Останнє оновлення: [10.12.2025]
Цей Додаток про обробку даних (надалі — «DPA») укладається між вами (надалі — «Клієнт», «ви», «ваш») та компанією BAS-IP DISTRIBUTION LTD (надалі — «Компанія», «BAS-IP», «ми», «нас» або «наш»), які надалі іменуються окремо як «Сторона» або разом як «Сторони». Цей DPA доповнює Умови надання послуг (надалі — «Договір»), укладені між Сторонами.
Цей DPA регулює обробку персональних даних, які Клієнт надає BAS-IP у зв’язку з використанням продуктів та послуг BAS-IP (разом — «Послуги»), а також будь-яких персональних даних, які BAS-IP отримує в ході надання Послуг Клієнту.
Якщо в цьому DPA не визначено інше, усі терміни, написані з великої літери, мають значення, встановлені в Договорі. Цей DPA залишається чинним до моменту розірвання Договору між вами та нами, що регулює використання вами Послуг. У разі будь-яких суперечностей між цим DPA та Договором, положення цього DPA мають переважну силу щодо питань обробки персональних даних.
1. Визначення
Для цілей цього DPA застосовуються такі визначення:
«Дані Клієнта» означає будь-які персональні дані, які Клієнт завантажує, передає або іншим чином надає BAS-IP у зв’язку з Послугами, а також будь-які персональні дані, які BAS-IP обробляє в процесі надання Послуг.
«Законодавство про захист даних» означає всі чинні закони та нормативні акти, що стосуються обробки Даних Клієнта, включаючи закони Європейського Союзу, Європейської економічної зони та її держав-членів, Сполученого Королівства, зокрема:
- Загальний регламент ЄС про захист даних (EU GDPR);
- Загальний регламент Великої Британії про захист даних (UK GDPR);
- Закон про захист даних 2018 року;
- Закон про дані (використання та доступ) 2025 року (DUAA);
- будь-які інші чинні закони та нормативні акти про захист даних у тій мірі, в якій вони застосовуються до Сторін та діяльності з обробки згідно з цим DPA.
«Механізм передачі даних» означає будь-який юридично визнаний механізм, інструмент або структуру, що дозволяє передавати Дані Клієнта з однієї юрисдикції в іншу відповідно до чинного Законодавства про захист даних, включаючи, без обмежень, Стандартні договірні умови ЄС та Додаток Великої Британії.
«EU SCCs» означає Стандартні договірні умови ЄС для передачі Даних Клієнта до третіх країн відповідно до Регламенту (ЄС) 2016/679 Європейського Парламенту та Ради, затверджені Імплементаційним рішенням Європейської Комісії (ЄС) 2021/914 від 4 червня 2021 року.https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj
«Загальний регламент про захист даних (GDPR)» означає Регламент (ЄС) 2016/679 Європейського Парламенту та Ради від 27 квітня 2016 року про захист фізичних осіб щодо обробки персональних даних і про вільний рух таких даних, що скасовує Директиву 95/46/EC.
«Міжнародна передача даних» означає будь-яку передачу Даних Клієнта з країни, в якій дані були зібрані, до країни за межами цієї юрисдикції, де чинне Законодавство про захист даних вимагає відповідних гарантій для такої передачі.
«Державний орган» означає урядову установу або правоохоронний орган, включаючи судові органи.
«Чутливі дані Клієнта» означають Дані Клієнта, що розкривають расове або етнічне походження, політичні погляди, релігійні або філософські переконання або членство в профспілках, генетичні дані або біометричні дані з метою однозначної ідентифікації фізичної особи, дані про стан здоров’я, статеве життя або сексуальну орієнтацію особи, або дані, що стосуються судимостей та правопорушень.
«Послуги» означають послуги, що надаються Компанією Клієнту.
«Орган нагляду» означає незалежний державний орган, відповідальний за моніторинг застосування законодавства про захист даних.
«Технічні та організаційні заходи безпеки» означають заходи, спрямовані на захист персональних даних від ненавмисного знищення або ненавмисної втрати, зміни, несанкціонованого розкриття або доступу, зокрема, коли обробка передбачає передачу даних через мережу, а також від усіх інших незаконних форм обробки.
