Go back

Последнее обновление: [10.12.2025]

Настоящее Дополнение об обработке данных (далее — «DPA») заключается между вами (далее — «Клиент», «вы», «ваш») и BAS-IP DISTRIBUTION LTD (далее — «Компания», «BAS-IP», «мы», «нас» или «наш»), далее именуемыми по отдельности «Сторона» или совместно «Стороны». Настоящее DPA дополняет Положения и условия (далее — «Соглашение»), заключенные между Сторонами.

Настоящее DPA регулирует обработку персональных данных, которые Клиент предоставляет BAS-IP в связи с использованием продуктов и услуг BAS-IP (совместно — «Услуги»), а также любых персональных данных, которые BAS-IP получает в ходе оказания Услуг Клиенту.

Если в настоящем DPA не определено иное, все термины, написанные с заглавной буквы, используемые в настоящем DPA, имеют значения, установленные в Соглашении. Настоящее DPA остается в силе до прекращения действия Соглашения между вами и нами, регулирующего использование вами Услуг. В случае любого противоречия между настоящим DPA и Соглашением, положения настоящего DPA имеют преимущественную силу в отношении обработки персональных данных.

Определения

Для целей настоящего DPA применяются следующие определения:

«Данные Клиента» означают любые персональные данные, которые Клиент загружает, передает или иным образом предоставляет BAS-IP в связи с Услугами, а также любые персональные данные, которые BAS-IP обрабатывает в ходе оказания Услуг.

«Законы о защите данных» означают все применимые законы и нормативные акты, касающиеся обработки Данных Клиента, включая законы Европейского Союза, Европейской экономической зоны и ее государств-членов, Соединенного Королевства, такие как:

• Общий регламент ЕС по защите данных (EU GDPR);
• Общий регламент Великобритании по защите данных (UK GDPR);
• Закон о защите данных 2018 года;
• Закон о данных (использовании и доступе) 2025 года (DUAA);
• любые другие применимые законы и нормативные акты о защите данных в той мере, в какой они применимы к Сторонам и деятельности по обработке в рамках настоящего DPA.

«Механизм передачи данных» означает любой юридически признанный механизм, инструмент или структуру, позволяющую передавать Данные Клиента из одной юрисдикции в другую в соответствии с применимыми Законами о защите данных, включая, помимо прочего, Стандартные договорные условия ЕС и Дополнение Великобритании.

«EU SCCs» означают Стандартные договорные условия ЕС для передачи Данных Клиента в третьи страны в соответствии с Регламентом (ЕС) 2016/679 Европейского парламента и Совета, утвержденные Имплементационным решением Комиссии (ЕС) 2021/914 от 4 июня 2021 года.https://eurlex.europa.eu/eli/dec_impl/2021/914/oj.

«Общий регламент по защите данных (GDPR)» означает Регламент (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 года о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных.

«Международная передача данных» означает любую передачу Данных Клиента из страны, в которой данные собираются, в страну за пределами этой юрисдикции, где применимые Законы о защите данных требуют соответствующих гарантий для такой передачи.

«Государственный орган» означает правительственное учреждение или правоохранительный орган, включая судебные органы.

«Чувствительные данные Клиента» означают Данные Клиента, раскрывающие расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения или членство в профсоюзах, генетические данные или биометрические данные с целью однозначной идентификации физического лица, данные о состоянии здоровья, половой жизни или сексуальной ориентации лица, а также данные, касающиеся уголовных приговоров и правонарушений.

«Услуги» означают услуги, предоставляемые Компанией Клиенту.

«Надзорный орган» означает независимый государственный орган, ответственный за мониторинг применения законодательства о защите данных.

«Технические и организационные меры безопасности» означают меры, направленные на защиту персональных данных от непреднамеренного уничтожения или непреднамеренной потери, изменения, несанкционированного раскрытия или доступа, в частности, когда обработка включает передачу данных по сети, а также от всех других незаконных форм обработки.

«UK GDPR» означает адаптированную версию Общего регламента ЕС по защите данных, являющуюся частью законодательства Великобритании, вместе с любыми поправками, внесенными Законом о защите данных 2018 года и любым другим применимым законодательством Великобритании.

«UK Addendum» означает Дополнение о международной передаче данных к Стандартным договорным условиям ЕС, изданное Уполномоченным по вопросам информации (ICO) для Сторон, осуществляющих Ограниченную передачу в понимании Законов о защите данных Великобритании.https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf.

Термины «контролер» (controller), «процессор» (processor), «субпроцессор» (sub-processor), «субъект данных» (data subject), «персональные данные» (personal data) и «обработка» (processing) имеют значения, определенные в Законах о защите данных.

Роли и обязанности

В случаях, когда BAS-IP обрабатывает Данные Клиента от вашего имени в связи с Услугами, вы признаете и соглашаетесь с тем, что в отношении обработки Данных Клиента вы являетесь контролером или процессором, а мы — процессором или субпроцессором (как определено Законами о защите данных), действующим от вашего имени. Описание такой обработки изложено в Приложении 1 к настоящему DPA. Настоящее DPA применяется соответственно к установленным ролям и не распространяется на ситуации, когда мы действуем как контролер в соответствии с Политикой конфиденциальности BAS-IP.

