Приложение по обработке данных
Настоящее Приложение является неотъемлемой частью Договора и заключается:
Каждая из них является «партией » и обычно «партиями ».
Преамбула
ГДЕ Импортер данных предоставляет профессиональные программные услуги, компьютерные и сопутствующие услуги;
ГДЕ в соответствии с Контрактом Импортер данных согласился предоставить Экспортеру данных услуги, указанные в Контракте («Услуги »);
В СЛУЧАЕ, предоставляя Услуги, Импортер Данных получает или извлекает выгоду из доступа к информации Экспортера Данных или информации других лиц, имеющих (потенциальные) отношения с Экспортером Данных, такая информация может быть квалифицирована как персональные данные по смыслу Регламента. (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 года о защите отдельных лиц в отношении обработки персональных данных и о свободном перемещении таких данных («GDPR ») и других применимых законов о защите данных.
ГДЕ это Приложение содержит положения и условия, применимые к сбору, обработке и использованию таких персональных данных Импортером данных в его качестве уполномоченного агента по обработке данных Экспортера данных, чтобы гарантировать, что Стороны соблюдают применимое законодательство о защите данных .
ПОЭТОМУ, и чтобы Стороны могли продолжать свои отношения на законных основаниях, Стороны заключили настоящее Приложение следующим образом:
Часть 1
1. Структура документа и определения
1.1 Структура
Настоящее Приложение состоит из следующих частей:
Часть 1: | содержит общие положения, например, касающиеся определений, используемых в этом Приложении, соблюдения местного законодательства, сроков и прекращения |
Часть 2: | содержит основную часть стандартного документа о договорных положениях без поправок |
Приложение 1.1 части 2: | содержит подробную информацию об операциях обработки, предоставленных Импортером данных Экспортеру данных в качестве уполномоченного агента по обработке данных (включая обработку, характер и цель обработки, тип персональных данных и категории субъектов данных) в соответствии с настоящим Приложение |
Приложение 2 части 2: | содержит описание технических и организационных мер безопасности Импортера данных, которые применяются в связи со всеми действиями по обработке, описанными в Приложении 1.1 Части 2 |
Часть 3: | содержит подписи Сторон, которые должны быть связаны настоящим Приложением, и идентифицирует каждого Импортера данных. |
1.2 Терминология и определения
Для целей настоящего Приложения применимы терминология и определения, используемые в GDPR (в основной части документа «Стандартный пункт договора» в Части 2, где определенные термины не пишутся с заглавной буквы).
"государство-член" | означает страну, входящую в Европейский союз или Европейскую экономическую зону |
«Особые категории (персональных) данных» | относится к персональным данным, раскрывающим расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения или членство в профсоюзах, а также генетическим данным, биометрическим данным, если они обрабатываются с целью однозначной идентификации человека, данным о здоровье, данным о поле человека. жизнь или сексуальная ориентация |
«Стандартные договорные условия» | означает Стандартные договорные условия для передачи персональных данных агентов по обработке данных, созданных в третьих странах, в соответствии с Решением Комиссии 2010/87/ЕС от 5 февраля 2010 г., в которое были внесены поправки Исполнительным решением Комиссии (ЕС) 2016/2297 от 16 февраля 2010 г. декабрь 2016 г. |
«Процессор данных» | означает любого агента по обработке данных, расположенного внутри или за пределами ЕС/ЕЭЗ, который соглашается получать от Импортера данных или любого другого обработчика Импортера данных персональные данные исключительно для целей обработки, которая будет выполняться Экспортером данных после передача в соответствии с инструкциями Экспортера Данных, условиями настоящего Приложения и Договора с Импортером Данных |
2. Обязанности экспортера данных
2.1 Экспортер данных обязан обеспечить соблюдение всех применимых обязательств в соответствии с GDPR и любым другим применимым законодательством о защите данных, которое применяется к экспортеру данных, и продемонстрировать такое соответствие, как того требует статья 5 (2) GDPR. Экспортер данных гарантирует, что Импортер данных получил предварительное согласие субъектов данных в соответствии со статьей 6 (а) GDPR и выполнил свое обязательство по информированию субъектов данных в соответствии со статьями 13 и 14 GDPR.