«UK GDPR» означає версію Загального регламенту ЄС про захист даних, яка є частиною законодавства Великої Британії, разом із будь-якими змінами, внесеними Законом про захист даних 2018 року та будь-яким іншим чинним законодавством Великої Британії, що регулює обробку персональних даних.
«UK Addendum» означає Додаток про міжнародну передачу даних до Стандартних договірних умов ЄС, виданий Уповноваженим з питань інформації (ICO) для Сторін, що здійснюють Обмежену передачу в розумінні Законодавства Великої Британії про захист даних.
Терміни «контролер», «процесор», «субпроцесор», «суб’єкт даних», «персональні дані» та «обробка» мають значення, визначені в Законодавстві про захист даних.
2. Ролі та обов’язки
Коли BAS-IP обробляє Дані Клієнта від вашого імені у зв’язку з Послугами, ви визнаєте та погоджуєтеся з тим, що стосовно обробки Даних Клієнта ви є контролером або процесором, а ми — процесором або субпроцесором (як визначено Законодавством про захист даних), що діє від вашого імені. Опис такої обробки викладено в Додатку 1 до цього DPA. Цей DPA застосовується відповідно до встановлених ролей і не поширюється на ситуації, коли ми діємо як контролер згідно з Політикою конфіденційності BAS-IP.
Якщо Клієнт є процесором, Клієнт гарантує BAS-IP, що інструкції та дії Клієнта щодо персональних даних, включаючи призначення BAS-IP субпроцесором та, де це застосовно, укладення EU SCCs або будь-яких інших Додатків відповідно до Розділу 9 цього DPA, були (і залишатимуться протягом терміну дії цього DPA) санкціоновані відповідним стороннім контролером.
3. Інструкції
Сторони погоджуються, що цей DPA та відповідний Договір складають повні та остаточні задокументовані інструкції Клієнта щодо обробки Даних Клієнта (надалі — «Інструкції»), де Клієнт діє як контролер або процесор, а BAS-IP діє як процесор або субпроцесор згідно із Законодавством про захист даних.
Будь-які додаткові або альтернативні інструкції мають бути погоджені Сторонами письмово та повинні відповідати цьому DPA та Договору.
4. Опис обробки
Обробка Даних Клієнта від імені Клієнта у зв’язку з Послугами описана в Додатку 1 до цього DPA. Ми залишаємо за собою право час від часу оновлювати опис обробки, щоб відобразити нові функціональні можливості, які є частиною Послуг.
5. Зобов’язання Клієнта
5.1. Зобов’язання контролера У межах дії DPA, коли Клієнт діє як контролер, Клієнт несе відповідальність за дотримання всіх вимог, що застосовуються до Клієнта як до контролера згідно із Законодавством про захист даних. Діючи як контролер, ви повинні: (a) підтримувати точність, якість, конфіденційність та безпеку Даних Клієнта; (b) дотримуватися своїх зобов’язань згідно із Законодавством про захист даних, зокрема щодо прав суб’єктів даних, безпеки та конфіденційності даних, а також забезпечувати належну правову підставу для обробки персональних даних; (c) надавати BAS-IP лише законно отримані Дані Клієнта та гарантувати, що такі дані є адекватними, відповідними та пропорційними наміченим цілям; (d) гарантувати, що ваші Інструкції для BAS-IP щодо обробки Даних Клієнта відповідають Законодавству про захист даних, включаючи принципи мінімізації даних, обмеження мети та обмеження зберігання.
5.2. Зобов’язання процесора У межах дії DPA, коли Клієнт діє як процесор, Клієнт несе відповідальність за дотримання всіх вимог, що застосовуються до Клієнта як до процесора згідно із Законодавством про захист даних. Діючи як Процесор, ви повинні: (a) надавати BAS-IP лише ті інструкції з обробки, які точно відображають задокументовані інструкції відповідного контролера; (b) надавати BAS-IP лише ті Дані Клієнта, які були законно отримані від відповідного контролера та є адекватними, відповідними та обмеженими тим, що необхідно для дозволених цілей; (c) зберігати прозорість перед відповідним контролером щодо залучення BAS-IP та будь-яких субпроцесорів; (d) виконувати всі зобов’язання згідно з чинним Законодавством про захист даних у своїй якості процесора; (e) гарантувати, що ваш персонал або будь-яка третя сторона, яка має доступ до Даних Клієнта, дотримуються цього DPA та Договору.
