СОГЛАШЕНИЕ ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
СТАНДАРТНЫЕ ДОГОВОРНЫЕ УСЛОВИЯ
СТАНДАРТНЫЕ ДОГОВОРНЫЕ УСЛОВИЯ
От Контролера к Обработчику
РАЗДЕЛ I
Условие 1
Назначение и область применения
(a) Целью настоящих стандартных договорных условий является обеспечение соблюдения требований Регламента (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 года о защите физических лиц в отношении обработки персональных данных и о свободном обращении таких данных (Общее положение о защите данных) [1] для передачи данных в третью страну.
(b) Стороны:
(i) одно или несколько физических или юридических лиц, органов государственной власти, агентств или других органов (далее — «лицо(-а)»), передающие персональные данные, как указано в Приложении I.A (далее — «экспортер данных»), и
(ii) одно или несколько лиц в третьей стране, получающие персональные данные от экспортера данных, прямо или косвенно через другое лицо, также являющееся Стороной настоящих Условий, как указано в Приложении I.A (далее — «импортер данных»), согласились с настоящими стандартными договорными условиями (далее именуемыми — «Условия»).
(c) Настоящие Условия применяются в отношении передачи персональных данных, как указано в Приложении I.B.
(d) Дополнение к настоящим Условиям, содержащее упомянутые в них Приложения, является неотъемлемой частью этих Условий.
Условие 2
Действие и неизменность Условий
(a) В настоящих Условиях изложены соответствующие меры обеспечения безопасности, включая юридически закрепленные права субъектов данных и эффективные средства правовой защиты в соответствии со Статьей 46(1) и Статьей 46(2)(c) Регламента (ЕС) 2016/679, а также стандартные договорные условия в отношении передачи данных от контролеров к обработчикам и (или) от обработчиков к обработчикам в соответствии со Статьей 28(7) Регламента (ЕС) 2016/679, при условии, что эти Условия не изменяются, за исключением выбора одного или нескольких соответствующих Модулей или добавления информации в Дополнении или ее обновления. Это не мешает Сторонам включать стандартные договорные условия, изложенные в настоящих Условиях, в более широкий договор и (или) добавлять другие условия или дополнительные гарантии, при условии, что они не противоречат, прямо или косвенно, настоящим Условиям и не ущемляют основные права или свободы субъектов данных.
(b) Данные Условия не освобождают экспортера данных от обязательств, которыми он связан в соответствии с Регламентом (ЕС) 2016/679.
Условие 3
Сторонние бенефициары
(a) Субъекты данных в качестве сторонних бенефициаров могут ссылаться на данные Условия и требовать от экспортера данных и (или) импортера данных их исполнения со следующими исключениями:
(i) Условие 1, Условие 2, Условие 3, Условие 6, Условие 7;
(ii) Условие 8.1(b), 8.9(a), (c), (d) и (e);
(iii) Условие 9(a), (c), (d) и (e);
(iv) Условие 12(a), (d) и (f);
(v) Условие 13;
(vi) Условие 15.1(c), (d) и (e);
(vii) Условие 16(e);
(viii) Условие 18(a) и (b).
(b) Пункт (а) не ущемляет права субъектов данных в соответствии с Регламентом (ЕС) 2016/679.
Условие 4
Толкование
(a) Если в данных Условиях используются термины, определенные в Регламенте (ЕС) 2016/679, эти термины имеют то же значение, что и в этом Регламенте.
(b) Настоящие Условия следует читать и толковать с учетом положений Регламента (ЕС) 2016/679.
(c) Настоящие Условия недопустимо толковать каким-либо образом, который противоречит правам и обязанностям, предусмотренным Регламентом (ЕС) 2016/679.
Условие 5
Иерархия
В случае противоречия между настоящими Условиями и положениями соответствующих соглашений между Сторонами, существующими на момент согласования или заключения данных Условий, данные Условия имеют преимущественную силу.
Условие 6
Описание передачи
Подробная информация о передаче и, в частности, о категориях передаваемых персональных данных и целях передачи, указана в Приложении I.B.
Условие 7
Условие о присоединении
(a) Лицо, не являющееся Стороной настоящих Условий, может с согласия Сторон присоединиться к настоящим Условиям в любое время либо в качестве экспортера данных, либо импортера данных, заполнив Дополнение и подписав Приложение I.A.
(b) После того как присоединяющееся лицо заполнит Дополнение и подпишет Приложение I.A, оно становится Стороной настоящих Условий и имеет права и обязанности экспортера данных или импортера данных в соответствии с его назначением в Приложении I.A.
(c) Присоединяющееся лицо не имеет никаких прав или обязанностей, возникающих в соответствии с настоящими Условиями, до тех пор, пока оно не станет Стороной Условий.
[1] Если экспортером данных является обработчик, подпадающий под действие Регламента (ЕС) 2016/679, действующий от имени учреждения или органа Союза в качестве контролера, применение данных Условий при привлечении другого обработчика (дополнительная обработка), не подпадающего под действие Регламента (ЕС) 2016/679 также обеспечивает соблюдение статьи 29(4) Регламента (ЕС) 2018/1725 Европейского парламента и Совета от 23 октября 2018 года о защите физических лиц в случае обработки персональных данных организациями, органами, службами и агентствами ЕС и свободе перемещения таких данных, а также об отмене Регламента (ЕС) № 45/2001 и Решения № 1247/2002/ЕС (OJ L 295, 21.11.2018, стр. 39) в той мере, в какой согласованы настоящие Условия и обязательства по защите данных, изложенные в договоре или другом юридическом документе, принятом контролером и обработчиком данных, в соответствии со статьей 29(3) Регламента (ЕС) 2018/1725. В частности, это будет иметь место, когда контролер и обработчик полагаются на стандартные договорные условия, включенные в Решение 2021/915.
Условие 1
Назначение и область применения
(a) Целью настоящих стандартных договорных условий является обеспечение соблюдения требований Регламента (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 года о защите физических лиц в отношении обработки персональных данных и о свободном обращении таких данных (Общее положение о защите данных) [1] для передачи данных в третью страну.
(b) Стороны:
(i) одно или несколько физических или юридических лиц, органов государственной власти, агентств или других органов (далее — «лицо(-а)»), передающие персональные данные, как указано в Приложении I.A (далее — «экспортер данных»), и
(ii) одно или несколько лиц в третьей стране, получающие персональные данные от экспортера данных, прямо или косвенно через другое лицо, также являющееся Стороной настоящих Условий, как указано в Приложении I.A (далее — «импортер данных»), согласились с настоящими стандартными договорными условиями (далее именуемыми — «Условия»).
