Поручение на обработку персональных данных

Согласно ст. 28, пункт 3, пр. 1 Общего регламента защиты персональных данных (GDPR) Европейского союза (далее — GDPR)

  • – именуемый далее Соглашение
между
  • Пользователем Homepage-Konstruktor.ru,
  • – именуемый далее Заказчик

и

  • Имя.:Webme ГмбХ
  • Адрес: ул. Rednitzstrasse, 18
  • Индекс, город, страна:90449 Нюрнберг, Германия
  • Национальный реестр юридических лиц, №:Окружной суд Нюрнберга, HRB 28959
  • Генеральный директор:Бенжамин Лохманн
  • – именуемый далее Исполнитель
  • – Исполнитель и Заказчик именуются далее Участники Соглашения. –

Постатейные материалы

  • Приложение 1 "Концепция безопасности"
  • Приложение 2 "Субподрядные отношения"

1. Объект Поручения, категории данных, субъекты данных, тип, объем и цель обработки (Ст. 28 п. 3, ст. 30 п. 2 GDPR)

1.1. Предмет Соглашения, обрабатываемые в рамках Поручения персональные данные (ст. 4 п. 1 GDPR; далее сокращенно „Данные“), лица, затронутые обработкой (далее —„субъекты данных“), а также характер, объем и цели обработки, определяются между участниками Соглашения нижеследующими правовыми отношениями (далее именуемымиОсновной договор):

Договорные отношения, касающиеся использования homepage-konstruktor.ru и связанных с ним услуг и функций.

Положения настоящего Соглашения являются приоритетными по отношению к основному договору.

1.2. Тип данных:

  • Учетные данные (например, имена, адреса).
  • Контактные данные (например, адрес электронной почты (e-mail), телефонные номера).
  • Данные содержания (например, ввод текста, фотографии, видео).
  • Данные договора (например, предмет договора, его срок, категории клиентов).
  • Платежные данные (например, банковские реквизиты, история платежей).
  • Данные об использовании (например, запросы, посещенные сайты, покупательское поведение, время доступа, данные протокола передачи данных).
  • Метаданные и данные связи (например, идентификаторы устройств, IP-адреса).

1.3. Обработка специальных категорий данных (ст. 9 п.1 GDPR):

  • Специальные категории данных, как правило, не обрабатываются, если только они не предоставляются Заказчиком/его клиентами, пользователями или сотрудниками.

1.4. Категории субъектов данных:

  • Клиенты/потенциальные клиенты.
  • Пользователи и посетители созданных с помощью Homepage-Konstruktor веб-сайтов.

1.5. Назначения обработки:

  • Место накопления данных (дисковое пространство, (веб-хостинг).
  • Software as a Service (SaaS — программное обеспечение как услуга).
  • Регистрация доменов.
  • Администрирование серверов/обслуживание оборудования.

2. Обязательства и директивные права

2.1. Согласно ст.4 п. 7 GDPR Заказчик, как ответственное лицо ответственен за соблюдение правил защиты данных, переданные им данные и предоставленные инструкции (ст. 28 п. 3 пп. ст. 29 и 32 п. 4 GDPR)

2.2. Исполнитель вправе обрабатывать данные только в рамках основного договора и указаний Заказчика (что также относится, в частности, к их исправлению, удалению или ограничению обработки) и только в той степени, в которой обработка необходима, за исключением случаев, когда Исполнитель обязан обрабатывать их по законодательству Евросоюза или государств-участников, которым подчиняется Исполнитель; в таком случае Исполнитель сообщает Заказчику эти юридические требования до обработки, если соответствующее законодательство не запрещает подобное уведомление в связи с важным общественным интересом (ст. 28 п.3 пр.2 пп. А GDPR).

2.3. Заказчик имеет право в любое время предоставить дополнительные указания в отношении обработки данных и мер безопасности.

Если Исполнитель считает, что указание Заказчика нарушает действующее законодательство о защите данных, он немедленно уведомит Заказчика об этом. В этом случае Исполнитель имеет право приостановить исполнение поручения до подтверждения поручения Заказчиком и отказаться в случае заведомо противоправных поручений.