2.2 Экспортер данных должен предоставить Импортеру данных соответствующие файлы операций по обработке в соответствии со статьей 30 (1) GDPR, связанные с Услугами в соответствии с настоящим Приложением, в той мере, в какой это необходимо для Импортера данных для выполнения обязательства по Статья 30 (2) GDPR.
2.3 Экспортер данных должен назначить сотрудника или представителя по защите данных в той мере, в какой это требуется применимым законодательством о защите данных. Экспортер данных обязан предоставить контактные данные агента по защите данных или представителя, если таковые имеются, импортеру данных.
2.4. Экспортер данных подтверждает до завершения обработки принятием настоящего Приложения, что технические и организационные меры безопасности Импортера данных, изложенные в Приложении 2 к Части 2, являются соответствующими и достаточными для защиты прав субъекта данных. и подтверждает, что Импортер данных обеспечивает достаточные гарантии в этом отношении.
3. Соблюдение местного законодательства
Чтобы соответствовать требованиям реализации агентов обработки в соответствии со статьей 28 GDPR, применяются следующие поправки:
3.1 Инструкции
3.2 Обязанности импортера данных
3.3 Права заинтересованных лиц
3.4 Подобработка
3.5 Срок действия
Срок действия настоящего Приложения идентичен сроку действия соответствующего Договора. Если иное не предусмотрено в настоящем Приложении, права и обязанности, связанные с расторжением, аналогичны тем, которые содержатся в Контракте.
4. Ограничение ответственности
4.1 Каждая сторона выполняет свои обязательства в соответствии с настоящим Приложением и применимым законодательством о защите данных.
4.2 Любая ответственность, связанная с нарушением обязательств по настоящему Приложению или применимому законодательству о защите данных, регулируется положениями об ответственности, изложенными в Договоре или применимыми к нему, за исключением случаев, предусмотренных в настоящем Приложении. Если ответственность регулируется положениями об ответственности, изложенными в Контракте или применимыми к нему, для расчета пределов ответственности или определения применения других ограничений ответственности считается, что любая ответственность, возникающая в соответствии с настоящим Приложением, возникает в соответствии с Контрактом.
5. Общие положения
5.1 В случае каких-либо несоответствий или расхождений между частями 1 и 2 настоящего Приложения, часть 2 имеет преимущественную силу. В частности, даже в таком случае Часть 1, которая просто выходит за рамки Части 2 (т. е. условий Стандартных положений), не противореча ей, остается в силе.
5.2 В случае возникновения каких-либо расхождений между положениями настоящего Приложения и положениями других договоров, связывающих стороны, настоящее Приложение имеет преимущественную силу в отношении обязательств сторон по защите данных. В случае сомнений относительно того, касаются ли положения других договоров обязательств сторон по защите данных, настоящее Приложение имеет преимущественную силу.
5.3 Если какое-либо положение настоящего Приложения является недействительным или неисполнимым, остальная часть настоящего Приложения остается в полной силе и действии. Недействительное или не имеющее исковой силы положение будет (i) изменено, чтобы обеспечить его действительность и применимость при сохранении, насколько это возможно, намерения сторон, или, если это невозможно, (ii) будет истолковано так, как если бы недействительная или не имеющая исковой силы часть была никогда не было частью контракта. Вышеизложенное также применяется, если в настоящем Приложении имеется пропуск.
5.5 В той мере, в какой это необходимо, Стороны могут запросить поправки к Части 1, Пункту 3 (Соответствие местному законодательству) или другим частям Приложения, чтобы соответствовать толкованиям, директивам или распоряжениям, изданным компетентными органами Союза или Государства-члены, национальные положения о правоприменении или любые другие правовые изменения, касающиеся GDPR или других условий делегирования полномочий любым организациям, участвующим в обработке данных, и, в частности, в отношении использования Стандартных договорных положений GDPR. Условия Стандартных договорных пунктов не могут быть изменены или заменены, если Европейская комиссия прямо не одобрит это (например, новыми адекватными пунктами и стандартами защиты данных).
5.6 Любая ссылка в этом Приложении на «Положения» должна пониматься как относящаяся ко всем положениям этого Приложения, если не указано иное.
5.7 Выбор права в Части 2, Пункт 9 применяется ко всему Контракту.
