Дополнение к обработке данных клиентов
Последнее обновление:
27 декабря 2022 года
Настоящее Дополнение об обработке данных ("DPA"), датированное 27 декабря 2022 года ("Дата вступления в силу"), является частью общего контракта и отношений в рамках Условий предоставления услуг (а также любых других соглашений, регулирующих наши Услуги), с изменениями и дополнениями, время от времени вносимыми ("Соглашение"), между вами ("Клиент") и DreamHost ("Компания"). Все термины с заглавной буквы, не определенные в данном DPA, имеют значения, указанные в Соглашении.
Определения
- "Аффилированное лицо" означает субъект, который прямо или косвенно контролирует, находится под контролем или находится под общим кон тролем с другим субъектом.
- "Соглашение" имеет значение, указанное в вводной части.
- "Контроль" означает владение, право голоса или аналогичный интерес, представляющий пятьдесят процентов (50%) или более от общего количества интересов субъекта. Термин "Контролируемый" будет толковаться соответственно.
- "Контролер" означает субъект, который определяет цели и средства обработки персональных данных.
- "Данные клиента" означают любые персональные данные, которые компания обрабатывает от имени клиента в процессе предоставления услуг.
- "Применимые законы о защите данных" означают все действующие законы о защите данных и конфиденциальности, применимые к обработке персональных данных по Соглашению, включая, но не ограничиваясь, GDPR, Законы Великобритании о защите данных и CCPA.
- "ЕЭЗ" означает, для целей настоящего DPA, Европейскую экономическую зону и Швейцарию.
- "GDPR" означает Регламент 2016/679 Европейского парламента и Совета о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных, а также отменяющий Директиву 95/46/EC (Общий регламент по защите данных), и все применимые имплементации государств-членов.
- "Модельные положения" означают стандартные договорные положения для передачи данных от контролеров к процессорам, утвержденные Европейской комиссией в форме, изложенной в Приложении D, с дополнениями Международного дополнения по передаче данных Управления уполномоченного по информации Великобритании.
- "CCPA" означает Закон о конфиденциальности потребителей Калифорнии 2018 года [Калифорнийский гражданский кодекс Разделы 1798.100 - 1798.199], с поправками (включая Закон о правах на конфиденциальность Калифорнии 2020 года), и его подзаконные акты.
- "Персональные данные" означают любую информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу; идентифицируемое физическое лицо - это тот, кто может быть идентифицирован, прямо или косвенно, в частности, по идентификатору, такому как имя, идентификационный номер, данные о местонахождении, онлайн-идентификатор или по одному или нескольким факторам, специфичным для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности этого физического лица.
- "Нарушение персональных данных" означает нарушение безопасности, ведущее к случайному или незаконному уничтожению, утрате, изменению, несанкционированному раскрытию или доступу к передаваемым, хранимым или иным образом обрабатываемым персональным данным.
- "Обработка" означает любую операцию или набор операций, совершаемых с персональными данными или с наборами персональных данных, независимо от того, выполняются ли они автоматическими средствами, такие как сбор, запись, организация, структурирование, хранение, адаптация или изменение, извлечение, консультирование, использование, раскрытие передачей, распространением или иным образом предоставлением, выравнивание или комбинирование, ограничение, стирание или уничтожение. "Обрабатывать", "Обрабатывает" и "Обработанный" будут толковаться соответственно.
- "Процессо р" означает субъект, который обрабатывает персональные данные от имени контролера.
- "Услуги" означают любой продукт или услугу, предоставляемые компанией клиенту в соответствии с Соглашением.
- "Суб-процессор" означает третье лицо, привлеченное компанией для помощи в выполнении своих обязательств по предоставлению Услуг в соответствии с Соглашением или настоящим DPA.
- "Законы Великобритании о защите данных" означают: (i) Общий регламент о защите данных Великобритании; и (ii) Закон о защите данных 2018 г.
1. Область применения данного DPA
Настоящее DPA применяется в том случае и в той степени, в которой Компания Обрабатывает Данные Клиента, являющиеся объектом Применимых Законов О Защите Данных от имени Клиента в ходе предоставления Услуг Клиенту в соответствии с Соглашением.
2. Роли и Объем Обработки
Роли Сторон. В отношениях между Компанией и Заказчиком, Заказчик является Контролером данных Заказчика, и Компания будет Обрабатывать данные Заказчика только в качестве Обработчика, действующего от имени Заказчика. В той мере, в какой CCPA применим к Обработке данных Заказчика в рамках Соглашения, стороны согласны с тем, что Заказчик является «коммерческой организацией», а Компания - «поставщиком услуг», как эти термины определены в CCPA.
Обработка данных Заказчиком. Заказчик соглашается с тем, что (i) он будет выполнять свои обязательства в соответствии с Применимыми законами о защите данных в отношении Обработки данных Заказчика и любых инструкций по Обработке, которые он выдает Компании; и (ii) он предоставил уведомление и получил (или получит) все согласия и права, необходимые по Применимым законам о защите данных, для того чтобы Компания могла Обрабатывать данные Заказчика в соответствии с Соглашением и данным Дополнительным соглашением о защите данных (DPA).
Обработка данных Компанией. Компания будет Обрабатывать данные Заказчика только в целях, описанных в данном DPA, и только в соответствии с законными документированными инструкциями Заказчика. Стороны соглашаются, что данный DPA и Соглашение устанавливают полные и окончательные инструкции Заказчика для Компании в отношении Обработки данных Заказчика, и любая Обработка вне рамок этих инструкций (если таковые имеются) потребует предварительного письменного соглашения между Заказчиком и Компанией.
Детали Обработки. Детали Обработки в рамках Соглашения изложены в Приложении A.
Исключения. Несмотря на любые противоречия в Соглашении (включая данный DPA), Заказчик признает, что Компания имеет право использовать и раскрывать данные, относящиеся к функционированию, поддержке и/или использованию Услуг для своих законных деловых целей, таких как выставление счетов, управление учетными записями, техническая поддержка, разработка и улучшение продуктов, а также продажи и маркетинг. В той мере, в какой такие данные, используемые исключительно для деловых целей Компании, рассматриваются как Персональные данные в соответствии с Применимыми законами о защите данных, Компания является Контролером таких данных и, соответственно, гарантирует, что будет Обрабатывать такие данные в соответствии с Политикой конфиденциальности Компании и законами о защите данных.
3. Суб-подряд
Авторизованные суб-подрядчики. Клиент соглашается с тем, что Компания может привлекать суб-подрядчиков для обработки данных Клиента от имени Клиента. Подрядчики, которые в настоящее время привлечены Компанией и авторизованы Клиентом, доступны на вкладке "Профиль и Конфиденциальность" панели управления DreamHost (далее "Список суб-подрядчиков").
Обязательства суб-подрядчиков. Компания будет: (i) заключать письменное соглашение с суб-подрядчиком, налагающее условия по защите данных, которые требуют от суб-подрядчика защиту данных Клиента на уровне, требуемом применимыми законами о защите данных; и (ii) оставаться ответственным за соблюдение своих обязательств по данному ДСЗ и за любые действия или бездействия суб-подрядчика, которые приводят к нарушению каких-либо обязательств Компании по данному ДСЗ.
Изменения в списке суб-подрядчиков. Компания обязуется уведомлять Клиента о любых обновлениях списка суб-подрядчиков путем обновления Списка суб-подрядчиков за пять (5) дней до привлечения нового суб-подрядчика для предоставления Услуг. В Списке суб-подрядчиков всегда будет отображаться дата последнего обновления. Клиент может получать уведомления по электронной почте об изменениях в Списке суб-подрядчиков. Если Клиент не одобряет нового суб-подрядчика после получения уведомления о таком добавлении, и Клиент направляет Компании письменное уведомление, в котором объясняет, почему не одобряет нового суб-подрядчика в течение пяти (5) дней до того, как Компания привлечет нового суб-подрядчика для предоставления Услуг, тогда Клиент может прекратить оказание затронутых Услуг посредством письменного уведомления Компании.
