Додаток щодо обробки даних клієнтів

Останнє оновлення:

27 грудня 2022 року

Цей Додаток про обробку даних ("DPA"), датований станом на 27 грудня 2022 року (дата набуття чинності - "Effective Date"), є частиною і доповненням до основного контракту та відносин відповідно до Умов обслуговування (та всіх інших угод, що регулюють наші послуги) в тій мірі, в якій вони час від часу змінюються та доповнюються ( " Agreement"), укладеним між вами ("Customer") та DreamHost ("Company"). Всі великі літери, які не були визначені в цьому DPA, мають значення, визначені в Угоді.

Визначення

• "Партнер" означає структуру, яка безпосередньо або опосередковано Контролює, Контрольована або знаходиться під спільним Контролем із структурою.
• "Угода" має значення, зазначене у вступній частині.
• "Контроль" означає власність, голосування або подібний інтерес, який представляє п’ятдесят відсотків (50%) або більше від загальної кількості існуючих на той час інтересів структури, про яку йде мова. Термін "Контрольована" буде тлумачитися відповідно.
• "Контролер" означає структуру, яка визначає цілі та засоби Обробки Особистих Даних.
• "Дані Користувача" означає будь-які Особисті Дані, які Компанія обробляє від імені Користувача в ході надання Послуг.
• "Чинні Закони щодо Захисту Даних" означає всі действительні закони про захист даних та приватність, які стосуються Обробки Особистих Даних за Угодою, зокрема, але не обмежуючись, відповідною мірою, GDPR, закони Великої Британії про захист даних, і CCPA.
• "ЄЕЗ" означає, для цілей цієї DPA, Європейську Економічну Зону та Швейцарію.
• "GDPR" означає Регламент 2016/679 Європейського парламенту та Ради про захист фізичних осіб щодо обробки особистих даних та вільного руху таких даних, та скасування Директиви 95/46/ЄС (Загальний регламент з захисту даних), та всі відповідні національні реалізації цього регламенту.
• "Модельні Клаузули" означає Cтандартні контрактні клаузули модуля для Контролерів щодо Обробників, які затверджені Європейською комісією у формі, викладеній у Розкладі D, з доповненням Інформаційного комісаріату Великої Британії міжнародного додатку щодо передачі даних.
• "CCPA" означає Закон про приватність споживачів Каліфорнії 2018 року [California Civil Code Sections 1798.100 - 1798.199], як змінено (зокрема Законом про права на приватність Каліфорнії 2020 року), та його регламентуюче законодавство.
• "Особисті Дані" означає будь-яку інформацію, що стосується візначеної або візначуваної фізичної особи; візначувана фізична особа - це та, яку можна ідентифікувати, безпосередньо або опосередковано, зокрема, посиланням на ідентифікатор, такий як ім'я, номер ідентифікації, дані про місцеположення, онлайн ідентифікатор або один чи більше факторів, специфічні для фізичної, фізіологічної, генетичної, ментальної, економічної, культурної або соціальної ідентичності цієї фізичної особи.
• "Порушення Безпеки Особистих Даних" означає порушення безпеки, яке призводить до випадкового або незаконного знищення, втрати, зміни, несанкціонованого розкриття або доступу до особистих даних, переданих, збережених або іншим чином оброблених.
• "Обробка" означає будь-яку операцію або набір операцій, які виконуються над Особистими Даними або наборами Особистих Даних, незалежно від того, автоматизовані вони чи ні, такі як збір, запис, організація, структурування, зберігання, адаптація або зміна, отримання, консультація, використання, розкриття шляхом передачі, розповсюдження або інакше зроблені доступними, вирівнювання або комбінування, обмеження, стирання або знищення. "Обробляти", "Обробка" та "Оброблено" будуть тлумачитися відповідно.
• "Обробник" означає структуру, яка обробляє Особисті Дані від імені Контролера.
• "Послуги" означає будь-який продукт або сервіс, який Компанія надає Користувачу відповідно до Угоди.
• "Субпроцесор" означає третю сторону, залучену Компанією для допомоги в виконанні її зобов'язань щодо надання Послуг відповідно до Угоди або цієї DPA.
• "Закони Великої Британії про захист даних" означає: (i) Загальний регламент з захисту даних Великої Британії; та (ii) Закон про захист даних 2018 року.

1. Сфера застосування цієї DPA

Цей DPA застосовується там і лише в тому обсязі, в якому Компанія обробляє Персональні дані Клієнта, які підпадають під дію Законодавства, що застосовується до захисту даних, від імені Клієнта в процесі надання Послуг Клієнту відповідно до Угоди.

2. Ролі та сфера обробки

Роль сторін. Між Компанією та Клієнтом, Клієнт є Контролером Даних Клієнта, а Компанія обробляє Дані Клієнта лише як Обробник, діючи від імені Клієнта. До того обсягу, до якого CCPA є застосовним до обробки Даних Клієнта відповідно до Договору, сторони домовляються, що Клієнт є "бізнесом", а Компанія є "провайдером послуг", як ці терміни визначені в CCPA.

Обробка Даних Клієнти Клієнтом. Клієнт погоджується, що (i) він буде дотримуватися своїх відповідних зобов'язань за припустимими законами про захист даних щодо обробки Даних Клієнта та будь-яких інструкцій з обробки, які він видає Компанії; та (ii) він повідомив та отримав (або отримає) всі необхідні дозволи та права за згаданими законами для обробки Даних Клієнта Компанією відповідно до Договору та цього ДПА.

Обробка Даних Клієнта Компанією. Компанія буде обробляти Дані Клієнта лише для цілей, описаних у цьому ДПА, та лише відповідно до законних документованих інструкцій Клієнта. Сторони погоджуються, що цей ДПА та Договір вказують повний та кінцевий набір інструкцій Клієнта Компанії щодо обробки Даних Клієнта, і будь-яка обробка за межами цих інструкцій (якщо така є) вимагає попередньої письмової угоди між Клієнтом та Компанією.

Деталі обробки. Деталі обробки в рамках Договору викладені в Додатку А.

Виключення. Незалежно від будь-чого, що суперечить Договору (включаючи цей ДПА), Клієнт визнає, що у Компанії є право використовувати та розкривати дані, що стосуються експлуатації, підтримки та / або використання Послуг для своїх законних бізнес-цілей, таких як виставлення рахунків, управління рахунками, технічна підтримка, розробка та вдосконалення продуктів, а також продажі та маркетинг. В тій мірі, в якій будь-які такі дані, використовувані виключно для бізнес-цілей Компанії, вважаються персональними даними згідно з припустимим законодавством про захист даних, Компанія є контролером таких даних і відповідно гарантує, що вона буде обробляти такі дані відповідно до Політики конфіденційності Компанії та Законам про захист даних.

3. Підпроцесування

Санкціоновані підпроцесори. Клієнт погоджується, що Компанія може залучати підпроцесорів для обробки даних клієнта від імені клієнта. Підпроцесори, які в наступний час залучені Компанією та санкціоновані Клієнтом, можна переглянути у вкладці "Профіль та Приватність" панелі управління DreamHost ( "Список підпроцесорів").

Зобов'язання підпроцесора. Компанія буде: (i) укладати письмову угоду з підпроцесором, яка накладає терміни захисту даних, що зобов'язують підпроцесора захищати дані клієнта до стандарту, який вимагається застосовними законами про захист даних; та (ii) залишатися відповідальним за дотримання своїх зобов'язань цієї Угоди про обробку даних та за будь-які дії або упущення підпроцесора, які спричиняють порушення Компанією будь-якого з її зобов'язань за цією Угодою про обробку даних.

