DATA PROCESSING ADDENDUM

BAS-IP / ДОДАТОК ЩОДО ОБРОБКИ ДАНИХ

Останнє оновлення: [10.12.2025]

Цей Додаток до обробки даних (далі «DPA») укладається між вами (далі «Клієнт», «ви», «ваш») та BAS-IP DISTRIBUTION LTD (далі «Компанія», «BAS-IP», «ми», «ми» або «наш»), далі окремо «Сторона» або разом як «»Вечірки. Цей DPA доповнює Положення та Умови (далі — «Угода»), укладені між Сторонами.

Цей DPA регулює обробку персональних даних, які Клієнт надає BAS-IP у зв’язку з використанням продуктів і послуг BAS-IP (разом із «Сервісами»), а також будь-яких персональних даних, які BAS-IP отримує під час виконання послуг для Клієнта.

Якщо не визначено інше в цьому DPA, усі терміни, написані з великої літери, що використовуються в цьому DPA, матимуть значення, викладені в Угоді. Цей DPA залишатиметься чинним до припинення Угоди між вами та нами, що регулює ваше використання послуг. У разі будь-якого конфлікту між цим DPA та Угодою положення цього DPA мають перевагу щодо обробки персональних даних.

1. Визначення

Для цілей цього DPA застосовуються такі визначення:

«Клієнтські дані» означають будь-які персональні дані, які Клієнт завантажує, передає або іншим чином надає BAS-IP у зв’язку з Сервісами, а також будь-які персональні дані, які BAS-IP обробляє під час виконання Послуг.

«Закони про захист даних» означають усі чинні закони та нормативні акти, що стосуються обробки даних клієнтів, включаючи закони Європейського Союзу, Європейської економічної зони та її держав-членів, Великої Британії, такі як:

Загальний регламент захисту даних ЄС (EU GDPR);
Загальний регламент захисту даних Великої Британії (UK GDPR);
Закон про захист даних 2018 року;
Закон про використання та доступ до даних 2025 року (DUAA);
будь-які інші чинні закони та нормативні акти щодо захисту даних, у тій мірі, в якій це застосовується до Сторін та операцій з обробки даних згідно з цим DPA — будь-які інші чинні закони та нормативні акти.

«Механізм передачі даних» означає будь-який юридично визнаний механізм, інструмент або рамковий механізм, який дозволяє передавати дані клієнтів з однієї юрисдикції до іншої відповідно до чинних законів про захист даних, включно, без обмежень, Стандартними договірними положеннями ЄС та Додатком Великої Британії.

“Європейські SCC” означає Стандартні договірні положення ЄС щодо передачі даних клієнтів третім країнам відповідно до Регламенту (ЄС) 2016/679 Європейського парламенту та Ради, затверджених Виконавчим рішенням Європейської Комісії (ЄС) 2021/914 від 4 червня 2021 року, як це наразі визначено у https://eurlex.europa.eu/eli/dec_impl/2021/914/oj.

«Загальний регламент захисту даних (GDPR)» означає Регламент (ЄС) 2016/679 Європейського парламенту та Ради від 27 квітня 2016 року щодо захисту фізичних осіб у сфері обробки персональних даних та про вільний рух таких даних, а також скасування Директиви 95/46/ЄС.

«Міжнародна передача даних» означає будь-яку передачу клієнтських даних з країни, в якій дані збираються, до країни поза цією юрисдикцією, де чинні закони про захист даних вимагають належних заходів захисту для такої передачі.

«Державний орган» означає державний орган або правоохоронний орган, включно з судовими органами.

«Конфіденційні дані клієнтів» означають дані клієнта, що свідчать про расове або етнічне походження, політичні погляди, релігійні чи філософські переконання, членство в профспілок, генетичні дані або біометричні дані з метою унікальної ідентифікації фізичної особи, дані щодо здоров’я, сексуального життя чи сексуальної орієнтації особи, або дані, що стосуються кримінальних засуджень і правопорушень.

