Go back

Останнє оновлення: [10.12.2025]

Цей Додаток про обробку даних (надалі — «DPA») укладений між вами (надалі — «Клієнт», «ви», «ваш») та BAS-IP DISTRIBUTION LTD (надалі — «Компанія», «BAS-IP», «ми», «нас» або «наш»), які надалі іменуються окремо як «Сторона» або разом як «Сторони». Цей DPA доповнює Положення та умови (надалі — «Угода»), укладені між Сторонами.

Цей DPA регулює обробку персональних даних, які Клієнт надає BAS-IP у зв’язку з використанням продуктів і послуг BAS-IP (разом — «Послуги»), а також будь-яких персональних даних, які BAS-IP отримує в процесі надання Послуг Клієнту.

Якщо в цьому DPA не визначено інше, всі терміни, написані з великої літери, що використовуються в цьому DPA, мають значення, визначені в Угоді. Цей DPA залишається чинним до моменту припинення дії Угоди між вами та нами, що регулює використання вами Послуг. У разі будь-якого конфлікту між цим DPA та Угодою, положення цього DPA мають переважну силу щодо обробки персональних даних.

1. Визначення

Для цілей цього DPA застосовуються такі визначення:

«Дані Клієнта» означає будь-які персональні дані, які Клієнт завантажує, передає або іншим чином надає BAS-IP у зв’язку з Послугами, а також будь-які персональні дані, які BAS-IP обробляє в процесі надання Послуг.

«Закони про захист даних» означає всі чинні закони та нормативні акти, що стосуються обробки Даних Клієнта, включаючи закони Європейського Союзу, Європейської економічної зони та її держав-членів, Сполученого Королівства, зокрема:

• Загальний регламент ЄС про захист даних (EU GDPR);
• Загальний регламент Великобританії про захист даних (UK GDPR);
• Закон про захист даних 2018 року;
• Закон про дані (використання та доступ) 2025 року (DUAA);
• будь-які інші чинні закони та нормативні акти про захист даних у тій мірі, в якій вони застосовуються до Сторін та діяльності з обробки за цим DPA.

«Механізм передачі даних» означає будь-який юридично визнаний механізм, інструмент або структуру, що дозволяє передавати Дані Клієнта з однієї юрисдикції в іншу відповідно до чинних Законів про захист даних, включаючи, без обмежень, Стандартні договірні застереження ЄС та Додаток Великобританії.

«EU SCCs» означає Стандартні договірні застереження ЄС для передачі Даних Клієнта до третіх країн відповідно до Регламенту (ЄС) 2016/679 Європейського Парламенту та Ради, затверджені Імплементаційним рішенням Комісії (ЄС) 2021/914 від 4 червня 2021 року. https://eurlex.europa.eu/eli/dec_impl/2021/914/oj

«Загальний регламент про захист даних (GDPR)» означає Регламент (ЄС) 2016/679 Європейського Парламенту та Ради від 27 квітня 2016 року про захист фізичних осіб щодо обробки персональних даних і про вільний рух таких даних.

«Міжнародна передача даних» означає будь-яку передачу Даних Клієнта з країни, в якій дані збираються, до країни за межами цієї юрисдикції, де чинні Закони про захист даних вимагають відповідних гарантій для такої передачі.

«Державний орган» означає державну установу або правоохоронний орган, включаючи судові органи.

«Чутливі дані Клієнта» означає Дані Клієнта, що розкривають расове або етнічне походження, політичні погляди, релігійні або філософські переконання або членство в профспілках, генетичні дані або біометричні дані з метою однозначної ідентифікації фізичної особи, дані про стан здоров’я, статеве життя або сексуальну орієнтацію особи, а також дані, що стосуються кримінальних вироків та правопорушень.

«Послуги» означає послуги, що надаються Компанією Клієнту.

«Орган нагляду» означає незалежний державний орган, відповідальний за моніторинг застосування законодавства про захист даних.