4. Безопасность
Обновления мер безопасности. Клиент несет ответственность за ознакомление с информацией, предоставляемой Компанией и касающейся защиты данных, и за самостоятельное определение соответствия Услуг требованиям Клиента и правовым обязательствам согласно применимому законодательству о защите данных. Минимальные технические и организационные меры, предусмотренные Компанией для защиты данных Клиента, изложены в Приложении B (далее «Меры информационной безопасности»). Клиент признает, что Меры информационной безопасности подвержены техническому прогрессу и развитию, и что Компания может время от времени обновлять или изменять Меры информационной безопасности при условии, что такие обновления и изменения не приведут к снижению общего уровня безопасности Услуг, приобретаемых Клиентом.
Персонал. Компания гарантирует, что любое лицо, уполномоченное Компанией на Обработку данных Клиента (включая сотрудников, агентов и уполномоченных субподрядчиков), будет связано соответствующим обязательством по соблюдению конфиденциальности (будь то договорное или законное обязательство). Более того, Компания предпримет шаги для обеспечения того, чтобы любое лицо, уполномоченное Компанией на доступ к данным Клиента, не обрабатывало такие данные без инструкций от Клиента, если только такое лицо не обязано Обрабатывать эти данные в соответствии с применимым законодательством о защите данных.
Ответственность Клиента. Несмотря на вышеизложенное, Клиент соглашается, что за исключением случаев, предусмотренных настоящим Соглашением о защите данных, он несет ответственность за безопасное использование Услуг.
Ответные действия в случае утечки персональных данных. При обнаружении утечки персональных данных Компания без необоснованной задержки уведомит Клиента и предоставит своевременную информацию, касающуюся утечки персональных данных, по мере ее поступ ления или по обоснованному запросу Клиента. Компания незамедлительно примет разумные меры для смягчения и, при возможности, устранения последствий любой утечки персональных данных.
5. Аудиторские отчеты
Заказчик признает, что Компания регулярно подвергается аудиту на соответствие настоящему ДСО и стандартам безопасности Компании. По обоснованному письменному запросу, отправленному по адресу Компании, указанному в Политике конфиденциальности, Компания предоставит Заказчику сводный аудиторский отчет ("Отчет"), который будет подчиняться положениям о конфиденциальности любого соглашения о неразглашении, предоставленного Компанией для исполнения Заказчиком в связи с Отчетом. Компания также ответит на любые коммерчески обоснованные письменные вопросы аудита, представленные ей Заказчиком, при условии, что Заказчик не будет использовать это право чаще одного раза в двенадцать (12) месяцев.
6. Международные передачи данных
Местоположение центров обработки данных. Компания может передавать и обрабат ывать данные клиентов в любой точке мира, где Компания, ее аффилированные лица или субподрядчики осуществляют операции по обработке данных. Компания в любое время будет обеспечивать адекватный уровень защиты обрабатываемых данных клиентов в соответствии с требованиями применимых законов о защите данных.
Стандартные договорные положения. В той степени, в которой Компания обрабатывает любые данные клиентов, защищенные GDPR или Законами о защите данных Великобритании в соответствии с Соглашением и/или которые происходят из ЕЭЗ или Великобритании, в стране, которая не была признана Европейской комиссией, Швейцарским Федеральным органом по защите данных или Офисом уполномоченного по информации Великобритании (как применимо), как обеспечивающая адекватный уровень защиты персональных данных, стороны признают, что Компания будет считаться обеспечивающей адекватную защиту (в значении Применимого Закона о защите данных) для любых таких данных клиентов, соблюдая Стандартные договорные положения. Компания соглашается с тем, что является "импортером данных", а Клиент — "экспортером данных" в рамках Стандартных договорных положений (несмотря на то, что Клиент является организацией, расположенной за пределами ЕЭЗ). Приложение III к Стандартным договорным положениям будет применяться только в отношении передачи данных клиентов, защищенных законами Великобритании о защите данных в соответствии с Соглашением и/или происходящих из Великобритании.
7. Возврат или Удаление Данных
По прекращению или истечению срока действия Соглашения Компания по выбору и подлинному запросу Клиента вернет или, насколько это технически возможно, удалит все Данные Клиента, находящиеся в ее владении или под контролем. Несмотря на вышеизложенное, Компания может сохранить Данные Клиента или архивировать Данные Клиента на своих резервных системах, если Компания обязана это сделать в соответствии с применимым законодательством, договорными или нормативными обязательствами, или если у Компании есть законные деловые интересы, требующие сохранения части или всех Данных Клиента. Компания обязуется безопасно изолировать и защищать такие Данные Клиента от любой дальнейшей Обработки, за исключением случаев, когда это требуется в соответствии с применимым законодательством, договорными или нормативными обязательствами.
8. Сотрудничество
Услуги могут предоставить Заказчику ряд средств управления, которые Заказчик может использовать для получения, исправления, удаления или ограничения данных Заказчика, которые Заказчик может использовать для выполнения своих обязательств в соответствии с применимыми законами о защите данных, включая обязательства, связанные с ответами на запросы субъектов данных или применимых органов по защите данных. В той степени, в которой Заказчик не может самостоятельно получить доступ к соответствующим данным Заказчика в рамках Услуг, Компания обязуется (за счет Заказчика) предоставить разумное сотрудничество для оказания помощи Заказчику в ответах на любые запросы от физических лиц или применимых органов по защите данных, касающиеся обработки персональных данных в рамках Соглашения. В случае, если такой запрос направлен непосредственно Компании, Компания не будет отвечать на такое сообщение напрямую без предварительного разрешения Заказчика, если только этого не требует закон. Если Компании необходимо ответить на такой запрос, она незамедлительно уведомит Заказчика и предоставит ему копию запроса, если это не запрещено законом.
Компания не будет раскрывать данные Заказчика ни правительству, ни третьим лицам, за исключением случаев, когда это необходимо для раскрытия такой информации по действительному и обязательному приказу правоохранительных органов. Если Компанию вынудят раскрыть данные Заказчика правоохранительным органам, Компания предоставит Заказчику разумное уведомление о требовании, чтобы позволить Заказчику запросить предохранительный приказ или иные соответствующие меры, если только Компании не запрещено делать это законом.
В той степени, в которой Компания обязана в соответствии с Применимыми Законами о Защите Данных, Компания обязуется (за счет Заказчика) предоставить разумно затребованную информацию об Услугах, чтобы позволить Заказчику провести оценки воздействия на защиту данных или предварительные консультации с органами по защите данных, как того требует закон.
9. Положения CCPA
В той мере, в какой Закон штата Калифорния о защите персональных данных (CCPA) применим к обработке данных клиента в рамках Соглашения, стороны обязуются соблюдать Приложение C.
10. Общие п оложения
Любые претензии, выдвинутые в рамках или в связи с этим Дополнительным соглашением по обработке данных (ДПО), подлежат действию общих условий Компании (включая Условия использования), обновленных на Юридической странице, включая, но не ограничиваясь, исключениями и ограничениями, изложенными в Соглашении. Любые претензии против Компании или ее аффилированных лиц в рамках данного ДПО должны быть предъявлены только той стороне, которая является участником Соглашения. Ни одна из сторон не вправе ограничивать свою ответственность в отношении прав на защиту данных любого физического лица, предусмотренных настоящим ДПО или иным образом. Заказчик также соглашается с тем, что любые регуляторные штрафы, понесенные Компанией в отношении Данных Заказчика, возникшие в результате или в связи с нарушением Заказчиком своих обязательств по данному ДПО или любым Применимым законам о защите данных, будут засчитываться и уменьшать ответственность Компании по Соглашению так, как если бы это была ответственность перед Заказчиком по Соглашению.