6. Зобов’язання BAS-IP
6.1. Загальні зобов’язання Коли BAS-IP діє як процесор/субпроцесор, ми повинні: (a) обробляти Дані Клієнта згідно з вашими Інструкціями та виключно для зазначених цілей; (b) інформувати вас, якщо, на обґрунтовану думку BAS-IP: (i) ваші Інструкції порушують або можуть порушити чинне Законодавство про захист даних; або (ii) BAS-IP не має змоги виконати ваші Інструкції; (c) впроваджувати та підтримувати відповідні технічні та організаційні заходи для забезпечення конфіденційності Даних Клієнта; (d) дотримуватися всього чинного Законодавства про захист даних, включаючи зобов’язання щодо прав суб’єктів даних, безпеки та конфіденційності даних; (e) забезпечувати шляхом письмових контрактів або інших юридично обов’язкових засобів, щоб будь-який субпроцесор, залучений до обробки Даних Клієнта від імені BAS-IP, підпадав під еквівалентні зобов’язання щодо захисту даних, викладені в цьому DPA та Договорі; (f) вести точний облік усіх операцій з обробки, що здійснюються від вашого імені згідно з цим DPA, і надавати такий облік вам за запитом; (g) без невиправданої затримки повідомляти вас, якщо BAS-IP стане відомо, що будь-які Дані Клієнта, надані вами, є неточними, неповними або застарілими; (g) застосовувати відповідні та необхідні гарантії або обмеження під час обробки Чутливих даних Клієнта, як того вимагає Законодавство про захист даних або Інструкції; (h) надавати вам усю інформацію, обґрунтовано необхідну для підтвердження виконання BAS-IP своїх зобов’язань згідно з чинним Законодавством про захист даних.
6.2. Повідомлення Клієнту Після того, як нам стане відомо, ми поінформуємо вас про будь-який юридично обов’язковий запит на розкриття Даних Клієнта Державним органом, якщо нам не заборонено законом інформувати Клієнта (наприклад, для збереження конфіденційності розслідування Державним органом). Ми поінформуємо вас, якщо BAS-IP стане відомо про будь-яке повідомлення, запит або розслідування Органом нагляду щодо обробки Даних Клієнта за цим DPA, укладеним між вами та нами.
6.3. Конфіденційність Ми не будемо отримувати доступ, використовувати або розкривати будь-які Дані Клієнта третім особам, за винятком випадків, коли це необхідно для підтримки або надання Послуг, або для дотримання договірних та юридичних зобов’язань чи обов’язкового наказу державного органу (такого як судова повістка або ухвала суду). Ми гарантуємо, що будь-який співробітник/підрядник, якого ми уповноважуємо мати доступ до Даних Клієнта від нашого імені, підпадає під відповідні договірні або встановлені законом зобов’язання щодо конфіденційності стосовно Даних Клієнта.
6.4. Заходи безпеки Ми впроваджуємо та підтримуємо відповідні технічні та організаційні заходи для захисту Даних Клієнта від будь-яких порушень безпеки, таких як фактичне або підозрюване випадкове чи незаконне знищення, втрата, зміна, несанкціоноване розкриття або доступ до Даних Клієнта (надалі — «Інциденти безпеки») відповідно до наших стандартів безпеки, викладених у Додатку 2 до цього DPA. Ви визнаєте, що заходи безпеки залежать від технічного прогресу, тому ми можемо змінювати або оновлювати Додаток 2 до цього DPA на власний розсуд, за умови, що така зміна або оновлення не призведе до суттєвого погіршення заходів безпеки, передбачених Додатком 2.
6.5. Інцидент безпеки Виявивши Інцидент безпеки, ми зобов’язані:
- повідомити вас без невиправданої затримки після того, як нам стане відомо про Інцидент безпеки;
- надавати своєчасну інформацію щодо Інциденту безпеки (тип персональних даних, категорії та потенційна кількість осіб або записів, яких це стосується), у міру її надходження або за вашим обґрунтованим запитом;
- негайно вжити розумних заходів для стримування та розслідування будь-якого Інциденту безпеки, щоб ви могли повідомити компетентні органи та/або постраждалих Суб’єктів даних про Інцидент безпеки. Наше повідомлення про Інцидент безпеки або реагування на нього не повинні тлумачитися як визнання нами будь-якої вини чи відповідальності щодо цього Інциденту.
