Загальні положення та умови діяльності

Загальні положення та умови діяльності Hospitality Digital GMBH (Інтернет-послуги)

Компанія Hospitality Digital GmbH, Metro-Strasse 1, 40235 Düsseldorf (далі — H.d), пропонує компаніям готельного та ресторанного секторів (далі — «Принципал») безкоштовні послуги, які надаються виключно через Інтернет та які детально описано нижче (далі — «Послуги»). Деякі Послуги надаються тільки після реєстрації Принципала.

1. Сфера застосування

1.1 H.d надає Послуги та інші переваги лише на підставі наведених нижче положень та умов («Положення та умови»).

1.2 Будь-які положення та умови Принципала, що не збігаються з наведеними нижче, не застосовуються, навіть якщо H.d окремо не відхилила їх та/або надала Послуги та/або інші переваги в повному обсязі, будучи обізнаною про протилежні та/або відмінні положення та умови Принципала.

2. Склад послуг

2.1 До складу Послуг входять такі переваги, що надаються H.d згідно з умовами угоди: (а) H.d зобов’язується надати Принципалу Сховищє в системах H.d. Принципал може отримати доступ до цього сховища через Інтернет (далі — «Сховище»), див. розділ 4. (б) H.d зобов’язується надати Принципалу онлайн-доступ до програмного забезпечення, за допомогою якого Принципал зможе створювати прості веб-сайти по заздалегідь налаштованим макетам та зберігати їх у Сховищі, керувати таким Сховищем та/або надавати доступ до нього третім сторонам (далі — «Програмне забезпечення»), див. розділ 5. (в) H.d зобов’язується надати Принципалу субдомен з доменним ім’ям H.d (eatbu.com) відповідно до зразка xyz.eatbu.com. Принципал може обрати назву субдомену залежно від наявності та зв’язку зі Сховищем (далі — «Субдомен»), див. розділ 6.

2.2 H.d може надавати Принципалу додаткові переваги, обсяг яких узгоджується з Принципалом. Переваги надаються відповідно до цих Положень і умов.

2.3 H.d може змінювати склад Послуг та інших переваг у відповідності до сучасних технічних розробок або потреб за умови, якщо така зміна є розумною з точки зору Принципала. H.d може припинити надання Послуг та інших послуг за умови надання попередження про це за розумний період часу. H.d зобов’язується своєчасно інформувати Принципала про припинення надання Послуг.

3. Обов’язки Принципала

3.1 Принципал зобов’язується підтримувати актуальність ділової та контактної інформації, яку було надано під час укладання угоди, протягом усього терміну дії угоди, та негайно інформувати H.d про будь-які зміни. Крім того, Принципал зобов’язується регулярно перевіряти адресу електронної пошти, надану компанії H.d, з метою отримання важливої інформації щодо угоди.

3.2 Принципал зобов’язується захищати всю облікову інформацію, отриману від H.d, від несанкціонованого доступу сторонніх осіб. Принципал зобов’язується повідомити H.d про обґрунтовану підозру або фактичне потенційне зловживання наданою обліковою інформацією.

3.3 Принципал усвідомлює, що його веб-сайт може бути пов’язаним з H.d. Тому Принципал зобов’язується прийняти всі необхідні заходи, щоб розділити послуги, що надає Принципал, та послуги, що надає H.d або треті особи, з точки зору їхнього вмісту. 3.4 Якщо Принципал дізнається, що використання Послуг та інших переваг призводить до порушення закону, Принципал зобов’язаний негайно припинити таке використання, утриматися від порушення законодавства та видалити будь-який незаконний вміст.

4. Положення щодо використання простору в Сховищі

4.1 Простір в Сховищі надається Принципалу безкоштовно. Отже, H.d не може гарантувати виключну доступність простору в Сховищі. Крім того, простір в Сховищі не буде доступним під час виконання необхідних робіт з технічного обслуговування. H.d буде прагнути зробити збитки, викликані технічним обслуговуванням, якомога меншими. Перед укладанням угоди H.d зобов’язується надати Принципалу інші технічні характеристики простору в Сховищі.