«Технічні та організаційні заходи безпеки» означає заходи, спрямовані на захист персональних даних від ненавмисного знищення або ненавмисної втрати, зміни, несанкціонованого розкриття або доступу, зокрема, якщо обробка передбачає передачу даних через мережу, а також від усіх інших незаконних форм обробки.

«UK GDPR» означає адаптовану версію Загального регламенту ЄС про захист даних, що є частиною законодавства Великобританії, разом із будь-якими поправками, внесеними Законом про захист даних 2018 року та будь-яким іншим чинним законодавством Великобританії.

«UK Addendum» означає Додаток про міжнародну передачу даних до Стандартних договірних застережень ЄС, виданий Уповноваженим з питань інформації (ICO) для Сторін, що здійснюють Обмежену передачу в розумінні Законів про захист даних Великобританії. https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf.

Терміни «контролер» (controller), «процесор» (processor), «субпроцесор» (sub-processor), «суб’єкт даних» (data subject), «персональні дані» (personal data) та «обробка» (processing) мають значення, визначені в Законах про захист даних.

2. Ролі та обов’язки

У випадках, коли BAS-IP обробляє Дані Клієнта від вашого імені у зв’язку з Послугами, ви визнаєте та погоджуєтеся з тим, що стосовно обробки Даних Клієнта ви є контролером або процесором, а ми — процесором або субпроцесором (як визначено Законами про захист даних), що діє від вашого імені. Опис такої обробки викладено в Додатку 1 до цього DPA. Цей DPA застосовується відповідно до встановлених ролей і не поширюється на ситуації, коли ми діємо як контролер відповідно до Політики конфіденційності BAS-IP.

Якщо Клієнт є процесором, Клієнт гарантує BAS-IP, що інструкції та дії Клієнта щодо персональних даних, включаючи призначення BAS-IP субпроцесором та, де це застосовно, укладення EU SCCs або будь-яких інших Додатків згідно з Розділом 9 цього DPA, були (і будуть протягом терміну дії цього DPA) санкціоновані відповідним стороннім контролером.

3. Інструкції

Сторони погоджуються, що цей DPA та відповідна Угода складають повні та остаточні задокументовані інструкції Клієнта щодо обробки Даних Клієнта (надалі — «Інструкції»), де Клієнт діє як контролер або процесор, а BAS-IP діє як процесор або субпроцесор згідно із Законами про захист даних.

Будь-які додаткові або альтернативні інструкції повинні бути узгоджені Сторонами письмово та відповідати цьому DPA та Угоді.

4. Опис обробки

Опис обробки Даних Клієнта від імені Клієнта у зв’язку з Послугами міститься в Додатку 1 до цього DPA. Ми залишаємо за собою право час від часу оновлювати опис обробки, щоб відобразити нові функції, що є частиною Послуг.

5. Зобов’язання Клієнта

5.1. Зобов’язання контролера У межах дії DPA, коли Клієнт діє як контролер, Клієнт несе відповідальність за дотримання всіх вимог, що застосовуються до Клієнта як до контролера згідно із Законами про захист даних.

Діючи як контролер, ви повинні: (a) підтримувати точність, якість, конфіденційність та безпеку Даних Клієнта; (b) дотримуватися та виконувати свої зобов’язання згідно із Законами про захист даних, зокрема щодо прав суб’єктів даних, безпеки даних та конфіденційності, а також забезпечити наявність відповідної правової бази для обробки персональних даних; (c) надавати BAS-IP лише ті Дані Клієнта, які були отримані законним шляхом, і гарантувати, що такі дані є адекватними, релевантними та пропорційними цілям; (d) гарантувати, що ваші Інструкції для BAS-IP щодо обробки Даних Клієнта відповідають Законам про захист даних, включаючи принципи мінімізації даних, обмеження мети та обмеження зберігання.

