Соглашение

между компанией

LexCom Informationssysteme GmbH, Rüdesheimer Str. 23, 80686 München,

(далее — Исполнитель или Подрядчик),

и ее клиентами

(далее — Заказчики).

Примечание.

Данный документ содержит условия Исполнителя, применимые в отношении соглашений об обработке заказов между Заказчиком и Исполнителем согласно ст. 28, абзацу 3 GDPR (Общего регламента ЕС по защите данных). Заказчик соглашается с этими условиями при заключении договора об использовании онлайновых и прочих информационных служб Исполнителя («Соглашения об оказании услуг») или, если такой договор уже заключен, делает дополнительное заявление.

1. Предмет заказа и срок его действия

(1) Предмет

Предмет заказа на обработку данных определяется на основании Соглашения об оказании услуг, на котором основан заказ.

(2) Срок действия

Срок действия (срок выполнения) заказа соответствует сроку действия Соглашения об оказании услуг, на котором основан заказ.

2. Конкретизация содержимого заказа

(1) Способ и цель предусмотренной обработки данных
Заказ включает следующие виды обработки данных:

  1. обработка личных данных, которые вводятся Заказчиком в рамках использования онлайновых и прочих информационных служб и подлежат обработке Исполнителем для обеспечения работы функций продукта;
  2. обработка личных данных, возможность доступа к которым со стороны Исполнителя в рамках других видов деятельности невозможно исключить.
    • Во-первых, доступ к личным данным, упомянутым в п. a), может осуществляться в рамках анализа, выполняемого Исполнителем, в частности анализа функциональных возможностей продукта для его оптимизации, определения успешности и сбора статистики использования. В этом случае данные, затрагиваемые заказом, не являются предметом анализа и удаляются Исполнителем или переводятся в псевдонимизированную/анонимную форму.
    • Во-вторых, в рамках оказания услуг технической поддержки возможен доступ к другим личным данным, хранящимся локально у Заказчика.
  3. Кроме того, для запроса информации о детали по FIN может понадобиться отправка FIN Исполнителем на сервер производителя этой детали. Производитель дополняет FIN определенной справочной информацией по детали и отправляет ее обратно Исполнителю. Производитель также обрабатывает FIN в своих целях и поэтому несет ответственность самостоятельно согласно GDPR. Настоящим Заказчик разрешает исполнителю передавать FIN производителю с указанной целью.

(2) Вид данных

Обрабатываются данные следующих видов/категорий (перечень/описание категорий данных):

  • введенные Заказчиком в онлайн-службе идентификационные номера автомобилей (FIN) и/или номерные знаки;
  • данные конечного клиента, внесенные Заказчиком в онлайн-сервис, в том числе:
    • адресные данные в рамках заказов на поставку деталей;
    • адреса электронной почты для отправки страниц с иллюстрациями и текстами;
  • данные клиента, введенные конечным клиентом при регистрации в онлайн-службе;
  • данные клиента, которые сохраняются локально у Заказчика (в рамках дистанционного обслуживания, которое выполняется сервисным отделом):
    • основные личные данные;
    • данные для коммуникации (например, телефон, адрес электронной почты).

(3) Категории затрагиваемых лиц

Категории лиц, которых затрагивает обработка данных:

  • конечные клиенты Заказчика.

(4) У Исполнителя есть право преобразовывать данные Заказчика в анонимную форму или агрегировать их, чтобы сделать невозможной идентификацию отдельных затрагиваемых лиц, и использовать их в этой форме по мере необходимости для подготовки, оптимизации и оказания оговоренных услуг согласно основному договору. Стороны договариваются о том, что приведенные в анонимную форму или агрегированные согласно приведенному выше описанию данные Заказчика больше не считаются данными Заказчика согласно этому договору.

(5) Исполнитель имеет право обрабатывать и использовать данные Заказчика в рамках допустимого согласно нормативным актам о защите данных, если это разрешено законодательством или при наличии заявления о согласии от затронутого лица. Этот договор не применяется в отношении обработки данных в таких случаях.

3. Место обработки данных

Обработка данных как предмет договора осуществляется в первую очередь в Германии, одной из стран Европейского Союза или стран, подписавших Соглашение о создании Европейского экономического пространства. Если обработка данных осуществляется субподрядчиком в том числе в одной из третьих стран, это происходит только с соблюдением особых условий, изложенных в ст. 44 и далее GDPR.