4.2 Принципал зобов’язується зберігати, публікувати й/або розміщувати всі файли, включаючи HTML та інші документи, тексти, зображення, графіку, шрифти, відео та інше (далі — «Вміст»), таким чином, щоб забезпечити доступ до них у Сховищі та/або за допомогою Програмного забезпечення відповідно до чинного законодавства. Принципал повинен зберігати в Сховищі та/або за допомогою Програмного забезпечення лише такий Вміст, на який Принципал має необхідні права, включаючи права на користування та експлуатації, відповідно до законодавства про авторські права. Крім того, такий Вміст не повинен порушувати жодних особистих прав третіх сторін. Крім того, Принципал не повинен зберігати, публікувати та/або розміщувати будь-який вміст, який є аморальним, зокрема має порнографічну, расистську або дискримінаційну природу, таким чином, щоб забезпечити доступ до нього в Сховищі та/або за допомогою Програмного забезпечення. H.d має право видалити будь-який Вміст, який розміщено таким чином, щоб забезпечити доступ до нього в Сховищі та/або за допомогою Програмного забезпечення, якщо такий Вміст порушує вимоги цього розділу 4, про що компанії H.d повідомили представники урядової установи, суду, власника прав, інших сторонніх осіб або іншим способом.

4.3 Принципал надає H.d необхідні права на весь Вміст, який Принципал зберігає, публікує та/або робить загально доступним у Сховищі та/або за допомогою Програмного забезпечення, зокрема права, необхідні для зберігання Вмісту, внесення технічних коригувань, забезпечення загального доступу до нього, а також для копіювання. H.d може мати доступ до Вмісту Принципала в Сховищі лише в тій мірі, в якій це технічно необхідно для надання та/або публікації Вмісту, а також відповідно до сформульованих в угоді дозволів.

4.4 Крім того, Принципал не може запускати або організувати запуск будь-яких автоматизованих процесів, скриптів, програмного забезпечення або інших даних та/або Вмісту на просторі в Сховищі та/або самостійно або опосередковано вживати будь-яких заходів (за допомогою Програмного забезпечення ), що можуть навіть незначним чином погіршити роботу систем, мереж та/або іншого обладнання та програмного забезпечення, наприклад мережевих компонентів H.d та/або сторонніх осіб. У випадку, якщо компанія H.d дізнається про таке погіршення роботи, вона має право припинити його та/або запобігти йому.

4.5 Принципал зобов’язується щодня виконувати резервне копіювання даних, щоб мати можливість відновити Вміст на просторі в Сховищі без будь-яких додаткових витрат. 4.6 Принципал може надавати загальний доступ лише до тих веб-сайтів на просторі в Сховищі, які було створено за допомогою Програмного забезпечення.

5. Спеціальні положення щодо використання Програмного забезпечення

5.1 Принципалу буде надано доступ до Програмного забезпечення виключно з метою створення веб-сайту Принципала та адміністрування його простору в Сховищі. H.d повинна надати доступ у точці переходу в загальнодоступну мережу.

5.2 Принципал не може отримати доступ до Програмного забезпечення та використовувати його від імені третьої сторони або з іншою метою. Принципалу окремо заборонено копіювати Програмне забезпечення, надавати доступ до нього третім особам, дизасемблювати Програмне забезпечення або модифікувати його будь-яким іншим способом.

6. Спеціальні положення щодо використання Субдомену

6.1. Під час реєстрації Субдомену в домені H.d Принципал має відповідати вимогам Інтернет корпорації з присвоєння імен та номерів (ICANN), яка видає домени в зоні .com. Принципал може зареєструвати в домені H.d до трьох субдоменів.

6.2 Принципал зобов’язується та гарантує, що Субдомен буде обрано відповідно до чинного законодавства, а також, зокрема, Принципал вибере для Субдомену лише таку назву, на яку володіє відповідними правами, включаючи права на товарний знак та/або ім’я людини. Крім того, Принципал не буде реєструвати будь-які доменні імена для Субдомену, які суперечать громадському порядку або є аморальними. H.d має право видалити будь-які Субдомени, якщо вони порушують вимоги цього розділу 6.2, про що компанії H.d повідомили представники урядової установи, суду, власника прав, інших сторонніх осіб або іншим способом.

7. Спеціальні положення щодо використання Додаткових послуг

7.1 Незважаючи на положення розділу 2.1(c), Принципал може зареєструвати своє власне доменне ім’я та/або використовувати вже зареєстроване доменне ім’я та налаштувати його посилання в простір у Сховищі. Для реєстрації H.d направить Принципала до зовнішнього постачальника послуг. Угода про реєстрацію такого власного доменного імені укладається між Принципалом та зовнішніми постачальниками послуг. H.d не є договірною або іншою стороною цієї угоди.

7.2 H.d надасть Принципалу технічну підтримку, необхідну для налаштування спрямування його власного доменного імені в простір у Сховищі.