Зміни підпроцесорів. Компанія надає повідомлення про будь-які оновлення її підпроцесорів Клієнту шляхом оновлення Списку підпроцесорів за п'ять (5) днів до використання нового підпроцесора для надання Послуг. У Списку підпроцесорів завжди відображається дата "останнього оновлення". Клієнт може отримувати електронні сповіщення про зміни в Списку підпроцесорів. Якщо клієнт не затверджує нового підпроцесора після отримання повідомлення про таке додавання, та клієнт надає письмове повідомлення Компанії, в якому вказуються причини, чому клієнт не схвалює нового підпроцесора, протягом п'яти (5) дня періоду перед використанням Компанією нового підпроцесора для надання Послуг, тоді Клієнт може відмовитися від тих послуг, які підлягають змінам, за письмовим повідомленням Компанії.

4. Безпека

Оновлення заходів безпеки. Клієнт відповідає за ознайомлення з інформацією, яка надається Компанією щодо безпеки даних, і самостійне визначення того, чи відповідають Послуги вимогам Клієнта і його юридичним обов'язкам відповідно до чинного законодавства про захист даних. Мінімальні технічні та організаційні заходи Компанії, розроблені для захисту даних Клієнта, викладені в Додатку Б ("Заходи безпеки інформації"). Клієнт визнає, що Заходи безпеки інформації залежать від технічного прогресу та розвитку, і що Компанія може оновлювати або змінювати Заходи безпеки інформації з часом, за умови, що такі оновлення та зміни не призведуть до погіршення загальної безпеки Послуг, придбаних Клієнтом.

Персонал. Компанія гарантує, що будь-яка особа, яку Компанія уповноважила обробляти дані Клієнта (включаючи її персонал, агентів та уповноважених субпроцесорів), буде зобов'язана зобов'язанням про конфіденційність (чи то контрактним, чи то законодавчим). Крім того, Компанія вживе заходів, щоб гарантувати, що будь-яка особа, яку Компанія уповноважила мати доступ до даних Клієнта, не обробляла такі дані, крім випадків на вказівку Клієнта, якщо така особа не зобов'язана обробляти такі дані за чинним законодавством про захист даних.

Обов'язки Клієнта Незважаючи на вищенаведене, Клієнт погоджується з тим, що, крім випадків, передбачених цим ДПД, Клієнт відповідає за безпечне використання Послуг.

Реакція на порушення захисту персональних даних. Після виявлення порушення захисту персональних даних Компанія повідомляє Клієнта без непотрібної затримки та вчасно надає інформацію щодо порушення захисту персональних даних, яка стала відомою або її обґрунтовано вимагав Клієнт. Компанія негайно вживає розумних кроків для зменшення та, якщо можливо, усунення наслідків будь-якого порушення захисту персональних даних.

5. Звіти з аудиту

Клієнт визнає, що Компанія регулярно проглядається на дотримання цього DPA та стандартів безпеки Компанії. За розумною письмовою вимогою, надісланою на адресу Компанії, вказану в Політиці конфіденційності, Компанія надасть клієнту стислий звіт з аудиту ("Звіт"), який підпадає під положення про конфіденційність будь-якої договору про нерозголошення, наданого Компанією для підпису клієнта у зв'язку зі Звітом. Компанія також відповість на будь-які комерційно виправдані письмові питання з аудиту, надіслані їй клієнтом, з умовою, що клієнт не буде користуватися цим правом частіше, ніж один раз на дванадцять (12) місяців.

6. Міжнародні Передачі

Локації Дата-центрів. Компанія може передавати та обробляти дані клієнтів у будь-якій точці світу, де Компанія, її Філії або Підпроцесори здійснюють операції з обробки даних. Компанія в будь-який час забезпечує належний рівень захисту оброблюваних даних клієнтів, відповідно до вимог Прийнятного Законодавства про Захист Даних.

Model Clauses. В міру того, як Компанія обробляє будь-які дані клієнта, захищені GDPR або Законами Великобританії про захист даних на підставі угоди і / або які походять з ЄЕА або Великобританії, у країні, яка не була визначена Європейською Комісією, Швейцарським Федеральним Органом Захисту Даних, або Управлінням Інформаційного Комісара Великобританії (за потреби) як країна, що забезпечує належний рівень захисту персональних даних, сторони визнають, що Компанія вважається такою, що забезпечує належний захист (в рамках Прийнятного Законодавства про Захист Даних) для будь-яких таких даних клієнта, дотримуючись Model Clauses. Компанія погоджується, що вона є "імпортером даних" і Клієнт є "експортером даних" за Model Clauses (незважаючи на те, що Клієнт є суб'єктом, розташованим поза ЄЕА). Додаток III до Model Clauses застосовується тільки щодо передачі даних клієнта, захищених Законами Великобританії про захист даних на підставі угоди і / або які походять з Великобританії.

7. Повернення або видалення даних

Після припинення або закінчення договору, Компанія повинна, за вибором та автентифікованим запитом Замовника, повернути або, в максимально технічно можливій мірі, видалити всі дані Замовника, які є у її володінні або контролі. Незважаючи на вищевказане, Компанія може зберігати дані Замовника або архівувати дані Замовника на своїх резервних системах, де Компанія зобов'язана за чинним законодавством, контрактними або регулятивними зобов'язаннями, або де у Компанії є законні комерційні інтереси щодо зберігання частини або всіх даних Замовника. Компанія повинна надійно ізолювати і захищати такі дані Замовника від подальшої обробки, крім випадків, коли це вимагається за чинним законодавством, контрактними або регулятивними зобов'язаннями.

8. Співпраця

Сервіси можуть надати Клієнту ряд інструментів, які Клієнт може використовувати для отримання, виправлення, видалення або обмеження Даних Клієнта, які Клієнт може використовувати, щоб допомогти йому у виконанні зобов'язань відповідно до застосовного законодавства про захист даних, включаючи зобов'язання, що стосуються відповіді на запити від суб'єктів даних або відповідних органів з захисту даних. У тому випадку, якщо Клієнт самостійно не може отримати доступ до відповідних Даних Клієнта в рамках Сервісів, Компанія повинна (за рахунок Клієнта) надати розумну співпрацю для допомоги Клієнту у відповіді на будь-які запити від осіб або відповідних органів з захисту даних, що стосуються обробки персональних даних згідно з Договором. У випадку, якщо такий запит надійде безпосередньо до Компанії, Компанія не має права відповідати на таку комунікацію без попередньої авторизації Клієнта, якщо законодавчо не зобов'язана це робити. Якщо Компанії потрібно відповісти на такий запит, Компанія негайно повідомить Клієнта та надасть йому копію запиту, якщо законодавчо не заборонено це робити.

Компанія не розголосить дані клієнта будь-якій урядовій структурі або третім особам, крім випадків, коли необхідно розкрити таку інформацію згідно з дійсним обов'язковим наказом правоохоронного органу. Якщо Компанію зобов'язано розкрити дані клієнта правоохоронному органу, тоді Компанія надасть Клієнту розумний строк дії вимоги, щоб Клієнт міг звернутися за захисним наказом або іншим відповідним заходом, якщо Компанію законодавчо не заборонено це робити.

У тому випадку, якщо Компанію зобов'язано відповідно до застосовних законів про захист даних, Компанія повинна (за рахунок Клієнта) надати розумно запитану інформацію про Сервіси, щоб дозволити Клієнту проводити оцінку впливу захисту даних або попередні консультації з органами захисту даних, як це вимагається законом.

9. Клаузули CCPA

До той міри, наскільки CCPA є застосовним до обробки Даних Клієнта відповідно до Угоди, сторони зобов'язуються дотримуватися Розкладу C.

10. Загальні положення

Будь-які претензії, винесені в рамках або в зв'язку з цим DPA, повинні бути підпорядковані загальним умовам Компанії (включаючи Умови надання послуг) відповідно до їх оновлення на Юридичній сторінці, включаючи, але не обмежуючись, виключеннями та обмеженнями, викладеними в Угоді. Будь-які претензії до Компанії або її афілійованих осіб за цим DPA повинні бути пред'явлені виключно до особи, яка є стороною Угоди. Ні за яких обставин жодна сторона не повинна обмежувати свою відповідальність щодо захисту даних будь-якої особи відповідно до цього DPA або інакше. Клієнт додатково погоджується, що будь-які штрафи регуляторних органів, що стягуються з Компанії у зв'язку з Даними клієнта, які виникають в результаті або у зв’язку з невиконанням Клієнтом своїх зобов‘язань за цим DPA або будь-якими припустимими законами про захист даних, будуть враховуватися та зменшувати відповідальність Компанії відповідно до Угоди, як ніби вона була відповідальністю до Клієнта за Угодою.