«Послуги» означають послуги, які компанія надає Клієнту.

«Наглядовий орган» означає незалежний державний орган, відповідальний за моніторинг застосування законодавства про захист даних.

«Технічні та організаційні заходи безпеки» означають заходи, спрямовані на захист персональних даних від ненавмисного знищення або ненавмисної втрати, зміни, несанкціонованого розкриття чи доступу, особливо коли обробка передбачає передачу даних через мережу, а також проти всіх інших незаконних форм обробки.

«UK GDPR» означає збережену версію Загального регламенту ЄС про захист даних, оскільки він є частиною законодавства Великої Британії, разом із будь-якими поправками, внесеними Законом про захист даних 2018 року та будь-яким іншим чинним законодавством Великої Британії, що регулює обробку персональних даних.

«Додаток Великої Британії» означає Додаток до міжнародної передачі даних до Стандартних договірних клаузул ЄС, який був виданий Комісаром з інформації для сторін, які здійснюють обмежені передачі у значенні Законів Великої Британії про захист даних, як це наразі викладено у https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf.

«контролер», «процесор», «субпроцесор», «суб’єкт даних», «персональні дані» та «обробка» мають значення, наведені у Законах про захист даних.

2. Ролі та обов’язки

Коли BAS-IP обробляє дані клієнта від вашого імені у зв’язку з послугами, ви визнаєте і погоджуєтеся, що щодо обробки даних клієнта ви є контролером або процесором, а ми — процесором або субпроцесором (згідно із Законами про захист даних), що діємо від вашого імені. Опис такої обробки наведено у Додатку 1 цього DPA. Цей DPA застосовується відповідно до встановлених ролей і не застосовується до ситуацій, коли ми діємо як контролер відповідно до Політики конфіденційності BAS-IP.

Якщо Клієнт є процесором, Клієнт гарантує BAS-IP, що інструкції та дії Клієнта щодо персональних даних, включно з призначенням BAS-IP субпроцесором і, за потреби, укладенням Європейських SCC або будь-яких інших додатків відповідно до Розділу 9 цього DPA (включаючи зміни в Розділі 9 нижче), були (і будуть, протягом дії цього DPA продовжують бути) авторизованими відповідним стороннім контролером.

3. Інструкції

Сторони погоджуються, що ця DPA та відповідна Угода становлять повні та остаточні задокументовані інструкції Клієнта щодо обробки Даних Клієнта (далі — «Інструкції»), коли Клієнт діє як контролер або процесор, а BAS-IP — як процесор або субпроцесор відповідно до Законів про захист даних.

Будь-які додаткові або альтернативні інструкції мають бути узгоджені Сторонами письмово і відповідати цьому DPA та Угоді.

4. Опис обробки

Обробка даних клієнта від імені клієнта у зв’язку з послугами описана у Додатку 1 цього DPA. Ми залишаємо за собою право час від часу оновлювати опис обробки, щоб відобразити нову функціональність, що є частиною Сервісів.

5. Обов’язки клієнта

5.1. Обов’язки контролера

У межах DPA, коли Клієнт діє як контролер, Клієнт несе відповідальність за виконання всіх вимог, що застосовуються до Клієнта як до контролера відповідно до Законів про захист даних.

Під час виконання ролі контролера ви повинні:

(a) підтримувати точність, якість, конфіденційність і безпеку даних клієнта;

(b) дотримуватися та виконувати свої зобов’язання відповідно до Законів про захист даних, зокрема щодо прав суб’єктів даних, безпеки даних і конфіденційності, а також забезпечити наявність належної юридичної основи для обробки персональних даних;

(c) надавати BAS-IP лише клієнтські дані, які були законно отримані, і гарантувати, що ці дані є достатніми, релевантними та пропорційними до задуманих цілей;

(d) забезпечити, щоб ваші Інструкції до BAS-IP щодо обробки Клієнтських даних відповідали Законам про захист даних, включаючи принципи мінімізації даних, обмеження цілей та обмеження зберігання.