Ни одно лицо, не являющееся стороной настоящего ДПО, их правопреемники и допущенные правопреемники, не имеют права обеспечивать выполнение каких-либо его условий. Настоящее ДПО регулируется и толкуется в соответствии с положениями о применимом праве и юрисдикции в Соглашении, если Применимые законы о защите данных не требуют иного.
Стороны соглашаются, что данное ДПО заменяет любое существующее ДПО (включая Типовые положения (если применимо)), ранее заключенное сторонами в связи с Услугами.
Настоящее ДПО и Типовые положения автоматически прекращаются одновременно с прекращением или истечением Соглашения; при этом, однако, положения, требующие надежного уничтожения Персональных данных и сохранения Персональных данных для выполнения юридических, договорных или регуляторных обязательств, сохраняют свое действие после прекращения или истечения ДПО на минимальное время, необходимое для выполнения соответствующих обязательств по этим положениям.
За исключением изменений, внесенных этим ДПО, Соглашение остается без изменений и в полной силе и действии. В случае любого конфликта меж ду этим ДПО и Соглашением, это ДПО имеет преимущественную силу в той мере, в которой возникает конфликт.
Приложения к этому ДПО включены в настоящее ДПО посредством ссылки. В случае конфликта между этим ДПО и любыми Приложениями к этому ДПО, это ДПО имеет преимущественную силу в той мере, в которой возникает конфликт. Несмотря на вышеуказанное, в случае конфликта между этим ДПО и Типовыми положениями, Типовые положения имеют преимущественную силу в той мере, в которой возникает конфликт.
Положения этого ДПО являются отделимыми. Если какая-либо фраза, положение или условие являются недействительными или неисполнимыми полностью или частично, такая недействительность или неисполнимость касается только данной фразы, положения или условия, и остальная часть этого ДПО остается в полной силе и действии.
Приложение А
Детали обработки
- Предмет: Предметом обработки в рамках данного DPA является данные клиента.
- Срок действия: Срок действия обработки в рамках данного DPA установлен в разделе 7 данного DPA.
- Цель и характер: Цель и характер обработки в рамках данного DPA я вляется предоставление услуг клиенту и выполнение обязательств компании по Соглашению (включая данный DPA) или иным образом согласованным сторонами.
- Категории субъектов данных: Клиент может загружать персональные данные при использовании услуг, объем которых может быть определен и контролироваться клиентом. Это может включать, но не ограничиваться:
- Перспективы клиентов, клиенты, бизнес-партнеры, поставщики или третьи лица (которые являются физическими лицами);
- Сотрудники, агенты, консультанты, третьи лица и фрилансеры клиента;
- Сотрудники или аффилированные лица пунктов (1) выше;
- Уполномоченные пользователи услуг клиента.
- Типы персональных данных: Клиент может загружать персональные данные при использовании услуг, объем которых может быть определен и контролироваться клиентом. Это может включать, но не ограничиваться, следующие категории: имя, адрес, номер телефона, дата рождения, адрес электронной почты и другие данные клиента.
Приложение B
Меры по обеспечению информационной безопасности
Следующие пункты считаются минимальными требованиями безопасности, которые компания внедрила для защиты данных клиента:
- Назначение одного или нескольких должностных лиц, ответственных за координацию и мониторинг правил и процедур информационных технологий.
- Документированная политика и процедуры, регулирующие использование сотрудниками и поставщиками системы информационных технологий.
- Процесс выявления и реагирования на подозреваемые или известные инциденты безопасности.
- Внутри системы данные на хранении защищены ролями или разрешениями групп и периодически проверяются, чтобы убедиться, что у сотрудников есть доступ только к тем данным, которые им нужны для выполнения работы, и что учетные записи уволенных пользователей отключены.
- Серверы обновляются своевременно, чтобы обеспечить применение последних обновлений безопасности.
- Технология защиты транспортного уровня (TLS) используется, где это применимо, как для веб-, так и для электронной почты. Электронные письма также фильтруются и сканируются несколько раз при входе.
- Виртуальные частные сети (VPN) используются для шифрования трафика между всеми нашими локациями.
- Внешние пользователи также используют зашифрованное подключение через VPN для доступа к внутренним ресурсам, и этот доступ предоставляется индивидуально.
- Все хранимые пароли зашифрованы.
- Данные ежедневно синхронизируются между основным и резервным местоположением.
- Аудиторы сторонних организаций ежегодно проводят IT-аудиты и оценивают политику и процедуры.
Приложение C
Положения CCPA
Настоящее Приложение применимо к DPA только в той мере, в какой CCPA применим к обработке Данных Клиента в рамках Соглашения. В настоящем Приложении термины "Личная информация", "Продажа", "Общий доступ", "Бизнес-цель" и "Коммерческая цель" имеют значения, указанные в CCPA.
В той мере, в какой Данные Клиента составляют Личную информацию в рамках Соглашения:
- Компания не будет Продавать или делиться любыми Данными Клиента;
- Компания не будет хранить, использовать или раскрывать Данные Клиента для каких-либо целей, кроме Бизнес-целей, указанных в Соглашении, а именно предложения доменных имен, веб-хостинга и дизайна, облачных услуг, услуг электронной почты, включая любые Коммерческие цели, не указанные в Соглашении;
- Компания не будет хранить, использовать или раскрывать Данные Клиента за пределами прямых деловых отношений между Клиентом и Компанией;
- Компания не будет объединять такие Данные Клиента, полученные от или от имени Клиента, с Данными Клиента, полученными от или от имени любой третьей стороны, за исключением выполнения любой Бизнес-цели, разрешенной в соответствии с CCPA;
- Компания будет соблюдать применимые обязательства в рамках CCPA и обеспечивать тот же уровень защиты Данных Клиента, который требуется CCPA, включая помощь Клиенту в выполнении запросов потребителей в соответствии с CCPA;
- Клиент имеет право предпринимать разумные и соответствующие шаги, чтобы помочь обеспечить использование Компанией Данных Клиента в соответствии с обязательствами Клиента в рамках CCPA;
- Компания уведомит Клиента, если определит, что больше не может выполнять свои обязательства в рамках CCPA. Если Компания уведомит Клиента о несанкционированном использовании Данных Клиента, в том числе в соответствии с предыдущим предложением, Компания будет иметь право предпринимать разумные и соответствующие шаги для прекращения и устранения такого несанкционированного использования.
Приложение D
Примерные статьи
РАЗДЕЛ 1
Клаузула 1
Цель и область применения
(a) Цель настоящих стандартных договорных условий заключается в обеспечении соблюдения требований Регламента (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 года о защите физических лиц в отношении обработки персональных данных и о свободном передвижении таких данных (Общий регламент по защите данных) для передачи персональных данных в третью страну.
(b) Стороны:
- (i) физическое или юридическое лицо(-а), государственный орган(-а), агентство(-а) или другое учреждение(-я) (далее "субъект(-ы)"), передающее персональные данные, как указано в Приложении I.A. (далее каждое "экспортер данных"), и
- (ii) субъект(-ы) в третьей стране, получающий персональные данные от экспортера данных, прямо или косвенно через другого субъекта, также являющегося Стороной настоящих Условий, как указано в Приложении I.A. (далее каждое "импортер данных") согласились с настоящими стандартными договорными условиями (далее "Условия").
(c) Настоящие Условия применяются в отношении передачи персональных данных, как указано в Приложении I.B.
(d) Приложение к настоящим Условиям, содержащее Приложения, на которые имеются ссылки в Условиях, является неотъемлемой частью настоящих Условий.
