Skip to Content
Go back
BAS-IP / ДОПОЛНЕНИЕ ОБ ОБРАБОТКЕ ДАННЫХ

Последнее обновление: [10.12.2025]

Настоящее Дополнение об обработке данных (далее — «DPA») заключается между вами (далее — «Клиент», «вы», «ваш») и компанией BAS-IP DISTRIBUTION LTD (далее — «Компания», «BAS-IP», «мы», «нас» или «наш»), далее именуемыми по отдельности «Сторона» или совместно «Стороны». Настоящее DPA дополняет Условия и положения (далее — «Соглашение»), заключенные между Сторонами.

Настоящее DPA регулирует обработку персональных данных, которые Клиент предоставляет BAS-IP в связи с использованием продуктов и услуг BAS-IP (совместно — «Услуги»), а также любых персональных данных, которые BAS-IP получает в ходе оказания Услуг Клиенту.

Если в настоящем DPA не определено иное, все термины, написанные с заглавной буквы, используемые в настоящем DPA, имеют значения, установленные в Соглашении. Настоящее DPA остается в силе до прекращения действия Соглашения между вами и нами, регулирующего использование вами Услуг. В случае любого конфликта между настоящим DPA и Соглашением, положения настоящего DPA имеют преимущественную силу в отношении обработки персональных данных.

1. Определения

Для целей настоящего DPA применяются следующие определения:

«Данные Клиента» означают любые персональные данные, которые Клиент загружает, передает или иным образом предоставляет BAS-IP в связи с Услугами, а также любые персональные данные, которые BAS-IP обрабатывает в ходе оказания Услуг.

«Законы о защите данных» означают все применимые законы и нормативные акты, касающиеся обработки Данных Клиента, включая законы Европейского союза, Европейской экономической зоны и ее государств-членов, Соединенного Королевства, такие как:

  • Общий регламент ЕС по защите данных (EU GDPR);
  • Общий регламент Великобритании по защите данных (UK GDPR);
  • Закон о защите данных 2018 года (Data Protection Act 2018);
  • Закон о данных (использовании и доступе) 2025 года (DUAA);
  • любые другие применимые законы и нормативные акты о защите данных в той мере, в какой они применимы к Сторонам и деятельности по обработке в рамках настоящего DPA.

«Механизм передачи данных» означает любой юридически признанный механизм, инструмент или структуру, позволяющую передавать Данные Клиента из одной юрисдикции в другую в соответствии с применимыми Законами о защите данных, включая, помимо прочего, Стандартные договорные условия ЕС и Дополнение Великобритании (UK Addendum).

«EU SCCs» означают Стандартные договорные условия ЕС для передачи Данных Клиента в третьи страны в соответствии с Регламентом (ЕС) 2016/679 Европейского парламента и Совета, утвержденные Имплементационным решением Европейской комиссии (ЕС) 2021/914 от 4 июня 2021 года. https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj

«Общий регламент по защите данных (GDPR)» означает Регламент (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 года о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных, а также об отмене Директивы 95/46/EC.

«Международная передача данных» означает любую передачу Данных Клиента из страны, в которой данные собираются, в страну за пределами этой юрисдикции, где применимые Законы о защите данных требуют соответствующих гарантий для такой передачи.

«Государственный орган» означает правительственное учреждение или правоохранительный орган, включая судебные органы.

«Чувствительные данные Клиента» означают Данные Клиента, раскрывающие расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения или членство в профсоюзе, генетические данные или биометрические данные с целью однозначной идентификации физического лица, данные, касающиеся здоровья, половой жизни или сексуальной ориентации человека, а также данные, касающиеся уголовных приговоров и правонарушений.

«Услуги» означают услуги, предоставляемые Компанией Клиенту.

«Надзорный орган» означает независимый государственный орган, ответственный за мониторинг применения законодательства о защите данных.

«Технические и организационные меры безопасности» означают меры, направленные на защиту персональных данных от непреднамеренного уничтожения или непреднамеренной потери, изменения, несанкционированного раскрытия или доступа, в частности, когда обработка включает передачу данных по сети, а также от всех других незаконных форм обработки.

«UK GDPR» означает сохраненную версию Общего регламента ЕС по защите данных, которая является частью законодательства Великобритании, вместе с любыми поправками, внесенными Законом о защите данных 2018 года и любым другим применимым законодательством Великобритании, регулирующим обработку персональных данных.

«UK Addendum» означает Дополнение о международной передаче данных к Стандартным договорным условиям ЕС, которое было издано Уполномоченным по информации для Сторон, осуществляющих Ограниченную передачу в смысле Законов Великобритании о защите данных. https://ico.org.uk/media2/migrated/4019539/international-data-transfer-addendum.pdf

Термины «контролер», «обработчик», «субобработчик», «субъект данных», «персональные данные» и «обработка» имеют значения, данные в Законах о защите данных.

