International Energy ClubТолько для членов
Обновлено: Nov 1, 2025·Ведётся версионный архив

Соглашение об обработке данных (DPA)

Соответствующее ст. 28 GDPR соглашение, регулирующее роль IEC как обработчика данных при обработке персональных данных от имени институциональных клиентов.

Юрисдикция / Правовое основание: ЕС GDPR ст. 28 · Российская Федерация 152-ФЗ ст. 6(3)
Представлен в: Подключение уровня Institutional, корпоративные продажи

1. Сфера действия и определение ролей

Настоящее Соглашение об обработке данных («DPA») включается в договор между IEC («Обработчик») и участником уровня Institutional («Контролёр») и является его частью. Оно применяется, когда Контролёр использует платформу IEC для обработки персональных данных сотрудников, контактов, контрагентов по сделкам или иных лиц Контролёра и поручает IEC обрабатывать эти данные от своего имени. Настоящее DPA призвано удовлетворять требованиям статьи 28(3) GDPR и эквивалентным положениям 152-ФЗ. Во всех прочих отношениях IEC выступает независимым контролёром данных участников, как описано в Политике конфиденциальности.

2. Инструкции Контролёра

IEC обрабатывает персональные данные только на основании задокументированных инструкций Контролёра, в том числе в отношении передачи персональных данных в третью страну. Инструкции Контролёра изложены в Приложении A к настоящему DPA (Инструкции по обработке). IEC информирует Контролёра, если, по его мнению, инструкция нарушает применимое законодательство о защите данных. IEC не обязан следовать инструкциям, которые потребовали бы от IEC нарушения применимого законодательства.

3. Обязанности Обработчика

IEC обязуется:

  • (a) обрабатывать персональные данные только для целей, описанных в Приложении A, и никаким иным образом

(b) обеспечивать, чтобы лица, уполномоченные на обработку данных, были связаны обязательствами о конфиденциальности

(c) внедрять технические и организационные меры безопасности, описанные в Приложении B

(d) соблюдать условия привлечения субобработчиков, описанные в пункте 5

(e) содействовать Контролёру в исполнении запросов о реализации прав субъектов данных в применимые сроки

(f) содействовать Контролёру в проведении оценок воздействия на защиту данных (DPIA), где это требуется

(g) предоставлять всю информацию, необходимую для подтверждения соблюдения статьи 28 GDPR

(h) допускать аудиты и проверки, проводимые Контролёром или от его имени, и содействовать им.

4. Меры безопасности

IEC внедряет следующие технические и организационные меры безопасности (TOM) для защиты персональных данных, обрабатываемых от имени Контролёров:

  • (a) Шифрование — AES-256 в состоянии покоя; TLS 1.3 при передаче

(b) Контроль доступа — ролевой контроль доступа (RBAC); обязательная MFA для всех учётных записей персонала; принцип наименьших привилегий

(c) Мониторинг — SIEM (управление информацией и событиями безопасности) с круглосуточным оповещением

(d) Реагирование на инциденты — задокументированный план реагирования на инциденты; уведомление Контролёра в течение 24 часов после обнаружения утечки

(e) Физическая безопасность — дата-центры соответствуют ISO 27001 или эквиваленту

(f) Персонал — проверка благонадёжности персонала с доступом к персональным данным; обязательное обучение по защите данных (ежегодное)

(g) Управление уязвимостями — ежегодные сторонние тесты на проникновение; ежемесячное сканирование уязвимостей.

5. Субобработчики

Контролёр предоставляет общее разрешение IEC на привлечение субобработчиков при условии:

  • (a) возложения IEC на субобработчиков обязательств, эквивалентных GDPR

(b) ведения IEC актуального перечня субобработчиков по адресу /legal/subprocessors

(c) уведомления IEC Контролёра не менее чем за 30 дней до привлечения нового субобработчика или существенного изменения существующего

(d) права Контролёра возразить против новых субобработчиков в течение 14 дней с момента уведомления. Если Контролёр возражает, а IEC не может удовлетворить возражение, любая из сторон может расторгнуть настоящее DPA с письменным уведомлением за 30 дней. IEC остаётся ответственным перед Контролёром за действия и упущения субобработчиков, как если бы IEC совершил их непосредственно.

6. Права субъектов данных и уведомление об утечке

Если IEC получает запрос от субъекта данных в отношении данных, обрабатываемых по настоящему DPA, IEC незамедлительно уведомляет Контролёра и содействует тому, чтобы Контролёр мог исполнить запрос. Уведомление об утечке: IEC уведомит Контролёра без неоправданной задержки и в любом случае в течение 24 часов с момента, когда ему стало известно об утечке персональных данных, затрагивающей данные, обрабатываемые по настоящему DPA, предоставив информацию, требуемую статьёй 33(3) GDPR. IEC будет всецело содействовать Контролёру в отношении любого регуляторного расследования или меры принудительного применения.

Версионирование документа и повторный акцепт

Документ последний раз обновлён Nov 1, 2025. IEC ведёт версионный архив всех предыдущих редакций. Если существенное изменение затрагивает права или обязанности действующих членов, они уведомляются по электронной почте не менее чем за 14 дней до вступления изменения в силу. Продолжение использования платформы после даты вступления в силу означает согласие с обновлённой редакцией. Чтобы запросить предыдущую версию, напишите на legal@internationalenergyclub.org.

← Назад ко всем правовым документам