Если Клиент является процессором, Клиент гарантирует BAS-IP, что инструкции и действия Клиента в отношении персональных данных, включая назначение BAS-IP субпроцессором и, где это применимо, заключение EU SCCs или любых других Дополнений согласно Разделу 9 настоящего DPA, были (и будут в течение срока действия настоящего DPA) санкционированы соответствующим сторонним контролером.

Инструкции

Стороны соглашаются, что настоящее DPA и применимое Соглашение составляют полные и окончательные задокументированные инструкции Клиента относительно обработки Данных Клиента (далее — «Инструкции»), где Клиент действует как контролер или процессор, а BAS-IP действует как процессор или субпроцессор в соответствии с Законами о защите данных.

Любые дополнительные или альтернативные инструкции должны быть согласованы Сторонами в письменной форме и должны соответствовать настоящему DPA и Соглашению.

Описание обработки

Описание обработки Данных Клиента от имени Клиента в связи с Услугами приведено в Приложении 1 к настоящему DPA. Мы оставляем за собой право время от времени обновлять описание обработки, чтобы отразить новые функциональные возможности, являющиеся частью Услуг.

Обязательства Клиента

5.1. Обязательства контролера В рамках DPA, когда Клиент действует как контролер, Клиент несет ответственность за соблюдение всех требований, применимых к Клиенту как к контролеру в соответствии с Законами о защите данных.

Действуя в качестве контролера, вы должны: (a) поддерживать точность, качество, конфиденциальность и безопасность Данных Клиента; (b) соблюдать и выполнять свои обязательства в соответствии с Законами о защите данных, включая права субъектов данных, безопасность данных и конфиденциальность, а также обеспечить наличие надлежащей правовой основы для обработки персональных данных; (c) предоставлять BAS-IP только те Данные Клиента, которые были получены законным путем, и гарантировать, что такие данные являются адекватными, релевантными и соразмерными намеченным целям; (d) гарантировать, что ваши Инструкции для BAS-IP относительно обработки Данных Клиента соответствуют Законам о защите данных, включая принципы минимизации данных, ограничения цели и ограничения хранения.

5.2. Обязательства процессора В рамках DPA, когда Клиент действует как процессор, Клиент несет ответственность за соблюдение всех требований, применимых к Клиенту как к процессору в соответствии с Законами о защите данных.

Действуя в качестве Процессора, вы должны: (a) предоставлять BAS-IP только те инструкции по обработке, которые точно отражают задокументированные инструкции соответствующего контролера; (b) предоставлять BAS-IP только те Данные Клиента, которые были законно получены от соответствующего контролера; (c) сохранять прозрачность с соответствующим контролером в отношении привлечения BAS-IP и любых субпроцессоров; (d) выполнять все обязательства в соответствии с применимыми Законами о защите данных в качестве процессора.

Обязательства BAS-IP

6.1. Общие обязательства Когда BAS-IP действует как процессор/субпроцессор, мы должны: (a) обрабатывать Данные Клиента в соответствии с вашими Инструкциями и исключительно для указанных целей; (b) информировать вас, если, по обоснованному мнению BAS-IP: (i) ваши Инструкции нарушают применимые Законы о защите данных; или (ii) BAS-IP не в состоянии выполнить ваши Инструкции; (c) внедрять и поддерживать соответствующие технические и организационные меры для обеспечения конфиденциальности Данных Клиента; (d) соблюдать все применимые Законы о защите данных; (e) гарантировать через письменные договоры, что любой субпроцессор, привлеченный BAS-IP, подчиняется эквивалентным обязательствам по защите данных; (f) вести точные записи всех действий по обработке, осуществляемых от вашего имени, и предоставлять такие записи вам по запросу; (g) без неоправданной задержки уведомлять вас, если BAS-IP станет известно, что предоставленные вами Данные Клиента являются неточными или устаревшими; (h) применять соответствующие и необходимые гарантии при обработке Чувствительных данных Клиента.

6.2. Уведомления Клиенту Став об этом осведомленными, мы проинформируем вас о любом имеющем обязательную силу запросе Государственного органа на раскрытие Данных Клиента, если только нам не запрещено законом информировать Клиента.

6.3. Конфденциальность Мы не будем получать доступ, использовать или раскрывать третьим лицам любые Данные Клиента, за исключением случаев, когда это необходимо для предоставления Услуг, выполнения договорных и юридических обязательств или обязательного приказа государственного органа.

6.4. Меры безопасности Мы внедрим и будем поддерживать соответствующие технические и организационные меры для защиты Данных Клиента от любых утечек данных (далее — «Инциденты безопасности») в соответствии с нашими стандартами безопасности, изложенными в Приложении 2.