5.2. Зобов’язання процесора У межах дії DPA, коли Клієнт діє як процесор, Клієнт несе відповідальність за дотримання всіх вимог, що застосовуються до Клієнта як до процесора згідно із Законами про захист даних.

Діючи як Процесор, ви повинні: (a) надавати BAS-IP лише ті інструкції з обробки, які точно відображають задокументовані інструкції відповідного контролера; (b) надавати BAS-IP лише ті Дані Клієнта, які були законно отримані від відповідного контролера; (c) зберігати прозорість з відповідним контролером щодо залучення BAS-IP та будь-яких субпроцесорів; (d) виконувати всі зобов’язання згідно з чинними Законами про захист даних у якості процесора.

6. Зобов’язання BAS-IP

6.1. Загальні зобов’язання Коли BAS-IP діє як процесор/субпроцесор, ми повинні: (a) обробляти Дані Клієнта відповідно до ваших Інструкцій та виключно для зазначених цілей; (b) інформувати вас, якщо, на обґрунтовану думку BAS-IP: (i) ваші Інструкції порушують або можуть порушити чинні Закони про захист даних; або (ii) BAS-IP не в змозі виконати ваші Інструкції; (c) впроваджувати та підтримувати відповідні технічні та організаційні заходи для забезпечення конфіденційності Даних Клієнта; (d) дотримуватися всіх чинних Законів про захист даних; (e) гарантувати через письмові договори, що будь-який субпроцесор, залучений BAS-IP, підпорядковується еквівалентним зобов’язанням щодо захисту даних; (f) вести точні записи всіх дій з обробки, що здійснюються від вашого імені, і надавати такі записи вам за запитом; (g) без невиправданої затримки повідомляти вас, якщо BAS-IP стане відомо, що будь-які надані вами Дані Клієнта є неточними або застарілими; (h) застосовувати відповідні та необхідні гарантії при обробці Чутливих даних Клієнта.

6.2. Повідомлення Клієнту Після виявлення ми повинні інформувати вас про будь-який юридично обов’язковий запит на розкриття Даних Клієнта Державним органом, якщо законом не заборонено інформувати Клієнта.

6.3. Конфіденційність Ми не будемо отримувати доступ до Даних Клієнта, використовувати або розкривати їх третім особам, за винятком випадків, коли це необхідно для надання Послуг, виконання договірних і юридичних зобов’язань або обов’язкового наказу державного органу.

6.4. Заходи безпеки Ми впроваджуємо та підтримуємо відповідні технічні та організаційні заходи для захисту Даних Клієнта від будь-яких порушень безпеки (надалі — «Інциденти безпеки») відповідно до наших стандартів безпеки, викладених у Додатку 2.

6.5. Інцидент безпеки Ставши обізнаними про Інцидент безпеки, ми зобов’язуємося:

• повідомити вас без невиправданої затримки;
• надавати своєчасну інформацію про характер інциденту;
• негайно вжити обґрунтованих заходів для локалізації та розслідування інциденту.

6.6. Повернення або видалення Даних Клієнта Після припинення дії Угоди ми видалимо або повернемо всі Дані Клієнта, що перебувають у нашому володінні, за винятком випадків, коли чинне законодавство вимагає їх зберігання.

6.7. Обґрунтована допомога Ми погоджуємося надавати обґрунтовану допомогу Клієнту щодо запитів суб’єктів даних, розслідування Інцидентів безпеки та підготовки оцінок впливу на захист даних (DPIA).

6.8. Аудит і сертифікація Клієнт має право проводити аудит технічних та організаційних заходів, вжитих нами, за умови завчасного узгодження та проведення в робочий час. Клієнт несе відповідальність за всі витрати та збори, пов’язані з таким аудитом.

7. Запити суб’єктів даних

Якщо суб’єкт даних звернеться безпосередньо до нас для реалізації своїх прав (доступу, виправлення або видалення), ми докладемо обґрунтованих зусиль, щоб переслати цей запит вам.