5.2. Обов’язки процесора.

У межах DPA, коли Клієнт виконує функції процесора, Клієнт несе відповідність за виконання всіх вимог, що застосовуються до Клієнта як до процесора відповідно до Законів про захист даних.

Під час виконання ролі Процесора ви повинні:

(a) надавати BAS-IP лише інструкції обробки, які точно відображають задокументовані інструкції відповідного контролера;

(b) надавати BAS-IP лише клієнтські дані, які були законно отримані від відповідного контролера і є достатніми, релевантними та обмеженими тим, що необхідно для дозволених цілей;

(d) виконувати всі зобов’язання відповідно до чинних законів про захист даних у вашій якості процесора;

(e) забезпечити, щоб ваш персонал або будь-яка третя особа, яка отримує доступ до даних клієнта, дотримується цього DPA та Угоди.

6. Зобов’язання BAS-IP

6.1. Загальні зобов’язання

Коли BAS-IP діє як процесор/підпроцесор, ми повинні:

(a) обробляти дані клієнта відповідно до ваших інструкцій і виключно для визначених цілей;

(b) повідомить вас, якщо, на розумну думку BAS-IP:

(i) ваші Інструкції порушують або можуть порушувати чинні закони про захист даних; або

(ii) BAS-IP не може виконати ваші Інструкції;

(c) впроваджувати та підтримувати відповідні технічні та організаційні заходи для забезпечення конфіденційності даних клієнтів;

(d) дотримуватися всіх чинних законів про захист даних, включаючи обов’язки, що стосуються прав суб’єктів даних, безпеки даних та конфіденційності;

(e) забезпечити, через письмові контракти або інші юридично обов’язкові засоби, що будь-який субпроцесор, залучений до обробки даних клієнтів від імені BAS-IP, підпадає під відповідні зобов’язання щодо захисту даних, визначені в цьому DPA та Угоді;

(f) вести точний запис усіх операцій з обробки, виконаних від вашого імені відповідно до цього DPA, і надавати такі записи вам за запитом;

(g) без зайвих затримок повідомити вас, якщо BAS-IP дізнається, що будь-які клієнтські дані, надані вами, є неточними, неповними або застарілими;

(g) застосовувати відповідні та необхідні заходи безпеки або обмеження при обробці Конфіденційних даних клієнтів, як того вимагають закони про захист даних або Інструкції;

(h) надати вам всю необхідну інформацію для підтвердження дотримання BAS-IP своїх зобов’язань відповідно до чинних законів про захист даних.

6.2. Повідомлення клієнту

Після отримання інформації ми повідомимо вас про будь-який юридично обов’язковий запит на розкриття Даних Клієнта з боку Публічного органу, якщо тільки нам не заборонено законом інформувати Клієнта, наприклад, для збереження конфіденційності розслідування, проведеного державним органом. Ми повідомимо вас, якщо BAS-IP дізнається про будь-яке повідомлення, запит або розслідування Наглядового органу щодо обробки даних клієнтів згідно з цим DPA між вами і нами.

6.3. Конфіденційність

Ми не маємо доступу, не використовуватимемо або не розкриватимемо жодним третім особам жодних Даних Клієнта, за винятком, у кожному випадку, якщо це необхідно для підтримки або надання Послуг, або якщо це необхідно для виконання договірних і юридичних зобов’язань чи обов’язкового наказу державного органу (наприклад, повістки чи судового наказу).

Ми забезпечимо, щоб будь-який працівник/підрядник, якому ми дозволили отримувати доступ до даних клієнта від нашого імені, підпадає під відповідні зобов’язання щодо конфіденційності, договірних або законодавчих обов’язків щодо даних клієнта.