6.5. Инцидент безопасности Став осведомленными об Инциденте безопасности, мы:

• уведомим вас без неоправданной задержки;
• предоставим своевременную информацию о характере инцидента;
• незамедлительно предпримем разумные шаги для локализации и расследования инцидента.

6.6. Возврат или удаление Данных Клиента После прекращения действия Соглашения мы удалим или вернем все Данные Клиента, находящиеся в нашем владении, за исключением случаев, когда применимое законодательство требует их сохранения.

6.7. Разумное содействие Мы соглашаемся оказывать разумное содействие Клиенту в отношении запросов субъектов данных, расследования Инцидентов безопасности и подготовки оценки воздействия на защиту данных (DPIA).

6.8. Аудит и сертификация Клієнт может проводить аудит технических и организационных мер, принятых нами, при условии заблаговременного согласования и проведения в рабочее время. Клієнт несет ответственность за все расходы, связанные с таким аудитом.

Запросы субъектов данных

В случае, если субъект данных обратится к нам по поводу осуществления своих прав, мы приложим все разумные усилия, чтобы переслать такие запросы вам. Если мы по закону обязаны ответить на такой запрос, мы немедленно уведомим вас об этом.

Субпроцессоры

BAS-IP имеет общее письменное разрешение от Клиента на привлечение субпроцессоров из согласованного списка. BAS-IP обязуется информировать Клиента о любых намеренных изменениях в этом списке не менее чем за 10 дней до привлечения нового субпроцессора, тем самым давая Клиенту возможность возразить. Список согласованных субпроцессоров приведен в Приложении 3.

Передача Данных Клиента

9.1. Общие положения Вы признаете, что использование Услуг BAS-IP может повлечь за собой передачу Данных Клиента в другие юрисдикции. В таких случаях используются применимые Механизмы передачи данных, такие как EU SCCs и UK Addendum.

9.2. Передача в соответствии с GDPR Когда обработка Данных Клиента представляет собой «передачу» в соответствии с GDPR, применяются Стандартные договорные условия. Если вы контролер, а мы процессор — применяется Модуль 2; если вы процессор, а мы субпроцессор — Модуль 3. BAS-IP является «Импортером данных», вы — «Экспортером данных». Условия регулируются законодательством ФРГ.

9.3. Передача в соответствии с законодательством Великобритании В случаях «ограниченной передачи» в соответствии с законами Великобритании применяется UK Addendum.

ПРИЛОЖЕНИЕ 1 — ОПИСАНИЕ ОБРАБОТКИ

СПИСОК СТОРОН

• Клиент (Экспортер данных): Информация содержится в учетной записи Клиента. Роль: контролер или процессор.
• BAS-IP DISTRIBUTION LTD (Импортер данных): Crown House 27 Old Gloucester Street, London, England. Роль: процессор или субпроцессор.

ОПИСАНИЕ ПЕРЕДАЧИ

• Категории субъектов данных: Клиенты Клиента; иные лица, чьи данные передаются в ходе оказания Услуг.
• Категории персональных данных: Данные, связанные с Клиентами Клиента; иные данные, передаваемые в ходе оказания Услуг.
• Чувствительные данные: Импортер может получить доступ к чувствительным данным только если они предоставлены Клиентом и исключительно в объеме, необходимом для оказания Услуг.
• Характер обработки: Сбор, запись, организация, структурирование, хранение, адаптация, изменение, поиск, использование, раскрытие, ограничение, удаление.
• Цель: Выполнение услуг для Экспортера данных по Соглашению.
• Срок хранения: В течение срока действия настоящего DPA, если иное не предусмотрено законом.

ПРИЛОЖЕНИЕ 2 — ТЕХНИЧЕСКИЕ И ОРГАНИЗАЦИОННЫЕ МЕРЫ

BAS-IP обязуется обеспечивать конфиденциальность, целостность и доступность данных путем:

1. Внедрения внутренних политик информационной безопасности.
2. Предоставления доступа к данным только авторизованному персоналу по принципу «необходимости знать» (need-to-know).
3. Использования ролевого управления доступом (RBAC).
4. Регулярного пересмотра процедур безопасности.
5. Мониторинга мер безопасности у поставщиков услуг.
6. Защиты данных во время передачи.
7. Применения мер для локализации инцидентов безопасности.

ПРИЛОЖЕНИЕ 3 — СУБПРОЦЕССОРЫ

Контролер разрешил использование следующих субпроцессоров:

Субпроцессор 1

Название: Hetzner Online GmbH / Hetzner Finland Oy

Адрес: Industriestr. 25, 91710 Gunzenhausen, Germany / Huurrekuja 10, 04360 Tuusula (Helsinki / Tuusula), Finland

Имя, должность и контактные данные контактного лица: [email protected]

Описание обработки: хостинг данных на серверах Hetzner Online GmbH / Hetzner Finland Oy

Субпроцессор 2

Название: DigitalOcean, LLC

Адрес: 105 Edgeview Drive, Ste. 425, Broomfield, CO 80021, United States

Имя, должность и контактные данные контактного лица: [email protected]

Описание обработки: хостинг данных на серверах DigitalOcean, LLC