2.5. Исполнитель может отказаться от поручения, если оно не представляется возможным для выполнения или не неоправданно для Исполнителя (в частности, если выполнение сопряжено с несоизмеримыми затратами или отсутствием технической возможности). Отказ может быть сделан только с надлежащим учетом защиты субъектов данных и дает право Заказчику на внеочередное расторжение Соглашения, если его продолжение неоправданно для Заказчика. Если расторжение происходит до истечения согласованного срока действия договора, Заказчик обязан продолжить уплату согласованного вознаграждения, за исключением случаев, когда причины, приведшие к расторжению договора, входили в зону ответственности Исполнителя или находились в сфере риска Исполнителя.

Если дополнительные указания Заказчика выходят за рамки обязательств Исполнителя по основному договору и не основаны на проступке Исполнителя, то Заказчик должен отдельно возместить Исполнителю понесенные в результате дополнительные расходы.

Участники Соглашения могут назначать лиц, уполномоченных на предоставление и получение указаний (в частности, если они не следуют из основного договора), и обязаны незамедлительно ставить в известность о подобных изменениях.

3. Концепция безопасности и связанные с этим обязательства

Исполнитель в своей зоне ответственности обеспечивает внутреннюю организацию процессов в соответствии с требованиями законодательства и, прежде всего, предпринимает технические и организационные меры (далее —„ТОМ“) для надлежащего обеспечения, в частности, конфиденциальности, целостности и доступности данных Заказчика, с учетом состояния техники, затрат на ее внедрение и характера, объема, условий и целей обработки данных, а также вероятности наступления и серьезности риска для прав и свобод субъектов данных, а также сохранение их в силе (ст. 28 п.3 и ст. 32–39 наряду с ст. 5 GDPR). К ТОМ относятся, в частности, контроль доступа (физический и электронный), контроль передачи, контроль ввода, контроль поручений, контроль распоряжения, контроль расторжения и защиты прав субъектов данных.

3.2. ТОМ, лежащие в основе настоящего Соглашения, приведены в Приложении 1 „Концепция безопасности“. Они могут быть усовершенствованы в соответствии с техническим прогрессом и заменены адекватными мерами защиты, если они не превышают уровень безопасности установленных мер и о значительных изменениях сообщается Заказчику.

3.3. Исполнитель гарантирует, что лица, имеющие доступ к данным Заказчика, обязаны сохранять конфиденциальность (ст. 28 п.3 пр.2 пп. b и ст. 29, 32 п. 4 GDPR) и были проинструктированы по технике безопасности или подпадают под соответствующее юридическое обязательство сохранять конфиденциальность.

3.4. Данные, предоставленные в соответствии с Соглашением, а также носители данных и все их копии остаются в собственности Заказчика, тщательно хранятся Исполнителем, защищаются от доступа несанкционированных третьих лиц и могут быть уничтожены только с согласия Заказчика, и только затем в соответствии с политикой конфиденциальности. Копии данных могут быть сделаны только в том случае, если они необходимы для выполнения основных и второстепенных обязательств Исполнителя по отношению к Заказчику (например, резервное копирование).

3.5 Если это предусмотрено GDPR или дополнительными, в частности, национальными правилами, Исполнитель назначает сотрудника по защите данных, который отвечает требованиям законодательства, и соответствующим образом информирует Заказчика (ст. с 37 по 39 GDPR).

4. Обязательства информирования и сотрудничества

Права субъектов данных должны осуществляться по отношению к Заказчику, при этом Исполнитель оказывает поддержку заказчику в соответствии со ст. 28 п.3 пр.2 пп. e GDPR и информирует его, в частности, о запросах, полученных субъектами данных.

4.2. Заказчик должен немедленно и полностью уведомить Исполнителя, если он обнаруживает ошибки или нарушения в отношении обработки данных в отношении соблюдения положений настоящего Соглашения или соответствующих правил защиты данных.

4.3. В случае, если Исполнитель устанавливает факты, обосновывающие предположение о нарушении защиты данных, обрабатываемых для Заказчика, Исполнитель обязан немедленно и полностью уведомить Заказчика немедленно принять необходимые меры защиты и помочь в выполнении обязательств, возложенных на Заказчика в соответствии со ст. 33 и 34 GDPR.