Пункт 2
Действие и неизменность Положений
(a) Настоящие Положения устанавливают надлежащие меры защиты, включая права субъектов данных, которые могут быть принудительно исполнены, и эффективные средства правовой защиты в соответствии со статьей 46(1) и статьей 46(2)(c) Регламента (ЕС) 2016/679, а также, в отношении передачи данных от контролеров к операторам и/или от операторов к операторам, стандартные контрактные положения в соответствии со статьей 28(7) Регламента (ЕС) 2016/679, при условии, что они не изменяются, за исключением выбора соответствующего модуля(ей) или добавления или обновления информации в Приложении. Это не мешает Сторонам включать стандартные контрактные положения, изложенные в данных Положениях, в более широкий договор и/или добавлять другие положения или дополнительные меры защиты, при условии, что они не противоречат напрямую или косвенно данным Положениям и не ущемляют основные права или свободы субъектов данных.
(b) Настоящие Положения не затрагивают обязательств, которым подвергается экспортер данных в соответствии с Регламентом (ЕС) 2016/679.
Клаузула 3
Третьи бенефициары
(a) Субъекты данных могут ссылаться на настоящие Клаузулы и применять их, как третьи бенефициары, против экспортера данных и/или импортера данных, за исключением следующих положений:
- (i) Клаузула 1, Клаузула 2, Клаузула 3, Клаузула 6, Клаузула 7;
- (ii) Клаузула 8.1(b), 8.9(a), (c), (d) и (e);
- (iii) Клаузула 9(a), (c), (d) и (e);
- (iv) Клаузула 12(a), (d) и (f);
- (v) Клаузула 13;
- (vi) Клаузула 15.1(c), (d) и (e);
- (vii) Клаузула 16(e);
- (viii) Клаузула 18(a) и (b).
(b) Пункт (a) не затрагивает права субъектов данных в соответствии с Регламентом (ЕС) 2016/679.
Клаузула 4
Толкование
(a) Если в настоящих Клаузулах используются термины, определенные в Регламенте (ЕС) 2016/679, эти термины должны иметь те же значения, что и в упомянутом Регламенте.
(b) Настоящие Клаузулы должны толковаться в свете положений Регламента (ЕС) 2016/679.
(c) Настоящие Клаузулы не должны толковаться таким образом, чтобы противоречить правам и обязательств ам, предусмотренным Регламентом (ЕС) 2016/679.
Пункт 5
Иерархия
В случае противоречия между настоящими Пунктами и положениями связанных соглашений между Сторонами, существующих на момент согласования настоящих Пунктов или заключенных впоследствии, преимущественную силу имеют настоящие Пункты.
Пункт 6
Описание передачи(ей)
Детали передачи(ей), в частности категории передаваемых персональных данных и цель(и) их передачи, указаны в Приложении I.B.
Клаузула 7
Клаузула о причаливании
Не применимо.
РАЗДЕЛ II - ОБЯЗАННОСТИ СТОРОН
Положение 8
Гарантии защиты данных
Экспортер данных гарантирует, что он предпринял разумные усилия для определения возможности импортера данных выполнить свои обязательства по этим Положениям посредством внедрения соответствующих технических и организационных мер.
8.1 Инструкции
(a) Импортер данных обрабатывает персональные данные только на основании документированных инструкций экспортера данных. Экспортер данных может выдавать такие инструкции на протяжении в сего срока действия контракта.
(b) Импортер данных немедленно информирует экспортера данных, если он не может выполнять эти инструкции.
8.2 Ограничение целей
Импортер данных обрабатывает персональные данные только для конкретных целей передачи, указанных в Приложении I.B, если не получено дополнительных инструкций от экспортера данных.
8.3 Прозрачность
По запросу экспортер данных предоставляет субъекту данных копию этих Положений, включая Приложение, заполненное Сторонами, бесплатно. В той мере, в какой это необходимо для защиты коммерческой тайны или другой конфиденциальной информации, включая меры, описанные в Приложении II, и персональные данные, экспортер данных может убрать часть текста Приложения перед предоставлением копии, но должен представить исчерпывающее резюме, если субъект данных иначе не сможет понять его содержание или воспользоваться своими правами. По запросу Стороны должны предоставить субъекту данных причины редактирования текста, насколько это возможно, не раскрывая редактированную информацию. Это Положение не затрагивает обязательства экспортера данных в соответствии со статьями 13 и 14 Регламента (ЕС) 2016/679.
8.4 Точность
Если импортер данных узнает, что полученные персональные данные являются неточными или устарели, он немедленно информирует об этом экспортера данных. В этом случае импортер данных сотрудничает с экспортером данных для удаления или корректировки данных.
8.5 Срок обработки и удаление или возврат данных
Обработка импортером данных осуществляется только в течение срока, указанного в Приложении I.B. После окончания предоставления услуг по обработке импортер данных, по выбору экспортера данных, удаляет все персональные данные, обработанные от имени экспортера данных, и подтверждает экспортеру данных факт удаления, либо возвращает экспортеру данных все обработанные персональные данные и удаляет существующие копии. До удаления или возврата данных импортер данных продолжает обеспечивать соблюдение этих Положений. В случае, если местные законы, применимые к импортеру данных, запрещают возврат или удаление персональных данных, импортер данных гарантирует продолжение соблюдения этих Положений и обработку данных только в объеме и на протяжении времени, требуемых местным законом. Это не затрагивает Положение 14, в частности обязательство импортера данных по пункту 14(e) уведомлять экспортера данных на протяжении всего срока действия контракта, если он имеет основания полагать, что он подвержен или становится подверженным законам или практикам, не соответствующим требованиям пункта 14(a).
8.6 Безопасность обработки
(a) Импортер данных и, во время передачи данных, также экспортер данных внедряют соответствующие технические и организационные меры для обеспечения безопасности данных, включая защиту от нарушения безопасности, приводящего к случайному или незаконному уничтожению, потере, изменению, несанкционированному раскрытию или доступу к таким данным (далее ‘нарушение безопасности персональных данных’). При оценке уровня безопасности Стороны учитывают текущий уровень техники, затраты на внедрение, характер, объем, контекст и цели обработки, а также риски, связанные с обработкой для субъектов данных. Стороны в частности рассматривают возможность использования шифрования или псевдонимизации, включая передачу данных, если цели обработки могут быть достигнуты таким образом. В случае использования псевдонимизации дополнительная информация для атрибуции персональных данных конкретному субъекту данных должна, по возможности, оставаться под исключительным контролем экспортера данных. Для выполнения своих обязательств по этому параграфу импортер данных, по крайней мере, внедряет технические и организационные меры, указанные в Приложении II. Импортер данных регулярно проверяет, продолжают ли эти меры обеспечивать достаточный уровень безопасности.
(b) Импортер данных предоставляет доступ к персональным данным только тем своим сотрудникам, которым это строго необходимо для выполнения, управления и мониторинга контракта. Он обеспечивает, чтобы лица, уполномоченные на обработку персональных данных, обязались соблюдать конфиденциальность или находились под соответствующим обязательством конфиденциальности, установленным законом.
(c) В случае нарушения безопасности персональных данных, обработанных импортером данных в рамках этих Положений, импортер данных принимает соответствующие меры для устранения нарушения, включая меры по смягчению его неблагоприятных последствий. Импортер данных также уведомляет экспортера данных без неоправданной задержки после того, как стало известно о нарушении. Такое уведомление должно содержать контактные данные для получения дополнительной информации, описание характера нарушения (включая, по возможности, категории и приблизительное количество затронутых субъектов данных и записей персональных данных), его вероятные последствия и меры, предпринятые или предлагаемые для устранения нарушения, включая, где уместно, меры по смягчению его возможных неблагоприятных последствий. Если и насколько невозможно предоставить всю информацию одновременно, первоначальное уведомление должно содержать имеющуюся на тот момент информацию, а дальнейшая информация должна быть предоставлена без неоправданной задержки по мере её поступления.
