Загальні положення та умови Hospitality Digital GmbH — інструмент для замовлення столиків онлайн

Hospitality Digital GmbH, адреса офісу: Metro-Straße 1, 40235 Düsseldorf (далі — H.d), пропонує компаніям готельної та ресторанної індустрії (далі — «Клієнт») послуги, детальніше описані нижче (далі — «Послуги»).

1. Сфера застосування

1.1 H.d надає Послуги «Інструмента для замовлення столиків» виключно на підставі наведених нижче договірних умов (далі — «Умови»).

1.2 H.d надає Послуги винятково тим Клієнтам, які не є споживачами у значенні розділу 13 Німецького цивільного кодексу (BGB).

1.3 Відмінні положення та умови Клієнта не застосовуються навіть тоді, коли компанія H.d спеціально не відхиляє їх та/або безумовно надає Послуги та/або інші переваги, незважаючи на інформацію про протилежні та/або відмінні положення та умови Клієнта.

2. Обсяг Послуг

2.1 Протягом усього терміну дії угоди H.d надає Клієнту Послуги, зазначені далі.

(a) H.d надає Клієнту Віртуальний простір зберігання для використання в системах H.d, доступ до якого Клієнт може отримати онлайн («Віртуальний простір зберігання»), див. розділ 4.

(b) H.d надає Клієнту онлайн-доступ до програмного забезпечення, що дає змогу Клієнту контролювати, впроваджувати та використовувати Інструмент для замовлення столиків на своєму веб-сайті (далі — «Програмне забезпечення») (див. розділ 5) і зберігати дані, зібрані за допомогою Інструмента для замовлення столиків у Віртуальному просторі для зберігання.

(c) H.d може час від часу надавати Клієнту додаткові Послуги, особливо стосовно встановлення та використання Програмного забезпечення (далі — «Послуги консультування»), див. розділ 6.

2.2 Щоб збільшити охоплення, H.d також може надавати стороннім постачальникам (наприклад, «Бронювання через Google») доступ до ваших даних про резервування (час, кількість столиків і осіб). Однак такі запити на замовлення столиків можна зробити лише через програмне забезпечення H.d. Оскільки деякі постачальники послуг указують мінімальну кількість осіб для автоматичного прийняття замовлення, компанія H.d встановила таку мінімальну кількість за замовчуванням: чотири особи. Клієнт може будь-коли змінити це налаштування. Однак у результаті такої зміни сторонні постачальники не зможуть показувати фактичні доступні столики.

2.3 H.d може коригувати Послуги та інші переваги відповідно до оновлень, технічних розробок і потреб за умови, що відповідні коригування здійснюються в розумних для Клієнта межах. H.d може припинити надання Послуг та інших переваг, повідомивши про це протягом розумного терміну. H.d повинна своєчасно інформувати Клієнта про припинення надання Послуг.

3. Зобов’язання Клієнта

3.1 Протягом терміну дії договору клієнт зобов’язаний підтримувати актуальність комерційних і контактних даних, зазначених під час укладання договору, і негайно повідомляти H.d про будь-які зміни у письмовій формі або електронною поштою. Клієнт також повинен забезпечувати регулярний перегляд адреси електронної пошти, наданої компанії H.d, для отримання інформації, що стосується договору.

3.2 Дані для доступу, які Клієнт отримує від H.d, не повинні передаватися третім особам. Крім того, необхідно заборонити отримання доступу третіми особами. Клієнт повинен негайно повідомити H.d, якщо у нього є обґрунтовані підозри або відомості про можливе неправомірне використання наданих даних для доступу. У цьому випадку H.d має право тимчасово заблокувати дані для доступу Клієнта до Програмного забезпечення, доки не буде знято підозру в неправомірному використанні. Якщо існує фактичний випадок неправомірного використання, H.d має право остаточно заблокувати дані для доступу та надати Клієнту інші.

3.3 Програмне забезпечення дозволено використовувати лише для особистих цілей Клієнта. Цим Клієнт зобов’язується не використовувати Програмне забезпечення в незаконний спосіб чи для незаконних цілей.