(c) Настоящие Условия применяются в отношении передачи персональных данных, как указано в Приложении I.B.
(d) Дополнение к настоящим Условиям, содержащее упомянутые в них Приложения, является неотъемлемой частью этих Условий.
Условие 2
Действие и неизменность Условий
(a) В настоящих Условиях изложены соответствующие меры обеспечения безопасности, включая юридически закрепленные права субъектов данных и эффективные средства правовой защиты в соответствии со Статьей 46(1) и Статьей 46(2)(c) Регламента (ЕС) 2016/679, а также стандартные договорные условия в отношении передачи данных от контролеров к обработчикам и (или) от обработчиков к обработчикам в соответствии со Статьей 28(7) Регламента (ЕС) 2016/679, при условии, что эти Условия не изменяются, за исключением выбора одного или нескольких соответствующих Модулей или добавления информации в Дополнении или ее обновления. Это не мешает Сторонам включать стандартные договорные условия, изложенные в настоящих Условиях, в более широкий договор и (или) добавлять другие условия или дополнительные гарантии, при условии, что они не противоречат, прямо или косвенно, настоящим Условиям и не ущемляют основные права или свободы субъектов данных.
(b) Данные Условия не освобождают экспортера данных от обязательств, которыми он связан в соответствии с Регламентом (ЕС) 2016/679.
Условие 3
Сторонние бенефициары
(a) Субъекты данных в качестве сторонних бенефициаров могут ссылаться на данные Условия и требовать от экспортера данных и (или) импортера данных их исполнения со следующими исключениями:
(i) Условие 1, Условие 2, Условие 3, Условие 6, Условие 7;
(ii) Условие 8.1(b), 8.9(a), (c), (d) и (e);
(iii) Условие 9(a), (c), (d) и (e);
(iv) Условие 12(a), (d) и (f);
(v) Условие 13;
(vi) Условие 15.1(c), (d) и (e);
(vii) Условие 16(e);
(viii) Условие 18(a) и (b).
(b) Пункт (а) не ущемляет права субъектов данных в соответствии с Регламентом (ЕС) 2016/679.
Условие 4
Толкование
(a) Если в данных Условиях используются термины, определенные в Регламенте (ЕС) 2016/679, эти термины имеют то же значение, что и в этом Регламенте.
(b) Настоящие Условия следует читать и толковать с учетом положений Регламента (ЕС) 2016/679.
(c) Настоящие Условия недопустимо толковать каким-либо образом, который противоречит правам и обязанностям, предусмотренным Регламентом (ЕС) 2016/679.
Условие 5
Иерархия
В случае противоречия между настоящими Условиями и положениями соответствующих соглашений между Сторонами, существующими на момент согласования или заключения данных Условий, данные Условия имеют преимущественную силу.
Условие 6
Описание передачи
Подробная информация о передаче и, в частности, о категориях передаваемых персональных данных и целях передачи, указана в Приложении I.B.
Условие 7
Условие о присоединении
(a) Лицо, не являющееся Стороной настоящих Условий, может с согласия Сторон присоединиться к настоящим Условиям в любое время либо в качестве экспортера данных, либо импортера данных, заполнив Дополнение и подписав Приложение I.A.
(b) После того как присоединяющееся лицо заполнит Дополнение и подпишет Приложение I.A, оно становится Стороной настоящих Условий и имеет права и обязанности экспортера данных или импортера данных в соответствии с его назначением в Приложении I.A.
(c) Присоединяющееся лицо не имеет никаких прав или обязанностей, возникающих в соответствии с настоящими Условиями, до тех пор, пока оно не станет Стороной Условий.
[1] Если экспортером данных является обработчик, подпадающий под действие Регламента (ЕС) 2016/679, действующий от имени учреждения или органа Союза в качестве контролера, применение данных Условий при привлечении другого обработчика (дополнительная обработка), не подпадающего под действие Регламента (ЕС) 2016/679 также обеспечивает соблюдение статьи 29(4) Регламента (ЕС) 2018/1725 Европейского парламента и Совета от 23 октября 2018 года о защите физических лиц в случае обработки персональных данных организациями, органами, службами и агентствами ЕС и свободе перемещения таких данных, а также об отмене Регламента (ЕС) № 45/2001 и Решения № 1247/2002/ЕС (OJ L 295, 21.11.2018, стр. 39) в той мере, в какой согласованы настоящие Условия и обязательства по защите данных, изложенные в договоре или другом юридическом документе, принятом контролером и обработчиком данных, в соответствии со статьей 29(3) Регламента (ЕС) 2018/1725. В частности, это будет иметь место, когда контролер и обработчик полагаются на стандартные договорные условия, включенные в Решение 2021/915.
РАЗДЕЛ II — ОБЯЗАННОСТИ СТОРОН
Условие 8
Меры обеспечения защиты данных
Экспортер данных гарантирует, что он предпринял необходимые меры, чтобы удостовериться, что импортер данных может посредством принятия соответствующих технических и организационных мер выполнять свои обязательства в соответствии с настоящими Условиями.
8.1. Инструкции
(a) Импортер данных обрабатывает персональные данные только в соответствии с документально оформленными инструкциями экспортера данных. Экспортер данных может предоставлять дополнительные инструкции на протяжении всего срока действия договора.
(b) Импортер данных обязуется немедленно информировать экспортера данных, если он не может выполнить эти инструкции.
8.2. Целевое ограничение
Импортер данных обрабатывает персональные данные только для конкретных целей передачи, как указано в Приложении I.B., при условии отсутствия дополнительных инструкций экспортера данных.
8.3. Прозрачность
По запросу экспортер данных обязуется предоставить субъекту данных копию настоящих Условий бесплатно, включая Дополнение, заполненное Сторонами. В той мере, в которой это необходимо для защиты коммерческой тайны или другой конфиденциальной информации, включая меры, указанные в Приложении II и персональные данные, экспортер данных может удалить часть текста Дополнения к данным Условиям перед предоставлением копии, но при этом обязуется предоставить содержательное резюме, если без этого субъект данных может не понять его содержание или не осуществить свои права. По запросу Стороны обязуются предоставить субъекту данных объяснение причин удаления, насколько это возможно, без раскрытия информации, которая была удалена. Это Условие не затрагивает обязательств экспортера данных в соответствии со статьями 13 и 14 Регламента (ЕС) 2016/679.