Ніхто інший, окрім сторони цього DPA, їх правонаступників та дозволених правонаступників, не матиме права вимагати виконання будь-якого з його положень. Цей DPA буде регульований та тлумачений відповідно до чинного законодавства та положень про юрисдикцію в Угоді, якщо це не вимагається відповідно до Прийнятних законів про захист даних.

Сторони погоджуються, що цей DPA має замінити будь-який існуючий DPA (включаючи Модельні Умови (за потреби)), які сторони могли раніше укласти у зв'язку з Послугами.

Цей DPA та Модельні Условия припиняються одночасно и автоматично при зупиненні або закінченні Угоди; проте положення, які вимагають безпечне знищення персональних даних і зберігання персональних даних для виконання законних, договірних або регулятивних вимог, залишаються чинними після зупинення або закінчення DPA на мінімальний час, необхідний для виконання відповідних зобов'язань за цими положеннями.

За винятком змін, внесених цим DPA, Угода залишається незмінною і повністю чинною. Якщо виникає будь-який конфлікт між цим DPA та Угодою, то цей DPA повинен мати перевагу в межах цього конфлікту.

Додатки до цього DPA включені до цього DPA посиланням. Якщо виникає будь-який конфлікт між цим DPA та будь-якими Додатками до цього DPA, то цей DPA повинен мати перевагу в межах цього конфлікту. Незважаючи на вищенаведене, якщо виникає будь-який конфлікт між цим DPA та Модельними Умовами, то Модельні Умови повинні мати перевагу в межах цього конфлікту.

Положення цього DPA є роздільними. Якщо будь-яка фраза, пункт або положення є недійсними або не можуть бути виконаними в частині або в цілому, то така недійсність або невиконання має вплив тільки на таку фразу, пункт або положення, а решта цього DPA залишається в повному обсязі та є чинною.

Додаток А

Деталі обробки

1. Предмет обробки: Предметом обробки за цим Угодою про захист даних (далі - УЗД) є дані Клієнта.
2. Тривалість: Як між Компанією та Клієнтом, тривалість обробки відповідно до цієї УЗД визначається в розділі 7 цієї УЗД.
3. Мета та характер: Мета і характер обробки за цією УЗД полягають у наданні Послуг Клієнту та виконанні зобов'язань Компанії відповідно до Угоди (включаючи цю УЗД) або як інакше домовлено між сторонами.
4. Категорії суб'єктів даних: Клієнт може завантажувати персональні дані використовуючи Послуги, обсяг яких визначається і контролюється Клієнтом. Це може включати, але не обмежується:
   1. Перспективними клієнтами Клієнта, бізнес-партнерами, постачальниками, або третіми сторонами (які є фізичними особами);
   2. Співробітниками Клієнта, агентами, консультантами, третіми сторонами, і фрілансерами;
   3. Співробітниками або афілійованими особами (1) вище;
   4. Уповноваженими користувачами Послуг Клієнта
5. Типи персональних даних: Клієнт може завантажувати персональні дані використовуючи Послуги, обсяг яких визначається і контролюється Клієнтом. Це може включати, але не обмежується, наступними категоріями: ім'я, адреса, номер телефону, дата народження, електронна пошта та інші дані Клієнта.

Додаток B

Заходи Інформаційної Безпеки

Нижченаведені пункти вважаються мінімальними вимогами безпеки, які Компанія впроваджує з метою захисту Даних Замовника:

• Призначення одного або декількох виконавців, відповідальних за координацію та контроль за правилами і процедурами інформаційних технологій.
• Документована політика та процедури щодо використання системи інформаційних технологій співробітниками та постачальниками.
• Процес ідентифікації та реагування на відомі або підозрювані інциденти безпеки.
• Внутрішньо, дані в спокійному стані захищаються дозволами для ролей або груп і регулярно перевіряються для того, щоб упевнитися, що люди мають доступ лише до тих даних, які їм потрібні для виконання їх роботи, а облікові записи звільнених користувачів деактивуються.
• Сервери вчасно оновлюються, щоб було оптовані найновіші оновлення безпеки.
• Застосовується Transport Layer Security (TLS) де це можливо для веб- та електронної пошти. Електронна пошта також фільтрується та сканується декілька разів при надходженні.
• Virtual Private Networks (VPN) використовуються для шифрування трафіку між усіма нашими локаціями.
• Зовнішні користувачі також використовують шифроване VPN-з'єднання для доступу до внутрішніх ресурсів, і цей доступ надається на основі користувача.
• Усі збережені паролі шифруються.
• Дані синхронізуються між основним та резервним місцем розташування щодня.
• Аудитори третіх осіб проводять IT-аудит щорічно та переглядають політики та процедури.

Додаток C

Положення CCPA

Цей Додаток застосовується до DPA у міру застосовності CCPA до обробки даних клієнтів відповідно до Угоди. У цьому Додатку терміни "Персональні дані", "Продаж", "Поділ", "Ділова мета" та "Комерційна мета" мають значення, визначені в CCPA.

У міру як дені клієнта є персональними данними відповідно до Угоди:

• Компанія не має продавати або ділитися будь-якими даними клієнта;.
• Компанія не має зберігати, використовувати або розголошувати дані клієнта з будь-якою іншою метою, крім Ділових мет, визначених в Угоді, а саме пропонування доменних імен, веб-хостингу та дизайну, хмарних сервісів, електронної пошти, включаючи будь-яку Комерційну мету, крім Ділових мет, вказаних в Угоді.
• Компанія не має зберігати, використовувати або розголошувати дані клієнта за межами прямого ділового відношення між Клієнтом та Компанією.
• Компанія не має поєднувати такі дані клієнта, отримані від клієнта або від імені клієнта, з даними клієнта, отриманими від або від імені будь-якої третьої сторони, крім виконання будь-якої Ділової мети, дозволеної CCPA.
• Компанія має дотримуватися відповідних зобов'язань відповідно до CCPA та забезпечувати дані клієнта таким ж рівнем захисту, як вимагає CCPA, включаючи допомогу клієнту у виконанні запитів споживачів згідно з CCPA.
• Клієнт має право вживати розумних і відповідних кроків, щоб допомогти забезпечити, що Компанія використовує дані клієнта таким чином, який відповідає зобов'язанням Клієнта відповідно до CCPA.
• Компанія повідомить Клієнта, якщо вона прийде до висновку, що більше не в змозі виконувати свої зобов'язання відповідно до CCPA. Якщо Компанія повідомляє Клієнта про несанкціоноване використання даних Клієнта, включаючи згадане вище речення, Компанія має право вжити розумних і відповідних кроків для зупинення та усунення такого несанкціонованого використання.

Додаток D

Типові Клаузули

РОЗДІЛ 1

Розділ 1

Мета та сфера застосування

(a) Мета цих стандартних контрактних умов полягає в забезпеченні виконання вимог Регламенту (ЄС) 2016/679 Європейського парламенту та Ради від 27 квітня 2016 року щодо захисту фізичних осіб у зв'язку з обробкою персональних даних та вільним рухом таких даних (Загальний регламент про захист даних)1 щодо передачі персональних даних до третьої країни.

(b) Сторони:

• (i) фізична чи юридична особа(-и), публічний орган/и, агентство/а або інші органи (надалі "суб'єкт/и"), що передають персональні дані, як указано в Додатку І.А. (надалі кожен "експортер даних"), та
• (ii) суб'єкт/и в третій країні, які отримують персональні дані від експортера даних, безпосередньо або опосередковано через інший суб'єкт, що також є Стороною цих Умов, як указано в Додатку І.А. (надалі кожен "імпортер даних") уклали ці стандартні контрактні умови (надалі: "Умови").

