ДОДАТОК 1 ДЕТАЛІ ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ КОМПАНІЇ
У цьому Додатку 1 містяться деякі подробиці Обробки Персональних Даних Компанії, як того вимагає стаття 28 (3) GDPR.
Предмет і тривалість
Предмет і тривалість Обробки Персональних даних Компанії викладені в Основному угоді і цією Угодою.
Природа і мета обробки
Метою обробки Персональних даних є надання Послуг відповідно до вимог Компанії. Характер такої обробки пов'язаний з цими цілями і докладно описаний в цьому Додатку і Основному угоді
Дані, які обробляє компанія
Компанія зазвичай обробляє такі типи персональних даних:
- біографічні відомості: ім'я та прізвище;
- контактні дані: електронна адреса, телефон;
- метадані про дзвінок: імена абонентів, час затримки, час та дані дзвінка тощо;
- особисту інформацію, записану під час дзвінка;
- фонові дані про місцезнаходження, якщо ця функція увімкнена.
Категорії даних для обробки
Типи оброблюваних Персональних даних Компанії зазвичай включають:
біографічні дані, такі як ім'я та прізвище;
контактна інформація, така як номер телефону та адресу електронної пошти;
метадані про виклики, такі як імена викликають і набирати,, час затримки, час і дата виклику і т. д.;
аудіо-записи бізнес-розмов і будь-яка особиста інформація, яка може бути включена в запису розмов.
Категорії об'єктів даних
Передані Персональні дані будуть піддаватися обробці з метою надання Послуг Компанії.
ДОДАТОК 2 Рішення Комісії C (2010) 593
Стандартні договірні умови (процесори)
Для цілей Статті 26 (2) Директиви 95/46 / EC про передачу персональних даних обробникам, встановленим в третіх країнах, які не забезпечують адекватний рівень захисту даних, Компанія, як визначено в Угоді (як «Експортер даних»), і Binotel, як визначено в Додатку (як «Імпортер даних») кожна «Сторона»; разом «Сторони»,
ПОГОДИЛИСЯ про наступні пункти Угоди ( «Пунктах»), щоб забезпечити адекватні гарантії щодо захисту Конфіденційність і основних прав і свобод окремих осіб для передачі експортером даних імпортеру даних Персональних даних, зазначених у Додатку 1.
Пункт 1 визначення Для цілей пунктів: (A) «персональні дані», «спеціальні категорії даних», «процес / обробка», «контролер», «обробник», «суб'єкт даних» і «контролюючий орган» повинні мати те ж значення, що і в Директиві 95/46 / ЄС Європейського парламенту та Ради від 24 жовтня 1995 року про захист фізичних осіб стосовно обробки персональних даних та про вільне переміщення таких даних; (B) «експортер даних» означає контролера, який передає персональні дані; (C) «імпортер даних» означає обробник, який погоджується отримувати від експортера даних особисті дані, призначені для обробки від його імені після передачі відповідно до його інструкцій і умовами пунктів, і який не підпадає під дію третьої країни система, що забезпечує адекватний захист в значенні Статті 25 (1) Директиви 95/46 / ЄС; (D) «під-процесор» означає будь-який процесор, задіяний імпортером даних або будь-яким іншим під-процесором імпортера даних, який згоден отримувати від імпортера даних або від будь-якого іншого під-процесора імпортера даних персональні дані, призначені виключно для операцій обробки, які можуть бути здійснюється від імені експортера даних після передачі відповідно до його інструкцій, умовами пунктів і умовами письмового субпідряду; (E) «який можна застосовувати закон про захист даних» означає законодавство, що захищає основні права і свободи людей і, зокрема, їх право на недоторканність приватного життя стосовно обробки персональних даних, яке застосовується до контролера даних в державі-члені, в якому експортер даних встановлено ; (F) «технічні та організаційні заходи безпеки» означають заходи, спрямовані на захист особистих даних від випадкового або незаконного знищення або випадкової втрати, зміни, несанкціонованого розкриття або доступу, зокрема, коли обробка включає передачу даних по мережі, а також проти всі інші незаконні форми обробки. Пункт 2 Подробиці трансферу даних Деталі передачі і, зокрема, спеціальні категорії персональних даних, де це може бути застосовано, вказані в Додатку 1, який є невід'ємною частиною пунктів. пункт 3 Застереження про стороннє бенефіціара 1. Суб'єкт даних може примусово застосувати щодо експортера даних цей пункт, пункти 4 (b) - (i), пункти 5 (a) - (e) і (g) - (j), пункт 6 (1) і (2 ), пункт 7, пункт 8 (2) і пункти 9-12 в якості стороннього бенефіціара. 