8.4. Точность
Если импортеру данных становится известно, что полученные им персональные данные неточны или устарели, он обязуется незамедлительно проинформировать об этом экспортера данных. В этом случае импортер данных обязуется сотрудничать с экспортером данных для исправления или удаления данных.
8.5. Продолжительность периода обработки и удаления или возврата данных
Импортер данных обрабатывает данные только в течение срока, указанного в Приложении I.B. После завершения периода предоставления услуг по обработке импортер данных обязуется, по желанию экспортера данных, удалить все персональные данные, обработанные от имени экспортера данных, и предоставить экспортеру данных подтверждение удаления, или вернуть экспортеру данных все персональные данные, обработанные от его имени, и удалить существующие копии. До тех пор, пока данные не будут удалены или возвращены, импортер данных продолжает обеспечивать соблюдение настоящих Условий. В случае, если на импортера данных распространяется национальное законодательство, запрещающее возврат или удаление персональных данных, импортер данных гарантирует, что он будет продолжать обеспечивать соблюдение настоящих Условий и будет обрабатывать данные только в той степени и в течение такого периода, которые установлены в соответствии с применимым национальным законодательством. Это не ограничивает действие Условия 14, в частности обязательство импортера данных в соответствии с Условием 14(е) уведомлять экспортера данных в течение всего срока действия договора, если у него есть основания полагать, что на него распространяется или начало распространяться действие законодательства или процессуальных норм, не соответствующих требованиям Условия 14(а).
8.6. Безопасность обработки
(a) Импортер данных, а во время передачи также и экспортер данных предпринимают соответствующие технические и организационные меры для обеспечения безопасности данных, включая защиту от нарушения безопасности данных, которая может привести к случайному или незаконному уничтожению, потере, изменению, несанкционированному раскрытию данных или доступу к ним (далее «нарушение безопасности персональных данных»). При оценке надлежащего уровня безопасности Стороны обязуются должным образом учитывать соответствующий уровень техники, затраты на внедрение, характер, объем, контекст и цели обработки, а также связанные с обработкой риски для субъектов данных. Стороны, в частности, обязуются рассматривать возможность использования шифрования или псевдонимизации, в том числе во время передачи, если таким образом может быть достигнута цель обработки. В случае псевдонимизации дополнительная информация для присвоения персональных данных конкретному субъекту по возможности остается под исключительным контролем экспортера данных. Выполняя свои обязательства в соответствии с настоящим пунктом, импортер данных обязуется, как минимум, предпринимать технические и организационные м еры, указанные в Приложении II. Импортер данных проводит регулярные проверки, чтобы гарантировать, что эти меры обеспечивают надлежащий уровень безопасности.
(b) Импортер данных предоставляет своим сотрудникам доступ к данным только в той степени, в которой это крайне необходимо для выполнения и мониторинга договора, а также управления им. Он гарантирует, что лица, уполномоченные выполнять обработку персональных данных, взяли на себя обязательство обеспечивать конфиденциальность или принимают на себя соответствующее установленное законом обязательство по обеспечению конфиденциальности.
(c) В случае нарушения безопасности персональных данных, обрабатываемых импортером данных в соответствии с настоящими Условиями, импортер данных обязуется предпринять соответствующие меры для устранения нарушения, включая меры по смягчению его неблагоприятных последствий. Импортер данных также обязуется своевременно уведомлять экспортера данных после того, как ему становится известно о нарушении безопасности. Такое уведомление должно содержать подробную информацию о контактном пункте, где можно получить дополнительную информацию, описание характера нарушения (включая категории и приблизительное количество соответствующих субъектов данных и записей персональных данных), его вероятные последствия и меры, предпринятые или предлагаемые для устранения нарушения безопасности данных, включая меры по смягчению его возможных неблагоприятных последствий. Если невозможно предоставить всю информацию одновременно, первоначальное уведомление должно включать информацию, доступную на тот момент, а дополнительная информация, по мере ее появления, должна быть предоставлена в дальнейшем без излишнего промедления.
(d) Импортер данных обязуется сотрудничать с экспортером данных и содействовать ему, чтобы экспортер данных мог выполнять свои обязательства в соответствии с Регламентом (ЕС) 2016/679, в частности уведомлять компетентный надзорный орган и соответствующих субъектов данных, принимая во внимание характер обработки и информацию, доступную импортеру данных.
8.7. Специальные категории персональных данных
Если передача включает персональные данные, раскрывающие расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения или членство в профсоюзах, генетические данные или биометрические данные с целью однозначной идентификации физического лица, данные, касающиеся здоровья, половой жизни или сексуальной ориентации человека, или данные, относящиеся к уголовным обвинениям и правонарушениям (далее — «специальные категории персональных данных»), импортер обязуется применять особые ограничения и (или) дополнительные меры обеспечения безопасности, изложенные в Приложении I.B.
8.8. Последующая передача данных
Импортер данных раскрывает персональные данные третьей стороне только в соответствии с документально оформленными инструкциями экспортера данных. Кроме того, данные могут быть раскрыты третьей стороне, находящейся за пределами Европейского Союза [2] (в той же стране, что и импортер данных, или в другой третьей стране, далее — «передача данных»), только если третья сторона связана или соглашается быть связана этими Условиям в отношении соответствующего Модуля или если:
(i) передача данных осуществляется в страну, которая имеет преимущество на основании решения о достаточности мер защиты в соответствии со статьей 45 Регламента (ЕС) 2016/679, охватывающей передачу данных;
(ii) третья сторона иным образом обеспечивает соответствующие меры обеспечения безопасности в соответствии со статьями 46 или 47 Регламента (ЕС) 2016/679;
(iii) последующая передача необходима для предъявления, исполнения или защиты судебных исков в контексте конкретных административных, нормативных или судебных разбирательств; или
(iv) дальнейшая передача необходима для защиты жизненно важных интересов субъекта данных или другого физического лица.
При любой передаче данных импортер данных обязуется соблюдать все прочие меры обеспечения безопасности в соответствии с данными Условиями, в частности целевое ограничение.
8.9. Документация и соответствие
(a) Импортер данных обязуется оперативно и адекватно реагировать на запросы экспортера данных, которые относятся к обработке в соответствии с настоящими Условиями.