(c) Ці Умови застосовуються щодо передачі персональних даних, як зазначено в Додатку І.Б.

(d) Додаток до цих Умов, що містить додатки, згадані в ньому, є невід'ємною частиною цих Умов.

Пункт 2

Дія та не змінність Положень

(a) Ці Положення встановлюють відповідні гарантії, зокрема, захищені права суб'єктів даних та ефективні правові засоби відповідно до пункту 46(1) і пункту 46 (2)(c) Регламенту (ЄС) 2016/679 та, щодо передачі даних від контролерів до обробників та/або від обробників до обробників, стандартні угодні положення відповідно до пункту 28(7) Регламенту (ЄС) 2016/679, за умови, що вони не змінюються, крім вибору відповідного Модуля(ів) або додавання або оновлення інформації в Додатку. Це не перешкоджає сторонам включати стандартні угодні положення, викладені в цих Положеннях, до більш широкого контракту і/або додавати інші положення або додаткові гарантії, за умови, що вони не суперечать, безпосередньо або опосередковано, цим Положенням або не порушують основні права або свободи суб'єктів даних.

(b) Ці Положення не впливають на зобов'язання, яким підпорядкований експортер даних відповідно до Регламенту (ЄС) 2016/679.

Клаузула 3

Треті особи-бенефіціари

(a) Суб'єкти даних можуть викликати та застосовувати ці Клаузули, як треті особи-бенефіціари, проти експортера даних та/або імпортера даних, за наступними виключеннями:

• (i) Клаузула 1, Клаузула 2, Клаузула 3, Клаузула 6, Клаузула 7;
• (ii) Клаузула 8.1(b), 8.9(a), (c), (d) та (e); ;
• (iii) Клаузула 9(a), (c), (d) та (e);
• (iv) Клаузула 12(a), (d) та (f);
• (v) Клаузула 13;
• (vi) Клаузула 15.1(c), (d) та (e);
• (vii) Клаузула 16(e);
• (viii) Клаузула 18(a) та (b).

(b) Абзац (a) не порушує права суб'єктів даних за Регулятивою (ЄС) 2016/679.

Пункт 4

Тлумачення

(a) Де ці Пункти використовують терміни, які визначені в Регулятиві (ЄС) 2016/679, ці терміни повинні мати те саме значення, що й у цьому Регулятиві.

(b) Ці Пункти слід читати та інтерпретувати з урахуванням положень Регулятиви (ЄС) 2016/679.

(c) Ці Пункти не повинні інтерпретуватися таким чином, що суперечить правам та обов'язкам, передбаченим в Регулятиві (ЄС) 2016/679.

Пункт 5

Ієрархія

У випадку суперечності між цими Пунктами та положеннями пов'язаних угод між Сторонами, що існують на момент узгодження цих Пунктів або послідовно, ці Пункти матимуть перевагу.

Пункт 6

Опис передачі(ей)

Деталі передачі(ей) та, зокрема, категорії персональних даних, що передаються, та цілі, з якими вони передаються, вказані в Додатку I.B.

Клаузула 7

Клаузула про стикарення

Не застосовується.

РОЗДІЛ II - ЗОБОВ'ЯЗАННЯ СТОРІН

Клаузула 8

Гарантії захисту даних

Експортер даних гарантує, що виклав розумні зусилля для визначення того, що імпортер даних може, шляхом застосування відповідних технічних і організаційних заходів, виконувати свої зобов’язання відповідно до цих Клаузул.

8.1 Інструкції

(a) Імпортер даних має обробляти персональні дані тільки за документованими інструкціями від експортера даних. Експортер даних може давати такі інструкції протягом усього терміну дії контракту.

(b) Імпортер даних має негайно повідомити експортера даних, якщо не може дотримуватися цих інструкцій.

8.2 Обмеження цілі

Імпортер даних має обробляти персональні дані тільки з метою (або метами) передачі, які вказані в Додатку I.Б, якщо не отримано подальших інструкцій від експортера даних.

8.3 Прозорість

За запитом експортер даних надає копію цих Клаузул, включаючи Додаток, який заповнений Сторонами, суб’єкту даних безкоштовно. Якщо потрібно захистити комерційну таємницю або іншу конфіденційну інформацію, включаючи заходи, описані в Додатку II та персональні дані, експортер даних може видалити частину тексту Додатку до цих Клаузул перед тим, як поділитися копією, але повинен надати змістовне резюме, якщо суб’єкт даних інакше не зможе зрозуміти його зміст або здійснювати свої права. За запитом Сторони повинні надати суб’єкту даних причини для видалення, наскільки це можливо, без розкриття видаленої інформації. Ця Клаузула не зачіпає зобов’язань експортера даних відповідно до статей 13 і 14 Регуламенту (ЄС) 2016/679.

8.4 Точність

Якщо імпортер даних дізнається, що отримані ним персональні дані є неточними або застарілими, він повинен повідомити про це експортера даних без невиправданої затримки. В цьому випадку імпортер даних має співпрацювати з експортером даних для видалення або виправлення даних.

8.5 Термін обробки та видалення або повернення даних

Обробка імпортером даних має відбуватись лише протягом терміну, вказаного в Додатку I.Б. Після закінчення надання послуг обробки, імпортер даних, за вибором експортера даних, має видалити всі персональні дані, оброблені від імені експортера даних, та підтвердити експортеру даних, що він це зробив, або повернути експортеру даних всі персональні дані, оброблені від його імені, та видалити існуючі копії. До того часу, як дані буде видалено або повернено, імпортер даних має продовжувати забезпечувати виконання цих Клаузул. У разі дії місцевих законів, що стосуються імпортера даних і забороняють повернення або видалення персональних даних, імпортер даних гарантує, що він буде продовжувати забезпечувати виконання цих Клаузул і буде обробляти дані тільки в тому обсязі та впродовж такого терміну, який вимагається цим місцевим законом. Це не впливає на Клаузулу 14, зокрема вимогу для імпортера даних за Клаузулою 14(e) повідомляти експортера даних протягом усього терміну дії контракту, якщо у нього є підстави вважати, що він став або стане об’єктом законів або практик, що не відповідають вимогам Клаузули 14(a).

8.6 Безпека обробки

(a) Імпортер даних та, під час передачі, також експортер даних повинні застосувати відповідні технічні та організаційні заходи для забезпечення безпеки даних, включаючи захист від порушень безпеки, які призводять до випадкового або незаконного знищення, втрати, зміни, несанкціонованого розголошення або доступу до цих даних (далі 'порушення персональних даних'). При оціненні відповідного рівня безпеки Сторони мають враховувати стан техніки, витрати на впровадження, природу, обсяг, контекст та мету(и) обробки, а також ризики, пов'язані з обробкою для суб’єктів даних. Сторони мають особливо розглянути можливість звернення до шифрування або псевдонімізації, включаючи під час передачі, якщо мету обробки можна досягнути таким способом. У разі псевдонімізації додаткова інформація для приписування персональних даних конкретному суб’єкту даних має, якщо це можливо, залишатися під винятковим контролем експортера даних. Дотримуючись своїх зобов’язань згідно з цим пунктом, імпортер даних повинен не менше, ніж реалізувати технічні та організаційні заходи, вказані в Додатку II. Імпортер даних має проводити регулярні перевірки, щоб забезпечити, що ці заходи продовжують надавати відповідний рівень безпеки.

(b) Імпортер даних має надавати доступ до персональних даних членам свого персоналу лише в тій мірі, яка строго необхідна для виконання, управління та моніторингу контракту. Він повинен забезпечити, що особи, уповноважені на обробку персональних даних, зобов’язалися до конфіденційності або перебувають під відповідним законодавчим обов'язком конфіденційності.