4. Организационно-технические меры

(1) Исполнитель составляет документацию по реализации изложенных перед оформлением заказа технических и организационных мер, необходимых для выполнения конкретного заказа, и предоставляет ее на проверку Заказчику вместе с декларацией. При принятии Заказчиком задокументированные меры становятся основой заказа. В противном случае Заключение об оказании услуг не заключается.

(2) Исполнитель обеспечивает безопасность согласно ст. 28, абзацу 3, п. c и ст. 32 GDPR, в частности в совокупности со ст. 5, абзацем 1 и 2 GDPR. Принимаемые меры являются залогом обеспечения безопасности данных и должны обеспечивать уровень защиты, соответствующий риску, в отношении сохранения конфиденциальности, благонадежности, доступности и нагрузочной способности систем. При этом Заказчик должен учитывать текущий уровень развития технологий, затраты на реализацию, способ, объем и цели обработки данных, а также вероятность появления и серьезность рисков в отношении прав и свобод физических лиц согласно ст. 32, абзацу 1 GDPR [подробности см. в Приложении 1].

(3) Технические и организационные меры подлежат техническому усовершенствованию и доработке. В таких случаях Исполнителю разрешается принимать адекватные альтернативные меры. При этом он обязуется соблюдать требуемый уровень безопасности. Существенные изменения документируются в обязательном порядке.

5. Внесение изменений, ограничение доступа и удаление данных

(1) Исполнитель обязуется вносить изменения в данные, обрабатываемые в рамках заказа, удалять их или ограничивать доступ к ним только по документально подтвержденному указанию Заказчика. Если непосредственно к Исполнителю обратится лицо, интересы которого затронуты в связи с обработкой данных, Исполнитель обязуется немедленно передать его просьбу Заказчику.

(2) Если это входит в объем услуг, Исполнитель по документально подтвержденному указанию Заказчика разрабатывает концепцию удаления данных, предоставляет право на забвение, обеспечивает внесение изменений в данные и переносимость данных, а также предоставляет справочную информацию. Указания, которые по смыслу отклоняются от Соглашения об оказания услуг или содержат дополнительные требования, подлежат предварительному согласованию с Исполнителем. При этом следует учитывать, что предоставляемые Исполнителем онлайн-службы представляют собой стандартные продукты, адаптация которых, в соответствии с требованиями Заказчика по защите данных, может быть связана с большими затратами. Стоимость соответствующих работ в полной мере компенсируется Заказчиком на основе дополнительного индивидуального соглашения.

6. Обеспечение качества и прочие обязанности Исполнителя

Кроме обязательств, принимаемых вместе с заказом, Исполнитель обязуется соблюдать обязательства, вменяемые ему согласно ст. 28—33 GDPR. В частности, он обязан соблюдать следующие требования:

  1. Письменное назначение уполномоченного по защите данных, выполняющего свои обязанности согласно ст. 38 и 39 GDPR. Его контактные данные передаются Заказчику для обеспечения прямой связи. В случае назначения другого лица на должность специалиста по вопросам защиты данных Исполнитель обязуется немедленно известить об этом Заказчика.
  2. Сохранение конфиденциальности согласно ст. 28, абзацу 3, стр. 2, п. b, ст. 29, ст. 32, абзацу 4 GDPR. Исполнитель обязуется привлекать для выполнения работ только лиц, подписавших соглашение о неразглашении информации и предварительно ознакомленных с применимыми требованиями относительно защиты данных. Исполнителю и его подчиненным, у которых есть доступ к личным данным, разрешено выполнять обработку этих данных только в соответствии с указаниями Заказчика и с учетом полномочий, предоставляемых данным договором. Исключения возможны только в том случае, если обработка данных является обязательной согласно требованиям законодательства.
  3. Реализация и соблюдение всех технических и организационных мер, необходимых для выполнения заказа, осуществляются согласно ст. 28, абзацу 3, стр. 2, п. c, ст. 32 GDPR [подробности см. в Приложении 1].
  4. Заказчик и Исполнитель в рамках выполнения своих задач оказывают содействие органам надзора по их запросу.
  5. Исполнитель обязан незамедлительно информировать Заказчика о проверках и других мерах органов надзора, относящихся к заказу. Это актуально также в том случае, если ответственный орган в рамках дела по нарушению общественного порядка или уголовного дела обнаружит со стороны Исполнителя нарушения, связанные с обработкой личных данных в рамках выполнения заказа.
  6. Если Заказчик подпадает под проверку органа надзора, против него возбуждается дело о нарушении общественного порядка или уголовное дело, ему предъявляются претензии со стороны лица, интересы которого затронуты, или третьего лица, либо иные претензии в связи с обработкой заказа Исполнителем, Исполнитель обязуется поддерживать Заказчика в меру своих сил.
  7. Исполнитель обязуется регулярно проверять внутренние процессы, а также принимаемые организационно-технические меры, чтобы обработка данных, которая входит в его сферу ответственности, выполнялась в соответствии с требованиями действующих нормативных актов по защите данных и обеспечивалась защита прав лиц, интересы которых затронуты.
  8. Исполнитель обязан представлять доказательства принятых организационно-технических мер Заказчику при использовании им права на проверку согласно п. 7 данного договора.