(b) Стороны обязуются демонстрировать соблюдение настоящих Условий. В частности, импортер данных обязуется хранить соответствующую документацию о действиях по обработке, выполняемых от имени экспортера данных.
(c) Импортер данных дает разрешение экспортеру данных на проведение аудита в отношении действий по обработке, охватываемых настоящими Условиями, и обязуется оказывать содействие в ходе аудита, проводимого с обоснованной периодичностью или при наличии признаков несоответствия требованиям. Принимая решение о проведении проверки или аудита, экспортер данных может принять во внимание соответствующие сертификаты, имеющиеся у импортера данных.
(d) Экспортер данных может принять решение о самостоятельном проведении аудита или поручить его независимому аудитору. Аудиты могут включать проверки помещений или физических объектов импортера данных и, при необходимости, могут проводиться с предварительным уведомлением.
(e) Стороны обязуются предоставлять информацию, указанную в пунктах (b) и (c), включая результаты любых аудитов, компетентному надзорному органу по запросу.
Условие 9
Привлечение дополнительных обработчиков
(a) Импортер данных имеет общее разрешение экспортера данных на привлечение дополнительных обработчиков из согласованного списка. Импортер данных обязуется информировать экспортера данных в письменной форме о любых предполагаемых изменениях в этом списке посредством добавления или замены дополнительных обработчиков не позднее чем за месяц до привлечения одного или нескольких дополнительных обработчиков, тем самым предоставляя экспортеру данных достаточно времени, чтобы он мог возразить против таких изменений. Импортер данных обязуется предоставлять экспортеру данных информацию, необходимую для того, чтобы экспортер данных мог использовать свое право на возражение.
(b) Если импортер данных привлекает дополнительного обработчика для выполнения определенных действий по обработке (от имени экспортера данных), он делает это путем предоставления письменного договора, который предусматривает, по сути, обязательства по защите данных, аналогичные обязательствам, которыми связан импортер данных согласно настоящим Условиям, в том числе в отношении прав стороннего бенефициара для субъектов данных. [3] Стороны соглашаются, что, соблюдая настоящие Условия, импортер данных выполняет свои обязательства в соответствии с Условием 8.8. Импортер данных гарантирует, что дополнительный обработчик соблюдает обязательства, которыми связан импортер данных в соответствии с настоящими Условиями.
(c) Импортер данных предоставляет по запросу экспортера данных копию такого соглашения, заключенного с дополнительным обработчиком, и любых последующих поправок. В той мере, в которой это необходимо для защиты коммерческой тайны или другой конфиденциальной информации, включая персональные данные, импортер данных может удалить текст соглашения перед предоставлением копии.
(d) Импортер данных несет полную ответственность перед экспортером данных за выполнение обязательств дополнительного обработчика по его договору с импортером данных. Импортер данных обязуется уведомлять экспортера данных о любом невыполнении дополнительным обработчиком его обязательств по этому договору.
(e) Импортер данных согласовывает с дополнительным обработчиком условие о стороннем бенефициаре, согласно которому (в случае фактического исчезновения импортера данных, прекращения его юридического существования или его неплатежеспособности) экспортер данных имеет право прекратить действие договора с дополнительным обработчиком и обязать дополнительного обработчика удалить или вернуть персональные данные.
Условие 10
Права субъекта данных
(a) Импортер данных обязуется незамедлительно уведомлять экспортера данных о любом запросе, который он получает от субъекта данных. Импортер данных не отвечает на этот запрос, если только он не уполномочен на это экспортером данных.
(b) Импортер данных содействует экспортеру данных в выполнении его обязательств в отношении ответов на запросы субъектов данных об осуществлении их прав в соответствии с Регламентом (ЕС) 2016/679. В связи с этим Стороны излагают в Приложении II соответствующие технические и организационные меры, принимая во внимание характер обработки, посредством которой оказывается содействие, а также объем и степень необходимого содействия.
(c) Выполняя свои обязательства в соответствии с пунктами (a) и (b), импортер данных обязуется соблюдать инструкции экспортера данных.
Условие 11
Восстановление нарушенных прав
(a) Импортер данных обязуется информировать субъектов данных в понятном и легкодоступном формате посредством индивидуального уведомления или публикации на своем веб-сайте о контактном лице, уполномоченном рассматривать жалобы. Он обязуется незамедлительно рассматривать любые жалобы, полученные от субъекта данных.
(b) В случае возникновения спора между субъектом данных и одной из Сторон относительно соблюдения настоящих Условий эта Сторона обязуется приложить все усилия для своевременного мирного разрешения проблемы. Стороны обязуются информировать друг друга о таких спорах и при необходимости сотрудничать для их разрешения.
(c) Если субъект данных ссылается на право стороннего бенефициара в соответствии с Условием 3, импортер данных обязуется согласиться с решением субъекта данных о:
(i) подаче жалобы в надзорный орган в государстве-члене его постоянного места жительства или работы или в компетентный надзорный орган в соответствии с Условием 13;
(ii) передаче спора в компетентные суды как определено в Условии 18.
(d) Стороны соглашаются с тем, что субъект данных может быть представлен некоммерческим органом, организацией или ассоциацией в соответствии с условиями, изложенными в статье 80(1) Регламента (ЕС) 2016/679.
(e) Импортер данных должен соблюдать решение, имеющее обязательную силу в соответствии с применимым законодательством ЕС или государства-члена.
(f) Импортер данных соглашается, что решение субъекта данных не ущемляет его материальные или процессуальные права на поиск средств правовой защиты в соответствии с применимым законодательством.
Условие 12
Ответственность
(a) Каждая Сторона несет ответственность перед другой Стороной за любой ущерб, который она причиняет другой Стороне или Сторонам в результате любого нарушения настоящих Условий.
(b) Импортер данных несет ответственность перед субъектом данных, а субъект данных имеет право на получение компенсации за любой материальный или нематериальный ущерб, который импортер данных или его дополнительный обработчик причиняет субъекту данных, нарушая права стороннего бенефициара в соответствии с настоящими Условиями.
(c) Невзирая на пункт (b), импортер данных несет ответственность перед субъектом данных, а субъект данных имеет право на получение компенсации за любой материальный или нематериальный ущерб, который экспортер данных или импортер данных (или его дополнительный обработчик) причиняет субъекту данных, нарушая права стороннего бенефициара в соответствии с настоящими Условиями. Это не ограничивает объем ответственности экспортера данных и, если экспортер данных является обработчиком, действующим от имени контролера, ответственности контролера в соответствии с Регламентом (ЕС) 2016/679 или Регламентом (ЕС) 2018/1725, в зависимости от того, что применимо.