6.4. Заходи безпеки

Ми впроваджуємо та підтримуватимемо відповідні технічні та організаційні заходи для захисту даних клієнтів від будь-яких витоків даних, таких як фактичне або підозрюване випадкове або незаконне знищення, втрата, зміна, несанкціоноване розкриття або доступ до даних клієнта, які передаються, зберігаються або іншим чином обробляються (далі — «Інциденти безпеки»), відповідно до наших стандартів безпеки, викладених у Додатку 2 цього DPA.

Ви визнаєте, що заходи безпеки підлягають технічному прогресу, тому ми можемо змінювати або оновлювати Додаток 2 цього DPA на власний розсуд, за умови, що така модифікація або оновлення не призведе до суттєвого погіршення заходів безпеки, передбачених Додатком 2 цього DPA.

6.5. Інцидент безпеки

Дізнавшись про інцидент безпеки, ми маємо:

повідомити вас без зайвих затримок після того, як ми дізнаємося про інцидент безпеки;
надавати своєчасну інформацію щодо Інциденту безпеки (тип персональних даних, категорії та потенційна кількість осіб або записів, які постраждали), як це стає відомо або як ви розумно запитуєте; та
Негайно вживайте розумних заходів для контролю та розслідування будь-якого інциденту безпеки, щоб повідомити компетентні органи та/або постраждалих суб’єктів даних про цей інцидент.

Наше повідомлення або реакція на інцидент безпеки не буде сприйматися як визнання будь-якої провини чи відповідальності щодо інциденту безпеки.

6.6. Повернення або видалення даних клієнта

Після розірвання або закінчення Угоди, укладеної між нами, ми видаляємо або повертаємо всі дані клієнта, які перебувають у нашому розпорядженні або контролі. Ця вимога не застосовується в тій мірі, в якій ми зобов’язані чинним законодавством або відповідними договірними зобов’язаннями зберігати частину або всі дані клієнта.

6.7. Розумна допомога

Ми погоджуємося надати Клієнту розумну допомогу щодо наступних:

(a) будь-який запит від суб’єкта даних щодо доступу або виправлення, видалення, обмеження, портативності, блокування або видалення даних клієнта, який ми обробляємо від імені Клієнта. У разі, якщо суб’єкт даних надсилає такий запит безпосередньо нам, застосовується розділ 7 цього DPA;

(b) розслідування інциденту безпеки та надання необхідних повідомлень щодо таких інцидентів безпеки, відповідно до розділу 6.5 цього DPA;

(c) підготовку оцінок впливу на захист даних («DPIA») і, за потреби, консультації Клієнта з Наглядовим органом відповідно до статей 35 і 36 GDPR.

6.8 Аудит і сертифікація

6.8.1 Аудит наглядових органів

Якщо Наглядовий орган вимагає аудиту наших об’єктів обробки даних, які ми використовуємо для обробки даних Клієнта для визначення або моніторингу дотримання Клієнтом Законів про захист даних, ми співпрацюємо з аудитом. Клієнт несе відповідальність за всі витрати та збори, пов’язані з таким аудитом, включаючи всі розумні витрати та збори за будь-який час, який ми витрачаємо на такий аудит, а також за тарифи за послуги, які ми виконуємо.

6.8.2 Аудити

Клієнт може до початку обробки та з регулярними інтервалами після цього проводити аудит технічних та організаційних заходів, вжитих нами. Якщо Клієнт є контролером щодо персональних даних, оброблених нами від його імені, за розумною та своєчасною попередньою домовленістю у звичайний робочий час і без переривання нашої бізнес-діяльності, ми можемо надати Клієнту всю необхідну інформацію для підтвердження дотримання його зобов’язань, визначених у статті 28 GDPR, а також для проведення та внеску в аудити, включно з інспекціями, проведеними Клієнтом або іншим аудитором, призначеним Клієнтом щодо такої обробки.

Ми повинні надати Клієнту всю необхідну інформацію для такого аудиту за письмовим запитом і в розумний строк, якщо вона перебуває у нашому контролі і не заборонено розголошувати її чинним законодавством, обов’язком конфіденційності чи будь-якими іншими зобов’язаннями перед третьою стороною.