2. Суб'єкт даних може застосувати щодо імпортера даних справжній пункт, пункти 5 (а) - (е) і (g), пункт 6, пункт 7, пункт 8 (2) і пункти 9-12, у випадках, коли експортер даних фактично зник або припинив своє існування відповідно до закону, якщо жодна особа-правонаступник не прийняло на себе всі юридичні зобов'язання експортера даних відповідно до договору або в силу закону, в результаті чого воно бере на себе права та обов'язки експортера даних, в цьому випадку суб'єкт даних може примусово застосувати їх до такої сущн сти. 3. Суб'єкт даних може застосувати щодо під-процесора цей пункт, пункти 5 (а) - (е) і (g), пункт 6, пункт 7, пункт 8 (2) і пункти 9-12, у випадках, коли обидва експортер даних і імпортер даних фактично зникли або припинили своє існування відповідно до закону або стали неплатоспроможними, якщо жодна із правонаступників не прийняло на себе всі юридичні зобов'язання експортера даних відповідно до договору або в силу закону, в результаті чого воно бере на себе права та обов'язки експортера даних, і в цьому випадку суб'єкт даних може примусово застосувати їх до такої організації. Така відповідальність суб-процесора перед третьою стороною обмежується його власними операціями обробки відповідно до пунктів. 4. Сторони не заперечують проти того, щоб суб'єкт даних представлявся асоціацією або іншим органом, якщо суб'єкт даних явно цього бажає і якщо це дозволено національним законодавством. пункт 4 Обов'язки експортера даних Експортер даних погоджується і гарантує: (A) що обробка, включаючи саму передачу персональних даних, була і буде тривати, на підставі відповідних положень застосовного закону про захист даних (і, де це може бути застосовано, була доведена до відома відповідного повноваження держави-члена, в якому встановлений експортер даних) і чи не порушує відповідні положення цієї держави; (B) що він дав вказівку і протягом всього терміну служби обробки персональних даних буде інструктувати імпортера даних обробляти персональні дані, що передаються тільки від імені експортера даних, і відповідно до чинного законодавства про захист даних і пунктами; (C) що імпортер даних надасть достатні гарантії щодо технічних і організаційних заходів безпеки, зазначених в Додатку 2 до цього контракту; (D) що після оцінки вимог застосовного закону про захист даних заходів безпеки є придатними для захисту особистих даних від випадкового або незаконного знищення або випадкової втрати, зміни, несанкціонованого розкриття або доступу, зокрема, коли обробка включає передачу дані по мережі і проти всіх інших незаконних форм обробки, і що ці заходи забезпечують рівень безпеки, відповідний ризикам, пов'язаним з обробкою, і характером даних, що підлягають захисту, з урахуванням рівня техніки і вартість їх реаліз ації; (E) що воно забезпечить дотримання заходів безпеки; (F) що, якщо передача включає спеціальні категорії даних, суб'єкт даних був проінформований або буде проінформований до або якомога швидше після передачі, що його дані можуть бути передані третій країні, що не забезпечує належний захист в межах значення Директиви 95/46 / ЄС; (G) пересилати будь-яке повідомлення, отримане від імпортера даних або будь-якого під-процесора відповідно до пункту 5 (b) і пунктом 8 (3), органу з нагляду за захистом даних, якщо експортер даних вирішить продовжувати передачу, що скасовує призупинення; (H) надавати суб'єктам даних на замовлення повну копію Пунктів, за винятком Додатка 2, і короткий опис заходів безпеки, а також копію будь-якого контракту на послуги суб-обробки, який повинен бути зроблені відповідно до пунктів, якщо тільки пункти або контракт не містять комерційну інформацію, і в цьому випадку він може видалити таку комерційну інформацію; (I) що, в разі додаткової обробки, процес обробки виконується відповідно до пункту 11 під-процесором, що