(d) Импортер данных сотрудничает с и помогает экспортеру данных выполнять свои обязательства согласно Регламенту (ЕС) 2016/679, в частности уведомлять компетентные надзорные органы и затронутых субъектов данных, учитывая характер обработки и доступную информацию со стороны импортера данных.
8.7 Чувствительные данные
Если передача включает персональные данные, раскрывающие расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, членство в профсоюзах, генетические данные или биометрические данные для уникальной идентификации лица, данные по здоровью или сексуальной жизни или сексуальной ориентации, либо данные, относящиеся к судимостям и правонарушениям (далее ‘чувствительные данные’), импортер данных применяет специфические ограничения и/или дополнительные меры защиты, описанные в Приложении I.B.
8.8 Передача данных третьим сторонам
Импортер данных раскрывает персональные данные третьей стороне только на основании документированных инструкций экспортера данных. Кроме того, данные могут быть раскрыты третьей стороне, расположенной з а пределами Европейского Союза (в той же стране, что и импортер данных, или в другой третьей стране, далее 'дальнейшая передача') только в том случае, если третья сторона связана или соглашается быть связанной этими Положениями в рамках соответствующего Модуля, или если:
- дальнейшая передача осуществляется в страну, пользующуюся решением о надлежащем уровне защиты согласно статье 45 Регламента (ЕС) 2016/679, которое охватывает такую передачу;
- третья сторона иным образом обеспечивает соответствующие гарантии в соответствии со статьями 46 или 47 Регламента (ЕС) 2016/679 в отношении соответствующей обработки;
- дальнейшая передача необходима для установления, осуществления или защиты правовых претензий в контексте конкретных административных, регулирующих или судебных процедур; или
- дальнейшая передача необходима для защиты жизненно важных интересов субъекта данных или другого физического лица.
Любая дальнейшая передача осуществляется при соблюдении импортером данных всех остальных гарантий по этим Положениям, в частности ограничения целей.
8.9 Документация и соблюдение
(a) Импортер данных оперативно и адекватно отвечает на запросы экспортера данных, касающиеся обработки по этим Положениям.
(b) Стороны должны уметь демонстрировать соблюдение этих Положений. В частности, импортер данных ведет соответствующую документацию об обработке данных, осуществляемой от имени экспортера данных.
(c) Импортер данных предоставляет экспортеру данных всю необходимую информацию для демонстрации соблюдения обязательств, установленных этими Положениями, и, по запросу экспортера данных, позволяет проводить и содействует проведению аудитов деятельности по обработке данных, охваченных этими Положениями, через разумные интервалы или если есть основания подозревать несоблюдение. При принятии решения о проведении проверки или аудита экспортер данных может учитывать соответствующие сертификации, имеющиеся у импортера данных.
(d) Экспортер данных может решать проводить аудит самостоятельно или поручить его независимому аудитору. Аудиты могут включать инспекции помещений или физических объектов импортера данных и, где это уместно, проводиться с заблаговременным уведомл ением.
(e) Стороны предоставляют информацию, упомянутую в пунктах (b) и (c), включая результаты любых аудитов, по запросу компетентного надзорного органа.
Пункт 9
Использование субобработчиков
(a) ОБЩЕЕ ПИСЬМЕННОЕ РАЗРЕШЕНИЕ Импортер данных имеет общее разрешение экспортера данных на привлечение субобработчика(ов) из согласованного списка. Импортер данных обязан уведомить экспортера данных в письменной форме о любых предполагаемых изменениях в этом списке путем добавления или замены субобработчиков как минимум за пять (5) дней до их привлечения, предоставляя тем самым экспортеру данных достаточно времени для возможного возражения против таких изменений. Импортер данных предоставляет экспортеру данных информацию, необходимую для того, чтобы экспортер данных мог осуществить свое право на возражение.
(b) В случае привлечения импортером данных субобработчика для выполнения конкретных действий по обработке данных (от имени экспортера данных), это будет происходить на основании письменного договора, который включает, по сути, те же обязательства по защите данных, что и те, которые связывают импортера данных согласно данным Пунктам, включая права третьих сторон для субъектов данных3. Стороны соглашаются, что, соблюдая данный Пункт, импортер данных выполняет свои обязательства по Пункту 8.8. Импортер данных должен гарантировать, что субобработчик соблюдает обязательства, которым подлежит импортер данных в соответствии с данными Пунктами.
(c) Импортер данных обязан предоставить по запросу экспортера данных копию такого договора с субобработчиком и любые последующие изменения. В той мере, в которой это необходимо для защиты коммерческих тайн или другой конфиденциальной информации, включая персональные данные, импортер данных может скрыть часть текста договора перед предоставлением копии.
(d) Импортер данных остается полностью ответственным перед экспортером данных за выполнение субобработчиком своих обязательств по договору с импортером данных. Импортер данных уведомляет экспортера данных о любом неисполнении субобработчиком своих обязательств по этому договору.
(e) Импортер данных должен согласовать с субобработчиком пункт о правах третьих сторон, с огласно которому — в случае фактического исчезновения импортера данных, прекращения его существования в правовом смысле или признания его несостоятельным — экспортер данных имеет право расторгнуть договор с субобработчиком и поручить субобработчику удалить или вернуть персональные данные.
Пункт 10
Права субъекта данных
(a) Импортер данных незамедлительно уведомляет экспортера данных о любом запросе, полученном от субъекта данных. Он не должен отвечать на этот запрос самостоятельно, если на то не было получено разрешение от экспортера данных.
(b) Импортер данных оказывает помощь экспортеру данных в исполнении его обязательств по ответу на запросы субъектов данных об осуществлении их прав в соответствии с Регламентом (ЕС) 2016/679. В этой связи Стороны указывают в Приложении II соответствующие технические и организационные меры, принимая во внимание характер обработки данных, при помощи которых будет предоставлена помощь, а также объем и степень необходимой помощи.
(c) При исполнении своих обязательств в соответствии с пунктами (a) и (b) импортер данных должен соблюдать инструкции экспортера данных.
Пункт 11
Возмещение ущерба
(a) Импортер данных должен информировать субъектов данных в прозрачной и доступной форме, посредством индивидуальных уведомлений или на своем веб-сайте, о контактном лице, уполномоченном рассматривать жалобы. Он должен оперативно рассматривать любые жалобы, поступающие от субъекта данных.
(b) В случае спора между субъектом данных и одной из Сторон по поводу соблюдения данных Положений, эта Сторона должна прилагать все усилия для разрешения вопроса мирным путем и в кратчайшие сроки. Стороны должны информировать друг друга о таких спорах и, в случае необходимости, сотрудничать в их разрешении.
(c) В случае, если субъект данных ссылается на право третьей стороны в соответствии с Пунктом 3, импортер данных должен принять решение субъекта данных о:
- подаче жалобы в надзорный орган в государстве-члене его/ее постоянного проживания или места работы, или в компетентный надзорный орган в соответствии с Пунктом 13;
- передаче спора в компетентный суд в соответствии с Пунктом 18.
(d) Стороны соглашаются с тем, что субъект данных может быть представлен некоммерческой организацией, организацией или ассоциацией в условиях, установленных статьей 80(1) Регламента (ЕС) 2016/679.
(e) Импортер данных должен соблюдать решение, которое имеет обязательную силу в соответствии с применимым законодательством ЕС или государства-члена.
(f) Импортер данных соглашается с тем, что выбор, сделанный субъектом данных, не ущемляет его/ее материальные и процессуальные права на получение средств правовой защиты в соответствии с применимыми законами.
Статья 12
Ответственность
(a) Каждая Сторона несет ответственность перед другой Стороной/ами за любые убытки, причиненные другой Стороне/ам в результате нарушения настоящих Статей.