7. Субподряд

(1) Согласно данному документу отношения субподряда включают работы, относящиеся непосредственно к оказанию основной услуги. Сюда не относятся дополнительные услуги, оказываемые Исполнителем, например услуги, связанные с использованием телекоммуникаций, услуги почты / доставка, техобслуживание и сервис, переработка носителей данных и прочие меры для обеспечения конфиденциальности, доступности, благонадежности и нагрузочной способности аппаратного и программного обеспечения систем обработки данных. Однако для обеспечения конфиденциальности и безопасности данных Заказчика Исполнитель обязан даже при оказании дополнительных услуг заключать соглашения в соответствии с требованиями законодательства и на приемлемых условиях, а также принимать меры, необходимые для контроля.

(2) Настоящим Заказчик выдает Исполнителю общее разрешение на привлечение дополнительных исполнителей для обработки заказов.

Заказчик дает свое согласие на привлечение указанных ниже субподрядчиков по соглашению на основе ст. 28, абзацев 2—4 GDPR:

Компания-субподрядчик

Адрес/страна

Услуга

Belenus LOB GmbH

Rüdesheimer Str. 23
80686 München, Германия
ГЕРМАНИЯ

Предоставление доступа к внешним и внутренним IT-системам

LexCom (China) Co., Ltd

Suite G, 9/F Huamin Empire Plaza, 728 Yan An West Road, Changning Shanghai, 200050 CHINA (КИТАЙ)

Обеспечение поддержки клиентов

LexCom Japan K.K.

Shin-Yokohama Daini Centre Bldg., 7F, 3-19-5 Shin-Yokohama, JAPAN (ЯПОНИЯ)

Обеспечение поддержки клиентов

LexCom Information Systems Ltd

Unit C3 Arena Business Centre, 9 Nimrod Way, Wimborne, BH21 7UH, UNITED KINGDOM (СОЕДИНЕННОЕ КОРОЛЕВСТВО)

Обеспечение поддержки клиентов

LexCom France SARL

Espace Mama Works
51 Quai Lawton
33300 Bordeaux
FRANCE (ФРАНЦИЯ)

Обеспечение поддержки клиентов

OiC Imaging Comercial Ltda

Rua Kara 419, CEP 09750-300, São Bernardo do Campo, São Paulo, BRAZIL (БРАЗИЛИЯ)

Обеспечение поддержки клиентов

Element1 Media GmbH

Rüdesheimer Str. 21
80686 München, Германия
ГЕРМАНИЯ

Обработка данных клиентов, введенных в процессе регистрации

Смена субподрядчика допустима:

  • если Исполнитель заранее известит Заказчика в письменной или текстовой форме о смене субподрядчика;
  • если Заказчик на момент передачи данных не опротестовал смену субподрядчика путем подачи заявления Исполнителю в письменной или текстовой форме;
  • смена осуществляется на основе соглашения или заявления, имеющего обязательную юридическую силу, согласно ст. 28, абзацам 2—4 GDPR.

(3) Передача личных данных Заказчика субподрядчику и его первичное привлечение допускается только после выполнения всех условий для субподряда.

(4) Передача обязательств субподрядчиком допустима только при наличии разрешения генерального подрядчика (как минимум в текстовой форме); каждый последующий субподрядчик обязуется соблюдать положения всех заключенных ранее договоров.