(c) У разі порушення персональних даних, щодо персональних даних, які обробляє імпортер даних відповідно до цих Клаузул, імпортер даних має застосувати відповідні заходи для усунення порушення, включаючи заходи для зменшення його негативних наслідків. Імпортер даних також повинен повідомити експортера даних без невиправданої затримки після того, як став відомим про порушення. Таке повідомлення має містити подробиці контактного пункту, де можна отримати більше інформації, опис природи порушення (включаючи, якщо можливо, категорії та приблизну кількість суб’єктів даних та персональних записів даних), його можливі наслідки та заходи, прийняті або запропоновані для усунення порушення, включаючи, за потреби, заходи для зменшення його можливих негативних наслідків. Коли, і в мірі, коли це неможливо надати всю інформацію одразу, початкове повідомлення має містити доступну на той час інформацію, а додаткова інформація має бути надана пізніше, як тільки вона стане доступною, без невиправданої затримки.

(d) Імпортер даних має співпрацювати з експортером даних та сприяти йому, щоб дозволити експортеру даних виконувати свої зобов’язання відповідно до Регуламенту (ЄС) 2016/679, зокрема повідомляти компетентний доглядовий орган та затронуті суб’єкти даних, враховуючи природу обробки та інформацію, доступну для імпортера даних.

8.7 Чутливі дані

Якщо передача включає персональні дані, які розкривають расове або етнічне походження, політичні погляди, релігійні або філософські переконання, або членство в профспілці, генетичні дані, або біометричні дані для цілей унікальної ідентифікації фізичної особи, дані про здоров’я чи сексуальне життя або сексуальні орієнтації особи, або дані щодо кримінальних злочинів та правопорушень (далі 'чутливі дані'), то імпортер даних має застосовувати специфічні обмеження та/або додаткові гарантії, описані в Додатку I.Б.

8.8 Подальші передачі

Імпортер даних має розкривати персональні дані третій стороні тільки за документованими інструкціями від експортера даних. Крім того, дані можна розкривати третій стороні, розташованій за межами Європейського Союзу 2 (в тій самій країні, що і імпортер даних, або в іншій третій країні, далі 'подальша передача'), якщо ця третя сторона є або погоджується з тим, щоб бути зобов’язаною цими Клаузулами, відповідно до відповідного Модуля, або якщо:

1. подальша передача відбувається до країни, що користується перевагами рішення про адекватність відповідно до статті 45 Регуламенту (ЄС) 2016/679, яке охоплює подальшу передачу;
2. третя сторона інакше забезпечує відповідні гарантії відповідно до статей 46 або 47 Регуламенту (ЄС) 2016/679 щодо обробки дані;
3. подальша передача необхідна для встановлення, здійснення або захисту юридичних вимог у контексті конкретних адміністративних, регуляторних або судових процедур; або
4. подальша передача необхідна для захисту життєво важливих інтересів суб’єкта даних або іншої фізичної особи.

Будь-яка подальша передача підпадає під дотримання імпортером даних всіх інших гарантій в рамках цих Клаузул, зокрема обмеження цілей.

8.9 Документація та відповідність

a) Імпортер даних має негайно і належним чином реагувати на запити від експортера даних, які стосуються обробки відповідно до цих Клаузул.

(b) Сторони повинні мати можливість демонструвати відповідність цим Клаузулам. Зокрема, імпортер даних має вести відповідну документацію щодо діяльності обробки, яку він проводить від імені експортера даних.

(c) Імпортер даних має надавати експортеру даних всю інформацію, необхідну для демонстрації виконання зобов’язань, встановлених цими Клаузулами, і за запитом експортера даних допомагати в аудиті діяльності обробки, що підпадає під дію цих Клаузул, з розумними інтервалами, або якщо є ознаки невиконання. При прийнятті рішення про перегляд або аудит експортер даних може враховувати відповідні сертифікації, що належать імпортеру даних.

(d) Експортер даних може вибрати проведення аудиту самостійно або уповноважити незалежного аудитора. Аудити можуть включати інспекції на території або в фізичних приміщеннях імпортера даних і повинні, в разі потреби, проводитися за розумним попереднім повідомленням.

(e) Сторони мають надавати інформацію, вказану в пунктах (b) і (c), включаючи результати будь-яких аудитів, на вимогу компетентного доглядового органу.

Клаузула 9

Використання підпроцесорів

(a)ЗАГАЛЬНА ПИСЬМОВА АВТОРИЗАЦІЯ Імпортер даних має загальну авторизацію експортера даних для використання підпроцесора(ів) з погодженого списку. Імпортер даних повинен спеціально повідомити експортера даних письмово про будь-які передбачувані зміни до цього списку шляхом додавання або заміни підпроцесорів принаймні за п'ять (5) днів, тим самим надаючи експортеру даних достатньо часу, щоб мати змогу заперечити проти таких змін до залучення підпроцесора(ів). Імпортер даних надасть експортеру даних необхідну інформацію, щоб дозволити експортеру даних використовувати своє право на заперечення.

(b) При залученні підпроцесора для виконання конкретних операцій з обробки (від імені експортера даних), імпортер даних робить це за допомогою письмового контракту, який передбачає, в суті, ті ж обов'язки з захисту даних, якими зобов'язаний імпортер даних згідно цих Клаузул, включаючи права третіх осіб-бенефіціарів для суб'єктів даних. Сторони погоджуються, що дотримуючись цієї Клаузули, імпортер даних виконує свої обов'язки згідно з Клаузулою 8.8. Імпортер даних забезпечить дотримання підпроцесором обов'язків, до яких імпортер даних зобов'язаний згідно цих Клаузул.

(c) Імпортер даних надасть, за запитом експортера даних, копію такої угоди з підпроцесором і будь-яких подальших змін до експортера даних. В міру необхідності для захисту комерційних таємниць або іншої конфіденційної інформації, включаючи особисті дані, імпортер даних може вилучити текст угоди перед наданням копії.

(d) Імпортер даних залишається повністю відповідальним перед експортером даних за виконання обов'язків підпроцесора згідно з його контрактом з імпортером даних. Імпортер даних повідомить експортера даних про будь-яке невиконання підпроцесором своїх обов'язків за цим контрактом.

(e) Імпортер даних погодить з підпроцесором клаузулу про бенефіціара третьої сторони, відповідно до якої - у разі фактичного зникнення імпортера даних, неможливості його існування за законом або банкрутства - експортер даних має право припинити контракт з підпроцесором та дати підпроцесору інструкцію видалити або повернути особисті дані.

Пункт 10

Права суб'єкта даних

(a) Імпортер даних негайно повідомить експортера даних про будь-який запит, який він отримав від суб'єкта даних. Він не повинен відповідати на цей запит самостійно, якщо він не був уповноважений на це експортером даних.

(b) Імпортер даних повинен допомагати експортеру даних у виконанні його зобов'язань щодо відповіді на запити суб'єктів даних щодо здійснення їх прав згідно з Регулятивою (ЄС) 2016/679. В цьому відношенні, Сторони мають встановити в Додатку ІІ відповідні технічні та організаційні заходи, враховуючи природу обробки, за допомогою яких має бути надана допомога, а також обсяг і масштаби необхідної допомоги.

(c) Виконуючи свої зобов'язання відповідно до абзаців (a) та (b), імпортер даних повинен дотримуватися інструкцій від експортера даних.

Пункт 11

Відшкодування збитків

(a) Імпортер даних повинен повідомляти суб’єктів даних у прозорому та легко доступному форматі, через індивідуальне повідомлення або на своєму веб-сайті, про контактну точку, уповноважену вирішувати скарги. Він повинен оперативно розглядати всі скарги, які він отримав від суб’єкта даних.

(b) У разі спору між суб’єктом даних і однією зі Сторін щодо дотримання цих Клауз, дана Сторона повинна докласти всіх зусиль для вирішення питання дружньо та своєчасно. Сторони повинні повідомляти один одного про такі спори та, за наявності підстав, співпрацювати у їх вирішенні.