6. Персональные данные, передаваемые и обрабатываемые сторонами в личных целях (передача от контроллера данных контроллеру данных)
6.1 Стороны полностью осведомлены о том, что определенные персональные данные будут передаваться от Экспортера данных к Импортеру данных и наоборот, и что такие данные обрабатываются каждой Стороной для своих собственных целей. В отношении таких персональных данных это не влияет на другие положения настоящего Приложения (кроме настоящего пункта 6).
6.2 Экспортер данных может передавать личные данные, относящиеся к персоналу Импортера данных, Импортеру данных, включая информацию об инцидентах, связанных с безопасностью, или любые другие документы или файлы, созданные или созданные Экспортером данных в связи с Услугами, предоставляемыми персоналом Импортер данных. Импортер данных может обрабатывать такие персональные данные в своих собственных целях, в частности, в своих профессиональных отношениях с персоналом Импортера данных, для контроля качества и обучения или в деловых целях.
6.3. Импортер данных может передавать персональные данные экспортеру данных, включая имена и контактные данные персонала импортера данных. Экспортер данных может обрабатывать такие персональные данные в своих целях.
6.4 Обе стороны должны соблюдать любые применимые законы о защите данных, включая GDPR, при сборе, обработке и использовании таких персональных данных, полученных от другой стороны в соответствии с пунктом 1 Части 1. В частности, обе стороны должны принимать адекватные меры безопасности, обеспечивая уровень защиты аналогичен мерам безопасности, изложенным в Приложении 2 Части 2. Любой доступ к таким персональным данным ограничивается необходимостью их знать.
6.5 Обе Стороны должны удалить такие персональные данные как можно скорее после достижения целей.
Часть 2
РЕШЕНИЕ КОМИССИИ
5 февраля 2010 г.
о стандартных договорных положениях о передаче персональных данных обработчикам данных, созданным в третьих странах в соответствии с Директивой 95/46/EC Европейского парламента и Совета
Пункт 1
Определения
По смыслу пунктов:
а) «персональные данные», «особые категории данных», «обработка/обработка», «контролер», «обработчик», «субъект данных» и «надзорный орган» имеют то же значение, что и в 95/46/EC. Директива Европейского парламента и Совета от 24 октября 1995 г. о защите отдельных лиц в отношении обработки персональных данных и о свободном перемещении таких данных (1);
б) «Экспортер данных» — это контролер данных, передающий персональные данные;
c) «Импортер данных» — это обработчик данных, который соглашается получать от Экспортера данных персональные данные, предназначенные для обработки от имени Экспортера данных, после передачи в соответствии с его инструкциями и в соответствии с условиями настоящих пунктов и который не с учетом механизма третьей страны, обеспечивающего надлежащую защиту по смыслу статьи 25(1) Директивы 95/46/ЕС; (d) «Обработчик данных» означает процессор данных, нанятый Импортером данных или любым другим обработчиком данных Импортера данных, который соглашается получать от Импортера данных или любого другого обработчика данных Импортера данных личные данные исключительно для обработки действий для осуществляться от имени Экспортера данных после передачи в соответствии с инструкциями Экспортера данных,на условиях, изложенных в настоящих Пунктах, и на условиях письменного субподряда договора на обработку данных;
e) «применимое законодательство о защите данных» означает законодательство, защищающее основные права и свободы людей, включая право на неприкосновенность частной жизни в отношении обработки персональных данных, и применимое к контролеру в государстве-члене, где учрежден Экспортер данных;
f) «технические и организационные меры, относящиеся к безопасности» означает меры, направленные на защиту персональных данных от случайного или незаконного уничтожения или случайной потери, изменения, несанкционированного раскрытия или доступа, в частности, когда обработка включает передачу данных по сетям, а также от всех других незаконных форм обработки.
Пункт 2
Детали трансфера
Детали передачи, включая, при необходимости, специальные категории персональных данных, указаны в Приложении 1, которое является неотъемлемой частью настоящих пунктов.