4.4. Если безопасность данных заказчика в результате действий третьих лиц (например, кредиторов, государственных органов, судов и т. д.) находится под угрозой (наложение ареста на имущество, конфискация, процесс банкротства и т. д.), Исполнитель обязан незамедлительно проинформировать третьи лица о том, что территориальные права и право собственности на данные принадлежат исключительно Заказчику, а также, после согласования с Заказчиком, при необходимости, принять соответствующие защитные меры (например, апелляции, прошения, и т. д.).

4.5. Исполнитель обязан немедленно уведомить Заказчика, в случае если надзорный орган ведет деятельность по отношению к Исполнителю, и его деятельность может повлиять на данные, обрабатываемые для Исполнителя. Исполнитель осуществляет поддержку Заказчика в выполнении своих обязанностей (в частности, по предоставлению информации и допуску к контролю) перед надзорными органами (ст. 31 GDPR).

4.6. Исполнитель предоставляет Заказчику информацию об обработке данных в рамках настоящего Соглашения, необходимую для выполнения его юридических обязанностей (в частности, запросов субъектов данных или государственных органов и соблюдения его подотчетности в соответствии со ст. 5 п. 2 GDPR, а также о проведении анализа воздействия защиты данных в соответствии со ст. 35 GDPR, если Заказчик не может самостоятельно получить эту информацию. Информация должна быть доступна Исполнителю и не должна быть приобретена третьими лицами, при этом сотрудники, агенты и субподрядчики Заказчика третьими лицами не считаются.

4.7. Если предоставление необходимой информации и сотрудничество выходят за рамки обязательств Исполнителя по основному договору и не основаны на неправомерных действиях со стороны Исполнителя, Заказчик обязан отдельно компенсировать затраты Исполнителю на дополнительную работу.

5. Полномочия контроля

5.1. Заказчик имеет право в любое время в необходимом объеме контролировать соблюдение правовых требований и положений настоящего Соглашения, в частности соблюдения ТОМ Исполнителем (ст. 28 п. 3 пп. h GDPR).

5.2. Проверки на месте проводятся в течение рабочего времени, Заказчик обязан сообщить о них в течение надлежащего периода времени (не менее, чем за 14 дней, за исключением чрезвычайных ситуаций) и поддерживаться Исполнителем (например, путем предоставления кадров).

5.3. Инспекции должны быть ограничены необходимыми рамками и должны учитывать торговые и деловые тайны Исполнителя и защиту персональных данных третьих сторон (например, других клиентов или сотрудников Исполнителя). К осуществлению контроля допускаются только компетентные лица, которые могут подтвердить свою личность, обязанные не разглашать производственную и коммерческую тайны, а также технологии Исполнителя и персональные данные третьих лиц.

5.4. Вместо проверок и инспекций на месте Исполнитель вправе направить Заказчика на эквивалентную проверку с помощью независимых третьих сторон (например, нейтральных аудиторов защиты данных), соблюдением утвержденных правил поведения (ст. 40 GDPR) или подходящих сертификатов защиты данных или ИТ-безопасности в соответствии со ст. 42 GDPR. Это относится, в частности, к случаям, если контроль подвергает опасности операционную и коммерческую тайну Исполнителя или персональные данные третьих лиц.

5.5. Если допуск и участие в контроле, или соразмерные альтернативные меры Заказчика выходят за рамки обязательств Исполнителя по основному договору и не основаны на проступке Исполнителя, то Заказчик должен отдельно возместить Исполнителю понесенные в результате дополнительные расходы.

6. Субподрядные отношения

6.1. Если Исполнитель использует услуги субагента (субподрядчика) для выполнения определенных операций по обработке от имени Заказчика, то он обязан передать субподрядчику те же обязательства, что он принял в рамках данного Соглашения, посредством контракта или другого юридического инструмента, разрешенного в соответствии с GDPR, (в частности, в отношении соблюдения инструкций, соблюдения TOM, предоставления информации и допусков к контролю). Кроме того, Исполнитель обязан тщательно выбирать субподрядчика, проверять его надежность и контролировать его, а также соблюдение субподрядчиком договорных и правовых требований (ст. 28 п. 2 и п.3 GDPR)

6.2. Без ущерба для любых ограничений, налагаемых основным договором, Заказчик прямо соглашается с тем, что Исполнитель может использовать субподрядчиков в контексте обработки поручений.

6.3. Субподрядные отношения, уже существовавшие при заключении настоящего Соглашения, указываются Исполнителем в Приложении 2 «Субподрядные отношения» и считаются утвержденными Исполнителем.