забезпечує, щонайменше, такий же рівень захисту персональних даних і прав суб'єкта даних, що і імпортер даних відповідно до пунктів; а також (J) що він забезпечить дотримання пункту 4 (a) - (i). пункт 5 Обов'язки імпортера даних Імпортер даних погоджується і гарантує: (А) обробляти персональні дані лише від імені експортера даних і відповідно до його інструкцій і пунктами; якщо він не може забезпечити таку відповідність з яких-небудь причин, він погоджується негайно проінформувати експортера даних про свою нездатність виконати, і в цьому випадку експортер даних має право призупинити передачу даних і / або розірвати договір; (B) що у нього немає підстав вважати, що до нього застосовується законодавство не дозволяє йому виконувати інструкції, отримані від експортера даних, і його зобов'язання за контрактом, і що в разі зміни цього законодавства, яке може мати значний несприятливий вплив на гарантії і зобов'язання , передбачені в пунктах, він буде негайно повідомляти про зміну експортера даних, як тільки він дізнається, і в цьому випадку експортер даних має право призупинити передачу даних і / або розірвати договір; (C) що воно прийняло технічні та організаційні заходи безпеки, зазначені в Додатку 2, до обробки переданих персональних даних; (D) що він негайно повідомить експортера даних про: (I) будь-юридично зобов'язуючий запит на розкриття персональних даних правоохоронним органом, якщо інше не заборонено, наприклад, заборона кримінальним законодавством зберігати конфіденційність розслідування правоохоронних органів, (Ii) будь-який випадковий або несанкціонований доступ, і (Iii) будь-який запит, отриманий безпосередньо від суб'єктів даних без відповіді на цей запит, якщо тільки він не був уповноважений на це; (E) оперативно і належним чином обробляти всі запити від експортера даних, що стосуються його обробки персональних даних, що підлягають передачі, і виконувати рекомендації наглядового органу щодо обробки переданих даних; (F) на вимогу експортера даних представити свої кошти обробки даних для аудиту операцій з обробки, які охоплюються пунктами, які повинні виконуватися експортером даних або інспекційним органом, що складається з незалежних членів і володіє необхідним фахівцем кваліфікації, пов'язані обов'язком конфіденційності, вибрані експортером даних, де це може бути застосовано, за погодженням з наглядовим органом; (G) надавати суб'єкту даних на замовлення повну копію пунктів або будь-якого існуючого договору на суб-обробку, якщо тільки пункти або договір не містять комерційну інформацію, і в цьому випадку він може видалити таку комерційну інформацію, за винятком Додаток 2, яке повинно бути замінено коротким описом заходів безпеки в тих випадках, коли суб'єкт даних не може отримати копію від експортера даних; (H) що в разі додаткової обробки він раніше поінформував експортера даних і отримав своє попередньої письмової згоди; (I) що послуги обробки суб-процесором будуть виконуватися відповідно до пункту 11; (J) негайно відправити копію будь-якої угоди про суб-процесорі, яке воно складає відповідно до пунктів, експортеру даних. пункт 6 відповідальність 1. Сторони погоджуються, що будь-який суб'єкт даних, якому було завдано збитків в результаті будь-якого порушення будь-якої сторони або під-процесора зобов'язань, зазначених в пункті 3 або в пункті 11, має право на отримання компенсації від експортера даних за завдані збитки, 2. Якщо суб'єкт даних не може пред'явити вимогу про відшкодування відповідно до пункту 1 проти експортера даних в результаті порушення імпортером даних або його суб-процесором будь-якого з їхніх зобов'язань, зазначених в пункті 3 або в пункті 11, оскільки експортер даних фактично зник або припинив своє існування відповідно до законодавства або став неплатоспроможним, імпортер даних погоджується з тим, що суб'єкт даних може подати позов проти імпортера даних, як якщо б він був експортером даних, якщо тільки суб єкт-наступник не прийняв всі юридичні зобов'язання експортера даних за договором або в силу закону, і в цьому випадку суб'єкт даних може забезпечити свої права щодо такої особи. Імпортер даних не може покладатися на порушення суб-процесором своїх зобов'язань щоб уникнути своїх власних зобов'язань. 