Пункт 3
Оговорка о третьей стороне-бенефициаре
1. Субъект данных может потребовать от Экспортера данных настоящего пункта, пунктов 4(b)–(i), пунктов 5(a)–(e) и (g)–(j), пунктов 6 (1) и (2). ), Пункт 7, Пункт 8(2) и Пункты 9-12 в качестве третьего лица-бенефициара
2. Субъект данных может применить этот Пункт, Пункт 5 (a)–(e) и (g), Пункт 6, Пункт 7, Пункт 8 (2) и Пункты 9–12 в отношении Импортера данных, если Экспортер данных физически исчез или прекратил свое существование по закону, если только все его юридические обязательства не были переданы по договору или в силу закона правопреемнику, к которому, таким образом, возвращаются права и обязанности Экспортера данных и против которого данные Таким образом, субъект может обеспечить соблюдение указанных пунктов.
Субъект данных может применить этот Пункт, Пункт 5 (a)–(e) и (g), Пункт 6, Пункт 7, Пункт 8 (2) и Пункты 9–12 в отношении обработчика Данных, но только в тех случаях, когда Данные Экспортер и Импортер данных физически исчезли, прекратили свое существование по закону или стали неплатежеспособными, если только все юридические обязательства Экспортера данных не были переданы по договору или в силу закона правопреемнику, которому принадлежат права и Таким образом, возлагаются обязательства Экспортера данных, и в отношении кого субъект данных может, следовательно, применять такие положения. Такая ответственность обработчика данных должна быть ограничена его собственной деятельностью по обработке в соответствии с настоящими пунктами.
4. Стороны не возражают против того, чтобы субъект данных был представлен ассоциацией или другим органом, если он или она того желает и если это разрешено национальным законодательством.
Пункт 4
Обязанности экспортера данных
Экспортер данных принимает и гарантирует следующее:
а) обработка, включая фактическую передачу персональных данных, осуществлялась и будет продолжать осуществляться в соответствии с соответствующими положениями применимого законодательства о защите данных (и, где это применимо, было уведомлено компетентные органы государства-члена в котором находится Экспортер данных) и не нарушает соответствующие положения этого государства;
б) они проинструктировали и будут проинструктировать на время оказания услуг по обработке персональных данных Импортера данных об обработке персональных данных, переданных исключительно от имени Экспортера данных и в соответствии с применимым законодательством о защите данных и настоящими положениями;
c) Импортер данных обеспечит достаточные гарантии в отношении технических и организационных мер безопасности, указанных в Приложении 2 к настоящему договору;
г) после оценки требований применимого законодательства о защите данных меры безопасности являются достаточными для защиты персональных данных от случайного или незаконного уничтожения или случайной потери, изменения, несанкционированного раскрытия или доступа, в частности, когда обработка включает передачу данных по сети и от всех других незаконных форм обработки и обеспечить уровень безопасности, соответствующий рискам, связанным с обработкой, и характеру защищаемых данных, с учетом уровня технологии и стоимости внедрения;
д) обеспечат соблюдение мер безопасности;
f) если передача относится к особым категориям данных, субъект данных был проинформирован или будет проинформирован до передачи или как можно скорее после передачи о том, что его или ее данные могут быть переданы в третью страну, которая не предлагает адекватный уровень защиты по смыслу Директивы 95/46/ЕС;
g) они направят любое уведомление, полученное от Импортера данных или любого обработчика данных в соответствии с пунктами 5 (b) и 8 (3), в орган по надзору за защитой данных, если он решит продолжить передачу или отменить ее приостановку;
h) они должны предоставить субъектам данных, если они того требуют, копию настоящих Пунктов, за исключением Приложения 2, и краткое описание мер безопасности, а также копию любого дополнительного субподрядного соглашения, заключенного в соответствии с настоящими Пунктами, если только Пункты или соглашение содержат коммерческую информацию, и в этом случае он может отозвать такую информацию;
i) в случае передачи процесса обработки данных на субподряд обработка осуществляется в соответствии с пунктом 11 обработчиком данных, обеспечивающим как минимум такой же уровень защиты персональных данных и прав субъекта данных, что и Импортер данных в соответствии с настоящими пунктами. ; и
j) он обеспечит соблюдение пункта 4 (a)–(i).