(d) Стороны соглашаются, что если экспортер данных несет ответственность в соответствии с пунктом (c) за ущерб, причиненный импортером данных (или его дополнительным обработчиком), он имеет право потребовать от импортера данных обратно ту часть компенсации, которая соответствует ответственности импортера данных за ущерб.
(e) Если ответственность за любой ущерб, причиненный субъекту данных в результате нарушения настоящих Условий, несет несколько Сторон, то все ответствующие Стороны несут солидарную ответственность, а субъект данных имеет право подать иск в суд против любой из этих Сторон.
(f) Стороны соглашаются с тем, что если одна Сторона несет ответственность в соответствии с пунктом (е), она имеет право потребовать от другой Стороны или Сторон ту часть компенсации, которая соответствует ее или их ответственности за ущерб.
(g) Импортер данных не может ссылаться на действия дополнительных обработчиков, чтобы избежать ответственности.
Условие 13
Надзор
(a) Надзорный орган государства-члена, в котором учрежден представитель, как определено в статье 27(1) Регламента (ЕС) 2016/679 и указано в Приложении I.C, действует как компетентный надзорный орган.
(b) Импортер данных соглашается подчиняться юрисдикции компетентного надзорного органа и сотрудничать с ним в любых процедурах, направленных на обеспечение соблюдения настоящих Условий. В частности, импортер данных соглашается отвечать на запросы, проходить аудит и соблюдать меры, принятые надзорным органом, включая корректирующие и компенсационные меры. Он обязуется предоставить надзорному органу письменное подтверждение того, что были предприняты необходимые действия.
[2] Соглашение о Европейской экономической зоне (Соглашение о ЕЭЗ) предусматривает расширение внутреннего рынка Европейского Союза с добавлением трех стран ЕЭЗ: Исландии, Лихтенштейна и Норвегии. Законодательство Союза о защите данных, включая Регламент (ЕС) 2016/679, подчиняется Соглашению о ЕЭЗ и включено в Дополнение XI к нему. Таким образом, любое раскрытие данных импортером данных третьей стороне, находящейся в ЕЭЗ, не квалифицируется как последующая передача данных для целей настоящих Условий.
[3] Это требование может быть выполнено путем присоединения дополнительного обработчика к данным Условиям в соответствующем Модуле согласно Условию 7.
Условие 8
Меры обеспечения защиты данных
Экспортер данных гарантирует, что он предпринял необходимые меры, чтобы удостовериться, что импортер данных может посредством принятия соответствующих технических и организационных мер выполнять свои обязательства в соответствии с настоящими Условиями.
8.1. Инструкции
(a) Импортер данных обрабатывает персональные данные только в соответствии с документально оформленными инструкциями экспортера данных. Экспортер данных может предоставлять дополнительные инструкции на протяжении всего срока действия договора.
(b) Импортер данных обязуется немедленно информировать экспортера данных, если он не может выполнить эти инструкции.
8.2. Целевое ограничение
Импортер данных обрабатывает персональные данные только для конкретных целей передачи, как указано в Приложении I.B., при условии отсутствия дополнительных инструкций экспортера данных.
8.3. Прозрачность
По запросу экспортер данных обязуется предоставить субъекту данных копию настоящих Условий бесплатно, включая Дополнение, заполненное Сторонами. В той мере, в которой это необходимо для защиты коммерческой тайны или другой конфиденциальной информации, включая меры, указанные в Приложении II и персональные данные, экспортер данных может удалить часть текста Дополнения к данным Условиям перед предоставлением копии, но при этом обязуется предоставить содержательное резюме, если без этого субъект данных может не понять его содержание или не осуществить свои права. По запросу Стороны обязуются предоставить субъекту данных объяснение причин удаления, насколько это возможно, без раскрытия информации, которая была удалена. Это Условие не затрагивает обязательств экспортера данных в соответствии со статьями 13 и 14 Регламента (ЕС) 2016/679.
8.4. Точность
Если импортеру данных становится известно, что полученные им персональные данные неточны или устарели, он обязуется незамедлительно проинформировать об этом экспортера данных. В этом случае импортер данных обязуется сотрудничать с экспортером данных для исправления или удаления данных.
8.5. Продолжительность периода обработки и удаления или возврата данных
Импортер данных обрабатывает данные только в течение срока, указанного в Приложении I.B. После завершения периода предоставления услуг по обработке импортер данных обязуется, по желанию экспортера данных, удалить все персональные данные, обработанные от имени экспортера данных, и предоставить экспортеру данных подтверждение удаления, или вернуть экспортеру данных все персональные данные, обработанные от его имени, и удалить существующие копии. До тех пор, пока данные не будут удалены или возвращены, импортер данных продолжает обеспечивать соблюдение настоящих Условий. В случае, если на импортера данных распространяется национальное законодательство, запрещающее возврат или удаление персональных данных, импортер данных гарантирует, что он будет продолжать обеспечивать соблюдение настоящих Условий и будет обрабатывать данные только в той степени и в течение такого периода, которые установлены в соответствии с применимым национальным законодательством. Это не ограничивает действие Условия 14, в частности обязательство импортера данных в соответствии с Условием 14(е) уведомлять экспортера данных в течение всего срока действия договора, если у него есть основания полагать, что на него распространяется или начало распространяться действие законодательства или процессуальных норм, не соответствующих требованиям Условия 14(а).
8.6. Безопасность обработки
(a) Импортер данных, а во время передачи также и экспортер данных предпринимают соответствующие технические и организационные меры для обеспечения безопасности данных, включая защиту от нарушения безопасности данных, которая может привести к случайному или незаконному уничтожению, потере, изменению, несанкционированному раскрытию данных или доступу к ним (далее «нарушение безопасности персональных данных»). При оценке надлежащего уровня безопасности Стороны обязуются должным образом учитывать соответствующий уровень техники, затраты на внедрение, характер, объем, контекст и цели обработки, а также связанные с обработкой риски для субъектов данных. Стороны, в частности, обязуются рассматривать возможность использования шифрования или псевдонимизации, в том числе во время передачи, если таким образом может быть достигнута цель обработки. В случае псевдонимизации дополнительная информация для присвоения персональных данных конкретному субъекту по возможности остается под исключительным контролем экспортера данных. Выполняя свои обязательства в соответствии с настоящим пунктом, импортер данных обязуется, как минимум, предпринимать технические и организационные м еры, указанные в Приложении II. Импортер данных проводит регулярные проверки, чтобы гарантировать, что эти меры обеспечивают надлежащий уровень безопасности.