8. Права Заказчика на осуществление контроля

(1) У Заказчика есть право в рамках отношений с Заказчиком проводить проверки или в отдельных случаях поручать проведение таких проверок специально назначаемым специалистам. Заказчик имеет право провести выборочную проверку на предприятии Исполнителя, своевременно уведомив его о своем намерении, чтобы убедиться, что Исполнитель соблюдает свои обязанности по соглашению. Такие проверки должны выполняться в рабочее время и не должны никоим образом нарушать рабочий процесс на предприятии Исполнителя. При этом Заказчик берет на себя обязательства по неразглашению всех производственных и коммерческих тайн Исполнителя.

(2) Исполнитель обязан принять необходимые меры, чтобы Заказчик мог убедиться в исполнении обязанностей Исполнителем согласно ст. 28 GDPR. Исполнитель обязуется предоставлять Заказчику по требованию все необходимые справки и, в частности, доказательства реализации технических и организационных мер. Как правило, Заказчик может выполнить не более одной проверки за календарный год; дополнительные проверки допускаются только при особых обстоятельствах.

(3) Исполнитель вправе по своему усмотрению и с учетом обязательств, вменяемых ему законодательством, не предоставлять доступ к важной информации, которая имеет отношение к коммерческой деятельности Исполнителя, или информации, открытие которой может рассматриваться как нарушение обязательств по законодательству или по договору.

(4) По выбору Исполнителя подтверждение мер, которые касаются более чем одного заказа, вместо проверки на месте может осуществляться следующими способами:

  1. соблюдение согласованных правил поведения согласно ст. 40 GDPR;
  2. сертификация по согласованной процедуре согласно ст. 42 GDPR;
  3. предоставление актуальных свидетельств, отчетов или выписок из отчетов независимых инстанций (например аудитора, ревизора, уполномоченного по защите данных, отдела информационной безопасности, аудиторов по защите данных, аудиторов по качеству);
  4. сертификация для подтверждения требуемого уровня защиты путем проведения аудита в сфере информационной безопасности и защиты данных (например, базовый уровень защиты согласно требованиям BSI).

Условие: выбранная мера должна позволять Заказчику убедиться в реализации организационно-технических мер согласно приложению к этому соглашению приемлемым способом.

(5) Исполнитель имеет право требовать вознаграждения за обеспечение возможности проведения проверки Заказчиком.

9. Уведомление при нарушениях со стороны Исполнителя

(1) Исполнитель оказывает Заказчику поддержку в вопросах, касающихся соблюдения изложенных в статьях 32—36 GDPR обязанностей по обеспечению безопасности личных данных и информированию при потере данных, а также при оценке последствий и в рамках предварительных консультаций. Сюда относятся, в частности:

  1. обеспечение приемлемого уровня защиты путем принятия организационно-технических мер, которые разработаны с учетом обстоятельств, целей обработки, прогноза вероятности и серьезности возможных правонарушений, в случае обнаружения бреши в системе безопасности, и обеспечивают немедленную регистрацию важных событий, связанных с нарушениями;
  2. обязанность немедленного уведомления Заказчика в случае нарушений, затрагивающих личные данные;
  3. обязанность оказывать поддержку Заказчику в рамках обязательного информирования лиц, интересы которых затронуты, и немедленно предоставлять ему всю важную информацию;
  4. поддержка Заказчика при оценке последствий, касающихся защиты данных;
  5. поддержка Заказчика в рамках предварительных консультаций в органах надзора.

10. Полномочие Заказчика давать указания

(1) Заказчик обязуется незамедлительно подтверждать устные указания (как минимум в текстовой форме).

(2) Исполнитель обязуется немедленно уведомить Заказчика, если он полагает, что выполнение полученного указания невозможно без нарушения требований по защите данных. Исполнитель вправе не выполнять соответствующее указание, пока оно не будет подтверждено или изменено Заказчиком. Исполнитель может потребовать у Заказчика компенсации затрат, возникших у него в связи с такой задержкой.

11. Удаление и возврат личных данных

(1) Копии или дубликаты данных без уведомления Заказчика не создаются. Исключение представляют собой только резервные копии в объеме, необходимом для обеспечения надлежащей обработки данных, а также данные, копирование которых необходимо для соблюдения обязательств по хранению согласно требованиям законодательства.