3.4 Клієнт усвідомлює, що використання Програмного забезпечення може бути пов’язано з H.d. Таким чином, Клієнт повинен вживати всіх необхідних заходів для того, щоб Послуги, що пропонуються Клієнтом, і Послуги, що пропонуються компанією H.d або третіми особами, відокремлювалися за змістом.

3.5 Якщо Клієнт дізнається, що використання Послуг або інших переваг призводить до порушення закону, він зобов’язаний негайно припинити і утриматися від такого порушення, а також видалити будь-який незаконний контент.

4. Спеціальні положення про Віртуальний простір зберігання

4.1 Віртуальний простір зберігання надається Клієнту безкоштовно. Відповідно, H.d не може гарантувати доступність Віртуального простору зберігання в конкретний час. Крім того, під час виконання необхідних робіт із технічного обслуговування Віртуальний простір зберігання буде недоступним. H.d прагне, щоб будь-які порушення роботи, спричинені роботами з технічного обслуговування, мали місто якомога рідко. H.d повинна надати Клієнту інші специфікації з питань експлуатації Віртуального простору зберігання до укладення угоди.

4.2 Клієнт зобов’язується та гарантує, що всі файли, у тому числі HTML та інші документи, тексти, малюнки, графіка, шрифти, відео тощо (далі — «Контент»), повинні зберігатися, публікуватися та/або бути доступними у Віртуальному просторі зберігання та/або за допомогою Програмного забезпечення відповідно до чинного законодавства. Клієнт зобов’язаний зберігати Контент у Віртуальному просторі зберігання та/або за допомогою Програмного забезпечення, відносно якого він володіє відповідними правами, у тому числі правами користування й експлуатації відповідно до закону про авторські права, і гарантувати, що такий Контент не порушує жодних особистих прав третьої особи. Крім того, Клієнт не може зберігати, публікувати та/або робити доступним у Віртуальному просторі зберігання та/або за допомогою Програмного забезпечення будь-який Контент аморального, зокрема порнографічного, расистського або дискримінаційного характеру. Компанія H.d має право видаляти будь-який Контент, який зберігається у Віртуальному просторі зберігання та/або за допомогою Програмного забезпечення з порушеннями цього розділу 4 і про наявність якого H.d інформують урядові установи, суди, власник прав або інші треті особи, або про який компанія дізнається іншим чином.

4.3 Клієнт повинен надати H.d необхідні права на весь Контент, який зберігається, публікується та/або оприлюднюється Клієнтом у Віртуальному просторі зберігання та/або за допомогою Програмного забезпечення, зокрема права, необхідні для зберігання Контенту, здійснення технічних коригувань, надання йому загального доступу, а також його копіювання. H.d може мати доступ до Контенту Клієнта у Віртуальному просторі зберігання лише в тому обсязі, в якому це технічно необхідно для надання та/або публікації Контенту, і в тому обсязі, в якому це відповідає дозволам, наданим згідно з договором.

4.4 Крім того, Клієнт не може запускати або організовувати запуск жодних автоматизованих процесів, скриптів, програмного забезпечення або інших даних та/або Контенту у Віртуальному просторі зберігання та/або вживати будь-яких заходів (за допомогою Програмного забезпечення), які навіть незначним чином ускладнюють функціонування систем, мереж та/або іншого обладнання та програмного забезпечення, такого як елементи мережі H.d та/або третіх осіб. Якщо H.d дізнається про таке порушення, H.d має право зупинити його та/або запобігти йому.

4.5 Клієнт повинен щодня здійснювати резервне копіювання даних, щоб мати можливість відновити Контент у Віртуальному просторі зберігання без додаткових витрат.

4.6 Оскільки Клієнт діє як відповідальна сторона користувача/кінцевого користувача, він зобов’язаний зазначити на своєму веб-сайті всю необхідну інформацію.

5. Спеціальні положення про Програмне забезпечення

Клієнт не може отримувати доступ до Програмного забезпечення або використовувати його від імені третьої особи або для інших цілей. Клієнт не має права копіювати Програмне забезпечення, надавати доступ до нього третім особам, розбирати Програмне забезпечення або змінювати його іншим способом.