8. Укладання Угоди, термін і припинення дії

8.1 Угода вважається укладеною, коли Принципал приймає пропозицію щодо укладання угоди, яка регулює процедуру надання H.d Послуг та інших переваг. Прийняття, як правило, відбувається в момент початку надання послуг компанією H.d. 8.2 Ця угода укладається на невизначений термін, а її дія може бути припинена Принципалом у будь-який час та компанією H.d за умови надання відповідного повідомлення за 2 (два) тижні до дати припинення.

8.3 H.d повідомить про припинення дії письмово або електронною поштою. Зазвичай, Принципал може припинити дію угоди, вибравши в Програмному забезпеченні відповідний параметр, щоб видалити свій вміст, а потім підтвердивши цей вибір.

8.4 Це не впливає на права Сторін щодо розривання угоди без попередження за наявності обґрунтованої причини. Обґрунтованою причиною є, зокрема, порушення Принципалом одного із зобов’язань, викладених у розділах 3, 4, 5, 6, 10.2 і 10.3.

8.5 Після припинення дії угоди, незалежно від підстав на те, H.d повинна видалити всі дані, що зберігаються Принципалом у просторі в Сховищі в контексті договірних відносин, а також видалити Субдомен протягом 30 (тридцяти) днів, якщо Принципал не видалить це самостійно за допомогою Програмного забезпечення.

9. Гарантія та відповідальність, відшкодування

9.1 Під час безкоштовного надання Принципалу Послуг і переваг H.d буде відшкодовувати Принципалу тільки ті збитки, що було завдано Принципалу внаслідок недоліків, прихованих обманним способом. H.d не несе подальшої відповідальності за юридичні та/або матеріальні недоліки Послуг і переваг, що надаються безкоштовно.

9.2 Компанія H.d, її уповноважені особи або законні представники несуть відповідальність за Послуги та переваги, що надаються H.d Принципалу безкоштовно тільки за наявності наміру, грубої недбалості або злочинної шкоди життю та здоров’ю, а також недоліків, прихованих обманним способом. У випадку втрати даних відповідальність H.d, однак, обмежується лише витратами на відшкодування збитків, які було б завдано Принципалу за умови щоденного створення резервної копії даних. Обсяг відповідальності згідно до німецького Закону про відповідальність за якість продукції, що випускається, та Закону про мінімальну заробітну плату залишається незмінним.

9.3. Відповідальність за Вміст та ім’я Субдомену несе тільки Принципал. Отже, Принципал повинен за першим запитом звільнити компанію H.d, її уповноважених осіб і законних представників, а також усі компанії, що входять до складу H.d, відповідно до розділу 15 Закону про акціонерні товариства Німеччини (AktG), від будь-яких претензій третіх сторін стосовно Послуг та інших переваг, заявлених H.d, їхнім уповноваженим особам, законним представникам та/або компаніями, що входять до складу H.d. Зокрема, цей пункт застосовується до всіх претензій стосовно використання торговельних марок, авторських прав, захисту даних і порушень законодавства про захист конкуренції. В обсяг відшкодування входять необхідні судові витрати, включаючи витрати на арбітражне провадження.

10. Захист даних, конфіденційність

10.1 H.d несе відповідальність за обробку персональних даних, зібраних Принципалом. H.d обробляє персональні дані виключно з метою виконання цієї угоди, наприклад для зв’язку та надання послуг. Без надання цих персональних даних виконання угоди неможливе. Обробка таких персональних даних проводиться на підставі пункту 1 (b), частини 1, статті 6 Загального регламенту захисту даних (General Data Protection Regulation, GDPR). Якщо відсутні юридичні зобов’язання, що вимагають зберігання персональних даних впродовж більш тривалого терміну, персональні дані Принципала буде видалено після припинення дії угоди. У такому випадку персональні дані не будуть використовуватися для інших цілей і будуть видалені одразу після закінчення законного терміну зберігання. Для виконання угоди H.d залучає постачальників послуг, наприклад послуг хостингу, обслуговування та іншого. Ці постачальники послуг можуть бути зовнішніми компаніями, а також компаніями, що входять до складу H.d відповідно до розділів 15 та далі Закону про акціонерні товариства (German Stock Corporation Act, AktG) Німеччини на підставі угоди з постачальниками послуг. H.d гарантує, що обробка цих персональних даних буде виконуватися відповідно до вимог GDPR. Це також стосується випадків, коли персональні дані обробляються за межами ЄС/ЄЕЗ. Згідно з GDPR у Принципала є наступні права:

• право отримувати інформацію про свої персональні дані, що обробляються, а також копію таких даних (ст. 15 GDPR);

• право на виправлення й доповнення невірних і неповних персональних даних (ст. 16 GDPR);

• право вимагати видалення своїх персональних даних і, якщо персональні дані було оприлюднено, надання H.d. іншим операторам даних запиту на видалення (ст. 17 GDPR);

• право на обмеження обробки своїх персональних даних (ст. 18 GDPR);

• право переносити дані, тобто право одержувати свої персональні дані у структурованому, поширеному й машинозчитуваному форматі та право передавати ці дані іншому відповідальному учаснику без перешкод із боку H.d (ст. 20 GDPR);

• право на оскарження обробки даних (ст. 21 GDPR).

Принципал може в будь-який час зв’язатися з уповноваженим із захисту персональних даних H.d за адресою privacy@hd.digital. Крім того, клієнт має право подати скаргу до компетентного наглядового органу, якщо клієнт вважає, що під час обробки персональних даних порушуються положення GDPR (ст. 77 GDPR).

10.2 Принципал несе виключну відповідальність перед третіми особами за дотримання відповідних положень щодо захисту даних, включаючи існуючі зобов’язання щодо надання інформації, що пов’язана з веб-сайтом, який Принципал створив за допомогою Програмного забезпечення.

10.3 Сторони не повинні передавати будь-яку конфіденційну інформацію третім особам протягом усього терміну дії угоди та впродовж двох років після його закінчення. Крім того, заборонено використовувати цю інформацію для будь-яких цілей, які не відповідають цій угоді. Уся технічна інформація та ноу-хау, надані Принципалу, а також інформація, яку одна зі Сторін визначила як конфіденційну або таку, що має економічну цінність, вважається конфіденційною.

10.4 Вимоги щодо конфіденційності не поширюються на інформацію, яка стала відома одній зі Сторін не в наслідок порушення конфіденційності з боку іншої Сторони, стала загальновідомою, надається третім особам у зв’язку з нормативними положеннями, судовим або адміністративним наказом або переглядається третьою стороною, яка зобов’язалася зберігати її конфіденційність, якщо така третя сторона має намір придбати одну з компаній.

11. Винагорода

11.1 Принципал не надає H.d будь-яку винагороду за Послуги. Послуги надаються безкоштовно.

11.2 Положення пункту 11.1 не розповсюджуються на будь-які сторонні послуги, надані в контексті розширеного сервісу.

12. Різні положення

12.1 Частина або всі функції H.d, які вони зобов’язані надавати в рамках положень цієї Угоди, зокрема Послуги, можуть надаватися субпідрядниками. H.d має намір залучити своє дочірнє підприємство Hospitality.systems GmbH до надання цих Послуг.

12.2 H.d може змінити ці Положення та умови, включаючи внесення запланованих змін, за умови надання Принципалу попереднього повідомлення. H.d може змінювати ці Положення та умови лише в тому обсязі, що це є обґрунтованими для Принципала, зміни не повинні впливати на жодне з основних договірних зобов’язань або послаблювати позиції Принципала. Заплановане передавання прав та обов’язків H.d, описаних в даному документі, своєму дочірньому підприємству Hospitality.systems GmbH слід вважати доцільним. Принципал може оскаржити зміну Положень та умов протягом 6 (шести) тижнів після отримання повідомлення або розірвати угоду без попередження. Якщо Принципал не оскаржить зміни Положень та умов або зробить це після закінчення відповідного терміну, це буде розцінено як згода на зміни. H.d зобов’язується сповіщати Принципала про наслідки в разі відсутності оскарження та про право розірвати угоду без попередження у всіх повідомленнях, що надсилаються в разі зміни Положень та умов.

12.3 Якщо будь-які положення цієї угоди є або стануть повністю або частково недійсними, неефективними чи неможливими або втратять юридичну силу («Невірне положення»), це не вплине на ефективність та юридичну силу інших положень цієї угоди. Натомість, у випадку визначення такого положення Сторони зобов’язуються погодитись замінити Невірне положення таким, яке в передбаченій законом мірі буде наближено до бажань Сторін відповідно до сенсу та мети цієї угоди. Якщо положення є помилковим з огляду на обсяг послуги або часові рамки (крайній термін), визначені в цій угоді, це положення необхідно максимально узгодити із законодавством. Те саме стосується будь-яких лазівок у цій угоді. Сторони виражають намір у тому, що це положення про дійсність договору в разі анулювання однієї з його Сторін не призведе до простого переносу тягаря доведення, а також не будуть застосовуватися всі положення ч. 139 Цивільного кодексу Німеччини.