Пункт 5
Обязанности импортера данных
Импортер данных принимает и гарантирует следующее:
а) они будут обрабатывать персональные данные только от имени Экспортера данных и в соответствии с инструкциями Экспортера данных и настоящими пунктами; если он не может выполнить требования по какой-либо причине, они соглашаются как можно скорее проинформировать Экспортера данных о своей неспособности, и в этом случае Экспортер данных может приостановить передачу данных и/или расторгнуть договор;
б) у них нет оснований полагать, что применимое к ним законодательство препятствует выполнению им инструкций, данных Экспортером данных, и обязательств, возложенных на него по контракту, и если такое законодательство подлежит изменению, которое может иметь существенные неблагоприятные последствия влияние на гарантии и обязательства в соответствии с Пунктами, он должен уведомить Экспортера данных об изменении без промедления после того, как ему станет известно об этом, и в этом случае Экспортер данных может приостановить передачу данных и/или расторгнуть договор; (c) они реализовали технические и организационные меры безопасности, указанные в Приложении 2, до обработки переданных персональных данных;
г) они незамедлительно уведомят экспортера данных:
i) любой обязывающий запрос о раскрытии персональных данных от правоохранительного органа, если не указано иное, например уголовный запрет, направленный на сохранение тайны полицейского расследования;
ii) любой случайный или несанкционированный доступ; и
iii) любой запрос, полученный непосредственно от заинтересованных лиц без ответа на него, если только он не был уполномочен на это; администраторы
e) они будут оперативно и надлежащим образом рассматривать все запросы Экспортера данных, касающиеся обработки им передаваемых персональных данных, и будут действовать в соответствии с мнением надзорного органа в отношении обработки передаваемых данных;
f) по запросу экспортера данных они будут подвергать свои средства обработки данных аудиту деятельности по обработке, охватываемой настоящими пунктами, которая будет проводиться экспортером данных или надзорным органом, состоящим из независимых членов с необходимой профессиональной квалификацией, подлежит обязательству о сохранении тайны и выбирается Экспортером данных, при необходимости, с согласия надзорного органа;
g) они предоставят субъекту данных, если он того потребует, копию настоящих Пунктов или любого существующего субподряда договора на обработку данных, если только Пункты или договор не содержат коммерческую информацию, и в этом случае он может удалить такую информация, за исключением Приложения 2, которое будет заменено кратким описанием мер безопасности, если субъект данных не может получить копию от Экспортера данных;
h) в случае конфиденциального дальнейшего субподряда на обработку данных он гарантирует, что он заранее проинформирует экспортера данных и получит письменное согласие экспортера данных;
i) услуги по обработке данных, предоставляемые обработчиком данных, должны соответствовать пункту 11;
j) они незамедлительно отправят экспортеру данных копию любого субподрядного соглашения об обработке данных, заключенного им в соответствии с настоящими пунктами.
Пункт 6
Обязанность
1. Стороны соглашаются, что любой субъект данных, которому причинен ущерб из-за нарушения обязательств, указанных в пункте 3 или пункте 11, одной стороной или обработчиком данных, может получить компенсацию от экспортера данных за понесенный ущерб.
2. Если субъект данных не может подать иск о возмещении ущерба, как указано в пункте 1, против Экспортера данных из-за невыполнения Импортером данных или его обработчиком данных любого из своих обязательств в соответствии с пунктом 3 или пунктом 11, потому что данные Экспортер физически исчез, прекратил свое существование по закону или стал неплатежеспособным, Импортер данных соглашается с тем, что субъект данных может подать жалобу на него, как если бы он был Экспортером данных, если только все юридические обязательства Экспортера данных не были переданы по контракту. или в силу закона своему правопреемнику, против которого субъект данных может затем реализовать свои права. Импортер данных не может полагаться на нарушение своих обязательств обработчиком данных, чтобы избежать собственной ответственности.
3. Если субъекту данных не удается возбудить действие, указанное в параграфах 1 и 2, против экспортера данных или импортера данных за нарушение обработчиком данных своих обязательств в соответствии с пунктом 3 или пунктом 11, потому что экспортер данных и импортер данных физически исчезли, прекратили свое существование по закону или стали неплатежеспособными, обработчик данных соглашается с тем, что субъект данных может подать жалобу на него в отношении его собственной деятельности по обработке в соответствии с настоящими пунктами, как если бы он был экспортером или импортером данных, за исключением случаев, когда все юридические обязательства Экспортера или Импортера данных были переданы по договору или в силу закона правопреемнику, против которого субъект данных может отстаивать свои права.Ответственность обработчика данных должна быть ограничена его собственной деятельностью по обработке данных в соответствии с настоящими пунктами.