6. Спеціальні положення про Послуги консультування

6.1 H.d може пропонувати Клієнту Послуги консультування, особливо щодо початкового налаштування Програмного забезпечення, оптимального довгострокового використання Програмного забезпечення (наприклад, які функції слід додати), а також щодо того, як таке використання може покращити загальний стан справ Клієнта. Послуги консультування можуть також охоплювати рекомендації щодо додаткових інструментів і сервісів для Клієнта, які відповідають Програмному забезпеченню.

6.2 Послуги консультування можуть надавати Філії H.d. Додаток до цих Умов містить інформацію про те, яка Філія надає Послуги консультування за місцезнаходженням підприємства Клієнта. Приймаючи ці Умови, Клієнт погоджується з тим, що Послуги консультування можуть надаватися Філією за місцезнаходженням підприємства Клієнта.

6.3 Для надання Послуг консультування, H.d передає персональні й інші дані відповідному Партнеру, щоб дозволити такому Партнеру надавати вищезгадані послуги.

6.4 H.d не гарантує жодних конкретних рівнів надання послуг чи конкретної або постійної доступності Послуг консультування.

7. Укладення, термін дії та розірвання угоди

7.1 Клієнт пропонує укласти договір щодо використання Програмного забезпечення на підставі цих Загальних положень та умов, зареєструвавшись для доступу до Програмного забезпечення на веб-сайті, наданому H.d. Прийняття умов з боку компанії H.d зазвичай позначається початком надання послуг H.d.

7.2 Договір укладається на невизначений термін і може бути розірваний Клієнтом у будь-який час, H.d — з повідомленням за два (2) тижні.

7.3 Розірвання має відбуватися в письмовій формі або через електронну пошту.

7.4 Право сторін на розірвання договору без попереднього повідомлення з поважних причин залишається незмінним. Поважна причина застосовується, особливо коли Клієнт порушує зобов’язання, що випливають із пунктів 3 і 5.

7.5 У разі розірвання компанія H.d видалить усі дані Клієнта, якщо немає юридичного зобов’язання зберігати їх. У цьому випадку дані видаляються після закінчення відповідного періоду зберігання.

8. Гарантія та відповідальність, відшкодування

8.1 H.d відшкодовує Клієнту виключно ті збитки, які виникають внаслідок прихованих шахрайським шляхом недоліків в Послугах. H.d не несе жодної подальшої відповідальності за недоліки права власності та/або матеріальні недоліки Послуг та переваг, наданих безкоштовно.

8.2 H.d, її довірені особи або законні представники несуть відповідальність за послуги лише у випадках умисних дій, грубої недбалості або завдання шкоди життю, фізичному стану або здоров’ю людини, а також злочинних намірів. Відповідальність згідно Закону Німеччини про відповідальність за якість продукції, що випускається, залишається незмінною.

8.3 Обмеження відповідальності, визначені в розділах 8.1 і 8.2, відповідно застосовуються до філій H.d.

8.4 Клієнт повинен на першу вимогу звільнити H.d, її довірених осіб та законних представників, а також компанії, пов’язані із H.d, відповідно до статті 15 Закону Німеччини про акціонерні товариства — AktG (далі — «Філії») від відповідальності стосовно позовів третіх осіб, висунутих відносно H.d, її довірених осіб та законних представників та/або компаній, пов’язаних з H.d, через або в зв’язку з Послугами, в тому числі на вимогу третіх сторін через незаконне використання даних та/або відсутність згоди суб’єктів даних та/або порушення особистих прав співробітників Клієнта. Це звільнення від відповідальності також охоплює необхідні судові та арбітражні витрати.