(b) Импортер данных предоставляет своим сотрудникам доступ к данным только в той степени, в которой это крайне необходимо для выполнения и мониторинга договора, а также управления им. Он гарантирует, что лица, уполномоченные выполнять обработку персональных данных, взяли на себя обязательство обеспечивать конфиденциальность или принимают на себя соответствующее установленное законом обязательство по обеспечению конфиденциальности.
(c) В случае нарушения безопасности персональных данных, обрабатываемых импортером данных в соответствии с настоящими Условиями, импортер данных обязуется предпринять соответствующие меры для устранения нарушения, включая меры по смягчению его неблагоприятных последствий. Импортер данных также обязуется своевременно уведомлять экспортера данных после того, как ему становится известно о нарушении безопасности. Такое уведомление должно содержать подробную информацию о контактном пункте, где можно получить дополнительную информацию, описание характера нарушения (включая категории и приблизительное количество соответствующих субъектов данных и записей персональных данных), его вероятные последствия и меры, предпринятые или предлагаемые для устранения нарушения безопасности данных, включая меры по смягчению его возможных неблагоприятных последствий. Если невозможно предоставить всю информацию одновременно, первоначальное уведомление должно включать информацию, доступную на тот момент, а дополнительная информация, по мере ее появления, должна быть предоставлена в дальнейшем без излишнего промедления.
(d) Импортер данных обязуется сотрудничать с экспортером данных и содействовать ему, чтобы экспортер данных мог выполнять свои обязательства в соответствии с Регламентом (ЕС) 2016/679, в частности уведомлять компетентный надзорный орган и соответствующих субъектов данных, принимая во внимание характер обработки и информацию, доступную импортеру данных.
8.7. Специальные категории персональных данных
Если передача включает персональные данные, раскрывающие расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения или членство в профсоюзах, генетические данные или биометрические данные с целью однозначной идентификации физического лица, данные, касающиеся здоровья, половой жизни или сексуальной ориентации человека, или данные, относящиеся к уголовным обвинениям и правонарушениям (далее — «специальные категории персональных данных»), импортер обязуется применять особые ограничения и (или) дополнительные меры обеспечения безопасности, изложенные в Приложении I.B.
8.8. Последующая передача данных
Импортер данных раскрывает персональные данные третьей стороне только в соответствии с документально оформленными инструкциями экспортера данных. Кроме того, данные могут быть раскрыты третьей стороне, находящейся за пределами Европейского Союза [2] (в той же стране, что и импортер данных, или в другой третьей стране, далее — «передача данных»), только если третья сторона связана или соглашается быть связана этими Условиям в отношении соответствующего Модуля или если:
(i) передача данных осуществляется в страну, которая имеет преимущество на основании решения о достаточности мер защиты в соответствии со статьей 45 Регламента (ЕС) 2016/679, охватывающей передачу данных;
(ii) третья сторона иным образом обеспечивает соответствующие меры обеспечения безопасности в соответствии со статьями 46 или 47 Регламента (ЕС) 2016/679;
(iii) последующая передача необходима для предъявления, исполнения или защиты судебных исков в контексте конкретных административных, нормативных или судебных разбирательств; или
(iv) дальнейшая передача необходима для защиты жизненно важных интересов субъекта данных или другого физического лица.
При любой передаче данных импортер данных обязуется соблюдать все прочие меры обеспечения безопасности в соответствии с данными Условиями, в частности целевое ограничение.
8.9. Документация и соответствие
(a) Импортер данных обязуется оперативно и адекватно реагировать на запросы экспортера данных, которые относятся к обработке в соответствии с настоящими Условиями.
(b) Стороны обязуются демонстрировать соблюдение настоящих Условий. В частности, импортер данных обязуется хранить соответствующую документацию о действиях по обработке, выполняемых от имени экспортера данных.
(c) Импортер данных дает разрешение экспортеру данных на проведение аудита в отношении действий по обработке, охватываемых настоящими Условиями, и обязуется оказывать содействие в ходе аудита, проводимого с обоснованной периодичностью или при наличии признаков несоответствия требованиям. Принимая решение о проведении проверки или аудита, экспортер данных может принять во внимание соответствующие сертификаты, имеющиеся у импортера данных.
(d) Экспортер данных может принять решение о самостоятельном проведении аудита или поручить его независимому аудитору. Аудиты могут включать проверки помещений или физических объектов импортера данных и, при необходимости, могут проводиться с предварительным уведомлением.
(e) Стороны обязуются предоставлять информацию, указанную в пунктах (b) и (c), включая результаты любых аудитов, компетентному надзорному органу по запросу.
Условие 9
Привлечение дополнительных обработчиков
(a) Импортер данных имеет общее разрешение экспортера данных на привлечение дополнительных обработчиков из согласованного списка. Импортер данных обязуется информировать экспортера данных в письменной форме о любых предполагаемых изменениях в этом списке посредством добавления или замены дополнительных обработчиков не позднее чем за месяц до привлечения одного или нескольких дополнительных обработчиков, тем самым предоставляя экспортеру данных достаточно времени, чтобы он мог возразить против таких изменений. Импортер данных обязуется предоставлять экспортеру данных информацию, необходимую для того, чтобы экспортер данных мог использовать свое право на возражение.
(b) Если импортер данных привлекает дополнительного обработчика для выполнения определенных действий по обработке (от имени экспортера данных), он делает это путем предоставления письменного договора, который предусматривает, по сути, обязательства по защите данных, аналогичные обязательствам, которыми связан импортер данных согласно настоящим Условиям, в том числе в отношении прав стороннего бенефициара для субъектов данных. [3] Стороны соглашаются, что, соблюдая настоящие Условия, импортер данных выполняет свои обязательства в соответствии с Условием 8.8. Импортер данных гарантирует, что дополнительный обработчик соблюдает обязательства, которыми связан импортер данных в соответствии с настоящими Условиями.