12.4 Ця угода та всі претензії та права, що базуються на її положеннях чи пов’язані з ними, регулюються виключно законодавством Німеччини та тлумачаться, та застосовуються відповідно до законодавства Німеччини. Положення колізійного права не застосовуються. Конвенція Організації Об’єднаних Націй про договори міжнародної купівлі-продажу товарів (CISG) не застосовується.

12.5 Цю угоду укладено англійською та українською мовами. Для уникнення сумнівів Сторони погоджуються, що англомовна версія угоди має переважаючу силу.

12.6 Суди міста Дюссельдорф будуть мати під час розгляду всіх суперечок, що виникають у зв’язку з цією угодою, її укладанням або виконанням, виключну підсудність у межах, дозволених законодавством.

Станом на: травень 2018 року/AG

ОБРОБКА ЗАМОВЛЕНЬ

Підтверджуючи вищевикладені Загальні положення та умови, Принципал (далі — «Відповідальна особа») та H.d (далі — «Оператор даних»), що спільно іменуються «Сторони», а окремо — «Сторона», також укладають наступну Угоду з обробки даних (далі — DPA).

Вступ

У контексті своєї підприємницької діяльності та у відповідності до вищезгаданих Загальних положень та умов Оператор даних отримує персональні дані, за які несе відповідальність Відповідальна особа. З метою виконання зобов’язань сторін щодо захисту даних відповідно до європейського законодавства про захист даних, зокрема Загального регламенту захисту даних (стаття 28 GDPR), сторони погоджуються з положеннями цієї DPA.

1. Визначення

1.1 Персональні дані — це будь-яка інформація, що стосується ідентифікованої фізичної особи або фізичної особи, що піддається ідентифікації (далі — «Заінтересована ​​особа»). Фізична особа піддається ідентифікації, коли її можна безпосередньо або опосередковано ідентифікувати, зокрема шляхом встановлення зв’язку з ідентифікатором, наприклад ім’ям, ідентифікаційним номером, даними про місцезнаходження, онлайн-ідентифікатором або однією або кількома особливостями, що описують фізичні, фізіологічні, генетичні, психічні, економічні, культурні або соціальні риси цієї фізичної особи (надалі — «Дані»).

1.2 Обробка даних від імені когось вважається збором, обробкою або використанням даних Оператором даних від імені Відповідальної особи.

2. Предмет і зміст замовлення

2.1 Предмет і тривалість замовлення

Деталі й тривалість замовлення випливають із вищезазначених Загальних положень та умов.

2.2 Тип даних

Тип даних докладно описано в Загальних положеннях та умовах і Політиці конфіденційності.

2.3 Мета збору, обробки або використання даних

Мету збору, обробки або використання даних більш докладно описано в Загальних положеннях та умовах і Політиці конфіденційності.

2.4 Характер і обсяг збору, обробки або використання даних

Характер і обсяг збору, обробки або використання даних більш докладно описано в Загальних положеннях та умовах і Політиці конфіденційності.

2.5 Категорія заінтересованих осіб

(a) Власні дані Принципала

(б) Клієнти

2.6 Технічні та організаційні заходи

(а) Технічні та організаційні заходи, які повинен виконати Оператор даних, викладаються в додатку (див. нижче) до цієї DPA. Оператор даних зобов’язується за власний рахунок регулярно адаптувати ці заходи до відомого рівня техніки, якщо під час цього не знижується узгоджений рівень захисту, а Відповідальні особи негайно сповіщаються про це.

(б) Оператор даних повинен надати Відповідальній особі можливість на місці перевіряти відповідність технічних і організаційних заходів необхідним умовам перед початком обробки даних за цією угодою. Право Відповідальної особи на проведення аудиту згідно з пунктом 2.10 залишається незмінним. (в) Оператор даних повинен гарантувати, що системи обробки даних, що використовуються в рамках DPA, відповідають стандартам «конфіденційності за проектом» і «конфіденційності за замовчуванням» відповідно до відомого рівня техніки.

2.7 Виправлення, видалення та блокування даних, право на переносимість даних і право на оскарження

(а) Оператор даних повинен забезпечувати права осіб, дані яких обробляє, зокрема на виправлення, видалення та блокування даних, право на переносимість даних і право на оскарження. Відповідальність за захист цих прав несе лише Оператор даних.