6.4. Исполнитель обязан информировать Заказчика об изменениях в субподрядчиках, которые имеют решающее значение для обработки поручений. Заказчик использует свое право на возражение в отношении изменений или новых субподрядчиков только с условием соблюдения принципов добросовестности, адекватности и справедливости.

6.5. Договорные отношения, при которых Исполнитель принимает услуги третьих лиц, не связанных с основными видами услуг, для осуществления их во время основной деятельности (например, уборка, охрана или транспортные услуги), не трактуются как субподрядные в соответствии с вышеуказанными положениями настоящего Соглашения. Тем не менее, процессор обязан заверить, например, посредством договорных соглашений или инструкций, что безопасность данных не подвергается опасности и что требования данного Соглашения и правила защиты данных соблюдаются.

7. Обработка в третьих странах

7.1. Предоставление договорной обработки данных осуществляется исключительно в государстве-члене Европейского союза или в другом государстве-участнике соглашения о Европейском экономическом пространстве (ЕЭЗ).

7.2. Обработка поручения в третьей стране, в том числе через субподрядчиков, требует предварительного согласия Заказчика и может осуществляться только при соблюдении особых требований ст. 44 GDPR за исключением случаев, когда Исполнитель обязан обрабатывать в третьей стране по законодательству Евросоюза или государств-участников, которым подчиняется Исполнитель; в таком случае Исполнитель сообщает Заказчику эти юридические требования до обработки поручения, если соответствующее законодательство не запрещает такое уведомление в связи с важным общественным интересом 28 п.3 пр.2 пп. А GDPR).

7.3. Согласие Заказчика на обработку поручения в третьей стране считается предоставленным применительно к обработке, указанной в Приложении 2 «Субподрядные отношения».

8. Срок поручения, расторжение договора и удаление данных

8.1. Настоящее Соглашение вступает в силу с его заключением, заключается на неопределенный срок и заканчивается не позднее срока действия основного договора.

8.2. Право на внеочередное расторжение остается за сторонами, особенно в случае серьезного нарушения требований настоящего Соглашения и действующего законодательства о защите данных. Внеочередному расторжению должно предшествовать предупреждение о нарушениях с надлежащим сроком, при этом оно не требуется, если не ожидать, что оспариваемые нарушения будут устранены или если они настолько весомы, что придержание Соглашения его участниками не является в таком случае обоснованным.

8.3. После завершения предоставления услуг по обработке в рамках настоящего Соглашения Исполнитель обязуется по выбору Заказчика удалить либо вернуть все персональные данные и их копии (а также все документы, полученные в его распоряжении, результаты обработки и использования, и массивы данных), если в соответствии с законодательством ЕС или законодательством государств-участников не существует обязательств по хранению персональных данных (ст. 28 п.1 пр.2 пп. g GDPR). Обжалование права удержания исключается в отношении обработанных данных и связанных с ними носителей данных. В отношении удаления или возврата права Заказчика на получение информации, подтверждение и контроль применяются в соответствии с настоящим Соглашением.

8.4. Кроме того, обязательства по настоящему Соглашению остаются в силе в отношении обрабатываемых данных даже после прекращения Соглашения.

8.5. Если удаление или возврат данных выходят за рамки обязательств Исполнителя по основному договору и не основаны на проступке Исполнителя, то Заказчик должен отдельно возместить Исполнителю понесенные в результате дополнительные расходы.

9. Вознаграждение

9.1. Вознаграждение, согласованное в соответствии с настоящим Соглашением, включает в себя как возмещение издержек за работу заявленных Исполнителем подрядчиков, так и обязательные расходы (например, материальные затраты или затраты на дорогу). Если это возможно, предсказуемо и разумно, Исполнитель проинформирует Заказчика о размере вознаграждения посредством соответствующей оценки.

9.2. Если Исполнителю причитается вознаграждение в соответствии с настоящим Соглашением, оно рассчитывается по почасовой ставке в размере 100,00 EUR нетто. В остальных случаях действуют правила выплаты вознаграждения основного договора.

10. Ответственности

10.1. При компенсации ущерба, понесенного субъектом данных в результате обработки данных, являющейся незаконной или неправильной в соответствии с законами о защите данных или использующейся в контексте обработки поручения, ответственность перед субъектами данных в отношениях со стороной Исполнителя несет только Заказчик, в случае если он несет ответственность за ущерб, либо юридически или по договору обязан его возместить.