(b) Импортер данных несет ответственность перед субъектом данных, и субъект данных имеет право на получение компенсации за любые материальные или нематериальные убытки, которые импортер данных или его субпроцессор причинили субъекту данных, нарушив права третьей стороны по настоящим Статьям.
(c) Несмотря на пункт (b), экспортер данных несет ответственность перед субъекто м данных, и субъект данных имеет право на получение компенсации за любые материальные или нематериальные убытки, которые экспортер данных или импортер данных (или его субпроцессор) причинили субъекту данных, нарушив права третьей стороны по настоящим Статьям. Это не влияет на ответственность экспортера данных и, в тех случаях, когда экспортер данных является процессором, действующим от имени контроллера, на ответственность контроллера в соответствии с Регламентом (ЕС) 2016/679 или Регламентом (ЕС) 2018/1725, если применимо.
(d) Стороны соглашаются, что если экспортер данных несет ответственность по пункту (c) за убытки, причиненные импортером данных (или его субпроцессором), он имеет право потребовать от импортера данных ту часть компенсации, которая соответствует ответственности импортера данных за причиненный ущерб.
(e) Если более одной Стороны несут ответственность за любой ущерб, причиненный субъекту данных в результате нарушения настоящих Статей, все ответственные Стороны несут солидарную ответственность, и субъект данных имеет право подать иск в суд против любой из этих сторон.
(f) Стороны со глашаются, что если одна из Сторон несет ответственность по пункту (e), она имеет право потребовать от других Сторон ту часть компенсации, которая соответствует их ответственности за причиненный ущерб.
(g) Импортер данных не может ссылаться на поведение субпроцессора для избежания собственной ответственности.
Раздел 13
Надзор
(a) [Если экспортер данных находится в государстве-члене ЕС:] Надзорный орган, ответственный за обеспечение соблюдения экспортером данных Регламента (ЕС) 2016/679 в отношении передачи данных, как указано в Приложении I.C, будет выступать в качестве компетентного надзорного органа.
[Если экспортер данных не находится в государстве-члене ЕС, но подпадает под территориальную сферу применения Регламента (ЕС) 2016/679 в соответствии со статьей 3(2) и назначил представителя в соответствии со статьей 27(1) Регламента (ЕС) 2016/679:] Надзорный орган государства-члена, в котором находится представитель в значении статьи 27(1) Регламента (ЕС) 2016/679, как указано в Приложении I.C, будет выступать в качестве компетентного надзорного органа.
[Если экспортер данных не находится в государстве-члене ЕС, но подпадает под территориальную сферу применения Регламента (ЕС) 2016/679 в соответствии со статьей 3(2), однако не обязан назначать представителя в соответствии со статьей 27(2) Регламента (ЕС) 2016/679:] Надзорный орган одного из государств-членов, в которых находятся субъекты данных, чьи персональные данные передаются в соответствии с данными условиями в связи с предложением им товаров или услуг или чье поведение мониторится, как указано в Приложении I.C, будет выступать в качестве компетентного надзорного органа.
(b) Импортер данных соглашается подчиняться юрисдикции и сотрудничать с компетентным надзорным органом в любых процедурах, направленных на обеспечение соблюдения данных условий. В частности, импортер данных соглашается отвечать на запросы, проходить аудиты и выполнять меры, принятые надзорным органом, включая корректирующие и компенсирующие меры. Он должен предоставить надзорному органу письменное подтверждение о том, что необходимые действия были выполнены.
РАЗДЕЛ III - МЕСТНЫЕ ЗАКОНЫ И ОБЯЗАННОСТИ В СЛУЧАЕ ДОСТУПА ГОСУДАРСТВЕННЫХ ОРГАНОВ
Пункт 14
Местные законы и практика, влияющие на соблюдение Пунктов
(a) Стороны гарантируют, что у них нет оснований полагать, что законы и практика третьей страны назначения, применимые к обработке персональных данных импортером данных, включая любые требования по раскрытию персональных данных или меры, разрешающие доступ государственных органов, мешают импортеру данных выполнять свои обязательства в соответствии с этими Пунктами. Это основано на понимании того, что законы и практика, уважающие суть основных прав и свобод и не превышающие того, что необходимо и соразмерно в демократическом обществе для защиты одной из целей, перечисленных в статье 23(1) Регламента (ЕС) 2016/679, не противоречат этим Пунктам.
(b) Стороны заявляют, что при предоставлении гарантии, указанной в пункте (a), они должным образом учли, в частности, следующие элементы:
- (i) конкретные обстоятельства передачи, включая длину цепочки обработки, количество участников и используемые каналы передачи; предполагаемые последующие передачи; тип получателя; цель обработки; категории и формат переданных персональных данных; экономиче ский сектор, в котором происходит передача; место хранения переданных данных;
- (ii) законы и практики третьей страны назначения, включая те, которые требуют раскрытия данных государственным органам или разрешают доступ таких органов, соответствующие конкретным обстоятельствам передачи, и применимые ограничения и меры защиты;
- (iii) любые соответствующие договорные, технические или организационные меры защиты, принятые для дополнения мер защиты по этим Пунктам, включая меры, применяемые в процессе передачи и обработки персональных данных в стране назначения.
(c) Импортер данных гарантирует, что при проведении оценки в соответствии с пунктом (b) он приложил максимальные усилия для предоставления экспортеру данных соответствующей информации и соглашается продолжать сотрудничество с экспортером данных для обеспечения соблюдения этих Пунктов.
(d) Стороны согласны документировать оценку, проведенную в соответствии с пунктом (b), и предоставлять ее компетентному надзорному органу по запросу.
(e) Импортер данных соглашается незамедлительно уведомить экспортера данных, если после сог ласия с этими Пунктами и на протяжении действия договора у него появятся основания полагать, что он подпадает или стал подпадать под действие законов или практики, не соответствующих требованиям, изложенным в пункте (a), включая изменение законов третьей страны или мероприятия (например, запрос на раскрытие информации), указывающие на применение таких законов на практике, не соответствующее требованиям пункта (a).
(f) В случае уведомления в соответствии с пунктом (e), или если у экспортера данных есть иные основания полагать, что импортер данных больше не может выполнять свои обязательства по этим Пунктам, экспортер данных должен незамедлительно определить соответствующие меры (например, технические или организационные меры для обеспечения безопасности и конфиденциальности), которые должны быть приняты экспортером и/или импортером данных для решения этой ситуации. Экспортер данных приостанавливает передачу данных, если считает, что не может быть обеспечена надлежащая защита для такой передачи, или если это предписано компетентным надзорным органом. В этом случае экспортер данных имеет право расторгнуть договор, насколько это касается обработки персональных данных в рамках этих Пунктов. Если договор включает более двух Сторон, экспортер данных может воспользоваться этим правом на расторжение только в отношении соответствующей Стороны, если иное не согласовано Сторонами. В случае расторжения договора в соответствии с этим Пунктом, применяются пункты 16(d) и (e).
Клаузула 15
Обязательства импортера данных в случае доступа со стороны государственных органов
15.1 Уведомление
(a) Импортер данных обязуется незамедлительно уведомить экспортера данных и, по возможности, субъекта данных (при необходимости при содействии экспортера данных), если он:
- (i) получает юридически обязывающий запрос от государственного органа, включая судебные органы, в соответствии с законодательством страны назначения о раскрытии персональных данных, переданных в соответствии с настоящими Клаузулами; такое уведомление должно включать информацию о запрашиваемых персональных данных, запрашивающем органе, правовой основе запроса и предоставленном ответе; или
- (ii) узнает о каком-либо прямом доступе государственных органов к персональным данным, переданным в соответствии с настоящими Клаузулами, в соответствии с законодательством страны назначения; такое уведомление должно включать всю доступную импортеру информацию.
