 к настоящему договору;

г) после оценки требований применимого законодательства о защите данных меры безопасности являются достаточными для защиты персональных данных от случайного или незаконного уничтожения или случайной потери, изменения, несанкционированного раскрытия или доступа, в частности, когда обработка включает передачу данных по сети и от всех других незаконных форм обработки и обеспечить уровень безопасности, соответствующий рискам, связанным с обработкой, и характеру защищаемых данных, с учетом уровня технологии и стоимости внедрения;

д) обеспечат соблюдение мер безопасности;

f) если передача относится к особым категориям данных, субъект данных был проинформирован или будет проинформирован до передачи или как можно скорее после передачи о том, что его или ее данные могут быть переданы в третью страну, которая не предлагает адекватный уровень защиты по смыслу Директивы 95/46/ЕС;

g) они направят любое уведомление, полученное от Импортера данных или любого обработчика данных в соответствии с пунктами 5 (b) и 8 (3), в орган по надзору за защитой данных, если он решит продолжить передачу или отменить ее приостановку;

h) они должны предоставить субъектам данных, если они того требуют, копию настоящих Пунктов, за исключением Приложения 2, и краткое описание мер безопасности, а также копию любого дополнительного субподрядного соглашения, заключенного в соответствии с настоящими Пунктами, если только Пункты или соглашение содержат коммерческую информацию, и в этом случае он может отозвать такую ​​информацию;

i) в случае передачи процесса обработки данных на субподряд обработка осуществляется в соответствии с пунктом 11 обработчиком данных, обеспечивающим как минимум такой же уровень защиты персональных данных и прав субъекта данных, что и Импортер данных в соответствии с настоящими пунктами. ; и

j) он обеспечит соблюдение пункта 4 (a)–(i).

Пункт 5

Обязанности импортера данных

Импортер данных принимает и гарантирует следующее:

а) они будут обрабатывать персональные данные только от имени Экспортера данных и в соответствии с инструкциями Экспортера данных и настоящими пунктами; если он не может выполнить требования по какой-либо причине, они соглашаются как можно скорее проинформировать Экспортера данных о своей неспособности, и в этом случае Экспортер данных может приостановить передачу данных и/или расторгнуть договор;

б) у них нет оснований полагать, что применимое к ним законодательство препятствует выполнению им инструкций, данных Экспортером данных, и обязательств, возложенных на него по контракту, и если такое законодательство подлежит изменению, которое может иметь существенные неблагоприятные последствия влияние на гарантии и обязательства в соответствии с Пунктами, он должен уведомить Экспортера данных об изменении без промедления после того, как ему станет известно об этом, и в этом случае Экспортер данных может приостановить передачу данных и/или расторгнуть договор; (c) они реализовали технические и организационные меры безопасности, указанные в Приложении 2, до обработки переданных персональных данных;

г) они незамедлительно уведомят экспортера данных:

i) любой обязывающий запрос о раскрытии персональных данных от правоохранительного органа, если не указано иное, например уголовный запрет, направленный на сохранение тайны полицейского расследования;

ii) любой случайный или несанкционированный доступ; и

iii) любой запрос, полученный непосредственно от заинтересованных лиц без ответа на него, если только он не был уполномочен на это; администраторы

e) они будут оперативно и надлежащим образом рассматривать все запросы Экспортера данных, касающиеся обработки им передаваемых персональных данных, и будут действовать в соответствии с мнением надзорного органа в отношении обработки передаваемых данных;

f) по запросу экспортера данных они будут подвергать свои средства обработки данных аудиту деятельности по обработке, охватываемой настоящими пунктами, которая будет проводиться экспортером данных или надзорным органом, состоящим из независимых членов с необходимой профессиональной квалификацией, подлежит обязательству о сохранении тайны и выбирается Экспортером данных, при необходимости, с согласия надзорного органа;

g) они предоставят субъекту данных, если он того потребует, копию настоящих Пунктов или любого существующего субподряда договора на обработку данных, если только Пункты или договор не содержат коммерческую информацию, и в этом случае он может удалить такую информация, за исключением Приложения 2, которое будет заменено кратким описанием мер безопасности, если субъект данных не может получить копию от Экспортера данных;

h) в случае конфиденциального дальнейшего субподряда на обработку данных он гарантирует, что он заранее проинформирует экспортера данных и получит письменное согласие экспортера данных;

i) услуги по обработке данных, предоставляемые обработчиком данных, должны соответствовать пункту 11;

j) они незамедлительно отправят экспортеру данных копию любого субподрядного соглашения об обработке данных, заключенного им в соответствии с настоящими пунктами.