(2) После завершения работ по договору или раньше по требованию Заказчика, но до истечения срока действия Соглашения об оказания услуг, Исполнитель обязуется передать Заказчику все находящиеся в его распоряжении документы, сгенерированные результаты обработки и использования, а также массивы данных, имеющие отношение к заказу. По предварительному согласованию сторон также допускается уничтожение данных согласно требованиям нормативных актов по защите данных. То же самое касается тестовых или бракованных материалов. Протокол удаления предъявляется по запросу.

(3) Исполнитель обязуется хранить документацию, подтверждающую обработку данных согласно условиям заказа и установленному порядку, в течение предписанного времени после завершения срока действия договора. В конце срока действия договора он может передать их Заказчику и тем самым освобождается от обязанностей по хранению.

1. Конфиденциальность (ст. 32 (1) b) GDPR)

Контроль доступа

  • Подтверждение прав доступа
  • Карты доступа / транспондеры доступа
  • Концепция прав доступа
  • Контрольные устройства (например, видеонаблюдение)
  • Регламент пользования ключами
  • Регламент для посторонних, карты посетителей
  • Сопровождающие для посетителей из числа сотрудников
  • Регистрация присутствия посетителей
  • Обеспечение безопасности в нерабочее время с помощью системы сигнализации и/или службы охраны
  • Определение зон безопасности и контролируемый доступ
  • Безопасный вход при доставке и отправке
  • Контроль за дверями (электрические системы закрывания дверей, считыватели удостоверений, телемониторы, вахтеры)
  • Контроль силами сотрудников (принцип 4 глаз)
  • Меры по обеспечению безопасности объектов (например, специальное остекление, система сигнализации, охрана территории)
  • Особые меры для контроля доступа в вычислительный центр
  • Размещение серверов в запираемых помещениях
  • Хранение носителей данных под замком и/или в запертых помещениях
  • Хранение резервных копий (например, тома, компакт-диски) в сейфе
  • Инструкция о выдаче ключей
  • Прочее / конкретизация указанных выше мер:

Контроль доступа

  • Шифрование сетей
  • Запирание оборудования для обработки данных
  • Идентификация пользователя оборудованием для обработки данных
  • Присвоение и резервное копирование идентификационных ключей
  • Защита паролем рабочих мест с мониторами
  • Функциональное и/или временное ограничение использования рабочих станций и идентификационных данных
  • Регламент присвоения прав доступа
  • Использование индивидуальных паролей
  • Автоматическая блокировка учетных записей пользователей после многократного неправильного ввода паролей
  • Автоматическая, защищенная паролем блокировка экрана при бездействии (скринсейвер)
  • Директива о паролях с минимальными требованиями к сложности паролей и интервалу обновления
  • Хеширование сохраненных паролей
  • Процедура присвоения прав при найме новых сотрудников
  • Процедура присвоения прав при переходе сотрудников в другое подразделение
  • Процедура лишения прав при увольнении сотрудников
  • Обязательство по конфиденциальному обращению с данными согласно ст. 28, абз. 3, п. b GDPR
  • Директивы по организации файлов
  • Протоколирование и анализ использования системы
  • Контролируемое уничтожение носителей данных
  • Рабочая инструкция и процедура обработки в отношении сбора данных
  • Процедуры проверки программ и выдачи разрешений
  • Прочее / конкретизация указанных выше мер:

Контроль доступа

  • Определение прав доступа, концепция прав доступа
  • Определение полномочий на ввод, изменение, удаление данных
  • Отделение выдачи разрешения на присвоение прав доступа (организационная мера) от
  • процедуры выдачи прав доступа (техническая мера)
  • Концепция использования и назначения дисководов
  • Регламент восстановления данных из резервных копий (кто,
  • когда, по чьему указанию)
  • Регулярная проверка прав доступа
  • Ограничение произвольной и неконтролируемой
  • возможности отправки запросов в базы данных
  • Регулярный анализ протоколов (лог-файлов)
  • Считыватель удостоверений на терминале
  • Возможности частичного доступа к данным и функциям (чтение, запись, исполнение)
  • Протоколирование операций доступа к данным, удаления и изменения данных
  • Сканер для обнаружения вредоносного ПО на рабочих станциях
  • Фильтр вредоносного ПО для веб-приложений
  • Фильтр вредоносного ПО / спама для электронной почты
  • Брандмауэры
  • Обнаружение/предотвращение взломов (IDS/IPS)
  • Ограниченный доступ к лог-файлам (только для администраторов по лог-файлам)
  • Хранение лог-файлов на выделенном сервере
  • Прочее / конкретизация указанных выше мер