(c) Импортер данных предоставляет по запросу экспортера данных копию такого соглашения, заключенного с дополнительным обработчиком, и любых последующих поправок. В той мере, в которой это необходимо для защиты коммерческой тайны или другой конфиденциальной информации, включая персональные данные, импортер данных может удалить текст соглашения перед предоставлением копии.
(d) Импортер данных несет полную ответственность перед экспортером данных за выполнение обязательств дополнительного обработчика по его договору с импортером данных. Импортер данных обязуется уведомлять экспортера данных о любом невыполнении дополнительным обработчиком его обязательств по этому договору.
(e) Импортер данных согласовывает с дополнительным обработчиком условие о стороннем бенефициаре, согласно которому (в случае фактического исчезновения импортера данных, прекращения его юридического существования или его неплатежеспособности) экспортер данных имеет право прекратить действие договора с дополнительным обработчиком и обязать дополнительного обработчика удалить или вернуть персональные данные.
Условие 10
Права субъекта данных
(a) Импортер данных обязуется незамедлительно уведомлять экспортера данных о любом запросе, который он получает от субъекта данных. Импортер данных не отвечает на этот запрос, если только он не уполномочен на это экспортером данных.
(b) Импортер данных содействует экспортеру данных в выполнении его обязательств в отношении ответов на запросы субъектов данных об осуществлении их прав в соответствии с Регламентом (ЕС) 2016/679. В связи с этим Стороны излагают в Приложении II соответствующие технические и организационные меры, принимая во внимание характер обработки, посредством которой оказывается содействие, а также объем и степень необходимого содействия.
(c) Выполняя свои обязательства в соответствии с пунктами (a) и (b), импортер данных обязуется соблюдать инструкции экспортера данных.
Условие 11
Восстановление нарушенных прав
(a) Импортер данных обязуется информировать субъектов данных в понятном и легкодоступном формате посредством индивидуального уведомления или публикации на своем веб-сайте о контактном лице, уполномоченном рассматривать жалобы. Он обязуется незамедлительно рассматривать любые жалобы, полученные от субъекта данных.
(b) В случае возникновения спора между субъектом данных и одной из Сторон относительно соблюдения настоящих Условий эта Сторона обязуется приложить все усилия для своевременного мирного разрешения проблемы. Стороны обязуются информировать друг друга о таких спорах и при необходимости сотрудничать для их разрешения.
(c) Если субъект данных ссылается на право стороннего бенефициара в соответствии с Условием 3, импортер данных обязуется согласиться с решением субъекта данных о:
(i) подаче жалобы в надзорный орган в государстве-члене его постоянного места жительства или работы или в компетентный надзорный орган в соответствии с Условием 13;
(ii) передаче спора в компетентные суды как определено в Условии 18.
(d) Стороны соглашаются с тем, что субъект данных может быть представлен некоммерческим органом, организацией или ассоциацией в соответствии с условиями, изложенными в статье 80(1) Регламента (ЕС) 2016/679.
(e) Импортер данных должен соблюдать решение, имеющее обязательную силу в соответствии с применимым законодательством ЕС или государства-члена.
(f) Импортер данных соглашается, что решение субъекта данных не ущемляет его материальные или процессуальные права на поиск средств правовой защиты в соответствии с применимым законодательством.
Условие 12
Ответственность
(a) Каждая Сторона несет ответственность перед другой Стороной за любой ущерб, который она причиняет другой Стороне или Сторонам в результате любого нарушения настоящих Условий.
(b) Импортер данных несет ответственность перед субъектом данных, а субъект данных имеет право на получение компенсации за любой материальный или нематериальный ущерб, который импортер данных или его дополнительный обработчик причиняет субъекту данных, нарушая права стороннего бенефициара в соответствии с настоящими Условиями.
(c) Невзирая на пункт (b), импортер данных несет ответственность перед субъектом данных, а субъект данных имеет право на получение компенсации за любой материальный или нематериальный ущерб, который экспортер данных или импортер данных (или его дополнительный обработчик) причиняет субъекту данных, нарушая права стороннего бенефициара в соответствии с настоящими Условиями. Это не ограничивает объем ответственности экспортера данных и, если экспортер данных является обработчиком, действующим от имени контролера, ответственности контролера в соответствии с Регламентом (ЕС) 2016/679 или Регламентом (ЕС) 2018/1725, в зависимости от того, что применимо.
(d) Стороны соглашаются, что если экспортер данных несет ответственность в соответствии с пунктом (c) за ущерб, причиненный импортером данных (или его дополнительным обработчиком), он имеет право потребовать от импортера данных обратно ту часть компенсации, которая соответствует ответственности импортера данных за ущерб.
(e) Если ответственность за любой ущерб, причиненный субъекту данных в результате нарушения настоящих Условий, несет несколько Сторон, то все ответствующие Стороны несут солидарную ответственность, а субъект данных имеет право подать иск в суд против любой из этих Сторон.
(f) Стороны соглашаются с тем, что если одна Сторона несет ответственность в соответствии с пунктом (е), она имеет право потребовать от другой Стороны или Сторон ту часть компенсации, которая соответствует ее или их ответственности за ущерб.
(g) Импортер данных не может ссылаться на действия дополнительных обработчиков, чтобы избежать ответственности.
Условие 13
Надзор
(a) Надзорный орган государства-члена, в котором учрежден представитель, как определено в статье 27(1) Регламента (ЕС) 2016/679 и указано в Приложении I.C, действует как компетентный надзорный орган.
(b) Импортер данных соглашается подчиняться юрисдикции компетентного надзорного органа и сотрудничать с ним в любых процедурах, направленных на обеспечение соблюдения настоящих Условий. В частности, импортер данных соглашается отвечать на запросы, проходить аудит и соблюдать меры, принятые надзорным органом, включая корректирующие и компенсационные меры. Он обязуется предоставить надзорному органу письменное подтверждение того, что были предприняты необходимые действия.
[2] Соглашение о Европейской экономической зоне (Соглашение о ЕЭЗ) предусматривает расширение внутреннего рынка Европейского Союза с добавлением трех стран ЕЭЗ: Исландии, Лихтенштейна и Норвегии. Законодательство Союза о защите данных, включая Регламент (ЕС) 2016/679, подчиняется Соглашению о ЕЭЗ и включено в Дополнение XI к нему. Таким образом, любое раскрытие данных импортером данных третьей стороне, находящейся в ЕЭЗ, не квалифицируется как последующая передача данных для целей настоящих Условий.