(b) Если импортер данных не имеет права уведомлять экспортера данных и/или субъекта данных в соответствии с законодательством страны назначения, импортер данных обязуется приложить все усилия для получения разрешения на уведомление, с целью как можно скорее передать максимально возможную информацию. Импортер данных обязуется задокументировать свои усилия, чтобы иметь возможность продемонстрировать их по запросу экспортера данных.
(c) Если это допускается законодательством страны назначения, импортер данных обязуется предоставлять экспортеру данных, на регулярной основе в течение всего срока действия договора, максимально возможное количество релевантной информации о полученных запросах (в частности, количество запросов, тип запрашиваемых данных, запрашивающий(-е) орган(-ы), оспаривались ли запросы и результат таких оспариваний и т.д.).
(d) Импортер данных обязуется сохранять информацию в соответствии с пунктами (a) – (c) в течение всего срока действия договора и предоставлять ее по запросу компетентного надзорного органа.
(e) Пункты (a) – (c) не влияют на обязательство импортера данных в соответствии с Клаузулой 14(e) и Клаузулой 16 незамедлительно уведомить экспортера данных, если он не может соблюдать настоящи е Клаузулы.
15.2 Проверка законности и минимизация данных
(a) Импортер данных обязуется проверять законность запроса о раскрытии, в частности, остается ли он в пределах полномочий запрашивающего государственного органа, и оспаривать запрос, если после тщательной оценки он приходит к выводу, что есть разумные основания считать, что запрос незаконен в соответствии с законодательством страны назначения, применимыми обязательствами по международному праву и принципами международной вежливости. Импортер данных также обязуется, при тех же условиях, искать возможности для подачи апелляции. При оспаривании запроса импортер данных должен ходатайствовать об обеспечительных мерах с целью приостановления действия запроса до тех пор, пока компетентный судебный орган не решит вопрос по существу. Импортер данных не должен раскрывать запрашиваемые персональные данные до тех пор, пока это не будет необходимо в соответствии с применимыми процессуальными нормами. Эти требования не влияют на обязательства импортера данных согласно Клаузуле 14(e).
(b) Импортер данных обязуется документировать свою правовую оценку и любую правовую защиту против запроса о раскрытии и, насколько это допускается законодательством страны назначения, предоставлять эту документацию экспортеру данных. Он также обязуется предоставлять ее по запросу компетентного надзорного органа.
(c) Импортер данных обязуется предоставлять минимально возможное количество информации при ответе на запрос о раскрытии, исходя из разумной интерпретации запроса.
РАЗДЕЛ IV - ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
Пункт 16
Несоблюдение условий и прекращение
(a) Импортер данных должен незамедлительно сообщить экспортеру данных, если по какой-либо причине он не может соблюдать данные Условия.
(b) В случае, если импортер данных нарушает данные Условия или не может их соблюдать, экспортер данных должен приостановить передачу персональных данных импортеру данных до тех пор, пока соблюдение условий не будет вновь обеспечено или договор не будет расторгнут. Это не влияет на положения Пункта 14(f).
(c) Экспортер данных имеет право расторгнуть договор в части обработк и персональных данных в соответствии с данными Условиями, если:
- (i) экспортер данных приостановил передачу персональных данных импортеру данных в соответствии с параграфом (b), и соблюдение данных Условий не восстановлено в разумные сроки и, в любом случае, в течение одного месяца с момента приостановления;
- (ii) импортер данных существенно или постоянно нарушает данные Условия; или
- (iii) импортер данных не соблюдает обязательное решение компетентного суда или надзорного органа в отношении своих обязательств по данным Условиям.
В этих случаях он должен уведомить компетентный надзорный орган о таком несоблюдении. Если договор включает более двух Сторон, экспортер данных может осуществить это право на расторжение только в отношении соответствующей Стороны, если иное не согласовано Сторонами.
(d) Персональные данные, переданные до расторжения договора в соответствии с параграфом (c), должны по выбору экспортера данных немедленно быть возвращены экспортеру данных или полностью удалены. То же самое относится к любым копиям данных. Импортер данных должен подтвердить удаление данных экспортёру данных. До тех пор, пока данные не будут удалены или возвращены, импортер данных должен продолжить обеспечивать соблюдение данных Условий. Если местные законы, применимые к импортеру данных, запрещают возврат или удаление переданных персональных данных, импортер данных гарантирует, что он продолжит обеспечивать соблюдение данных Условий и будет обрабатывать данные только в той мере и в течение того времени, которое требуется по этим местным законам.
(e) Любая из Сторон может отозвать свое согласие на обязательность данных Условий в следующих случаях: (i) если Европейская Комиссия примет решение в соответствии со статьей 45(3) Регламента (ЕС) 2016/679, которое охватывает передачу персональных данных, на которые распространяются эти Условия; или (ii) если Регламент (ЕС) 2016/679 станет частью правовой системы страны, в которую передаются персональные данные. Это не затрагивает другие обязательства, применимые к соответствующей обработке в соответствии с Регламентом (ЕС) 2016/679.
Пункт 17
Применимое право
Настоящие Пункты регулируются законодательством одного из государств-членов ЕС, при условии, что это законодательство допускает права третьих сторон-бенефициаров. Стороны договорились, что это будет законодательство Республики Ирландия.
Пункт 18
Выбор форума и юрисдикции
(a) Любой спор, возникающий из этих Пунктов, должен разрешаться судами государства-члена ЕС.
(b) Стороны соглашаются, что такими судами будут суды Республики Ирландия.
(c) Субъект данных также может инициировать судебное разбирател ьство против экспортера данных и/или импортера данных в судах государства-члена, в котором он/она постоянно проживает.
(d) Стороны соглашаются подчиняться юрисдикции таких судов.
Сноски
-
В случаях, когда экспортер данных является обработчиком, подпадающим под действие Регламента (ЕС) 2016/679 и действующим от имени института или органа Союза в качестве контролера, использование данных положений при привлечении другого обработчика (субобработки), не подпадающего под действие Регламента (ЕС) 2016/679, также обеспечивает соблюдение статьи 29(4) Регламента (ЕС) 2018/1725 Европейского парламента и Совета от 23 октября 2018 года о защите физических лиц в отношении обработки персональных данных институтами, органами, офисами и агентствами Союза и о свободном передвижении таких данных, и отменяющего Регламент (EC) № 45/2001 и Решение № 1247/2002/EC (OJ L 295, 21.11.2018, стр. 39), в той мере, в какой данные положения и обязательства в области защиты данных, изложенные в контракте или другом правовом акте между контролером и обработчиком в соответствии со статьей 29(3) Регламента (ЕС) 2018/1725, совпадают. Это, в частности, будет иметь место, когда контролер и обработчик полагаются на стандартные договорные положения, включенные в Решение 2021/915.
-
Соглашение о Европейской экономической зоне (Соглашение ЕЭЗ) предусматривает распространение внутреннего рынка Европейского Союза на три государства ЕЭЗ: Исландию, Лихтенштейн и Норвегию. Законодательство Союза в области защиты данных, включая Регламент (ЕС) 2016/679, покрывается Соглашением ЕЭЗ и было включено в приложение XI к нему. Следовательно, любое раскрытие данных импортером данных третьей стороне, находящейся в ЕЭЗ, не квалифицируется как последующая передача для целей данных положений.
-
Это требование может быть удовлетворено, если субобработчик присоединяется к данным положениям в рамках соответствующего Модуля, в соответствии с Положением 7.