7. Запити на суб’єкта даних

У разі, якщо суб’єкт даних звертається до нас щодо реалізації своїх прав за Законами про захист даних (зокрема, запитів на доступ, виправлення або видалення даних клієнта), ми докладемо всіх розумних зусиль, щоб передати вам такі запити. Якщо ми юридично зобов’язані відповісти на такий запит, ми негайно повідомимо вас і надамо копію запиту, якщо це не заборонено законом.

8. Підпроцесори

BAS-IP має загальне письмове дозвіл від Клієнта на залучення субпроцесорів із погодженого списку. BAS-IP погоджується повідомити Клієнта про будь-які заплановані зміни до цього списку, що стосуються додавання або заміни субпроцесорів, щонайменше за 10 днів до залучення відповідного субпроцесора, таким чином даючи Клієнту можливість заперечити проти таких змін. BAS-IP повинен надати Клієнту інформацію, необхідну для того, щоб Клієнт міг реалізувати право на заперечення.

Якщо застосовується розділ 9 цього DPA, процедура залучення субпроцесорів регулюється відповідними положеннями розділу 9 цього DPA. У такому випадку положення розділу 9 мають перевагу.

Погоджений перелік субпроцесорів викладено у Додатку 3 цього DPA.

9. Передача даних клієнта

9.1. Загальне

Ви визнаєте та погоджуєтесь, що використання послуг BAS-IP може включати передачу даних клієнтів до інших юрисдикцій відповідно до чинних законів про захист даних.

Якщо такі передачі потребують відповідних гарантій, слід використовувати відповідні механізми передачі даних, такі як SCC ЄС та Додаток до Великої Британії. Ці механізми передачі даних включені до цього DPA та є його невід’ємною частиною, як детальніше описано в розділах 9.2. та 9.3.

У разі будь-якого конфлікту між положеннями цього DPA та застосовними механізмами передачі даних положення відповідного механізму передачі даних мають перевагу виключно в тій мірі, в якій є такий конфлікт.

9.2. Передачі відповідно до GDPR

Коли обробка даних клієнта від вашого імені у зв’язку з послугами є «передачею» відповідно до GDPR, застосовуються стандартні договірні положення.

Коли ви є контролером, а ми — процесором, застосовується Модуль Другий SCC ЄС, а коли ви є процесором, а ми — субпроцесором, Модуль Третій SCC ЄС застосовується.

Для цілей ЄС SCC BAS-IP є «імпортером даних», а ви — «експортером даних».

Відповідні положення, що містяться в SCC ЄС, включені за посиланням і є невід’ємною частиною цього DPA. Положення та додатки до ВКС ЄС вважаються заповненими наступним чином:

(i) у пункті 7 необов’язкове положення про стикування не застосовується;

(ii) у пункті 9 застосовується Варіант 2 (Загальне письмове уповноваження). Для цілей пункту 9(a) термін для інформування експортера даних становить 10 днів;

(iii) у пункті 11 необов’язкове положення не застосовується;

(iv) у пункті 13 застосовується певна опція залежно від конкретного випадку;

(v) у статті 17 застосовується варіант 1. ВКС ЄС регулюються законодавством Федеративної Республіки Німеччина;

(vi) у пункті 18(b) спори вирішуються судами Федеративної Республіки Німеччина;

(vii) Додаток I ВКС ЄС вважається завершеним з урахуванням інформації, викладеної в Додатку 1 цього DPA;

(viii) Додаток II ВКС ЄС вважається завершеним з урахуванням інформації, викладеної у Додатку 2 цього DPA.

9.3. Передачі в рамках Рамкової системи захисту даних Великої Британії

Коли обробка даних клієнта від вашого імені у зв’язку з послугами є «обмеженою передачею» відповідно до Законів про захист даних Великої Британії, застосовується Додаток до Великої Британії.