10.2. Стороны освобождаются от ответственности, если одна из сторон докажет, что она не несет никакой ответственности за обстоятельства, в результате которых ущерб был причинен субъектами данных.

11. Заключительные положения, приоритетность, изменения, форма коммуникации, выбор права, подсудность

11.1. Изменения, дополнительные соглашения и дополнения к настоящему Соглашению и его приложениям требуют письменного соглашения и прямой ссылки на тот факт, что это изменение или дополнение к настоящему Соглашению. Это также относится к отказу от данного формального требования.

11.2. Настоящее Соглашение обязывает Исполнителя только в той степени, в которой это необходимо для выполнения юридических обязательств, в частности в соответствии со ст. 28 GDPR, и не накладывает каких-либо дополнительных обязательств на Исполнителя.

11.3. При условии наличия письменного обязательства в настоящем Соглашении и в основном договоре, общение между Исполнителем и Заказчиком происходит в рамках настоящего Соглашения (в частности, в отношении указаний и предоставления информации), по крайней мере, в текстовой форме (например, по электронной почте). Сокращенный вариант (например, в устной форме) может быть допустимым вместо текстового варианта (например, в чрезвычайной ситуации), но, должен быть без замедления подтвержден в текстовой форме. Если требуется письменная форма, она подразумевается в значении GDPR.

11.4. Закон Федеративной Республики Германия применяется при условии, что Исполнитель является предпринимателем, а не потребителем, или сохраняет свое место жительства/пребывания за пределами Европейского Союза. Исключительной юрисдикцией для всех споров, возникающих или связанных с настоящим Соглашением, является местонахождение Исполнителя, если Заказчик является предпринимателем, юридическим лицом публичного права или юридическим лицом со статусом публично-правового имущества либо если Заказчик не имеет юрисдикции в Федеративной Республике Германия. Исполнитель оставляет за собой право отстаивать свои требования в предусмотренном законом месте рассмотрения споров.

Поручение на обработку персональных данных

Приложение 1 – Концепция безопасности

Технические и организационные меры согл. ст. 32 GDPR

1. Концепция защиты данных, права субъектов данных, технологическое проектирование и защита данных на уровне сотрудников

Основные меры, которые служат для защиты прав субъектов данных, оперативного реагирования в чрезвычайных ситуациях, требований технологического проектирования и защиты данных на уровне сотрудников:

  • Существует внутренний регламент защиты данных, соблюдение которого постоянно контролируется и оценивается на основе событий и не реже одного раза в шесть месяцев.
  • Существует концепция, которая обеспечивает сохранение прав субъектов данных (справочная информация, исправление, удаление или ограничение обработки, передача данных, отмены и возражения) в установленные законом сроки. Она включает в себя формы, инструкции и процесс имплементации, а также назначение лиц, ответственных за имплементацию.
  • Существует концепция, обеспечивающая немедленное и соответствующее требованиям законодательства реагирование на нарушения защиты персональных данных (проверка, документация, уведомление). Она включает в себя формы, инструкции и процесс имплементации, а также назначение лиц, ответственных за имплементацию.
  • Защита персональных данных рассматривается с учетом уровня техники, затрат на ее внедрение и типа, объема, обстоятельств и целей обработки, а также различной вероятности и степени серьезности рисков, связанных с обработкой прав и свобод физических лиц уже при разработке или выборе оборудования, программного обеспечения в соответствии с принципом защиты данных с помощью технологии проектирования и удобных для защиты настроек по умолчанию (ст. 25 GDPR).
  • Сотрудники в рамках защиты данных обязаны соблюдать конфиденциальность, должны быть обучены и проинструктированы, а также проинформированы об имущественной ответственности. В случае, если сотрудники работают за пределами внутренних помещений или используют частное оборудование для производственной деятельности, существуют специальные правила для защиты данных в таких условиях и обеспечения прав заказчиков на обработку поручений.
  • Ключи, карты доступа или коды, выданные сотрудникам, а также разрешения, предоставленные в отношении обработки персональных данных, должны быть изъяты после того, как сотрудник покинет компанию или поменяет обязанности.
  • Клининговый персонал, сотрудники службы безопасности и другие поставщики услуг, которые используются для выполнения второстепенных деловых задач обязаны проходить тщательный отбор, при этом должно быть обеспечено соблюдение защиты личных данных.