Пункт 7
Посредничество и юрисдикция
1. Импортер данных соглашается с тем, что если в соответствии с положениями субъект данных применяет против него право третьего лица-бенефициара и/или требует компенсации за причиненный ущерб, он примет решение субъекта данных:
а) передать спор на рассмотрение независимого лица или, при необходимости, надзорного органа;
б) передать спор в суды государства-члена, в котором находится экспортер данных.
2. Стороны соглашаются, что выбор, сделанный субъектом данных, не влияет на процессуальные или материальные права субъекта данных на получение возмещения в соответствии с другими положениями национального или международного права.
Пункт 8
Взаимодействие с надзорными органами
1. Экспортер данных соглашается сдать копию настоящего договора в надзорный орган, если последний требует этого или если такое хранение предусмотрено применимым законодательством о защите данных.
2. Стороны соглашаются, что надзорный орган может проводить проверки у Импортера данных и любого обработчика данных в том же объеме и на тех же условиях, что и проверки, проводимые у Экспортера данных в соответствии с применимым законодательством о защите данных.
3. Импортер данных должен как можно скорее проинформировать экспортера данных о существовании законодательства в отношении импортера данных или любого обработчика данных, которое препятствует проверке у импортера данных или любого обработчика данных в соответствии с параграфом 2. В таком случае Экспортер данных может принять меры, предусмотренные в пункте 5 (b).
Пункт 9
Применимое право
Пункты применяются и регулируются законодательством государства-члена, в котором находится экспортер данных.
Пункт 10
Изменение договора
Стороны обязуются не изменять настоящие пункты. Стороны вправе включать другие коммерческие оговорки, которые они сочтут необходимыми, при условии, что они не противоречат настоящим оговоркам.
Пункт 11
Последующий субподряд
1. Импортер данных не должен передавать в субподряд какие-либо действия по обработке, выполняемые от имени экспортера данных в соответствии с настоящими пунктами, без предварительного письменного согласия экспортера данных. Импортер данных передает свои обязательства в соответствии с настоящими Пунктами только с согласия Экспортера данных посредством письменного соглашения с обработчиком данных, налагающего на обработчика данных те же обязательства, что и на Импортера данных в соответствии с настоящими Пунктами. Если обработчик данных не может выполнить свои обязательства по защите данных в соответствии с этим письменным соглашением, импортер данных несет полную ответственность перед экспортером данных за выполнение этих обязательств.
2. Предварительное письменное соглашение между Импортером данных и обработчиком данных также должно включать пункт о третьей стороне-бенефициаре, как указано в пункте 3, для случаев, когда субъект данных не может предъявить иск о возмещении ущерба, указанный в пункте 6 (1). ), против Экспортера или Импортера данных, потому что Экспортер или Импортер данных физически исчез, прекратил свое существование по закону или стал неплатежеспособным, и все юридические обязательства Экспортера или Импортера данных не были переданы по контракту или в результате операции. закона другому правопреемнику. Ответственность обработчика данных должна быть ограничена его собственной деятельностью по обработке данных в соответствии с настоящими пунктами.
3. Положения, касающиеся аспектов защиты данных при заключении субподряда на обработку данных по договору, указанному в параграфе 1, регулируются законодательством государства-члена, в котором учрежден Экспортер данных.
4. Экспортер данных должен вести список субподрядных соглашений об обработке данных, заключенных в соответствии с настоящими Пунктами и уведомленных Импортером данных в соответствии с пунктом 5 (j), который должен обновляться не реже одного раза в год. Этот список должен быть предоставлен в распоряжение органа по надзору за защитой данных экспортера данных.
Пункт 12
Обязанность после прекращения оказания услуг по обработке персональных данных
1. Стороны соглашаются, что после завершения услуг по обработке данных Импортер данных и обработчик данных, по усмотрению Экспортера данных, вернут все переданные персональные данные и их копии Экспортеру данных или уничтожят все такие данные и предоставят доказательства. уничтожение экспортеру данных, если законодательство, наложенное на импортера данных, не запрещает ему возвращать или уничтожать все или часть переданных персональных данных. В этом случае Импортер данных гарантирует, что он обеспечит конфиденциальность переданных персональных данных и что он больше не будет активно обрабатывать данные.