8. Субпроцесори

BAS-IP має загальний письмовий дозвіл від Клієнта на залучення субпроцесорів з узгодженого списку. BAS-IP зобов’язується інформувати Клієнта про будь-які наміри змінити цей список (додати або замінити субпроцесора) щонайменше за 10 днів до залучення відповідного субпроцесора, надаючи Клієнту можливість заперечити. Список узгоджених субпроцесорів наведено в Додатку 3.

9. Передача Даних Клієнта

9.1. Загальні положення Ви визнаєте, що використання Послуг може передбачати передачу Даних Клієнта в інші юрисдикції. У таких випадках використовуються Стандартні договірні застереження ЄС (EU SCCs) та Додаток Великобританії (UK Addendum).

9.2. Передача згідно з GDPR При передачі даних згідно з GDPR застосовуються EU SCCs: Модуль 2 (якщо ви контролер, а ми процесор) або Модуль 3 (якщо ви процесор, а ми субпроцесор). BAS-IP є «Імпортером даних», ви — «Експортером даних». Договір регулюється законодавством ФРН.

9.3. Передача згідно із законодавством Великобританії Застосовується UK Addendum разом із відповідними модулями EU SCCs.

ДОДАТОК 1 — ОПИС ОБРОБКИ

ПЕРЕЛІК СТОРІН

• Клієнт (Експортер даних): Дані містяться в обліковому записі Клієнта. Роль: контролер або процесор.
• BAS-IP DISTRIBUTION LTD (Імпортер даних): Crown House 27 Old Gloucester Street, London, England. Роль: процесор або субпроцесор.

ОПИС ПЕРЕДАЧІ

• Категорії суб’єктів даних: Клієнти Клієнта; інші особи, чиї дані передаються під час надання Послуг.
• Категорії персональних даних: Дані, пов’язані з Клієнтами Клієнта; інші дані, що передаються в процесі надання Послуг.
• Чутливі дані: Тільки в обсязі, необхідному для надання Послуг, із застосуванням заходів безпеки згідно з Додатком 2.
• Характер обробки: Збір, запис, організація, структурування, зберігання, адаптація, зміна, пошук, консультація, використання, розкриття, обмеження, видалення.
• Мета: Виконання послуг за Угодою.
• Термін зберігання: Протягом терміну дії цього DPA, якщо інше не вимагається законом.

ДОДАТОК 2 — ТЕХНІЧНІ ТА ОРГАНІЗАЦІЙНІ ЗАХОДИ

BAS-IP зобов’язується забезпечувати конфіденційність, цілісність та доступність даних шляхом:

1. Впровадження внутрішніх політик інформаційної безпеки.
2. Надання доступу до даних лише авторизованому персоналу за принципом «необхідності знання» (need-to-know).
3. Використання рольового управління доступом (RBAC).
4. Регулярного перегляду процедур безпеки.
5. Моніторингу заходів безпеки у постачальників послуг.
6. Захисту даних під час передачі.
7. Вжиття заходів для локалізації інцидентів безпеки.

ДОДАТОК 3 — СУБПРОЦЕСОРИ

Контролер дозволив використання наступних субпроцесорів:

Субпроцесор 1

• Назва: Hetzner Online GmbH / Hetzner Finland Oy
• Адреса: Industriestr. 25, 91710 Gunzenhausen, Germany / Huurrekuja 10, 04360 Tuusula (Helsinki / Tuusula), Finland
• ПІБ, посада та контактні дані контактної особи: [email protected]
• Опис обробки: хостинг даних на серверах Hetzner Online GmbH / Hetzner Finland Oy

Субпроцесор 2

• Назва: DigitalOcean, LLC
• Адреса: 105 Edgeview Drive, Ste. 425, Broomfield, CO 80021, United States
• ПІБ, посада та контактні дані контактної особи: [email protected]
• Опис обробки: хостинг даних на серверах DigitalOcean, LLC