Коли ви є контролером, а BAS-IP є процесором, застосовується Модуль Другий ЄС SCC, а коли ви є процесором, а ми — субпроцесором, застосовується Третій модуль ЄС SCC, як зазначено в підпункті 9.2. цього DPA.

Для цілей британського додатку BAS-IP — це «імпортер», а ви — «експортер».

Відповідні положення, викладені в Додатку Великої Британії, включені за посиланням і є невід’ємною частиною цього DPA. Таблиці у британському додатку вважаються заповненими наступним чином:

(i) Таблиця 1 у Частині 1 вважається завершеною з інформацією, викладеною в Додатку 1 цього DPA, офіційний реєстраційний номер імпортера — 328138502, а офіційний реєстраційний номер експортера міститься в рахунку Клієнта, якщо він є;

(ii) Таблиця 2 у Частині 1 вважається завершеною відповідно до інформації, викладеної в підпункті 9.2. цього DPA;

(iii) Таблиця 3 у Частині 1 вважається завершеною з урахуванням інформації, викладеної в Додатках 1, 2 та 3 цього DPA;

(iv) у Таблиці 4 Частини 1 жодна зі сторін не може припинити цей Додаток відповідно до Розділу 19 Додатку Великої Британії.

ДОДАТОК 1 – ОПИС ОБРОБКИ

СПИСОК ПАРТІЙ

Клієнт (експортер даних)

Ім’я: Ти, «Клієнт»

Адреса: відповідна інформація міститься в акаунті Клієнта.

Ім’я контактної особи, посада та контактні дані: відповідна інформація міститься в акаунті Клієнта.

Діяльність, що стосується даних, переданих за цими Пунктами: надання послуг.

Підпис і дата: Сторони погоджуються, що виконання Угоди експортером даних становить виконання цього DPA як імпортером даних, так і експортером даних. Дата реєстрації рахунку на Платформі вважається датою підписання цього DPA.

Роль: контролер або процесор

BAS-IP DISTRIBUTION LTD (Імпортер даних)

Назва: BAS-IP DISTRIBUTION LTD

Адреса: Crown House, 27 Old Gloucester Street, Лондон, Англія

Ім’я контактної особи, посада та контактні дані: [будь ласка, вкажіть ім’я, посаду та контактні дані, наприклад, електронну пошту]

Діяльність, що стосується даних, переданих за цими Пунктами: надання послуг.

Роль: процесор або підпроцесор

ОПИС ПЕРЕДАЧІ

1. Категорії суб’єктів даних, чиї персональні дані передаються:

Клієнти клієнта;
інші суб’єкти даних, чиї персональні дані передаються під час послуг, наданих Компанією Клієнту.

2. Категорії персональних даних, що передаються:

особисті дані, пов’язані з клієнтами Клієнта;
інші персональні дані, які можуть бути передані під час послуг, наданих Компанією Клієнту.

1. Конфіденційні дані, передані (якщо це застосовно) та застосовані обмеження або запобіжники, які повністю враховують характер даних і пов’язані з ними ризики:

Імпортер даних може отримати доступ до чутливих даних лише тоді, коли такі конфіденційні дані надаються Клієнтом і лише в тій мірі, необхідної для виконання Послуг. У таких випадках імпортер даних впроваджує технічні та організаційні заходи, викладені в Додатку 2, разом з іншими відповідними та необхідними запобіжниками чи обмеженнями, враховуючи характер чутливих даних і ризики, пов’язані з їх обробкою, відповідно до чинних законів і нормативних актів.

2. Частота передачі:

Персональні дані передаються безперервно.

3. Характер обробки:

Обробка персональних даних включає наступне: збір, реєстрацію, організацію, структурування, зберігання, адаптацію або зміну, пошук, консультації, узгодження або комбінацію, обмеження, стирання або знищення.