(c) Якщо суб’єкт даних звертається з правом третьої особи згідно з Пунктом 3, імпортер даних приймає рішення суб’єкта даних:

1. подати скаргу до наглядової влади в державі-члені його звичайного місця проживання або роботи, або до відповідної наглядової влади згідно із Пунктом 13;
2. спрямувати спір до компетентних судів у розумінні Пункту 18.

(d) Сторони приймають, що суб’єкт даних може бути представлений некомерційним органом, організацією або асоціацією за умовами, визначеними у статті 80 (1) Регламенту (EU) 2016/679.

(e) Імпортер даних дотримується рішення, яке є обов'язковим за застосовним правом ЄС або країни-члена.

(f) Імпортер даних погоджується, що вибір, зроблений суб’єктом даних, не покладе перед ним перешкоди в реалізації його матеріальних та процедурних прав у пошуку захисту відповідно до чинних законів.

Пункт 12

Відповідальність

(a) Кожна Сторона буде відповідальна перед іншою Стороною/сторонами за будь-які збитки, які вона причиняє іншій Стороні/сторонам через будь-яке порушення цих Пунктів.

(b) Імпортер даних буде відповідальним перед суб'єктом даних, і суб'єкт даних матиме право отримати відшкодування за будь-які матеріальні або нематеріальні збитки, які імпортер даних або його субпроцесор причиняє суб'єкту даних, порушуючи права третьої сторони щодо вигоди від цих Пунктів.

(c) Незважаючи на пункт (b), експортер даних буде відповідальним перед суб'єктом даних, і суб'єкт даних матиме право отримати відшкодування за будь-які матеріальні або нематеріальні збитки, які експортер даних або імпортер даних (або його субпроцесор) причиняють суб'єкту даних, порушуючи права третьої сторони щодо вигоди від цих Пунктів. Це не торкається відповідальності експортера даних та, якщо експортер даних є процесором, який діє від імені контролера, - відповідальності контролера відповідно до Регламенту (ЄС) 2016/679 або Регламенту (ЄС) 2018/1725, якщо застосовується.

(d) Сторони домовляються, що якщо експортер даних притягується до відповідальності за пунктом (c) за збитки, спричинені імпортером даних (або його субпроцесором), він має право вимагати від імпортера даних відшкодування тієї частини компенсації, яка відповідає відповідальності імпортера даних за збиток.

(e) Якщо більше однієї Сторони відповідальне за будь-який збиток, заподіяний суб'єкту даних в результаті порушення цих Пунктів, всі відповідальні Сторони мають солідарну відповідальність, і суб'єкту даних дозволяється винести судовий позов проти будь-якої з цих Сторін.

(f) Сторони домовляються, що якщо одній Стороні притягується до відповідальності за пунктом (e), вона має право вимагати від іншої Сторони/сторін відшкодування тієї частини компенсації, яка відповідає її/їхній відповідальності за збиток.

(g) Імпортер даних не може використовувати поведінку субпроцесора для уникнення власної відповідальності.

Стаття 13

Нагляд

(a) [У випадку, коли експортер даних зареєстрований у державі-члені ЄС:] Наглядовий орган, відповідальний за забезпечення дотримання експортером даних Регулятиви (ЄС) 2016/679 щодо передачі даних, як вказано в Додатку I.C, виконує функції компетентного наглядового органу.

[У випадку, коли експортер даних не зареєстрований у державі-члені ЄС, але відноситься до територіальної сфери застосування Регулятиви (ЄС) 2016/679 відповідно до її статті 3(2) та призначив представника згідно зі статтею 27(1) Регулятиви (ЄС) 2016/679:] Наглядовий орган держави-члена, в якому зареєстрований представник відповідно до статті 27(1) Регулятиви (ЄС) 2016/679, як вказано в Додатку I.C, виконує функції компетентного наглядового органу.

[У випадку, коли експортер даних не зареєстрований у державі-члені ЄС, але відноситься до території застосування Регулятиви (ЄС) 2016/679 відповідно до її статті 3(2) без призначення представника згідно зі статтею 27(2) Регулятиви (ЄС) 2016/679:] Наглядовий орган однієї з держав-членів, в яких розташовані суб'єкти даних, персональні дані яких передаються згідно з цими положеннями стосовно пропозиції товарів або послуг, або чиє поведінка відслідковується, як це вказано в Додатку I.C, виконує функції компетентного наглядового органу.

(b) Імпортер даних зобов'язується підпорядковуватися юрисдикції та співпрацювати з компетентним наглядовим органом у будь-яких процедурах, що спрямовані на забезпечення дотримання цих положень. Зокрема, імпортер даних згоден відповідати на запити, проходити аудит та виконувати заходи, прийняті наглядовим органом, включаючи виправні та компенсаційні заходи. Він повинен надати наглядовому органу письмове підтвердження того, що необхідні дії були виконані.

РОЗДІЛ III - МІСЦЕВІ ЗАКОНИ ТА ОБОВ'ЯЗКИ У ВИПАДКУ ДОСТУПУ ДЕРЖАВНИХ ОРГАНІВ

Клаузула 14

Місцеві закони та практика, які впливають на дотримання клаузул

(a) Сторони гарантують, що вони не мають підстав вважати, що закони та практика в третій країні призначення, що стосуються обробки персональних даних імпортером даних, включаючи будь-які вимоги по розкриттю персональних даних чи заходи, що дозволяють доступ державним органам, заважають імпортеру даних виконувати свої зобов'язання за цими Клаузулами. Це ґрунтується на розумінні, що закони та практика, які поважають сутність основних прав та свобод і не перевищують того, що є необхідним і пропорційним у демократичному суспільстві для захисту одного з цілей, зазначених у статті 23(1) Регламенту (ЄС) 2016/679, не суперечать цим Клаузулам.

(b) Сторони заявляють, що надаючи гарантії в абзаці (a), вони взяли до уваги насамперед наступні елементи:

• (i) специфічні обставини передачі, включаючи тривалість ланцюга обробки, кількість задіяних акторів та використані канали передачі; подальші передачі; тип отримувача; мета обробки; категорії і формат переданих персональних даних; економічний сектор, в якому відбувається передача; місцезнаходження даних, що передаються;
• (ii) закони та практика третьої країни призначення - включаючи ті, що вимагають розкриття даних державним органам або дозволяють таким органам мати доступ - відповідно до специфічних обставин передачі, та застосовні обмеження та гарантії;
• (iii) будь-які відповідні контрактні, технічні чи організаційні гарантії, які були встановлені для доповнення гарантій цих Клаузул, включаючи заходи, застосовані під час передачі та до обробки персональних даних у країні призначення.

(c) Імпортер даних гарантує, що під час оцінки згідно з абзацом (b) він доклав максимальних зусиль, аби надати експортеру даних відповідну інформацію, та погоджується продовжувати співпрацю з експортером даних щодо забезпечення дотримання цих Клаузул.

(d) Сторони погоджуються задокументувати оцінку згідно з абзацом (b) та надати її на вимогу компетентного наглядового органу.

(e) Імпортер даних згоден негайно повідомити експортеру даних, якщо, після укладання цих Клаузул та протягом терміну дії контракту, він має підстави вважати, що він є або став підданим законам або практикам, які не відповідають вимогам абзацу (a), включаючи випадки зміни законодавства третьої країни або заходу (такого як запит на розкриття), що свідчить про застосування таких законів на практиці, що не відповідає вимогам абзацу (a).