-
В отношении воздействия таких законов и практик на соблюдение данных положений могут учитываться различные элементы как часть общего анализа. Эти элементы могут включать соответствующий и документированный практический опыт предыдущих запросов о раскрытии данных от государственных органов или отсутствие таких запросов, охватывающих достаточно представительский временной период. Это, в частности, относится к внутренним документам или другой документации, составленным на постоянной основе в соответствии с должной осмотрительностью и заверенными на высшем управленческом уровне, при условии, что данную информацию можно законно передавать третьим сторонам. В случаях, когда данный практический опыт используется для вывода о том, что импортер данных не будет препятствовать соблюдению данных положений, он должен быть подкреплен другими соответствующими, объективными элементами, и стороны должны внимательно учитывать, имеют ли данные элементы достаточный вес с точки зрения их надежности и представительности для подтверждения данного вывода. В частности, стороны должны учитывать, подтверждается ли их практический опыт и не противоречит ли он общедоступной или другим доступным, надежным сведениям о наличии или отсутствии запросов в том же секторе и/или о применении закона на практике, таким как судебная практика и отчеты независимых контрольных органов.
ПРИЛОЖЕНИЕ
ПРИЛОЖЕНИЕ I
A. СПИСОК СТОРОН
Экспортер(ы) данных: [Идентификационные данные и контактные данные экспортера(ов) данных, а также, если применимо, его/их должностного лица по защите данных и/или представителя в Европейском Союзе]
Имя: [Имя клиента, зарегистрированное в аккаунте DreamHost]
Адрес: [Адрес клиента, зарегистрированный в аккаунте DreamHost]
Имя контактного лица, должность и контактная информация: [Клиент, как определено выше]
Деятельность, связанная с передачей данных в соответствии с этими Условиями: Как описано в настоящем Приложении, DPA и Соглашении.
Подпись и дата: [Зафиксировано в цифровом виде при создании аккаунта и согласно Условиям обслуживания]
Роль (контролер/процессор): Контролер.
Импортер(ы) данных: [Идентификационные данные и контактные данные импортера(ов) данных, включая контактное лицо, ответственное за защиту данных]
Имя: DreamHost
Адрес: PMB #327, 417 Associated Rd., Brea, CA 92821-5802
Имя контактного лица, должность и контактная информация:
К вниманию: Офицер по защите данных
Электронная почта: privacypolicy@dreamhost.com
Деятельность, связанная с передачей данных в соответствии с этими Условиями: Как описано в настоящем Приложении, DPA и Соглашении.
Подпись и дата: [Зафиксировано в цифровом виде при создании аккаунта и согласно Условиям обслуживания]
Роль (контролер/процессор): Процессор.
B. ОПИСАНИЕ ПЕРЕДАЧИ
Категории субъектов данных, чьи персональные данные передаются
Как указано в Приложении А к данному DPA.
Категории передаваемых персональных данных
Как указано в Приложении А к данному DPA.
Чувствительные данные, передаваемые (если применимо), и применяемые ограничения или меры защиты с учетом характера данных и рисков, таких как ограничение целей, ограничения доступа (включая доступ только для сотрудников, прошедших специализированное обучение), ведение учета доступа к данным, ограничения на последующую передачу или дополнительные меры безопасности
Как указано в Приложении А к данному DPA.
Частота передачи данных (например, передача данных осуществляется разово или на постоянной основе)
На постоянной основе по мере необходимости для предоставления Услуг.
Характер обработки данных
Как указано в Приложении А к данному DPA.
Цель(и) передачи данных и дальнейшей обработки
Как указано в Приложении А к данному DPA.
Срок, на который будут храниться персональные данные, или, если это невозможно, критерии, использованные для определения этого срока
Как указано в Разделе 7 к данному DPA.
Для передач субпроцессорам также укажите предмет, характер и срок обработки
Как указано в Соглашении, для предоставления Услуг, на срок действия Соглашения.
C. КОМПЕТЕНТНЫЙ НАДЗОРНЫЙ ОРГАН
Определите компетентный надзорный орган в соответствии с Пунктом 13
[Укажется на основании деятельности экспортера данных]
ПРИЛОЖЕНИЕ II
ТЕХНИЧЕСКИЕ И ОРГАНИЗАЦИОННЫЕ МЕРЫ, ВКЛЮЧАЯ ТЕХНИЧЕСКИЕ И ОРГАНИЗАЦИОННЫЕ МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ДАННЫХ
Описание технических и организационных мер, реализованных импортером данных (включая любые соответствующие сертификации) для обеспечения надлежащего уровня безопасности, с учетом характера, масштаба, контекста и целей обработки, а также рисков для прав и свобод физических лиц.
Как установлено в Приложении B к данному Соглашению о Персональных Данных (DPA).
Для передач (суб-) процессорам также опишите конкретные технические и организационные меры, которые должны быть приняты (суб-) процессором для оказания помощи контролеру и, для передач от процессора к суб-процессору, экспортёру данных
Как установлено в Приложении B к данному Соглашению о Персональных Данных (DPA).
ПРИЛОЖЕНИЕ III
ДОПОЛНЕНИЕ ДЛЯ СОЕДИНЕННОГО КОРОЛЕВСТВА
Это дополнение издано Информационным комиссаром для сторон, осуществляющих ограниченные передачи данных. Информационный комиссар считает, что оно предоставляет подходящие гарантии для ограниченных передач данных, когда оно заключено как юридически обязательный договор.
Часть 1: Таблицы
Таблица 1: Стороны
Дата начала | Эффективная дата. | |
---|---|---|
Стороны | Экспортер (кто отправляет ограниченную передачу) | Импортер (кто получает ограниченную передачу) |
Детали сторон | Как указано в Приложении I выше. | Как указано в Приложении I выше. |
Контактное лицо | Как указано в Приложении I выше. | Как указано в Приложении I выше. |
Таблица 2: Выбор SCС, Модулей и Выбранных Положений
Дополнение к EU SCC | ☒ Версия одобренных EU SCC, к которой добавлено это дополнение, детализированная ниже, включая информацию в Приложении: Дата: Эффективная дата. Ссылка (если есть): Н/Д. Другой идентификатор (если есть): Н/Д. Или ☐ Одобренные EU SCC, включая информацию в Приложении и только следующие модули, положения или опциональные условия одобренных EU SCC, вступающие в силу для целей этого дополнения: |
Модуль | Активный модуль | Положение 7 (Пристыковочное положение) | Положение 11 (Опция) | Положение 9a (Предварительное разрешение или Общее разрешение) | Положение 9a (Срок) | Объединяются ли личные данные, полученные от Импортера, с личными данными, собранными Экспортером? |
---|---|---|---|---|---|---|
1 | ||||||
2 | Х | Не выбрано. | Не выбрано. | Общее разрешение. | Пять (5) дней. | |
3 | ||||||
4 |
Таблица 3: Информация в Приложении
"Информация в Приложении" означает информацию, которая должна быть предоставлена для выбранных модулей, как это указано в Приложении к одобренным EU SCC (кроме сторон), и которая для этого дополнения изложена в: |
Приложение 1А: Список сторон: Как указано в Приложении I выше. |
Приложение 1Б: Описание передачи: Как указано в Приложении I выше. |
Приложение II: Технические и организационные меры, включая технические и организационные меры для обеспечения безопасности данных: Как указано в Приложении II выше. |
Приложение III: Список субпроцессоров (только модули 2 и 3): Н/Д. |
Таблица 4: Прекращение действия этого дополнения при изменении одобренного дополнения
Прекращение действия этого дополнения при изменении одобренного дополнения | Какие стороны могут прекратить это дополнение, как указано в разделе:
|
Часть 2: Обязательные Условия
Обязательные Условия | Часть 2: Обязательные Условия одобренного дополнения, являющегося шаблоном Дополнения B.1.0, изданного ICO и представленного парламенту в соответствии с разделом 119A Закона о защите данных 2018 года 2 февраля 2022 года, с изменениями в соответствии с разделом 18 этих обязательных условий. |