Пункт 6

Обязанность

1. Стороны соглашаются, что любой субъект данных, которому причинен ущерб из-за нарушения обязательств, указанных в пункте 3 или пункте 11, одной стороной или обработчиком данных, может получить компенсацию от экспортера данных за понесенный ущерб.

2. Если субъект данных не может подать иск о возмещении ущерба, как указано в пункте 1, против Экспортера данных из-за невыполнения Импортером данных или его обработчиком данных любого из своих обязательств в соответствии с пунктом 3 или пунктом 11, потому что данные Экспортер физически исчез, прекратил свое существование по закону или стал неплатежеспособным, Импортер данных соглашается с тем, что субъект данных может подать жалобу на него, как если бы он был Экспортером данных, если только все юридические обязательства Экспортера данных не были переданы по контракту. или в силу закона своему правопреемнику, против которого субъект данных может затем реализовать свои права. Импортер данных не может полагаться на нарушение своих обязательств обработчиком данных, чтобы избежать собственной ответственности.

3. Если субъекту данных не удается возбудить действие, указанное в параграфах 1 и 2, против экспортера данных или импортера данных за нарушение обработчиком данных своих обязательств в соответствии с пунктом 3 или пунктом 11, потому что экспортер данных и импортер данных физически исчезли, прекратили свое существование по закону или стали неплатежеспособными, обработчик данных соглашается с тем, что субъект данных может подать жалобу на него в отношении его собственной деятельности по обработке в соответствии с настоящими пунктами, как если бы он был экспортером или импортером данных, за исключением случаев, когда все юридические обязательства Экспортера или Импортера данных были переданы по договору или в силу закона правопреемнику, против которого субъект данных может отстаивать свои права.Ответственность обработчика данных должна быть ограничена его собственной деятельностью по обработке данных в соответствии с настоящими пунктами.

 

Пункт 7

Посредничество и юрисдикция

1. Импортер данных соглашается с тем, что если в соответствии с положениями субъект данных применяет против него право третьего лица-бенефициара и/или требует компенсации за причиненный ущерб, он примет решение субъекта данных:

а) передать спор на рассмотрение независимого лица или, при необходимости, надзорного органа;

б) передать спор в суды государства-члена, в котором находится экспортер данных.

2. Стороны соглашаются, что выбор, сделанный субъектом данных, не влияет на процессуальные или материальные права субъекта данных на получение возмещения в соответствии с другими положениями национального или международного права.

Пункт 8

Взаимодействие с надзорными органами

1. Экспортер данных соглашается сдать копию настоящего договора в надзорный орган, если последний требует этого или если такое хранение предусмотрено применимым законодательством о защите данных.

2. Стороны соглашаются, что надзорный орган может проводить проверки у Импортера данных и любого обработчика данных в том же объеме и на тех же условиях, что и проверки, проводимые у Экспортера данных в соответствии с применимым законодательством о защите данных.

3. Импортер данных должен как можно скорее проинформировать экспортера данных о существовании законодательства в отношении импортера данных или любого обработчика данных, которое препятствует проверке у импортера данных или любого обработчика данных в соответствии с параграфом 2. В таком случае Экспортер данных может принять меры, предусмотренные в пункте 5 (b).

Пункт 9

Применимое право

Пункты применяются и регулируются законодательством государства-члена, в котором находится экспортер данных.

Пункт 10

Изменение договора

Стороны обязуются не изменять настоящие пункты. Стороны вправе включать другие коммерческие оговорки, которые они сочтут необходимыми, при условии, что они не противоречат настоящим оговоркам.

Пункт 11

Последующий субподряд

1. Импортер данных не должен передавать в субподряд какие-либо действия по обработке, выполняемые от имени экспортера данных в соответствии с настоящими пунктами, без предварительного письменного согласия экспортера данных. Импортер данных передает свои обязательства в соответствии с настоящими Пунктами только с согласия Экспортера данных посредством письменного соглашения с обработчиком данных, налагающего на обработчика данных те же обязательства, что и на Импортера данных в соответствии с настоящими Пунктами. Если обработчик данных не может выполнить свои обязательства по защите данных в соответствии с этим письменным соглашением, импортер данных несет полную ответственность перед экспортером данных за выполнение этих обязательств.