3. Якщо суб'єкт даних не може подати позов проти експортера даних або імпортера даних, зазначених у пунктах 1 і 2, в результаті порушення під-процесором будь-якого зі своїх зобов'язань, зазначених в пункті 3 або в пункті 11, оскільки як експортер даних, так і імпортер даних фактично зникли або перестали існувати згідно із законом або стали неплатоспроможними, під-процесор погоджується з тим, що суб'єкт даних може подати позов проти під-процесора даних щодо його власних операцій обробки відповідно до пунктів, як е Чи це був експортер даних або імпортер даних, за винятком випадків, коли будь-який суб'єкт-правонаступник прийняв на себе повні юридичні зобов'язання експортера даних або імпортера даних за контрактом або в силу закону, і в цьому випадку суб'єкт даних може застосувати свої права щодо такого суб'єкта. Відповідальність суб-процесора обмежується його власними операціями обробки відповідно до пунктів. пункт 7 Посередництво і юрисдикція 1. Імпортер даних погоджується з тим, що, якщо суб'єкт даних посилається на права третіх сторін-бенефіціарів та / або вимагає компенсації за збитки відповідно до положень, імпортер даних прийме рішення суб'єкта даних: (А) передати спір на посередництво, незалежною особою або, у разі необхідності, наглядовим органом; (B) передати спір до суду в державі-члені, в якому встановлений експортер даних. 2. Сторони погоджуються, що вибір, зроблений суб'єктом даних, не завдасть шкоди його матеріальним або процесуальних прав на пошук засобів правового захисту відповідно до інших положень національного або міжнародного права. пункт 8 Співпраця з контролюючими органами 1. Експортер даних погоджується здати копію цього договору до контролюючого органу на його прохання або якщо така передача потрібно відповідно до чинного законодавства про захист даних. 2. Сторони погоджуються, що наглядовий орган має право проводити аудит імпортера даних і будь-якого суб-процесора, який має таку ж область застосування і підпорядковується тим же умовам, які застосовуються до аудиту експортера даних відповідно до застосовуваного закону про захист даних. 3. Імпортер даних повинен негайно проінформувати експортера даних про існування застосовного до нього законодавства або будь-якого під-процесора, що перешкоджає проведенню аудиту імпортера даних або будь-якого під-процесора відповідно до пункту 2. У такому випадку експортер даних повинен мати право вживати заходів, передбачених в пункті 5 (b). пункт 9 керуючий закон Положення регулюються законодавством держави-члена, в якому створено експортер даних. пункт 10 варіація Угоди Сторони зобов'язуються не змінювати пункти. Це не заважає сторонам додавати пункти з питань, пов'язаних з бізнесом, де це необхідно, якщо тільки вони не суперечать Угоді. пункт 11 Суб-процесинг 1. Імпортер даних не повинен укладати суб-договір на будь-які зі своїх операцій обробки, виконуваних від імені експортера даних відповідно до пунктів, без попередньої письмової згоди експортера даних. Якщо імпортер даних укладає суб-підрядні зобов'язання по пунктах за згодою експортера даних, він робить це тільки за допомогою письмової угоди з суб-процесором, яке накладає на суб-процесор ті ж зобов'язання, що і імпортеру даних відповідно до Законів. Якщо суб-процесор не виконує свої зобов'язання щодо захисту даних відповідно до такого письмовою угодою, імпортер даних залишається повністю відповідальним перед експортером даних за виконання зобов'язань суб-процесора за такою угодою. 2. У попередньому письмовому договорі між імпортером даних і під-процесором також передбачається положення про третій стороні-бенефіціара, викладене в пункті 3, для випадків, коли суб'єкт даних не може пред'явити вимогу про компенсацію, про який йдеться в пункті 1 Пункт 6 проти експортера даних або імпортера даних, тому що вони фактично зникли або перестали існувати в законі або стали неплатоспроможними, і жодна особа-правонаступник не прийняло на себе всі юридичні зобов'язання експортера даних або імпортування тера даних за контрактом або в силу закону, така відповідальність суб-процесора перед третьою стороною обмежується його власними операціями обробки відповідно до пунктів. 