2. Роли и обязанности

В случаях, когда BAS-IP обрабатывает Данные Клиента от вашего имени в связи с Услугами, вы признаете и соглашаетесь с тем, что в отношении обработки Данных Клиента вы являетесь контролером или обработчиком, а мы являемся обработчиком или субобработчиком (как определено Законами о защите данных), действующим от вашего имени. Описание такой обработки изложено в Приложении 1 к настоящему DPA. Настоящее DPA применяется соответственно к установленным ролям и не применяется к ситуациям, когда мы действуем в качестве контролера в соответствии с Политикой конфиденциальности BAS-IP.

Если Клиент является обработчиком, Клиент гарантирует BAS-IP, что инструкции и действия Клиента в отношении персональных данных, включая назначение BAS-IP субобработчиком и, где это применимо, заключение EU SCCs или любых других Дополнений в соответствии с Разделом 9 настоящего DPA, были (и будут в течение всего срока действия настоящего DPA) санкционированы соответствующим сторонним контролером.

3. Инструкции

Стороны соглашаются, что настоящее DPA и применимое Соглашение представляют собой полные и окончательные задокументированные инструкции Клиента относительно обработки Данных Клиента (далее — «Инструкции»), когда Клиент действует в качестве контролера или обработчика, а BAS-IP действует в качестве обработчика или субобработчика в соответствии с Законами о защите данных.

Любые дополнительные или альтернативные инструкции должны быть согласованы Сторонами в письменной форме и должны соответствовать настоящему DPA и Соглашению.

4. Описание обработки

Обработка Данных Клиента от имени Клиента в связи с Услугами описана в Приложении 1 к настоящему DPA. Мы оставляем за собой право время от времени обновлять описание обработки, чтобы отразить новые функциональные возможности, являющиеся частью Услуг.

5. Обязательства Клиента

5.1. Обязательства контролера В рамках DPA, когда Клиент действует в качестве контролера, Клиент несет ответственность за соблюдение всех требований, применимых к Клиенту как к контролеру в соответствии с Законами о защите данных. Действуя в качестве контролера, вы должны: (a) обеспечивать точность, качество, конфиденциальность и безопасность Данных Клиента; (b) соблюдать и выполнять свои обязательства в соответствии с Законами о защите данных, в том числе в отношении прав субъектов данных, безопасности данных и конфиденциальности, а также обеспечивать наличие надлежащей правовой основы для обработки персональных данных; (c) предоставлять BAS-IP только те Данные Клиента, которые были получены законным путем, и гарантировать, что такие данные являются адекватными, релевантными и соразмерными намеченным целям; (d) гарантировать, что ваши Инструкции для BAS-IP относительно обработки Данных Клиента соответствуют Законам о защите данных, включая принципы минимизации данных, ограничения цели и ограничения хранения.

5.2. Обязательства обработчика В рамках DPA, когда Клиент действует в качестве обработчика, Клиент несет ответственность за соблюдение всех требований, применимых к Клиенту как к обработчику в соответствии с Законами о защите данных. Действуя в качестве Обработчика, вы должны: (a) предоставлять BAS-IP только такие инструкции по обработке, которые точно отражают задокументированные инструкции соответствующего контролера; (b) предоставлять BAS-IP только те Данные Клиента, которые были законно получены от соответствующего контролера и которые являются адекватными, релевантными и ограничиваются тем, что необходимо для разрешенных целей; (c) сохранять прозрачность перед соответствующим контролером в отношении привлечения BAS-IP и любых субобработчиков; (d) соблюдать все обязательства в соответствии с применимыми Законами о защите данных в качестве обработчика; (e) гарантировать, что ваш персонал или любая третья сторона, имеющая доступ к Данным Клиента, соблюдают настоящее DPA и Соглашение.

6. Обязательства BAS-IP

6.1. Общие обязательства Когда BAS-IP действует в качестве обработчика/субобработчика, мы должны: (a) обрабатывать Данные Клиента в соответствии с вашими Инструкциями и исключительно для указанных целей; (b) информировать вас, если, по обоснованному мнению BAS-IP: (i) ваши Инструкции нарушают или могут нарушить применимые Законы о защите данных; или (ii) BAS-IP не может выполнить ваши Инструкции; (c) внедрять и поддерживать соответствующие технические и организационные меры для обеспечения конфиденциальности Данных Клиента; (d) соблюдать все применимые Законы о защите данных, включая обязательства, связанные с правами субъектов данных, безопасностью данных и конфиденциальностью; (e) обеспечивать посредством письменных контрактов или других юридически обязывающих средств, чтобы любой субобработчик, привлеченный для обработки Данных Клиента от имени BAS-IP, нес эквивалентные обязательства по защите данных, изложенные в настоящем DPA и Соглашении; (f) вести точный учет всех операций по обработке, осуществляемых от вашего имени в рамках настоящего DPA, и предоставлять такие записи вам по запросу; (g) без неоправданной задержки уведомлять вас, если BAS-IP станет известно, что любые предоставленные вами Данные Клиента являются неточными, неполными или устаревшими; (g) применять соответствующие и необходимые гарантии или ограничения при обработке Чувствительных данных Клиента, как того требуют Законы о защите данных или Инструкции; (h) предоставлять вам всю информацию, разумно необходимую для подтверждения соблюдения BAS-IP своих обязательств в соответствии с применимыми Законами о защите данных.