2. Предварительное письменное соглашение между Импортером данных и обработчиком данных также должно включать пункт о третьей стороне-бенефициаре, как указано в пункте 3, для случаев, когда субъект данных не может предъявить иск о возмещении ущерба, указанный в пункте 6 (1). ), против Экспортера или Импортера данных, потому что Экспортер или Импортер данных физически исчез, прекратил свое существование по закону или стал неплатежеспособным, и все юридические обязательства Экспортера или Импортера данных не были переданы по контракту или в результате операции. закона другому правопреемнику. Ответственность обработчика данных должна быть ограничена его собственной деятельностью по обработке данных в соответствии с настоящими пунктами.

3. Положения, касающиеся аспектов защиты данных при заключении субподряда на обработку данных по договору, указанному в параграфе 1, регулируются законодательством государства-члена, в котором учрежден Экспортер данных.

4. Экспортер данных должен вести список субподрядных соглашений об обработке данных, заключенных в соответствии с настоящими Пунктами и уведомленных Импортером данных в соответствии с пунктом 5 (j), который должен обновляться не реже одного раза в год. Этот список должен быть предоставлен в распоряжение органа по надзору за защитой данных экспортера данных.

Пункт 12

Обязанность после прекращения оказания услуг по обработке персональных данных

1. Стороны соглашаются, что после завершения услуг по обработке данных Импортер данных и обработчик данных, по усмотрению Экспортера данных, вернут все переданные персональные данные и их копии Экспортеру данных или уничтожят все такие данные и предоставят доказательства. уничтожение экспортеру данных, если законодательство, наложенное на импортера данных, не запрещает ему возвращать или уничтожать все или часть переданных персональных данных. В этом случае Импортер данных гарантирует, что он обеспечит конфиденциальность переданных персональных данных и что он больше не будет активно обрабатывать данные.

2. Импортер данных и обработчик данных должны обеспечить, чтобы по запросу экспортера данных и/или надзорного органа они подвергали свои средства обработки данных проверке мер, указанных в пункте 1.

 

 

 

 

Приложение 1.1 к части 2

Детали трансфера

 

 

Экспортер данных

Экспортером данных является Заказчик, определенный в Договорном соглашении.

 

Импортер данных

Импортер данных называется LISTREET и назначается для обработки данных, предоставляя услуги экспортеру данных.

 

Субъекты данных

Передаваемые персональные данные касаются следующих категорий субъектов данных:

?? телефонных абонентов, перечисленных в универсальном справочнике

Прочие, в том числе:

 

Категории данных

Передаваемые персональные данные относятся к следующим категориям данных:

 

Категории персональных данных субъектов данных Экспортера данных, в частности,

?? Полное имя

Почтовый адрес

?? Контактные данные (электронная почта, телефон, IP-адрес и т. д.)

?? Подробная информация о маркетинговых мероприятиях в отношении телефонного абонента

Другие, включая тип жилья, доход и средний возраст в городе, сделанные анонимно.

 

Специальные категории данных (если применимо)

Передаваемые персональные данные относятся к следующим особым категориям данных:

Передача специальных категорий данных не предусмотрена

?? Раса или этническое происхождение

?? Религиозные или философские убеждения

?? Членство в профсоюзе

?? Политические взгляды

?? Генетическая информация

?? Биометрическая информация

?? Информация о сексуальной ориентации или сексуальной жизни

?? Данные о здоровье

 

Процессинговая деятельность

Передаваемые персональные данные подлежат следующим основным действиям по обработке:

 

  •  
    • •  Цель обработки

Обработка, осуществляемая от имени экспортера данных, основывается, в частности, на следующих темах:

Принятие на себя ответственности за продукты или услуги, предлагаемые экспортером данных.

Предложение продукта или услуги, которые может запросить вызываемое лицо.