3. Положення, що стосуються аспектів захисту даних для додаткової обробки контракту, згаданого в пункті 1, регулюються законодавством держави-члена, в якому створено експортер даних. 4. Експортер даних повинен вести список угод про додаткову обробку, укладених відповідно до пунктів і повідомлених імпортером даних відповідно до пункту 5 (j), який повинен оновлюватися не рідше одного разу на рік. Список повинен бути доступний органу нагляду за захистом даних експортера даних. пункт 12 Зобов'язання після припинення обслуговування персональних даних 1. Сторони погоджуються, що в разі припинення надання послуг по обробці даних імпортер даних і суб-процесор за вибором експортера даних повертають все передані особисті дані і їх копії експортеру даних або знищують все персональні дані і засвідчують, що це було зроблено експортерами даних, якщо тільки законодавство, що накладається на імпортера даних, не забороняє йому повертати або знищувати все або частину переданих персональних даних. У цьому випадку імпортер даних гарантує, що він буде гарантувати конфіденційність персональних даних і не буде активно обробляти передані персональні дані. 2. Імпортер даних і під-процесор гарантують, що за запитом експортера даних і / або контролюючого органу вони нададуть свої кошти обробки даних для перевірки заходів, згаданих в пункті 1. Додаток 1 До стандартний договір Вступаючи в Стандартні пункти договору, відповідно до розділу 12.1 Угоди, вважається, що сторони підписали цей Додаток 1. Експортер даних Експортером даних є Компанія, як це визначено в Угоді. Імпортер даних Імпортером даних є Binotel, як визначено в Угоді. предмети даних Категорії Суб'єктів даних, до яких відносяться Персональні дані Компанії, включають співробітників і клієнтів Компанії. категорії даних Типи оброблюваних Персональних даних Компанії зазвичай включають: біографічні дані, такі як ім'я та прізвище; контактна інформація, така як номер телефону та адресу електронної пошти; метадані про дзвінки; будь-яка особиста інформація, яка може бути включена в запису розмов. Обробка операцій Передані Персональні дані будуть піддаватися обробці з метою надання Послуг Компанії. Додаток 2 До стандартний договір Вступаючи в Стандартні пункти договору, відповідно до Розділу 12.1 Додатки, вважається, що сторони підписали цей Додаток 2.
Опис технічних і організаційних заходів безпеки, вжитих імпортером даних відповідно до пунктів 4 (d) і 5 (c) (або прикладеним документом / законодавством):
Імпортер даних впровадив і буде підтримувати технічні та організаційні заходи безпеки, щоб забезпечити рівень безпеки, відповідний ризику, включаючи, в разі необхідності, заходи, зазначені в статті 32 (1) GDPR.
Організаційні гарантії Binotel визначають, як його співробітники виконують свої обов'язки. З превентивної точки зору Binotel підтримує план інформаційної безпеки з контролем версій, який використовується в якості частини навчання співробітників безпеки. Binotel практикує «поділ обов'язків» серед своїх співробітників, щоб гарантувати, що кожен співробітник має тільки необхідні привілеї, необхідні для виконання своєї роботи. Binotel виявляє організаційні заходи обережності, включаючи оцінку управління ризиками для перевірки ефективності кожної заходи захисту. Крім того, фонові розслідування передбачуваних співробітників і реалізація докладного процесу звільнення співробітників гарантують, що схильність до ризику за допомогою практики найму та звільнення добре контролюється.
Що стосується технічних гарантій, Binotel використовує кілька технологій для зниження уразливості. Binotel використовує захищені системи, зокрема ОС Linux. І нарешті, Binotel використовує як аутентифікацію при вході в систему, так і контроль доступу користувачів, щоб гарантувати що скористатися перевагами підвищеного доступу можно тільки з доступу затвердженого керівництвом і наданого відповідним співробітникам.
Діє з 01.10.2019
Остання редакція: 28.04.2021