Контроль разделения

  • Разделение клиентов/мандантов
  • Разделение разрабатываемой, тестовой и продуктивной системы

2. Благонадежность (ст. 32 (1) b) GDPR)

Контроль передачи

  • Безопасный обмен данными (SFTP/FTPS)
  • Обмен данными через HTTPS-соединение (TLS 1.1 и 1.2)
  • Определение прав передачи, концепция прав доступа
  • Контроль силами сотрудников (принцип 4 глаз)
  • Безопасный вход при доставке и отправке
  • Управление носителями данных, контроль наличия
  • Определение зон, в которых должны находиться носители данных
  • Шифрование конфиденциальных носителей данных
  • Шифрование данных на ноутбуках
  • Хранение личных данных в запираемых
  • несгораемых шкафах
  • Запрет на пронос сумок и прочих предметов багажа в безопасные зоны
  • Безопасное удаление носителей данных (например, физическое уничтожение, многократная перезапись)
  • Безопасная утилизация бумаги: закрытые емкости из металла (т. н. безопасные урны)
  • Регламент об изготовлении копий
  • Резервные копии носителей данных, подлежащих транспортировке
  • Правила упаковки и отгрузки
  • Самовывоз, курьерская служба, экспедиторское сопровождение
  • Проверка на комплектность и правильность

Контроль ввода

  • Маркировка/классификация собранных данных
  • Определение прав пользователей (роли/профили)
  • Дифференцированные права пользователей (чтение, изменение, удаление данных, частичный доступ к данным и функциям)
  • Организационные меры по определению границ ответственности за ввод данных
  • Протоколирование ввода/удаления данных
  • Регламент, определяющий сроки хранения в целях ревизии/подтверждения

3. Доступность и нагрузочная способность (ст. 32 (1) b) GDPR)

Контроль доступности

  • Концепция резервного копирования данных
  • Регулярная проверка концепции резервного копирования данных
  • Доступ в серверные для ограниченного круга сотрудников
  • Системы пожарной сигнализации в серверных
  • Системы автоматического пожаротушения в серверных
  • Безводные средства пожаротушения (например, углекислотные огнетушители) в серверных
  • Системы кондиционирования в серверных
  • Защита от удара молнии / перенапряжения
  • Источник бесперебойного питания (ИБП)
  • Установка резервного питания
  • Датчики воды в серверных
  • Размещение систем резервного копирования в разных помещениях и пожарных отсеках
  • Хранение данных в специальных безопасных шкафах, сейфах
  • Регулярная проверка возможности восстановления данных с носителей резервных копий
  • Обеспечение технической возможности считывания данных с носителей резервных копий в будущем
  • Хранение носителей резервных копий при требуемых условиях (кондиционирование, защита и т. п.)
  • Соглашение о передаче (резервных) копий данных
  • Регулярный анализ слабых мест (охрана территории, охрана зданий, проникновение в сети и информационные системы)
  • Резервная система хранения
  • Резервные вычислительные центры

4. Восстановление доступности и доступ (ст. 32 (1) c) GDPR)

  • План действий в экстренных ситуациях (например, при воздействии воды, огня, взрыве, угрозе нападения, падении системы, землетрясении)

5. Проверка и оценка (ст. 32 (1) d) GDPR; ст. 25 (1) GDPR)

Порядок проведения регулярных проверок и оценки

  • Определенная процедура управления защитой данных
  • Определенная процедура управления реагированием на происшествия
  • Предварительные настройки, соответствующие требованиям относительно защиты данных (ст. 25 GDPR)

Контроль заявок

  • Выбор субподрядчиков с учетом добросовестности (в частности, в отношении защиты данных)
  • Оформление договоров с соблюдением требований законодательства (ст. 28 GDPR)
  • Централизованная регистрация существующих субподрядчиков (единая система управления договорами)
  • Предварительный контроль субподрядчика на месте до заключения договора
  • Регулярный контроль субподрядчика на месте после заключения договора (в течение срока действия договора)
  • Проверка концепции защиты данных субподрядчика
  • Ознакомление с имеющимися у субподрядчика сертификатами информационной безопасности
  • Выдача субподрядчику указаний по улучшению защиты данных
  • Связывание сотрудников субподрядчика обязательством по соблюдению требований к защите данных