Заказы, принятые от вызванных лиц, и дальнейшая обработка этих заказов

Изучение анкет и анализов

Телемаркетинг

?? Другие, в том числе:

 

  •  
    • •  Характер и цель обработки

Импортер данных обрабатывает персональные данные субъектов данных от имени экспортера данных для предоставления следующих услуг, в частности:

  • Автоматическое заполнение формы
  • Форма проверки адресов

✓Продажи и маркетинг

Прочее, включая обновление баз данных мэрий и политических партий.

 

  •  
    • •  Предоставление услуг и наем поставщиков услуг

 

LISTREET в основном объединяет, централизует и предоставляет услуги экспортеру данных. Услуги, предоставляемые указанным поставщиком услуг, могут быть структурированы (среди прочего, по мере необходимости) вокруг следующих вспомогательных услуг: (i) предоставление приложений, инструментов, систем и ИТ-инфраструктуры в отношении используемых центров обработки данных, чтобы обеспечить и поддерживать услуги, включая обработку персональных данных субъектов данных, как описано выше, с помощью таких приложений, инструментов и систем, (ii) предоставление ИТ-поддержки, обслуживания и других услуг, связанных с такими приложениями, инструментами, системами и ИТ-инфраструктура, включая потенциальный доступ к персональным данным, хранящимся в таких приложениях, инструментах и ​​системах, и (iii) предоставление услуг по защите данных, мониторингу защиты и услугам по реагированию на инциденты,включая возможный доступ к персональным данным при предоставлении таких услуг защиты. LISTREET может привлекать обработчиков данных, указанных ниже, для предоставления услуг, включая вспомогательные услуги.

 

  •  
    • • Внешние сторонние поставщики услуг в качестве субъединиц, ответственных за обработку данных.

 

LISTREET привлекает внешних и сторонних поставщиков услуг, которые не являются дочерними компаниями LISTREET, для поддержки предоставления услуг экспортеру данных. Экспортер данных утверждает таких внешних сторонних поставщиков услуг в качестве субъединиц, назначенных для обработки данных.

 

Если подразделение, занимающееся обработкой данных, находится за пределами ЕС/ЕЭЗ, в стране, которая, согласно решению Европейской комиссии, не имеет надлежащего уровня защиты данных, Импортер данных предпримет шаги для получения надлежащего уровня защиты данных. защита данных в соответствии с GDPR и разделом 3.4 (iv) части 1.

 

 

Приложение 2, часть 2

Технические и организационные меры защиты

 

Импортер данных должен принять следующие технические и организационные меры защиты, подтвержденные экспортером данных, чтобы гарантировать надлежащий уровень безопасности прав и свобод физических лиц в зависимости от рисков. При оценке соответствующего уровня защиты Экспортер данных учел, в частности, риски, связанные с обработкой, включая случайное или незаконное уничтожение, изменение, несанкционированное раскрытие или доступ к передаваемым, хранимым или иным образом обрабатываемым персональным данным. Пояснение: эти технические и организационные меры защиты не применяются к приложениям, инструментам, системам и/или ИТ-инфраструктуре, предоставляемым Экспортером данных.

1 Общие технические и организационные меры защиты

1.1 Общая информация и стратегии защиты данных

Для соблюдения общих стратегий защиты данных и информации необходимо предпринять следующие шаги:

  • а) принимать меры по оценке принятых мер по технической и организационной защите;
  • б) проводить обучение для повышения осведомленности сотрудников;
  • c) иметь описание соответствующих систем и предоставлять доступ к ним работникам;
  • d) установить формальный процесс документирования всякий раз, когда внедряются или модифицируются системы;
  • e) документирование организационной структуры, процессов, обязанностей и соответствующих оценок;

1.2 Организация защиты информации

Для координации деятельности по защите данных и информации должны быть приняты следующие меры:

  • а) определенные обязанности по защите информации и данных (например, посредством политики управления защитой данных);
  • б) наличие необходимой экспертизы по защите информации и данных;
  • c) все сотрудники обязуются обеспечивать конфиденциальность личных данных и были проинформированы о возможных последствиях нарушения этого обязательства.