8.5 За Контент відповідає лише Клієнт. Таким чином, Клієнт повинен після першої вимоги гарантувати безкарність та звільнити від відповідальності H.d, її довірених осіб та законних представників, а також усі компанії, пов’язані з H.d відповідно до статті 15 Закону Німеччини про акціонерні товариства (AktG), за будь-яких вимог третіх сторін, висунутих відносно H.d, її довірених осіб, законних представників та/або компаній, пов’язаних з H.d, через або у зв’язку з Послугами та іншими перевагами. Це стосується всіх порушень, пов’язаних із товарними знаками, авторськими правами, захистом даних та конкуренцією. Це звільнення від відповідальності охоплює необхідні судові витрати, в тому числі й витрати на арбітражний розгляд.

9. Захист даних, конфіденційність

9.1 Обробка персональних даних, пов’язана з наданням послуг H.d, виконується згідно політиці конфіденційності, ознайомитися з якою можна в будь-який час на сайті, зазначеному в описі послуги.

9.2 Оскільки H.d обробляє персональні дані від імені Клієнта, застосовується Угода про обробку даних, що додається до цих Загальних положень та умов.

9.3 Сторони не повинні розголошувати конфіденційну інформацію третім особам навіть після закінчення терміну дії договору, а також не повинні використовувати її для інших цілей, не пов’язаних із договором. Вся надана Клієнту інформація, що стосується всієї технічної інформації та ноу-хау, а також інша інформація, що визначена як конфіденційна однією з двох сторін і має економічну цінність, вважається конфіденційною. Це безпосередньо розповсюджується на комерційні таємниці.

9.4 Обов’язок конфіденційності не поширюється на інформацію, яка вже стала відома іншій стороні або громадськості без жодного порушення пункту 9.3, або на ту, яка повинна бути доступною відповідно до правового, судового або офіційного порядку, або на ту, яка підлягає ретельній перевірці третіми особами, які зобов’язані зберігати таємницю в межах передбачуваного придбання компанії.

10. Оплата

10.1 Клієнт не зобов’язаний здійснювати оплату за надання Послуг H.d. Послуги надаються безкоштовно.

10.2 На послуги третіх сторін, надані в межах розширених послуг, розділ 10.1 не впливатиме.

11. Інші положення

11.1 H.d може укладати договір субпідряду щодо будь-якої або усіх дій H.d згідно з цією Угодою, зокрема щодо Послуг. H.d може передати цей договір компанії-філії відповідно до статті 15 AktG після попереднього повідомлення, якщо це не буде необґрунтованим для Клієнта.

11.2 H.d може змінити ці Умови, в тому числі заплановані зміни, що стосуються Клієнта, після попереднього повідомлення. H.d може вносити зміни до Умов лише в допустимих для інтересів Клієнта межах, якщо зміни не впливають на основні договірні зобов’язання, а становище Клієнта не погіршується в результаті змін. Клієнт має право заперечити проти змін Умов протягом чотирьох (4) тижнів із моменту отримання повідомлення або розірвати договір без попереднього повідомлення. Якщо Клієнт не заперечує проти зміни Умов або не робить цього протягом належного терміну, згода Клієнта на зміну Умов буде вважатися наданою. H.d сповістить Клієнта про наслідки пропущеного заперечення та про право розірвати договір без попередження в разі повідомлення про зміни в Умовах.

11.3 Якщо положення цього договору є або стає повністю чи частково недійсним, неприпустимим або таким, що не підлягає виконанню ( Дефектне положення), то це не впливає на чинність або виконання інших положень. Натомість сторони зобов’язуються замінити Дефектне положення близьким до такого, яке сторони узгодили б відповідно до змісту та мети договору, у разі визнання положення дефектним. Якщо дефектність положення ґрунтується на критерії ефективності або часу, визначеному в ньому (обмеження часу або крайній термін), то положення повинно відповідати допустимому законом рівню, найближчому до вихідного. Те ж саме стосується будь-яких прогалин у цьому договорі. Сторони явно бажають, щоб цей пункт про автономність положень призвів не до простого скасування тягаря доказування, а до цілковитого скасування статті 139 BGB.

11.4 Контракт і всі заяви та права, що виникають у зв’язку з ним, регулюються виключно законодавством Німеччини, за винятком колізійного права, і мають тлумачитися та застосовуватися відповідно до німецького законодавства. Застосування Конвенції ООН про договори міжнародної купівлі-продажу товарів (CISG) виключається. Місце виконання — Дюссельдорф.