(б) Протягом своєї роботи на Відповідальну особу Оператор даних зобов’язаний негайно перенаправляти всі запити, надіслані йому пов’язаними особами, особі, що несе відповідальність за належну обробку даних. Якщо Відповідальна особа й Оператор даних спільно виступають як зовнішні відповідальні особи, Оператор даних має право самостійно відповісти на цей запит.

(в) Оператор даних також повинен надавати Відповідальній особі відповідні технічні та організаційні заходи, необхідні для виконання її обов’язків перед заінтересованими особами.

(г) За запитом Відповідальної особи Оператор даних виправляє, тимчасово перестає обробляти й/або стирає дані не пізніше, ніж через 5 (п’ять) днів після отримання запиту, а також повідомляє Відповідальній особі про свої дії у відповідний термін.

2.8 Обов’язки Оператора даних

(а) Оператор даних може збирати, обробляти й використовувати дані лише відповідно до замовлення та документованих інструкцій Відповідальної особи.

(б) Оператор даних має виконувати технічні та організаційні заходи відповідно до визначення, наведеного в пункті 2.6 цієї DPA, через регулярні проміжки часу, і на вимогу направляти інформацію про їх стан.

(в) Уповноважений із захисту персональних даних вказується Оператором даних в якості контактної особи з питань захисту даних, з якою можна зв’язатися по електронній пошті privacy@hd.digital. У разі необхідності Оператор даних також призначає представника відповідно до вимог статті 27 GDPR.

(г) Оператор даних відповідає за забезпечення конфіденційності. Будь-яка особа, що має відношення до Оператора даних і має право доступу до даних Відповідальної особи, зобов’язана дотримуватися конфіденційності або нерозголошення обґрунтованої виробничої таємниці. Крім того, такій особі необхідно повідомити спеціальні зобов’язання із захисту даних, що випливають з DPA, а також поточні вказівки й мету. Оператор даних документально оформляє дані зобов’язання в письмовій формі та надає їх на вимогу Відповідальної особи.

2.9 Обґрунтування умов субпідряду

(а) Допускається обґрунтування умов субпідряду. Оператор даних зобов’язується завчасно сповіщати Відповідальну особу про відповідну зміну. Відповідальна особа має право на оскарження.

(б) У випадку залучення інших операторів Оператор даних зобов’язується на договірній основі забезпечити застосування зобов’язань Оператора даних за цією DPA до іншого оператора даних.

(в) Із метою захисту наданих їм даних Оператор даних здійснює контроль за технічними та організаційними заходами, прийнятими іншими операторами даних, на тимчасовій і регулярній основі впродовж терміну дії субпідрядної угоди. Передача даних дозволяється лише в тому випадку, якщо інший Оператор даних впровадив необхідні технічні та організаційні заходи, щонайменше відповідно до цієї DPA.

(г) Оператор даних несе повну відповідальність за субпідрядників, яких залучив.

2.10 Права Відповідальної особи на проведення аудиту

Відповідальна особа має повноваження щодо перевірки відповідності застосовних регламентів щодо захисту даних і DPA в робочий час. Оператор даних погоджується надати Відповідальній особі всю інформацію, обґрунтовано необхідну для проведення перевірки в розумний термін. Якщо на думку Відповідальної особи необхідно виконати виїзний аудит Оператора даних, Оператор даних повинен надати особі, яка відповідає за проведення аудиту, доступ до службових приміщень Оператора даних, а також забезпечити можливість перевірки збережених даних і програм для обробки даних на місці. Відповідальна особа має право на проведення аудиту третьою особою (випробувачем), що вказується в конкретних випадках. Відповідальна особа повинна повідомити про проведення даного аудиту в письмовій формі не менше ніж за 20 (двадцять) робочих днів. Вартість проведення аудиту й витрати, понесені Оператором даних за нормальними ринковими цінами, покриває Відповідальна особа.

2.11 Повідомлення Оператором даних про порушення

(а) Оператор даних зобов’язується не пізніше ніж через 48 (сорок вісім) годин з моменту виявлення повідомляти Відповідальній особі про всі випадки порушення Оператором даних або його субпідрядниками правил, що регулюють захист даних Відповідальної особи, або умов, передбачених цією DPA.

(б) Відповідальну особу сповіщають про всі інциденти, пов’язані з втратою, неправомірною передачею або отриманням даних третіми особами, незалежно від причини. Оператор даних зобов’язується, за узгодженням з Відповідальною особою, вжити необхідних заходів щодо захисту даних і усунення можливих несприятливих для заінтересованих осіб наслідків. За умови дотримання відповідальними особами зобов’язань щодо повідомлення про порушення Оператор даних допомагає Відповідальній особі виконати такі зобов’язання.