2. Контроль доступа

Меры по предотвращению доступа посторонних лиц к системам обработки данных, которые обрабатывают или используют личные данные:

  • За исключением стационарных компьютеров и мобильных устройств, в собственных производственных помещениях предприятия нет систем обработки данных. Данные клиента сохраняются сторонними хостинг-провайдерами с соблюдением требований к обработке поручения.
  • Существуют правила доступа для лиц, не являющихся сотрудниками.
  • Посетители обязаны заблаговременно уведомить о своем приходе, зарегистрироваться и пользоваться сопровождением (серверные помещения).
  • Посетители серверных помещений должны быть зафиксированы в журнале.
  • Доступ к оборудованию для обработки данных (серверным помещениям) подрядчика полностью запрещен посторонним лицам и предоставляется только сотрудникам, имеющим право на доступ.
  • В серверных помещениях установлена сигнализация.
  • Доступ защищен ручной системой блокировки с защитными замками.
  • Существует регламент для ключей или карт доступа (ведение журнала выдачи).
  • Входы контролируются видеонаблюдением (серверные помещения).

3. Контроль доступа

Меры по предотвращению использования систем обработки данных посторонними лицами:

  • Существует концепция прав или ролевая концепция, с помощью которой определяются права доступа сотрудников, ответственных лиц и других лиц (например, пользователей в системе), и они распространяются исключительно в той мере, насколько это необходимо для установленного использования.
  • Все системы обработки данных защищены паролем.
  • Существует концепция паролей, которая определяет, что пароли должны иметь минимальную длину и сложность, соответствующую уровню техники и требованиям безопасности.
  • Используется программное обеспечение для управления паролями.
  • Логины в системах обработки фиксируются.
  • Используется антивирусное программное обеспечение.
  • Используются аппаратные брандмауэры.
  • Используются программные брандмауэры.
  • Веб-сайт и/или доступ к онлайн-предложениям программного обеспечения защищены актуальным шифрованием TLS/SSL.
  • Внутренние системы защищены от несанкционированного доступа с помощью брандмауэра, а также имени пользователя и пароля и/или сертификатов клиента.
  • Мобильные носители данных защищены шифрованием.

4. Контроль доступа и контроль ввода

Меры, гарантирующие, что лица, имеющие право на использование системы обработки данных, могут получить доступ только к данным, подпадающим под их право доступа, и что персональные данные при обработке, использовании и после хранения не могут быть несанкционированы, введены, прочитаны, скопированы, изменены или удалены; а также меры, которые позволяют впоследствии отслеживать процессы обработки:

  • Существует концепция прав или ролевая концепция, с помощью которой определяются права доступа сотрудников, ответственных лиц и других лиц (например, пользователей в системе), и они распространяются исключительно в той мере, насколько это необходимо для установленного использования.
  • Ведение журнала каждого этапа обработки данных, особенно доступа к приложениям, особенно при вводе, изменении и удалении данных.
  • Доступ сотрудников к данным фиксируется в критически важных областях безопасности. Если отдельные запросы доступа не фиксируются, тогда устанавливается, кто и в какие даты имел доступ к данным (например, путем ведения журнала использования программного обеспечения или выгрузка из времени доступа и принципа авторизации).
  • Ведение журнала каждого этапа обработки данных, особенно доступа к приложениям, особенно при вводе, изменении и удалении данных.
  • Носители данных, содержащие критически важную информацию или персональные данные, хранятся в безопасности.
  • Существует концепция удаления и утилизации с установленными полномочиями и обязательствами по фиксированию. Сотрудники были проинформированы о законных требованиях, сроках удаления и требованиях к уничтожению данных или уничтожению устройств поставщиками услуг.
  • Обработка данных, которые не могут быть удалены (например, вследствие законодательной обязанности архивирования), ограничивается обособлением и блокировкой.
  • Формы, из которых данные были переданы для автоматической обработки, сохраняются, если это основано на указаниях от заказчиков, или если бумажная форма представляет юридический интерес.