11.5 Виключним місцем юрисдикції для вирішення всіх суперечок, пов’язаних із контрактом чи його укладенням (де це юридично дозволено), є Дюссельдорф.

Status: July 2019 / AG


Угода про обробку даних

Підтверджуючи вищезазначені Загальні положення та умови, Клієнт (далі — «Контролер») та компанія H.d (далі — «Обробник»), що спільно називаються «Сторонами», окремо — «Стороною», укладають також дану Угоду про обробку даних (далі — «Угода»).

Преамбула

У межах своєї підприємницької діяльності та відповідно до вищезазначених Загальних положень та умов Обробник отримує персональні дані, за які відповідає Контролер. Сторони погоджуються з положеннями даної Угоди з метою дотримання зобов’язань сторін щодо захисту даних відповідно до Європейського законодавства про захист даних, зокрема Загального регламенту про захист даних (стаття 28 GDPR).

1. Визначення

1.1 Персональні дані — це будь-яка інформація, що стосується визначеної або ідентифікованої фізичної особи (далі — «Зацікавлена особа»). Фізична особа вважається ідентифікованою, якщо вона може бути прямо або опосередковано визначена, зокрема через асоціювання з ідентифікатором, таким як ім’я, ідентифікаційний номер, дані щодо місцезнаходження, онлайн-ідентифікатор або одна чи декілька особливих характеристик, які виражають фізичну, фізіологічну, генетичну, психічну, економічну, культурну або соціальну ідентичність цієї фізичної особи (далі — «Дані»).

1.2 Обробка даних від імені будь-якої особи — це збір, обробка або використання даних Обробником від імені Контролера.

2. Предмет і зміст замовлення

2.1 Предмет і термін дії замовлення

Деталі та термін дії замовлення випливають із вищезазначених Загальних положень та умов.

2.2 Тип даних

· Персональні основні дані (наприклад, ім’я, прізвище, дата народження).

· Контактні дані (наприклад, номер телефону, електронна пошта, адреса).

· Місце, дата та час бронювань клієнтів, здійснених за допомогою Програмного забезпечення.

  • IP-адреси.

2.3 Мета збору, обробки або використання даних

Мета збору, обробки або використання даних більш детально описана в Загальних положеннях та умовах і в Політиці конфіденційності.

2.4 Характер та об’єм збору, обробки або використання даних

Характер та об’єм збору, обробки або використання даних більш детально описані в Загальних положеннях та умовах і в Політиці конфіденційності.

2.5 Категорія зацікавлених осіб

Клієнти Клієнта.

2.6 Технічні та організаційні заходи

(а) Технічні та організаційні заходи, які повинні впроваджуватися Обробником, викладаються у додатку (див. нижче) до цієї Угоди. Обробник буде регулярно оновлювати та адаптувати ці заходи за власний рахунок, за умови, що узгоджений рівень захисту не буде знижено, а відповідальні особи будуть негайно поінформовані.

(б) Обробник зобов’язаний дозволити Контролеру перевірити відповідність технічних та організаційних заходів на місці, перш ніж розпочати обробку відповідно до цього договору. Право Контролера на перевірку згідно з пунктом 2.10 залишається незмінним.

(в) Обробник забезпечує, щоб системи обробки даних, що використовуються в межах DPA, відповідали стандартам «проектованої конфіденційності» та «конфіденційності за замовчуванням» відповідно до актуальних технологій.

2.7 Виправлення, видалення та блокування даних, право на переносимість даних та право на заперечення

(а) Контролер повинен забезпечувати права осіб, які беруть участь в обробці даних Обробником, зокрема на виправлення, видалення та блокування, переносимість даних і заперечення. Тільки він відповідає за захист цих прав.

(б) У межах своєї роботи в інтересах Контролера Обробник зобов’язаний направляти Контролерові всі адресовані йому відповідними особами запити для належної обробки без затримки. Якщо Контролер та Обробник спільно виступають як сторонні контрагенти, Обробник має право самостійно відповідати на такі запити.