1.3 Контроль доступа в зоны обработки

Для предотвращения доступа неуполномоченных лиц к системам обработки данных (в частности к программному и аппаратному обеспечению) при обработке, хранении или передаче персональных данных должны быть приняты следующие меры:

  • а) установить безопасные зоны;
  • б) защищать и ограничивать доступ к системам обработки данных;
  • в) устанавливать права доступа для сотрудников и третьих лиц, включая соответствующие документы;
  • г) любой доступ к центрам обработки данных, в которых хранятся персональные данные, должен быть зарегистрирован.

1.4 Контроль доступа к системам обработки данных

Для предотвращения несанкционированного доступа к системам обработки данных необходимо принять следующие меры:

  • а) политики и процедуры аутентификации пользователей;
  • б) использование паролей во всех компьютерных системах;
  • в) удаленный доступ к сети требует многофакторной аутентификации и предоставляется заинтересованному лицу в соответствии с его обязанностями и после авторизации;
  • г) доступ к определенным функциям основан на рабочих функциях и/или атрибутах, индивидуально назначенных учетной записи пользователя;
  • e) права доступа, связанные с персональными данными, регулярно пересматриваются;
  • f) записи об изменениях прав доступа поддерживаются в актуальном состоянии.

1.5 Управление доступом к отдельным областям использования систем обработки данных

Должны быть приняты следующие меры для обеспечения того, чтобы уполномоченные лица, имеющие право на использование системы обработки данных, могли получать доступ к данным только в рамках своих соответствующих обязанностей и разрешений на доступ, и чтобы личные данные не могли быть прочитаны, скопированы, изменены или удалены без разрешения:

  1. 1. 
    1. а) политики, инструкции и обучение сотрудников, касающиеся обязательств каждого из них в отношении конфиденциальности, прав доступа к персональным данным и объема обработки персональных данных;
  • б) меры дисциплинарного взыскания в отношении лиц, получивших доступ к персональным данным без разрешения;
  • в) доступ к персональным данным предоставляется только уполномоченным лицам в порядке служебной необходимости;
  • г) вести список системных администраторов и принимать соответствующие меры для наблюдения за системными администраторами;
  • д) не копировать и не воспроизводить персональные данные в любой системе хранения, чтобы позволить неуполномоченным лицам удалить информацию об их создателе;
  • f) контролируемое и документированное удаление или уничтожение данных;
  • g) безопасно хранить все персональные данные, которые должны храниться по юридическим или нормативным причинам (например, обязательства по хранению данных), и только до тех пор, пока это требуется по закону.

1.6 Управление трансмиссией

Следующие меры должны быть приняты для предотвращения чтения, копирования, изменения или удаления персональных данных неуполномоченными третьими лицами во время передачи или транспортировки устройств хранения данных (в зависимости от предпринятой обработки персональных данных):

  1. 1. 
    1. а) использование брандмауэров;
  • б) отказ от хранения личных данных на мобильных устройствах хранения для целей транспортировки или шифрования устройств;
  • в) использовать на ноутбуках и других мобильных устройствах только после активации шифровальной защиты;
  • г) протоколирование передачи персональных данных.

1.7 Контроль ввода данных

Следующие меры должны быть приняты для обеспечения возможности проверки и определения того, были ли персональные данные введены или удалены из систем обработки данных и кем:

  1. 1. 
    1. а) политика авторизации чтения, изменения и удаления сохраненных данных;
  • б) меры защиты, касающиеся чтения, изменения и удаления сохраненных данных.

1.8 Рабочий контроль

В случае делегированной обработки персональных данных должны быть приняты следующие меры для обеспечения того, чтобы такие данные обрабатывались в соответствии с инструкциями Надзорного органа:

  1. 1. 
    1. а) лица или подразделения, назначенные для обработки данных, выбранные с осторожностью (поставщики услуг, обрабатывающие персональные данные от имени контролера);
  • b) инструкции относительно объема любой обработки персональных данных для сотрудников, организаций или подразделений, которым поручена обработка данных;
  • c) права аудита, согласованные с субъектами или подструктурами, назначенными для обработки данных;
  • d) действующие соглашения с организациями или подразделениями, назначенными для обработки данных.

1.9 Отделение от обработки для других целей

Необходимо принять следующие меры, чтобы данные, собранные для других целей, можно было обрабатывать отдельно:

  1. 1. 
    1. а) раздельный доступ к персональным данным в соответствии с существующими правами пользователей;
  • б) интерфейсы, пакетная обработка и отчетность предназначены для других целей и функций, так что данные, собранные для других целей, можно обрабатывать отдельно.