5. Контроль передачи

Меры, гарантирующие, что персональные данные не могут быть прочитаны, скопированы, изменены или удалены несанкционированно при электронной передаче или во время их транспортировки или хранения на носителях, а также, что можно проверить и определить, в какие места предусмотрена передача персональных данных учреждениями для передачи данных:

  • Определяются лица, имеющие право на передачу носителей данных, и лица, имеющие право на получение.
  • Существует инвентарный список и контроль запасов носителей данных.
  • Определяется, на какое время возможен доступ к данным.
  • В случае физической транспортировки выбираются безопасные транспортные контейнеры или транспортная упаковка, или безопасность данных гарантируется личным наблюдением при условии, что этого достаточно с учетом опасности для данных.
  • В случае удаленного доступа к данным протокольные действия гарантируют, что передача данных или раскрытие информации отслеживаются.
  • Регулярные процессы отзыва и передачи контролируются в ведомости.
  • При необходимости, если это возможно и приемлемо, данные будут передаваться анонимно или под псевдонимом.

6. Контроль поручений

Меры, гарантирующие, что персональные данные, обрабатываемые по поручению, могут обрабатываться только в соответствии с указаниями заказчиков:

  • Обязательное соблюдение инструкций сотрудниками и должностными лицами.
  • Письменное изложение и документирование инструкций.
  • Договорные и правовые требования по найму субподрядчиков соблюдаются путем заключения соглашений и обеспечения необходимых гарантий, а также их контроля.
  • Гарантируется возврат или уничтожение данных после завершения поручения.

7. Контроль распоряжения

Меры, гарантирующие защиту персональных данных от случайного уничтожения или потери:

  • Используются отказоустойчивые серверные системы и сервисы, которые тщательно спроектированы, проходят тесты на отказоустойчивость и аппаратные тесты, имеют защиту от DDoS-атак и располагают источниками бесперебойного питания (например, RAID, HA-кластер).
  • Используются серверные системы и службы, которые имеют детекторы влажности и системы пожарной и дымовой сигнализации, а также соответствующие огнетушители или пожарные устройства в помещении электронной обработки данных.
  • Используются серверные системы и службы, которые обеспечивают надежную и контролируемую систему резервного копирования и восстановления. Резервное копирование выполняется ежедневно.
  • Резервные копии также создаются и контролируются для обработки данных на рабочих столах и мобильных устройствах (серверное или облачное хранилище).
  • Доступность систем обработки данных постоянно контролируется.

8. Гарантия целевого использования/принцип разделения

Меры, гарантирующие, что данные, собранные для различных целей, могут обрабатываться отдельно:

  • При необходимости, если это возможно и приемлемо, данные разделяются физически (например, благодаря использованию различных серверов). Если физическое разделение данных невозможно, используется логическое разделение данных (например, в разных базах данных или с помощью соответствующих атрибутов назначения или полей данных).
  • Принцип авторизации предотвращает посягательство со стороны неправомочных лиц или процессов.
  • Производственные и тестовые системы разделяются, если это необходимо для поддержания целевого удержания.

Поручение на обработку персональных данных

Приложение 2 – Субподрядные отношения

  • Google Ireland Limited, Gordon House, Barrow Street, Дублин 4, Ирландия;
    Назначение: Google Analytics, Google Suite;
    Договорная основа: договор от 26.03.2018;
    Гарантия в случае третьих стран: Privacy Shield.
  • QSC AG, Mathias-Brüggen-Str. 55, 50829 Кёльн, Германия;
    Назначение: размещение собственного веб-сервера, подключение к сети Интернет, услуги безопасности, техническое обслуживание;
    Договорная основа: договор запрашивается;
  • LeaseWeb Deutschland GmbH, Kleyerstraße 75-87, 60326 Франкфурт-на-Майне, Германия;
    Назначение: дисковое пространство и службы баз данных, услуги безопасности, техническое обслуживание;
    Договорная основа: договор от 16.04.2018;
  • Hetzner Online GmbH, Industriestr. 25, 91710 Гунценхаузен, Германия;
    Назначение: дисковое пространство и службы баз данных, услуги безопасности, техническое обслуживание;
    Договорная основа: договор от 16.03.2018;
  • Binect GmbH, Robert-Koch-Str. 9, 64331 Вайтерштадт, Германия;
    Назначение: отправка почты;
    Договорная основа: договор от 17.04.2018;