2.12 Вказівки Відповідальної особи

(а) Обробка даних Відповідальної особи Оператором даних здійснюється виключно в рамках DPA і конкретних вказівок Оператора даних.

(б) Оператор даних зобов’язується виконувати (окремі) вказівки, що стосуються характеру, обсягу й методу обробки, в негайному порядку або (за наявності) в термін, встановлений Відповідальною особою.

(в) Оператор даних зобов’язується негайно сповіщати Відповідальну особу, якщо, на думку Оператора даних, вказівки Відповідальної особи порушують регламенти щодо захисту даних. Оператор даних має право призупинити виконання відповідної вказівки до моменту її підтвердження або зміни Відповідальною особою.

2.13 Видалення після виконання замовлення

Після виконання передбачених угодою робіт Оператор даних зобов’язується передати всі оброблені їм дані Відповідальній особі або (з попередньої письмової згоди Відповідальної особи) знищити їх відповідно до регламенту щодо захисту даних чи видалити їх відповідно до відомого рівня техніки. Право на утримання виключається щодо документів, даних, обробки, результатів використання та пов’язаних носіїв даних, крім випадків, коли законодавство Європейського Союзу або держави-члена ЄС передбачає обов’язкове зберігання даних.

3. Подальші зобов’язання Оператора даних

3.1 Оператор даних не використовує дані, надані для обробки, з іншою метою. Копії або дублікати заборонено створювати без відома та попередньої письмової згоди Відповідальної особи, крім випадків, пов’язаних з послугами, замовленими згідно з DPA. Оператор даних забезпечує відділення даних, які оброблює для Відповідальної особи, від інших даних. Передача даних Відповідальної особи Оператором даних третім особам без письмової згоди Відповідальної особи заборонена.

3.2 Оператор даних надає обґрунтовану допомогу особам, які відповідають за організацію захисту в зв’язку зі скаргами, заснованими на передбачуваному або фактичному порушенні вимог до захисту даних. Відповідальна особа, зі свого боку, відповідним чином вивчає скарги суб’єктів даних згідно зі своїми обов’язками щодо захисту даних, а також обробляє скарги суб’єктів даних.

3.3 Оператор даних підтверджує, що інформація надається пов’язаним особам на підставі права на отримання інформації виключно через Відповідальну особу або уповноважену нею особу. Оператор даних зобов’язується своєчасно надати Відповідальній особі необхідну інформацію та необхідну підтримку. Якщо сам Оператор даних також виступає в якості зовнішньої Відповідальної особи, він може необхідним чином відповісти на дані запити та відповідним чином сповістити Відповідальну особу.

3.4 Оператор даних зобов’язується допомагати контролеру в підготовці необхідних вказівок щодо порядку роботи (за потреби).

3.5 Оператор даних зобов’язується допомагати Відповідальній особі в проведенні оцінки якості захисту даних, якщо тип обробки може призвести до виникнення серйозного ризику для прав і свобод фізичних осіб.

3.6 Оператор даних погоджується негайно сповіщати Відповідальну особу про результати перевірок органами з нагляду за дотриманням законодавства щодо захисту персональних даних, в тій частині, в якій вони мають відношення до цієї DPA. Оператор даних сповіщає відповідальних осіб про скарги органів з нагляду за дотриманням законодавства щодо захисту персональних даних, що стосуються сфери відповідальності Оператора даних, а також задовольняє всі виявлені скарги відповідно до вимог законодавства.

4. Відповідальність

4.1 Відповідальна особа відповідає за допустимість обробки даних, а також за захист прав суб’єктів даних.

4.2 У порядку часткової відміни положень розділу 4.1 Оператор даних відповідає за розгляд скарг суб’єктів даних, пов’язаних із порушенням застосовних правових норм або положень DPA.

4.3 У частині, що стосується Відповідальної особи, Оператор даних несе відповідальність тільки за намір або грубу необережність у рамках юридично допустимого виключення відповідальності й обмежень.

5. Заключні положення

5.1 У разі виявлення Контролером під час аудиту помилок або порушень у процедурах обробки даних Оператором даних Контролер має негайно та в повному обсязі сповістити про них Оператора даних.

5.2 Ця DPA може бути змінена та розірвана відповідно до умов і положень, передбачених вищевказаними Загальними положеннями та умовами.