6.2. Уведомления Клиенту Став осведомленными, мы проинформируем вас о любом юридически обязывающем запросе на раскрытие Данных Клиента со стороны Государственного органа, если нам не запрещено законом информировать Клиента (например, для сохранения конфиденциальности расследования Государственным органом). Мы проинформируем вас, если BAS-IP станет известно о любом уведомлении, запросе или расследовании со стороны Надзорного органа в отношении обработки Данных Клиента в рамках настоящего DPA.

6.3. Конфденциальность Мы не будем получать доступ, использовать или раскрывать третьим лицам любые Данные Клиента, за исключением случаев, когда это необходимо для поддержки или предоставления Услуг, или когда это необходимо для соблюдения договорных и юридических обязательств или обязательного распоряжения государственного органа (такого как повестка в суд или судебный приказ). Мы гарантируем, что любой сотрудник/подрядчик, которого мы уполномочиваем иметь доступ к Данным Клиента от нашего имени, связан соответствующими договорными или установленными законом обязательствами по соблюдению конфиденциальности в отношении Данных Клиента.

6.4. Меры безопасности Мы внедрим и будем поддерживать соответствующие технические и организационные меры для защиты Данных Клиента от любых утечек данных, таких как фактическое или предполагаемое случайное или незаконное уничтожение, потеря, изменение, несанкционированное раскрытие или доступ к Данным Клиента (далее — «Инциденты безопасности») в соответствии с нашими стандартами безопасности, изложенными в Приложении 2 к настоящему DPA. Вы признаете, что меры безопасности подвержены техническому прогрессу, поэтому мы можем изменять или обновлять Приложение 2 к настоящему DPA по нашему собственному усмотрению, при условии, что такое изменение или обновление не приведет к существенному ухудшению мер безопасности, предлагаемых Приложением 2.

6.5. Инцидент безопасности Став осведомленными об Инциденте безопасности, мы:

  • уведомим вас без неоправданной задержки после того, как нам станет известно об Инциденте безопасности;
  • будем предоставлять своевременную информацию, касающуюся Инцидента безопасности (тип персональных данных, категории и потенциальное количество затронутых лиц или записей), по мере ее поступления или по вашему разумному запросу; и
  • незамедлительно предпримем разумные шаги для локализации и расследования любого Инцидента безопасности, чтобы вы могли уведомить компетентные органы и/или затронутых Субъектов данных об Инциденте безопасности. Наше уведомление об Инциденте безопасности или реагирование на него не должно толковаться как признание нами какой-либо вины или ответственности в отношении Инцидента безопасности.

6.6. Возврат или удаление Данных Клиента После прекращения действия или истечения срока действия Соглашения, заключенного между вами и нами, мы удалим или вернем все Данные Клиента, находящиеся в нашем владении или под нашим контролем. Это требование не применяется в той мере, в какой мы обязаны в соответствии с применимым законодательством или соответствующими договорными обязательствами сохранять некоторые или все Данные Клиента.

6.7. Разумная помощь Мы соглашаемся оказывать разумную помощь Клиенту в отношении: (a) любого запроса от субъекта данных в отношении доступа, исправления, удаления, ограничения, переносимости или блокировки Данных Клиента, которые мы обрабатываем от имени Клиента. В случае если субъект данных направляет такой запрос напрямую нам, применяется Раздел 7 настоящего DPA; (b) расследования Инцидента безопасности и передачи необходимых уведомлений о таких Инцидентах безопасности в соответствии с Разделом 6.5 настоящего DPA; (c) подготовки оценок воздействия на защиту данных («DPIA») и, при необходимости, проведения консультаций Клиента с Надзорным органом в соответствии со статьями 35 и 36 GDPR.

6.8. Аудит и сертификация 6.8.1. Аудит Надзорного органа Если Надзорный орган потребует проведения аудита наших мощностей по обработке данных, которые мы используем для обработки Данных Клиента, чтобы установить или проконтролировать соблюдение Клиентом Законов о защите данных, мы будем сотрудничать с аудитом. Клиент несет ответственность за все расходы и сборы, связанные с таким аудитом.