(в) Обробник також зобов’язаний надавати допомогу Контролеру в здійсненні відповідних технічних та організаційних заходів із метою виконання його зобов’язання відповідати зацікавленим особам.

(г) Відповідно до інструкцій Контролера, Обробник негайно виправляє, призупиняє та/або стирає дані, але не пізніше, ніж протягом п’яти (5) днів, та повідомляє Обробника до цього терміну.

2.8 Обов’язки Обробника

(а) Обробник може збирати, обробляти та використовувати дані тільки в межах замовлення та документально оформлених інструкцій Контролера.

(б) Обробник повинен регулярно виконувати технічні та організаційні заходи, як визначено у пункті 2.6 даної DPA, і надавати їх на вимогу.

(в) Спеціаліст із захисту даних призначається контактною особою Обробника для захисту даних. Зі Спеціалістом із захисту даних можна зв’язатися за адресою privacy@hd.digital. Якщо це необхідно, Обробник також призначає представника відповідно до вимог статті 27 Загального регламенту про захист даних.

(г) Обробник відповідає за забезпечення конфіденційності. Будь-який співробітник Обробника, який має дозвіл на доступ до даних Контролера, зобов’язаний дотримуватися вимоги зберігати конфіденційність або дотримуватися обґрунтованої професійної таємниці, а також повинен знати про спеціальні зобов’язання щодо захисту даних, що випливають з цієї Угоди, а також про існуючі інструкції та цілі. Обробник документує ці зобов’язання в письмовій формі та надає їх на вимогу Контролера.

2.9 Правомірність умов субпідряду

(а) Правомірні субпідрядні відносини є допустимими. Про відповідну зміну Обробник заздалегідь повідомляє Контролера. Контролер має право на заперечення.

(б) У випадку замовлень від інших обробників, Обробник договірним чином забезпечує виконання зобов’язань Обробника, визначених відповідно до даної Угоди, також застосовуваних відповідно до іншого обробника.

(в) Обробник контролює технічні та організаційні заходи, вжиті іншими обробниками на несистематичній і регулярній основі протягом терміну дії договору субпідряду для захисту даних, які він надав. Передача даних дозволяється лише тоді, коли інший обробник запровадив необхідні технічні та організаційні заходи, принаймні відповідно до визначених умов даної Угоди.

(г) Обробник несе повну відповідальність за субпідрядників, яких наймає.

2.10 Права Контролера на аудит

Контролер уповноважений перевіряти дотримання відповідних норм щодо захисту даних та положень Угоди впродовж звичайних годин роботи. Обробник погоджується в розумний термін надавати Контролеру всю інформацію, яка йому обґрунтовано необхідна для перевірки. Якщо Контролер вважає, що існує потреба в перевірці Обробника на місці, Обробник повинен гарантувати, що під час такої перевірки Контролер матиме доступ до офісу Обробника та збережених даних і програм для їх обробки. Контролер має право залучити до перевірки третю сторону (інспектора), якого буде вибрано в окремих випадках. Контролер повинен у письмовій формі повідомити про проведення такого аудиту принаймні за двадцять (20) робочих днів заздалегідь. Вартість аудиту й витрат, які Обробник поніс за звичайними ринковими цінами, несе Контролер.

2.11 Сповіщення про порушення, вчинені Обробником

(а) Обробник повинен без затримок і впродовж принаймні сорока восьми (48) годин повідомити Контролера про всі випадки, у яких Обробник або особи чи субпідрядники, які на нього працюють, порушили правила, що регулюють захист даних Контролера, або умови, викладені в цій Угоді.

(б) Контролера потрібно повідомити про всі інциденти, пов’язані з втратою чи незаконною передачею або отриманням даних третіми сторонами, незалежно від причини таких інцидентів. Після консультування з Контролером Обробник повинен вжити необхідних заходів, щоб захистити дані та пом’якшити можливі негативні наслідки для постраждалих осіб. У тій мірі, у якій відповідальні особи виконують зобов’язання щодо оповіщення, Обробник зобов’язаний допомагати Контролеру виконувати ці зобов’язання.