4. Мета передачі даних та подальшої обробки:

Метою обробки даних за цими Положеннями є забезпечення виконання послуг для Експортера даних імпортером даних відповідно до Угоди, укладеної між імпортером даних і експортером даних.

5. Період, протягом якого будуть зберігатися персональні дані, або, якщо це неможливо, критерії, що використовуються для визначення цього періоду:

Персональні дані зберігаються протягом усього терміну дії цього DPA, укладеного між імпортером даних та експортером даних, якщо не узгоджено письмово інше або якщо імпортер даних не зобов’язаний чинним законодавством зберігати частину або всі передані персональні дані.

6. Для передач (суб) процесорам також вкажіть предмет, характер і тривалість обробки:

Тематика: Виконання послуг

Природа: збір, запис, організація, структурування, зберігання, адаптація або зміни, пошук, консультації, вирівнювання або комбінація, обмеження, стирання або знищення.

тривалість: продуктивність послуг для імпортера даних (під) процесором згідно з угодою про обслуговування, укладеною між імпортером даних та (під) процесором.

КОМПЕТЕНТНИЙ НАГЛЯДОВИЙ ОРГАН

Відповідно до пункту 13, компетентний наглядовий орган за цими положеннями визначається залежно від того, яка версія пункту 13(a) застосовується до експортера даних.

ДОДАТОК 2 – ТЕХНІЧНІ ТА ОРГАНІЗАЦІЙНІ ЗАХОДИ

ТЕХНІЧНІ ТА ОРГАНІЗАЦІЙНІ ЗАХОДИ, ВКЛЮЧАЮЧИ ТЕХНІЧНІ ТА ОРГАНІЗАЦІЙНІ ЗАХОДИ ДЛЯ ЗАБЕЗПЕЧЕННЯ БЕЗПЕКИ ДАНИХ

Опис технічних та організаційних заходів, впроваджених імпортером даних для забезпечення належного рівня безпеки, з урахуванням характеру, обсягу, контексту та мети обробки, а також ризиків для прав і свобод фізичних осіб:

Data Importer прагне зберігати конфіденційність, цілісність, доступність і стійкість усіх персональних даних протягом усього процесу обробки, а також забезпечувати захист персональних даних від втрати та знищення шляхом впровадження відповідних внутрішніх політик, процедур та інших відповідних заходів щодо внутрішньої інформаційної безпеки.
Data Importer надає доступ до персональних даних виключно за принципом необхідної інформації, і такі дані доступні лише для уповноваженого персоналу.
Data Importer впровадив ролевий контроль доступу та списки контролю доступу для забезпечення суворого розділення прав доступу користувачів.
Процедури інформаційної безпеки Data Importer регулярно перевіряються.
Data Importer використовує надійних постачальників послуг і відстежує технічні та організаційні заходи, які вони впроваджують, щоб забезпечити постійний захист персональних даних.
Data Importer впровадив заходи, спрямовані на захист конфіденційності та цілісності персональних даних під час передачі даних.
Data Importer впровадила технічні та організаційні заходи, спрямовані на стримування інцидентів безпеки та запобігання подальшій втраті даних і пошкодженню.

ДОДАТОК 3 – СУБПРОЦЕСОРИ

Контролер дозволив використання наступних підпроцесорів:

Підпроцесор 1

Назва: Hetzner Online GmbH / Hetzner Finland Oy

Адреса: Industriestr. 25, 91710 Гунценгаузен, Німеччина / Huurrekuja 10, 04360 Tuusula (Гельсінкі / Туусула), Фінляндія

Ім’я контактної особи, посада та контактні дані: [email protected]

Опис обробки: розміщення даних на серверах Hetzner Online GmbH / Hetzner Finland Oy

Підпроцесор 2

Назва: DigitalOcean, LLC

Адреса: 105 Edgeview Drive, Ste. 425, Брумфілд, CO 80021, США

Ім’я, посада та контактні дані: [email protected]

Опис обробки: розміщення даних на серверах DigitalOcean, LLC