6.8.2. Аудиты Клиент может до начала обработки и через регулярные промежутки времени проводить аудит принятых нами технических и организационных мер. Мы можем предоставить Клиенту всю информацию, необходимую для подтверждения соблюдения обязательств, изложенных в Статье 28 GDPR, и разрешить проведение аудитов, включая инспекции, проводимые Клиентом или другим аудитором, уполномоченным Клиентом.

7. Запросы субъектов данных

В случае если субъект данных свяжется с нами по поводу осуществления своих прав в соответствии с Законами о защите данных, мы приложим все разумные усилия, чтобы переслать такие запросы вам. Если мы по закону обязаны ответить на такой запрос, мы немедленно уведомим вас и предоставим вам копию запроса.

8. Субобработчики

BAS-IP имеет общее письменное разрешение от Клиента на привлечение субобработчиков из согласованного списка. BAS-IP обязуется информировать Клиента о любых планируемых изменениях в этом списке по крайней мере за 10 дней до привлечения соответствующего субобработчика, тем самым предоставляя Клиенту возможность возразить против таких изменений. Согласованный список субобработчиков изложен в Приложении 3 к настоящему DPA.

9. Передача Данных Клиента

9.1. Общие положения Вы признаете и соглашаетесь с тем, что использование Услуг BAS-IP может быть связано с передачей Данных Клиента в другие юрисдикции в соответствии с применимыми Законами о защите данных. В тех случаях, когда такая передача требует соответствующих гарантий, должны использоваться применимые Механизмы передачи данных, такие как EU SCCs и UK Addendum.

9.2. Передача в соответствии с GDPR Когда обработка Данных Клиента от вашего имени составляет «передачу» в соответствии с GDPR, применяются Стандартные договорные условия. Если вы являетесь контролером, а мы — обработчиком, применяется Модуль 2 (Module Two). Если вы являетесь обработчиком, а мы — субобработчиком, применяется Модуль 3 (Module Three). Для целей EU SCCs BAS-IP является «Импортером данных», а вы — «Экспортером данных».

9.3. Передача в рамках законодательства Великобритании о защите данных Когда обработка Данных Клиента составляет «ограниченную передачу» в соответствии с Законами Великобритании о защите данных, применяется UK Addendum. Для целей UK Addendum BAS-IP является «Импортером», а вы — «Экспортером».

ПРИЛОЖЕНИЕ 1 — ОПИСАНИЕ ОБРАБОТКИ

СПИСОК СТОРОН Клиент (Экспортер данных) Имя:

Вы, «Клиент» Адрес: соответствующая информация содержится в учетной записи Клиента. Роль: контролер или обработчик

BAS-IP DISTRIBUTION LTD (Импортер данных) Название:

BAS-IP DISTRIBUTION LTD Адрес: Crown House 27 Old Gloucester Street, London, England Роль: обработчик или субобработчик

ОПИСАНИЕ ПЕРЕДАЧИ

Категории субъектов данных: Клиенты Клиента; иные субъекты данных, чьи персональные данные передаются в ходе оказания Услуг.

Категории передаваемых персональных данных: персональные данные, относящиеся к Клиентам Клиента; иные персональные данные, которые могут быть переданы в ходе оказания Услуг.

Природа обработки: сбор, запись, организация, хранение, изменение, использование, раскрытие, удаление или уничтожение.

Цель(и) передачи данных: выполнение услуг для Экспортера данных Импортером данных в соответствии с Соглашением.

ПРИЛОЖЕНИЕ 2 — ТЕХНИЧЕСКИЕ И ОРГАНИЗАЦИОННЫЕ МЕРЫ

  • Импортер данных обязуется обеспечивать конфиденциальность, целостность и доступность всех персональных данных посредством внедрения политик информационной безопасности.
  • Доступ к персональным данным предоставляется строго по принципу «необходимости знать» (need-to-know).
  • Внедрено управление доступом на основе ролей (RBAC).
  • Процедуры информационной безопасности регулярно проверяются.
  • Используются надежные поставщики услуг.
  • Внедрены меры для защиты данных при передаче и для локализации инцидентов безопасности.

ПРИЛОЖЕНИЕ 3 — СУБОБРАБОТЧИКИ

Контролер санкционировал использование следующих субобработчиков:

Субобработчик 1 Название:

Hetzner Online GmbH / Hetzner Finland Oy Адрес: Industriestr. 25, 91710 Gunzenhausen, Germany / Huurrekuja 10, 04360 Tuusula, Finland Описание обработки: хостинг данных на серверах.

Субобработчик 2 Название:

DigitalOcean, LLC Адрес: 105 Edgeview Drive, Ste. 425, Broomfield, CO 80021, United States Описание обработки: хостинг данных на серверах.