2. Импортер данных и обработчик данных должны обеспечить, чтобы по запросу экспортера данных и/или надзорного органа они подвергали свои средства обработки данных проверке мер, указанных в пункте 1.
Приложение 1.1 к части 2
Детали трансфера
Экспортер данных
Экспортером данных является Заказчик, определенный в Договорном соглашении.
Импортер данных
Импортер данных называется LISTREET и назначается для обработки данных, предоставляя услуги экспортеру данных.
Субъекты данных
Передаваемые персональные данные касаются следующих категорий субъектов данных:
?? телефонных абонентов, перечисленных в универсальном справочнике
✓ Прочие, в том числе:
Категории данных
Передаваемые персональные данные относятся к следующим категориям данных:
Категории персональных данных субъектов данных Экспортера данных, в частности,
?? Полное имя
✓ Почтовый адрес
?? Контактные данные (электронная почта, телефон, IP-адрес и т. д.)
?? Подробная информация о маркетинговых мероприятиях в отношении телефонного абонента
✓ Другие, включая тип жилья, доход и средний возраст в городе, сделанные анонимно.
Специальные категории данных (если применимо)
Передаваемые персональные данные относятся к следующим особым категориям данных:
✓ Передача специальных категорий данных не предусмотрена
?? Раса или этническое происхождение
?? Религиозные или философские убеждения
?? Членство в профсоюзе
?? Политические взгляды
?? Генетическая информация
?? Биометрическая информация
?? Информация о сексуальной ориентации или сексуальной жизни
?? Данные о здоровье
Процессинговая деятельность
Передаваемые персональные данные подлежат следующим основным действиям по обработке:
Обработка, осуществляемая от имени экспортера данных, основывается, в частности, на следующих темах:
✓ Принятие на себя ответственности за продукты или услуги, предлагаемые экспортером данных.
✓ Предложение продукта или услуги, которые может запросить вызываемое лицо.
✓ Заказы, принятые от вызванных лиц, и дальнейшая обработка этих заказов
✓ Изучение анкет и анализов
✓ Телемаркетинг
?? Другие, в том числе:
Импортер данных обрабатывает персональные данные субъектов данных от имени экспортера данных для предоставления следующих услуг, в частности:
✓Продажи и маркетинг
✓ Прочее, включая обновление баз данных мэрий и политических партий.
LISTREET в основном объединяет, централизует и предоставляет услуги экспортеру данных. Услуги, предоставляемые указанным поставщиком услуг, могут быть структурированы (среди прочего, по мере необходимости) вокруг следующих вспомогательных услуг: (i) предоставление приложений, инструментов, систем и ИТ-инфраструктуры в отношении используемых центров обработки данных, чтобы обеспечить и поддерживать услуги, включая обработку персональных данных субъектов данных, как описано выше, с помощью таких приложений, инструментов и систем, (ii) предоставление ИТ-поддержки, обслуживания и других услуг, связанных с такими приложениями, инструментами, системами и ИТ-инфраструктура, включая потенциальный доступ к персональным данным, хранящимся в таких приложениях, инструментах и системах, и (iii) предоставление услуг по защите данных, мониторингу защиты и услугам по реагированию на инциденты,включая возможный доступ к персональным данным при предоставлении таких услуг защиты. LISTREET может привлекать обработчиков данных, указанных ниже, для предоставления услуг, включая вспомогательные услуги.
LISTREET привлекает внешних и сторонних поставщиков услуг, которые не являются дочерними компаниями LISTREET, для поддержки предоставления услуг экспортеру данных. Экспортер данных утверждает таких внешних сторонних поставщиков услуг в качестве субъединиц, назначенных для обработки данных.
Если подразделение, занимающееся обработкой данных, находится за пределами ЕС/ЕЭЗ, в стране, которая, согласно решению Европейской комиссии, не имеет надлежащего уровня защиты данных, Импортер данных предпримет шаги для получения надлежащего уровня защиты данных. защита данных в соответствии с GDPR и разделом 3.4 (iv) части 1.