2.12 Вказівки Контролера

(а) Обробка даних Контролера Обробником має відбуватися виключно в контексті цієї Угоди і конкретних вказівок для Обробника.

(б) Обробник повинен без затримки виконувати (індивідуальні) вказівки щодо характеру, обсягу та способу обробки чи дотримуватися встановлених Контролером часових рамок (якщо є).

(в) Обробник повинен без затримки повідомити Контролера, якщо, на його думку, вказівки Контролера порушують норми щодо захисту даних. Обробник має право призупинити виконання відповідної вказівки, доки Контролер не підтвердить чи не змінить її.


2.13 Видалення після завершення замовлення

Після завершення роботи за контрактом Обробник повинен передати всі оброблені ним дані Контролеру або, за попередньої згоди Контролера знищити їх відповідно до норм про захист даних чи видалити з використанням актуальних технологій. На ці документи, дані, результати обробки й використання не розповсюджується право на утримання, якщо тільки зберігання даних не вимагається законодавством Європейського Союзу або держави-члена ЄС.

3. Подальші зобов’язання Обробника

3.1 Обробник не повинен використовувати дані, що надаються для обробки, для інших цілей. Копії або дублікати заборонено створювати без відома і без попередньої письмової згоди Контролера, якщо це не пов’язано з послугами, замовленими в межах Угоди. Обробник повинен переконатися, що дані, оброблені ним для Контролера, відокремлені від інших даних. Передача даних Контролера Обробником третім особам без письмової згоди Контролера не допускається.

3.2 Обробник повинен надавати розумну допомогу тим, хто відповідає за захист від претензій на основі передбачуваного або фактичного порушення вимог захисту даних. Контролер, зі свого боку, належним чином розглядає скарги суб’єктів даних у межах відповідальності Контролера щодо захисту даних та займається розглядом скарг суб’єктів даних.

3.3 Обробник усвідомлює, що інформація надається відповідним особам на основі права на інформацію виключно через Контролера або особу, уповноважену Контролером. Обробник зобов’язаний своєчасно надати Контролеру необхідну інформацію та підтримку. Якщо сам Контролер додатково виконує функції зовнішнього Контролера, відповіді на запити також можна отримати відповідним чином, а Контролера відповідним чином повідомити.

3.4 Обробник повинен надавати допомогу Контролеру в підготовці необхідних переліків процедур, де це можливо.

3.5 Обробник повинен надавати допомогу Контролеру в проведенні оцінки впливу на захист даних, коли тип обробки може спричинити високий ризик для прав і свобод фізичних осіб.

3.6 Обробник зобов’язується негайно інформувати Контролера про результати перевірок контролюючими органами захисту даних, оскільки вони стосуються даної Угоди. Обробник повинен інформувати відповідальних осіб про будь-які скарги з боку контролюючих органів захисту даних, які стосуються сфери відповідальності Обробника, і розглядати всі виявлені скарги відповідно до вимог закону.

4. Відповідальність

4.1 Контролер несе відповідальність за правомірність обробки даних, а також за захист прав суб’єктів даних.

4.2 У відступ від розділу 4.1, Обробник відповідає за претензії суб’єктів даних із приводу порушення чинних правових норм або положень Угоди.

4.3 Відносно Контролера Обробник несе відповідальність лише за умисну та грубу недбалість у межах допустимого законом виключення відповідальності та обмежень.

5. Кінцеві положення

5.1 Контролер повинен негайно і в повному обсязі інформувати Обробника про знайдені ним під час перевірки помилки або порушення в обробці даних Обробником.

5.2 Дану Угоду може бути змінено і розірвано на тих самих умовах, що й вищезазначені Загальні положення та умови.

5.3 Недійсність одного або декількох положень даної Угоди не впливає на її дійсність. У разі недійсності одного або декількох положень даної Угоди Сторони приймають юридично ефективну заміну положення з найменшими можливими затратами у цьому випадку. Те ж саме стосується прогалин.