5.3 Недійсність одного або декількох положень цієї DPA не впливає на дійсність всієї DPA. У разі недійсності одного або декількох положень цієї DPA Сторони домовляються про заміну такого недійсного положення положенням, яке має законну силу та максимально можливо відповідає економічним цілям недійсного положення. Аналогічна умова застосовується в разі виникнення лазівок.

5.4 DPA підпорядковується тим же правам, що й вищевказані Загальні умови та положення.

5.5 У разі виникнення суперечностей між цією DPA та іншими угодами, укладеними між сторонами, положення цієї DPA будуть мати переважну силу.

Статус: 2018 рік/ AG


Технічні та організаційні заходи

Беручи до уваги відомий рівень техніки, витрати на впровадження, а також характер, обсяг, обставини й мету обробки, а також різну ймовірність виникнення та серйозність ризиків для прав і свобод фізичних осіб, Оператор даних зобов’язується впровадити відповідні технічні й організаційні заходи, спрямовані на забезпечення рівня захисту, пропорційного ризикам. До таких заходів входять, зокрема, нижченаведені:

• псевдонімізація й шифрування даних;

• можливість постійного забезпечення конфіденційності, цілісності, доступності, а також відмовостійкості систем і сервісів обробки;

• можливість швидкого відновлення доступності даних, а також доступу для огляду в разі виникнення інциденту фізичного або технічного характеру;

• процес періодичної перевірки та оцінки ефективності технічних і організаційних заходів для забезпечення безпеки обробки.

Без шкоди для вищевикладеного приймаються нижченаведені спеціальні заходи:

1. Контроль доступу

Заходи щодо недопущення отримання сторонніми особами доступу до системи обробки даних, яка використовується для обробки даних:

• уточнення уповноваженої групи осіб і відповідної документації;

• керування електронним доступом;

• видача ідентифікаторів доступу;

• введення рекомендацій для сторонніх фізичних осіб;

• система сигналізації або забезпечення безпеки в позаробочий час;

• розподіл майнових об’єктів по різних зонах безпеки;

• створення рекомендацій з використання ключів (карток);

• захисні двері (електронний механізм відкривання дверей, пристрій зчитування ідентифікаційних даних, система охоронного відеоспостереження);

• введення заходів забезпечення безпосередньої безпеки (наприклад, виявлення сторонніх осіб і сповіщення про це).

2. Контроль доступу

Заходи щодо недопущення використання сторонніми особами системи та процедур обробки даних:

• визначення групи осіб, що мають доступ до систем обробки даних;

• введення рекомендацій для сторонніх фізичних осіб;

• захист персональних комп’ютерів за допомогою паролів.

3. Контроль доступу

Заходи щодо забезпечення надання доступу до даних особам, які мають повноваження на використання методик обробки даних лише на підставі дозволу:

• введення прав на обмежений доступ на підставі відповідних даних і функцій;

• зобов’язання з ідентифікації обладнання для обробки даних (наприклад, за допомогою ідентифікаторів і процедури підтвердження особи);

• внесення правил, що стосуються доступу й ролей користувачів;

• оцінка протоколів на випадок виникнення небезпечної події.

4. Керування передачею

Заходи щодо недопущення читання, копіювання, зміни або видалення даних під час електронної передачі або під час передачі або зберігання даних на носіях даних, а також щодо забезпечення можливості перевірки й визначення точок, в яких здійснюється передача даних:

• шифрування.

5. Контроль входу

Заходи щодо забезпечення подальшої перевірки та визначення факту вводу, зміни чи видалення даних за допомогою інформаційних систем і осіб, які це зробили:

• запис вводу даних.

6. Контроль проходження замовлень

Заходи щодо забезпечення можливості обробки даних, які обробляються на замовлення, виключно відповідно до вказівок Відповідальної особи:

• документальне оформлення різних компетенцій і зобов’язань між Відповідальною особою й Оператором даних;

• формальне введення в експлуатацію;

• контроль результатів робіт.

7. Керування доступністю

Заходи щодо забезпечення захисту даних від випадкового видалення або втрати:

• реалізація плану регулярного резервування;

• безпечне зберігання резервних копій даних у вогнетривких і водонепроникних захисних шафах;

• впровадження та регулярний контроль системи аварійного електроживлення й системи захисту від перенапруги;

• впровадження плану дії в аварійних ситуаціях;

• протокол введення управління в кризових і/або надзвичайних ситуаціях.

8. Контроль поділу

Заходи щодо забезпечення роздільної обробки даних, зібраних для різних цілей:

• поділ даних відповідних клієнтів Оператора даних.

Статус: травень 2018 року/ AG