Приложение 2, часть 2
Технические и организационные меры защиты
Импортер данных должен принять следующие технические и организационные меры защиты, подтвержденные экспортером данных, чтобы гарантировать надлежащий уровень безопасности прав и свобод физических лиц в зависимости от рисков. При оценке соответствующего уровня защиты Экспортер данных учел, в частности, риски, связанные с обработкой, включая случайное или незаконное уничтожение, изменение, несанкционированное раскрытие или доступ к передаваемым, хранимым или иным образом обрабатываемым персональным данным. Пояснение: эти технические и организационные меры защиты не применяются к приложениям, инструментам, системам и/или ИТ-инфраструктуре, предоставляемым Экспортером данных.
1 Общие технические и организационные меры защиты |
1.1 Общая информация и стратегии защиты данных |
Для соблюдения общих стратегий защиты данных и информации необходимо предпринять следующие шаги: |
|
|
|
|
|
1.2 Организация защиты информации |
Для координации деятельности по защите данных и информации должны быть приняты следующие меры: |
|
|
|
1.3 Контроль доступа в зоны обработки |
Для предотвращения доступа неуполномоченных лиц к системам обработки данных (в частности к программному и аппаратному обеспечению) при обработке, хранении или передаче персональных данных должны быть приняты следующие меры: |
|
|
|
|
1.4 Контроль доступа к системам обработки данных |
Для предотвращения несанкционированного доступа к системам обработки данных необходимо принять следующие меры: |
|
|
|
|
|
|
1.5 Управление доступом к отдельным областям использования систем обработки данных |
Должны быть приняты следующие меры для обеспечения того, чтобы уполномоченные лица, имеющие право на использование системы обработки данных, могли получать доступ к данным только в рамках своих соответствующих обязанностей и разрешений на доступ, и чтобы личные данные не могли быть прочитаны, скопированы, изменены или удалены без разрешения: |
|
|
|
|
|
|
|
1.6 Управление трансмиссией |
Следующие меры должны быть приняты для предотвращения чтения, копирования, изменения или удаления персональных данных неуполномоченными третьими лицами во время передачи или транспортировки устройств хранения данных (в зависимости от предпринятой обработки персональных данных): |
|
|
|
1.7 Контроль ввода данных |
Следующие меры должны быть приняты для обеспечения возможности проверки и определения того, были ли персональные данные введены или удалены из систем обработки данных и кем: |
|
|
1.8 Рабочий контроль |
В случае делегированной обработки персональных данных должны быть приняты следующие меры для обеспечения того, чтобы такие данные обрабатывались в соответствии с инструкциями Надзорного органа: |
|
|
|
|
1.9 Отделение от обработки для других целей |
Необходимо принять следующие меры, чтобы данные, собранные для других целей, можно было обрабатывать отдельно: |
|
|
1.10 Псевдонимизация |
В отношении псевдонимизации персональных данных должны быть приняты следующие меры: |
|
|
1.11 Шифрование |
Для шифрования персональных данных в приложениях и передачах, поддерживающих шифрование, необходимо предпринять следующие шаги:
|
|
|
1.12 Полнота систем и услуг обработки данных |
Для обеспечения полноты систем и услуг обработки данных должны быть приняты следующие меры: |
|
|
|
1.13 Наличие систем и сервисов обработки данных и возможность восстановления доступа и использования персональных данных в случае материально-технического происшествия |
Для обеспечения доступности систем обработки данных, а также для возможности быстрого восстановления доступности и доступа к персональным данным в случае материально-технического происшествия должны быть приняты следующие меры (в частности, путем обеспечения персональные данные защищены от случайного уничтожения или потери): |
|
|
|
|
|
|
|
1.14 Устойчивость систем и сервисов обработки данных |
Для обеспечения отказоустойчивости систем и сервисов обработки данных должны быть приняты следующие меры: |
|
|
|
1.15 Порядок регулярного тестирования, оценки и оценки эффективности технических и организационных мер по обеспечению безопасности обработки данных |
Порядок регулярного тестирования, оценки и оценки эффективности технических и организационных мер по защите обработки данных. |
|
|
|
Часть 3
Подписи сторон и список импортеров данных
Когда вы заполняете форму онлайн-заказа и подтверждаете ее, отмечая поле, принимающее общие положения и условия использования, устанавливается договор, регулирующий отношения между Клиентом и LISTREET.
Отправка платежа в LISTREET будет считаться подписанным и установленным договором.
Обратите внимание: этот текст был переведен с французского. Оригинальная французская версия, которая является действительной и юридически ограничительной, доступна здесь .