5.4 На Угоду поширюються такі ж права, як і на вищезазначені Загальні положення та умови.

5.5 У разі виникнення невідповідностей між Угодою та іншими угодами між сторонами переважають положення даної Угоди.

Status: July 2019 / AG


Технічні та організаційні заходи

З урахуванням оновлень, витрат на впровадження, а також характеру, обсягу, обставин і цілей обробки, різного рівня ймовірності і серйозності ризику для прав і свобод фізичних осіб Обробник вживає відповідних технічних і організаційних заходів для забезпечення рівня захисту, що відповідатиме ризику. Ці заходи охоплюють зокрема зазначене далі:

• псевдонімізація та шифрування даних;

• можливість постійного забезпечення конфіденційності, цілісності, доступності та стійкості систем і сервісів обробки;

• можливість швидкого відновлення доступності даних у разі інциденту фізичного або технічного характеру;

• процес періодичного перегляду, аналізу та оцінки ефективності технічних та організаційних заходів для забезпечення безпеки обробки даних.

Без обмеження вищесказаного будуть вжиті конкретні заходи, зазначені далі.

1. Контроль доступу

Заходи щодо запобігання доступу сторонніх осіб до системи обробки даних, що використовується для обробки даних:

• визначення уповноваженої групи осіб та відповідної документації;

• електронний контроль доступу;

• оформлення електронних пропусків для доступу;

• впровадження керівних принципів для зовнішніх експертів;

• сигналізація або охорона в неробочий час;

• розподіл властивостей по різним зонам безпеки;

• впровадження вказівок щодо обробки ключів (карт);

• двері з підвищеним ступенем безпеки (електронні двері, пристрої для зчитування електронних пропусків, камери відеоспостереження);

• впровадження заходів для забезпечення безпеки на місці (наприклад, виявлення/повідомлення про вторгнення).

2. Контроль доступу

Заходи щодо запобігання використання сторонніми особами системи та процедур обробки даних:

• визначення групи осіб, які мають доступ до систем обробки даних;

• впровадження керівних принципів для зовнішніх експертів;

• захист персональних комп’ютерів паролем.

3. Контроль доступу

Заходи, спрямовані на те, щоб особи, уповноважені використовувати методи обробки даних, могли отримати доступ лише до даних, на які поширюються їх повноваження:

• впровадження обмежених прав доступу на основі відповідних даних та функцій;

• обов’язкова ідентифікація для роботи з обладнанням для обробки даних (наприклад, за допомогою електронного пропуску та аутентифікації);

• впровадження політики щодо доступу та ролей користувачів;

• оцінка протоколів у випадку небезпечних подій.

4. Контроль передачі

Заходи для запобігання прочитання, копіювання, зміни або видалення даних під час електронної передачі або під час транспортування або зберігання на носіях інформації, а також для забезпечення можливості перевірки та визначення того, в яких точках передача даних відбувається за допомогою засобів передачі даних:

• шифрування.

5. Контроль введення

Заходи для забезпечення можливості подальшої перевірки та визначення того, чи були введені, змінені чи вилучені дані з ІТ-систем:

• запис введення даних.

6. Контроль замовлень

Заходи, спрямовані на те, щоб оброблені на замовлення дані могли оброблятися тільки відповідно до інструкцій Контролера:

• документація різних повноважень і зобов’язань між Контролером та Обробником;

• офіційне замовлення;

• контроль результатів роботи.

7. Управління доступністю

Заходи для забезпечення захисту даних від випадкового знищення або втрати:

• впровадження плану створення регулярних резервних копій;

• безпечне зберігання резервних копій даних у вогнетривких та водонепроникних шафах безпеки;

• впровадження та регулярний контроль системи аварійного енергоживлення та системи захисту від перенапруги;

• впровадження аварійного плану;

• протокол про запровадження управління в кризових та/або аварійних ситуаціях.

8. Контроль за розподілом

Заходи для забезпечення того, щоб дані, зібрані для різних цілей, могли оброблятися окремо:

• розподіл даних відповідних клієнтів Обробника.

Status: July 2019 / AG