6.6. Повернення або видалення Даних Клієнта Після припинення або закінчення терміну дії Договору, укладеного між вами та нами, ми видалимо або повернемо всі Дані Клієнта, що перебувають у нашому володінні або під нашим контролем. Ця вимога не застосовується в тій мірі, в якій ми зобов’язані згідно з чинним законодавством або відповідними договірними зобов’язаннями зберігати частину або всі Дані Клієнта.
6.7. Розумна допомога Ми погоджуємося надавати розумну допомогу Клієнту щодо: (a) будь-якого запиту від суб’єкта даних стосовно доступу, виправлення, стирання, обмеження, портативності, блокування або видалення Даних Клієнта, які ми обробляємо від імені Клієнта. У разі, якщо суб’єкт даних надсилає такий запит безпосередньо нам, застосовується Розділ 7 цього DPA; (b) розслідування Інциденту безпеки та передачі необхідних повідомлень щодо таких Інцидентів відповідно до Розділу 6.5 цього DPA; (c) підготовки оцінок впливу на захист даних (DPIA) та, за необхідності, консультацій Клієнта з Органом нагляду згідно зі статтями 35 та 36 GDPR.
6.8. Аудит та сертифікація 6.8.1 Аудит Органу нагляду Якщо Орган нагляду вимагає проведення аудиту наших потужностей з обробки даних, які ми використовуємо для обробки Даних Клієнта, з метою перевірки або моніторингу відповідності Клієнта Законодавству про захист даних, ми будемо співпрацювати з таким аудитом. Клієнт несе відповідальність за всі витрати та збори, пов’язані з таким аудитом. 6.8.2 Аудити Клієнт може до початку обробки та через регулярні проміжки часу після цього проводити аудит вжитих нами технічних та організаційних заходів. Якщо Клієнт є контролером стосовно персональних даних, ми можемо надати Клієнту всю інформацію, необхідну для підтвердження відповідності зобов’язанням, викладеним у Статті 28 GDPR, та сприяти аудитам, включаючи інспекції, що проводяться Клієнтом або іншим аудитором, уповноваженим Клієнтом. Ми надамо Клієнту всю необхідну інформацію для такого аудиту протягом розумного періоду за письмовим запитом Клієнта, якщо така інформація перебуває під нашим контролем і ми не обмежені в її розкритті чинним законодавством або зобов’язаннями перед третіми особами.
7. Запити суб’єктів даних
У разі, якщо суб’єкт даних звернеться до нас щодо здійснення своїх прав згідно із Законодавством про захист даних, ми докладемо всіх розумних зусиль, щоб переслати такі запити вам. Якщо ми за законом зобов’язані відповісти на такий запит, ми негайно повідомимо вас про це та надамо копію запиту, якщо це не заборонено законом.
8. Субпроцесори
BAS-IP має загальний письмовий дозвіл від Клієнта на залучення субпроцесорів з узгодженого списку. BAS-IP погоджується інформувати Клієнта про будь-які заплановані зміни до цього списку щодо додавання або заміни субпроцесорів принаймні за 10 днів до залучення відповідного субпроцесора, надаючи Клієнту можливість заперечити проти таких змін.
Узгоджений список субпроцесорів наведено в Додатку 3 до цього DPA.
9. Передача Даних Клієнта
9.1. Загальні положення Ви визнаєте та погоджуєтеся з тим, що використання Послуг BAS-IP може передбачати передачу Даних Клієнта до інших юрисдикцій з дотриманням чинного Законодавства про захист даних. Там, де така передача вимагає належних гарантій, мають використовуватися чинні Механізми передачі даних, такі як EU SCCs та UK Addendum.