(f) Після повідомлення згідно з абзацом (e), або якщо експортер даних має підстави вважати, що імпортер даних більше не може виконувати свої обов'язки за цими Клаузулами, експортер даних повинен негайно визначити відповідні заходи (наприклад, технічні чи організаційні заходи для забезпечення безпеки та конфіденційності), які будуть запроваджені експортером та/або імпортером даних для вирішення ситуації. Експортер даних повинен припинити передачу даних, якщо він вважає, що не може забезпечити відповідні гарантії для такої передачі, або якщо йому це наказано компетентним наглядовим органом. В цьому випадку експортер даних має право припинити контракт, стосовно обробки персональних даних за цими Клаузулами. Якщо контракт укладено між більше ніж двома Сторонами, експортер даних може скористатися цим правом на припинення тільки щодо відповідної Сторони, якщо Сторони не домовилися inше. В разі припинення контракту згідно з цією Клаузулою, застосовуються підпункти 16(d) та (e).

Стаття 15

Зобов'язання імпортера даних у випадку доступу державних органів

15.1 Повідомлення

(a) Імпортер даних згоджується негайно повідомити експортера даних і, якщо можливо, суб'єкта даних (за необхідності з допомогою експортера даних), якщо він:

• (i) отримує законно обов'язковий запит від державного органу, включаючи судові органи, за законами країни призначення про розголошення персональних данних, переданих відповідно до цих Клаузул; таке повідомлення має включати інформацію про запитувані персональні дані, орган, який здійснив запит, правові підстави для запиту та надану відповідь; або
• (ii) стає відомо про будь-який прямий доступ державних органів до персональних даних, переданих відповідно до цих Клаузул, відповідно до законів країни призначення; таке повідомлення має включати всю інформацію, доступну імпортеру.

(b) Якщо імпортеру даних заборонено повідомляти експортера даних та/або суб'єкт даних за законами країни призначення, імпортер даних погоджується вжити усіх зусиль для отримання відкликання такого заборонного заходу, з метою надання максимальної кількості інформації якомога швидше. Імпортер даних погоджується зафіксувати свої зусилля для того, щоб мати можливість демонструвати їх за запитом експортера даних.

(c) Коли це допустимо за законами країни призначення, імпортер даних погоджується надавати експортеру даних, регулярно протягом строку контракту, максимально можливу кількість відповідної інформації щодо отриманих запитів (зокрема, кількість запитів, тип запитаних даних, запитуючий орган/и, чи були подані заперечення до запитів та результати таких заперечень тощо).

(d) Імпортер даних зобов'язується зберігати інформацію відповідно до абзаців (a) до (c) протягом строку контракту і надавати її на запит компетентному контролюючому органу.

(e) Абзаци (a) до (c) не впливають на зобов'язання імпортера даних відповідно до Клаузули 14(e) та Клаузули 16 негайно інформувати експортера даних у випадку, коли він не може дотриматися цих Клаузул.

15.2 Перевірка законності та мінімізація даних

(a) Імпортер даних погоджується перевірити законність запиту на розголошення, зокрема, чи він залишається в межах зазначених повноважень запитуючого державного органу, та оскаржити запит, якщо, після уважної оцінки, він висновує, що є обґрунтовані причини вважати запит незаконним за законами країни призначення, застосовуваними зобов'язаннями в міжнародному праві та принципами міжнародного правосуддя. За тих самих умов імпортер даних зобов'язується шукати можливості подання апеляції. Коли оскаржується запит, імпортер даних звертається за тимчасовими заходами з метою призупинення дії запиту до тих пір, поки компетентний судовий орган не вирішить його на засадах. Він не повинен розголошувати запитані персональні дані до тих пір, поки цього не вимагають застосувані процесуальні правила. Ці вимоги не впливають на зобов'язання імпортера даних відповідно до Клаузули 14(e).

(b) Імпортер даних зобов'язується зафіксувати свою юридичну оцінку та будь-яке оскарження запиту на розголошення та, в межах, що дозволені законами країни призначення, зробити документацію доступною для експортера даних. Він також повинен надати його на запит компетентному контролюючому органу.

(c) Імпортер даних погоджується надати мінімально можливу кількість інформації при відповіді на запит про розголошення, виходячи з обґрунтованого тлумачення запиту.

РОЗДІЛ IV - ЗАКЛЮЧНІ ПОЛОЖЕННЯ

Клаузула 16

Недотримання Клаузул та припинення

(a) Імпортер даних негайно повідомляє експортеру даних, якщо він не може дотримуватися цих Клаузул, за будь-якої причини.

(b) У випадку, якщо імпортер даних порушує ці Клаузули або не може їм дотримуватисося, експортер даних призупиняє передачу персональних даних імпортеру даних до тих пір, доки знову не буде забезпечено дотримання чи доки договір не буде припинено. Воно не порушує правила Клаузули 14(f).

(c) Експортеру даних дозволяється розірвати договір, щодо обробки персональних даних за цими Клаузулами, в разі:

• (i) експортер даних призупинив передачу персональних даних імпортеру даних згідно пункту (b) і дотримання цих Клаузул не відновлюється протягом розумного часу та в будь-якому випадку протягом одного місяця після призупинки;
• (ii) імпортер даних серйозно або постійно порушує ці Клаузули; або
• (iii) імпортер даних не виконує обов'язкове рішення компетентного суду або контрольного органу щодо його зобов'язань за цими Клаузулами.

У цих випадках він повідомляє компетентний контрольний орган про таке недотримання. Якщо договір включає більше ніж дві Сторони, експортер даних може здійснити це право на припинення тільки щодо відповідної Сторони, якщо Сторони не домовилися інакше.

(d) Персональні дані, які були передані до припинення договору згідно з пунктом (c), будь за вибором експортера даних, мають бути негайно повернуті експортеру даних або повністю видалені. Те ж стосується будь-яких копій даних. Імпортер даних повинен підтвердити видалення даних експортеру даних. До видалення даних або їх повернення, імпортер даних продовжує забезпечувати дотримання цих Клаузул. У випадку місцевих законів, що стосуються імпортера даних і забороняють повернення або видалення переданих персональних даних, імпортер даних гарантує, що він продовжуватиме дотримуватися цих Клаузул і буде обробляти дані тільки в тій мірі і стільки часу, скільки це потрібно за цим місцевим законом.

(e) Будь-яка Сторона може відкликати свою згоду бути пов'язаною цими Клаузулами, якщо (i) Європейська Комісія приймає рішення відповідно до статті 45(3) Регламенту (EU) 2016/679, який включає передачу персональних даних, на які поширюються ці Клаузули; або (ii) Регламент (EU) 2016/679 стає частиною правового рамкового документу країни, до якої передаються персональні дані. Це не впливає на інші зобов'язання, що стосуються обробки в рамках Регламенту (EU) 2016/679.

Клаузула 17

Підпорядкованість законодавству

Ці Клаузули регулюються законодавством однієї з країн-членів ЄС, за умови, що таке законодавство дозволяє права третьої сторони-бенефіціара. Сторони домовляються, що це буде законодавство Республіки Ірландія.

Пункт 18

Вибір форуму та юрисдикції

(a) Будь-який спір, що виникає з цих Пунктів, має бути вирішений в судах держави-члена ЄС.

(b) Сторони погоджуються, що ці суди мають бути судами Ірландської Республіки.

(c) Суб'єкт даних також може вже брати участь в судових розглядах проти експортера даних та/або імпортера даних перед судами держави-члена, в якій він/вона має звичайне місце проживання.

(d) Сторони погоджуються підметити себе юрисдикції таких судів.

Примітки

1 Де експортер даних є процесором, який підпадає під дію Регламенту (ЄС) 2016/679 і діє від імені установи або органу Союзу як контролер, залежність від цих Клаузул при залученні іншого процесора (субпроцесингу), який не підпадає під дію Регламенту (ЄС) 2016/679, також забезпечує дотримання статті 29(4) Регламенту (ЄС) 2018/1725 Європейського парламенту та Ради від 23 жовтня 2018 року про захист фізичних осіб стосовно обробки персональних даних установами, органами, відомствами та агентствами Союзу, і про вільне переміщення таких даних, та про скасування Регламенту (ЕС) № 45/2001 і Рішення № 1247/2002/ЕС (ОВ L 295, 21.11.2018, с. 39), у тому обсязі, в якому ці Клаузули і зобов'язання з захисту даних, встановлені в договорі або іншому юридичному акті між контролером і процесором відповідно до статті 29(3) Регламенту (ЄС) 2018/1725, достроково узгоджені.