1.10 Псевдонимизация

В отношении псевдонимизации персональных данных должны быть приняты следующие меры:

  1. 1. 
    1. a) Если Экспортер данных заказывает конкретную операцию обработки или если Импортер данных считает это целесообразным в соответствии с действующими законами о защите данных в отношении определенных действий по обработке, обработка персональных данных будет осуществляться таким образом, чтобы данные уже нельзя отнести к конкретному лицу без использования дополнительной информации. Эта дополнительная информация будет храниться отдельно;
  • b) использование методов псевдонимизации, включая рандомизацию списка распределения; создание ценностей в виде диезов.

1.11 Шифрование

Для шифрования персональных данных в приложениях и передачах, поддерживающих шифрование, необходимо предпринять следующие шаги:

  1.  
    1. а) использование методов шифрования;
  • b) установление управления шифрованием для поддержки разрешенных к использованию методов шифрования;
  • c) поддержка использования криптографии с помощью процедур и протоколов для создания, изменения, отзыва, уничтожения, распространения, сертификации, хранения, захвата, использования и архивирования криптографических ключей для защиты от несанкционированного изменения и раскрытия.

1.12 Полнота систем и услуг обработки данных

Для обеспечения полноты систем и услуг обработки данных должны быть приняты следующие меры:

  1. 1. a) защита систем обработки данных от манипуляций или уничтожения с помощью соответствующих средств (например, антивирусного программного обеспечения, программного обеспечения для предотвращения потери данных и программного обеспечения от вредоносных программ, программных исправлений, брандмауэров и управляемой защиты рабочего стола);
  • б) запрещать установку любых услуг или программного обеспечения, наносящих ущерб системам обработки данных, услугам или манипулированию личными данными;
  • в) использование в составе самой сети системы обнаружения и предотвращения сетевых вторжений.

1.13 Наличие систем и сервисов обработки данных и возможность восстановления доступа и использования персональных данных в случае материально-технического происшествия

Для обеспечения доступности систем обработки данных, а также для возможности быстрого восстановления доступности и доступа к персональным данным в случае материально-технического происшествия должны быть приняты следующие меры (в частности, путем обеспечения персональные данные защищены от случайного уничтожения или потери):

  • а) иметь средства контроля за хранением резервных копий и восстановлением утерянных или удаленных данных;
  • b) резервирование инфраструктуры и тестирование производительности;
  • в) физическая защита компьютерных ресурсов;
  • г) использование инструментов для мониторинга состояния и доступности внутренней сети;
  • e) политики сообщения об инцидентах и ​​реагирования на них, регулирующие процедуру управления инцидентами, и подтверждение соблюдения этих политик в рамках регулярного обучения;
  • f) резервные копии (иногда за пределами площадки) для восстановления системы, чтобы она снова могла выполнять свои функции;
  • g) планы обеспечения непрерывности бизнеса/аварийного восстановления

1.14 Устойчивость систем и сервисов обработки данных

Для обеспечения отказоустойчивости систем и сервисов обработки данных должны быть приняты следующие меры:

  • а) системы и настроены гармонично, с использованием утвержденных параметров безопасности;
  • б) сетевое резервирование;
  • c) защитная оболочка критических систем.

1.15 Порядок регулярного тестирования, оценки и оценки эффективности технических и организационных мер по обеспечению безопасности обработки данных

Порядок регулярного тестирования, оценки и оценки эффективности технических и организационных мер по защите обработки данных.

  • а) предпринять необходимые шаги для оценки рисков и стратегий их снижения;
  • б) сервисно-аналитические совещания отдела ИТ для решения текущих вопросов;
  • c) планы обеспечения непрерывности бизнеса/аварийного восстановления регулярно обновляются.

 

Часть 3

Подписи сторон и список импортеров данных

 

Когда вы заполняете форму онлайн-заказа и подтверждаете ее, отмечая поле, принимающее общие положения и условия использования, устанавливается договор, регулирующий отношения между Клиентом и LISTREET.

Отправка платежа в LISTREET будет считаться подписанным и установленным договором.

Обратите внимание: этот текст был переведен с французского. Оригинальная французская версия, которая является действительной и юридически ограничительной, доступна  здесь .