9.2. Передача згідно з GDPR Коли обробка Даних Клієнта від вашого імені у зв’язку з Послугами становить «передачу» згідно з GDPR, застосовуються Стандартні договірні умови (SCCs). Коли ви є контролером, а ми — процесором, застосовується Модуль 2 (Module Two) EU SCCs; коли ви є процесором, а ми — субпроцесором, застосовується Модуль 3 (Module Three). Для цілей EU SCCs BAS-IP є «Імпортером даних», а ви — «Експортером даних». Положення EU SCCs включаються шляхом посилання та є невід’ємною частиною цього DPA. Пункти та додатки до EU SCCs вважаються заповненими таким чином: (i) у Пункті 7 опціональне положення про приєднання (docking clause) не застосовується; (ii) у Пункті 9 застосовується Варіант 2 (Загальний письмовий дозвіл). Термін для інформування Експортера даних становить 10 днів; (iii) у Пункті 11 опціональне положення не застосовується; (iv) у Пункті 17 застосовується Варіант 1. EU SCCs регулюються правом Федеративної Республіки Німеччина; (v) у Пункті 18(b) спори вирішуються судами Федеративної Республіки Німеччина.
9.3. Передача згідно з нормативною базою Великої Британії Коли обробка Даних Клієнта становить «обмежену передачу» згідно із Законодавством Великої Британії про захист даних, застосовується UK Addendum. Для цілей UK Addendum BAS-IP є «Імпортером», а ви — «Експортером».
ДОДАТОК 1 — ОПИС ОБРОБКИ
ПЕРЕЛІК СТОРІН
Клієнт (Експортер даних)
Ім’я: Ви, «Клієнт»
Адреса: відповідна інформація міститься в обліковому записі Клієнта.
Роль: контролер або процесор.
BAS-IP DISTRIBUTION LTD (Імпортер даних)
Назва: BAS-IP DISTRIBUTION LTD
Адреса: Crown House 27 Old Gloucester Street, London, England
Роль: процесор або субпроцесор.
ОПИС ПЕРЕДАЧІ
Категорії суб’єктів даних: Клієнти Клієнта; інші суб’єкти даних, чиї персональні дані передаються під час надання Послуг Компанією Клієнту.
Категорії персональних даних: персональні дані, пов’язані з Клієнтами Клієнта; інші дані, що можуть передаватися під час надання Послуг.
Чутливі дані: Імпортер даних може отримати доступ до чутливих даних лише тоді, коли вони надані Клієнтом і виключно в обсязі, необхідному для виконання Послуг. У таких випадках застосовуються заходи безпеки згідно з Додатком 2.
Частота передачі: на постійній основі.
Характер обробки: збір, запис, організація, структурування, зберігання, адаптація або зміна, пошук, консультація, узгодження або комбінування, обмеження, стирання або знищення.
Мета передачі: виконання Послуг для Експортера даних Імпортером даних згідно з Договором.
Період зберігання: протягом терміну дії цього DPA, якщо інше не передбачено законом.
ДОДАТОК 2 — ТЕХНІЧНІ ТА ОРГАНІЗАЦІЙНІ ЗАХОДИ
Опис заходів, впроваджених Імпортером даних для забезпечення належного рівня безпеки:
- Імпортер зобов’язується зберігати конфіденційність, цілісність та доступність усіх персональних даних.
- Доступ надається суворо за принципом «необхідності знання» (need-to-know) лише уповноваженому персоналу.
- Впроваджено рольове керування доступом та списки контролю доступу (ACL).
- Процедури інформаційної безпеки проходять регулярні перевірки.
- Використовуються надійні постачальники послуг з моніторингом їхніх заходів безпеки.
- Впроваджено заходи для захисту конфіденційності під час передачі даних.
ДОДАТОК 3 — СУБПРОЦЕСОРИ
Контролер дозволив використання таких субпроцесорів:
Субпроцесор 1
Назва: Hetzner Online GmbH / Hetzner Finland Oy
Адреса: Німеччина / Фінляндія
Контакт: [email protected]
Опис обробки: хостинг даних на серверах Hetzner.
Субпроцесор 2
Назва: DigitalOcean, LLC
Адреса: 105 Edgeview Drive, Ste. 425, Broomfield, CO 80021, США
Контакт: [email protected]
Опис обробки: хостинг даних на серверах DigitalOcean.