2 Угода про Європейську Економічну Зону (EEA Agreement) передбачає розширення внутрішнього ринку Європейського Союзу до трьох країн ЄЕЗ - Ісландії, Ліхтенштейну та Норвегії. Законодавство Союзу про захист даних, включаючи Регламент (ЄС) 2016/679, входить до складу EEA Agreement та включене до додатка XI до нього.

3 Цей вимогу можна задовольнити шляхом приєднання субпроцесора до цих Клаузул за відповідним Модулем, відповідно до Клаузули 7.

4 Щодо впливу таких законів та практик на дотримання цих Клаузул, різні елементи можуть бути розглянуті як частина загальної оцінки. Ці елементи можуть включати відповідний та документований практичний досвід з попередніми випадками запросів на розкриття відомостей від державних органів, або відсутність таких запитів, що охоплюють достатньо репрезентативний період часу. Це, зокрема, відноситься до внутрішніх записів або іншої документації, складеної на постійній основі відповідно до належної обачності та засвідченої на рівні вищого керівництва, за умови, що цю інформацію можна законно поділитися з третіми сторонами.

ДОДАТОК

ДОДАТОК І

A. ПЕРЕЛІК УЧАСНИКІВ

Експортери даних: [Ідентифікація та контактні дані експортера(ів) даних і, за наявності, його/їх уповноваженого з захисту даних та/або представника в Європейському Союзі]

Ім'я: [Ім'я клієнта, що є у файлі облікового запису DreamHost]

Адреса: [Адреса клієнта, що є у файлі облікового запису DreamHost]

Ім'я, посада та контактні дані контактної особи: [Клієнт, визначений вище]

Діяльність, пов'язана з переданими за цими Клаузулами даними: як описано в цьому Додатку, DPA та Угоді.

Підпис та дата: [Як цифрово записано під час створення облікового запису та як зобов'язано за Умовами обслуговування]

Роль (контролер/процесор): Контролер.

Імпортери даних: [Ідентифікація та контактні дані імпортера(ів) даних, включаючи будь-яку контактну особу, відповідальну за захист даних]

Назва: DreamHost

Адреса: PMB #327, 417 Associated Rd., Брея, Каліфорнія 92821-5802

Ім'я, посада та контактні дані контактної особи:

До уваги: Директора з питань приватності даних

Електронна пошта: privacypolicy@dreamhost.com

Діяльність, пов'язана з переданими за цими Клаузулами даними: як описано в цьому Додатку, DPA та Угоді.

Підпис та дата: [Як цифрово записано під час створення облікового запису та як зобов'язано за Умовами обслуговування]

Роль (контролер/процесор): Процесор.

B. ОПИС ПЕРЕДАЧІ

Категорії суб'єктів даних, особисті дані яких передаються

Як визначено в Додатку A до цього DPA.

Категорії особистих даних, що передаються

Як визначено в Додатку A до цього DPA.

Передані чутливі дані (якщо це застосовується) та установлені обмеження або гарантії, які повністю враховують природу даних і пов'язані ризики, наприклад строге обмеження цілей, обмеження доступу (включаючи доступ лише для персоналу, що пройшов спеціалізоване навчання), ведення реєстру доступу до даних, обмеження на подальші передачі або додаткові заходи безпеки. Як визначено в Додатку A до цього DPA.

Частота передачі (наприклад, чи передаються дані одноразово чи на постійній основі).

На постійній основі, як потрібно для надання Послуг.

Природа обробки

Як визначено в Додатку A до цього DPA.

Мета(и) передачі даних та подальшої обробки

Як визначено в Додатку A до цього DPA.

Термін, протягом якого особисті дані буде зберігатися, або, якщо це неможливо, критерії, що використовуються для визначення цього терміну

Як визначено в Розділі 7 цього DPA.

Для передач до (суб-)процесорів, також вкажіть предмет, природу та тривалість обробки. Як визначено в Угоді, з метою надання Послуг, на термін Угоди.

C. КОМПЕТЕНТНИЙ НАГЛЯДОВИЙ ОРГАН

Ідентифікувати компетентний наглядовий орган/органи відповідно до Клаузули 13

[Заповнити на основі діяльності експортера даних]

ДОДАТОК II

ТЕХНІЧНІ ТА ОРГАНІЗАЦІЙНІ ЗАХОДИ, ВКЛЮЧАЮЧИ ТЕХНІЧНІ ТА ОРГАНІЗАЦІЙНІ ЗАХОДИ ДЛЯ ЗАБЕЗПЕЧЕННЯ БЕЗПЕКИ ДАНИХ

Опис технічних та організаційних заходів, реалізованих імпортером(ами) даних (включаючи будь-які відповідні сертифікації), для забезпечення належного рівня безпеки, враховуючи характер, обсяг, контекст та мету обробки, а також ризики для прав і свобод фізичних осіб.

Встановлено за Графіком B до цього DPA.

Для передачі до (під-) процесорів також описати специфічні технічні та організаційні заходи, які має вжити (під-) процесор для забезпечення можливості надання допомоги контролеру і, для передачі від процесора до підпроцесора, експортеру даних

Встановлено за Графіком B до цього DPA.

ДОДАТОК III

ДОДАТОК ВЕЛИКОБРИТАНІЇ

Цей додаток випущений Інформаційним комісаром для сторін, які здійснюють обмежені передачі. Інформаційний комісар вважає, що він забезпечує відповідні гарантії для обмежених передач, коли він вступає в силу в якості юридично обов'язкового контракту.

Частина 1: Таблиці

Таблиця 1: Сторони

Дата початку	дата набуття чинності.
Сторони	Експортер (який здійснює обмежену передачу)	Імпортер (який отримує обмежену передачу)
Деталі сторін	Визначені в додатку І вище.	Визначені в додатку І вище.
Основний контакт	Визначені в додатку І вище.	Визначені в додатку І вище.

Таблиця 2: Вибрані SCC, модулі та вибрані умови

Додаток ЄС SCCs

☒ Версія затверджених ЄС SCCs, до якої додається додаток, наведена нижче, включаючи інформацію про додаток: Дата: дата набування чинності. Посилання (за наявності): не застосовується. Інша ідентифікація (за наявності): не застосовується. Або ☐ Затверджені ЄС SCCs, включаючи інформацію додатку та лише з наступними модулями, умови або факультативні норми Затверджених ЄС SCCs виникають для цього додатка:

Таблиця 3: Інформація додатка

"Інформація додатка" означає інформацію, яка повинна надаватися для вибраних модулів, як вказано в додатку затверджених ЄС SCCs (крім сторін), і якою відносно цього додатка є:

Додаток 1A: Список сторін: визначено в додатку І вище.

Додаток 1B: Опис передачі: визначено в додатку І вище.

Додаток II: Технічні та організаційні заходи, включаючи технічні та організаційні заходи для забезпечення безпеки даних: визначено в додатку II вище.

Додаток III: Список підпроцесорів (лише модулі 2 та 3): не застосовується.

Таблиця 4: Завершення цього додатка, коли затверджений додаток змінюється

Завершення цього додатка, коли змінюється затверджений додаток

Які сторони можуть завершити цей додаток, як вказано в розділі: ☐ Імпортер ☐ Експортер ☒ жодна з сторін

Частина 2: Обов'язкові клозули

Обов’язкові клозули

Частина 2: Обов'язкові клозули затвердженого додатка, що є шаблоном додатка В.1.0, виданого ICO і представленого Парламенту згідно з розділом 119A Закону про захист даних 2018 року 2 лютого 2022 року, скільки вона уточнюється в розділі 18 цих обов'язкових клозул.