[3] Это требование может быть выполнено путем присоединения дополнительного обработчика к данным Условиям в соответствующем Модуле согласно Условию 7.
РАЗДЕЛ III — НАЦИОНАЛЬНОЕ ЗАКОНОДАТЕЛЬСТВО И ОБЯЗАТЕЛЬСТВА В СЛУЧАЕ ДОСТУПА К ДАННЫМ СО СТОРОНЫ ОРГАНОВ ГОСУДАРСТВЕННОЙ ВЛАСТИ
Условие 14
Национальное законодательство и процессуальные нормы, влияющие на соблюдение Условий
(a) Стороны гарантируют, что у них нет оснований полагать, что законодательство и процессуальные нормы в третьей стране назначения, применимые к обработке персональных данных импортером данных, включая любые требования о раскрытии персональных данных или меры, разрешающие доступ к данным со стороны органов государственной власти, мешают импортеру данных выполнять его обязательства в соответствии с настоящими Условиями. Основанием для этого служит понимание того, что законодательство и процессуальные нормы, которые уважают сущность основных прав и свобод и не выходят за необходимые и соразмерные рамки, принятые в демократическом обществе для защиты одной из целей, перечисленных в статье 23(1) Регламента (ЕС) 2016/679, не противоречат данным Условиям.
(b) Стороны заявляют, что при предоставлении гарантии в пункте (а), они должным образом учли, в частности, следующие факторы:
(i) конкретные обстоятельства передачи, включая длину цепочки обработки, количество задействованных субъектов и используемые каналы передачи; предполагаемую передачу данных; тип получателя; цель обработки; категории и формат передаваемых персональных данных; сектор экономики, в котором происходит передача; место хранения переданных данных;
(ii) законодательство и процессуальные нормы третьей страны назначения, в том числе те, которые требуют раскрытия данных органам государственной власти или разрешают доступ таких органов, относящиеся к конкретным обстоятельствам передачи, а также применимые ограничения и гарантии [4] ;
(iii) любые соответствующие договорные, технические или организационные меры безопасности, принятые в дополнение к гарантиям в соответствии с этими Условиями, включая меры, применяемые во время передачи и обработки персональных данных в стране назначения.
(c) Импортер данных гарантирует, что при проведении оценки в соответствии с пунктом (b) он приложил все усилия, чтобы предоставить экспортеру данных соответствующую информацию, и соглашается на продолжение сотрудничества с экспортером данных для обеспечения соблюдения настоящих Условий.
(d) Стороны соглашаются документально оформить оценку в соответствии с пунктом (b) и предоставить ее компетентному надзорному органу по запросу.
(e) Импортер данных соглашается незамедлительно уведомить экспортера данных, если после согласия с настоящими Условиями и в течение срока действия договора у него есть основания полагать, что он подпадает под действие или к нему применимы законы или практики, не соответствующие требованиям пункта (a), в том числе после изменения законодательства третьей страны, или мера (например, требование о раскрытии информации), указывающая на применение таких законов на практике, не соответствует требованиям пункта (a).
(f) После отправки уведомления в соответствии с пунктом (e), или если у экспортера данных по иным причинам есть основания полагать, что импортер данных больше не может выполнять свои обязательства в соответствии с настоящими Условиями, экспортер данных незамедлительно определяет соответствующие меры (например, технические или организационные меры для обеспечения безопасности и конфиденциальности), которые должны быть предприняты экспортером данных и (или) импортером данных для решения ситуации. Экспортер данных приостанавливает передачу данных, если он считает, что для такой передачи не могут быть обеспечены соответствующие меры безопасности, или если он получил соответствующие инструкции от компетентного надзорного органа. В этом случае экспортер данных имеет право расторгнуть договор, если это касается обработки персональных данных в соответствии с настоящими Условиями. Если в договоре участвуют более двух Сторон и, если Стороны не договорились об ином, экспортер данных может осуществить это право на расторжение только в отношении соответствующей Стороны. Если расторжение договора происходит в соответствии с настоящим Условием, применяются Условия 16 (d) и (e).
Условие 15
Обязанности импортера данных в случае доступа к данным со стороны органов государственной власти
15.1. Уведомление
(a) Импортер данных соглашается незамедлительно уведомить экспортера данных и, по возможности, субъекта данных (при необходимости, с помощью экспортера данных), если:
(i) он получает юридически обязательный запрос от органа государственной власти, включая судебные органы, в соответствии с законодательством страны назначения о раскрытии персональных данных, переданных в соответствии с настоящими Условиями; такое уведомление должно включать информацию о запрошенных персональных данных, запрашивающем органе, правовом основании запроса и предоставленном ответе; или
(ii) ему становится известно о любом прямом доступе органов государственной власти к персональным данным, передаваемым в соответствии с настоящими Условиями и законодательством страны назначения; такое уведомление должно включать всю доступную импортеру информацию.
(b) Если импортеру данных запрещено уведомлять экспортера данных и (или) субъекта данных в соответствии с законодательством страны назначения, импортер данных соглашается приложить все усилия, чтобы добиться отмены запрета, с тем чтобы предоставить как можно больше сведений в кратчайшие сроки. Импортер данных соглашается документально оформить все свои усилия, чтобы иметь возможность продемонстрировать их по запросу экспортера данных.
(c) Если это разрешено законодательством страны назначения, импортер данных соглашается предоставлять экспортеру регулярно в течение срока действия договора как можно больше соответствующей информации о полученных запросах (в частности, количество запросов, тип запрошенных данных, запрашивающие органы, были ли оспорены запросы и результат таких оспариваний и т.д.).
(d) Импортер данных соглашается хранить информацию в соответствии с пунктами (a)–(c) в течение срока действия договора и предоставлять ее компетентному надзорному органу по запросу.
(e) Пункты (a)–(c) не освобождают импортера данных от обязательства согласно Условию 14(e) и Условию 16 незамедлительно информировать экспортера данных о том, что он не может выполнить данные Условия.
15.2. Проверка законности и минимизация данных
(a) Импортер данных соглашается проверить законность запроса на раскрытие данных, в частности находится ли он в рамках полномочий, предоставленных запрашивающему органу государственной власти, и оспорить запрос, если после тщательной оценки он придет к выводу, что есть достаточные основания полагать, что запрос является незаконным в соответствии с законодательством страны назначения, применимыми обязательствами в соответствии с международным правом и принципами международной вежливости. Импортер данных обязуется на тех же условиях использовать возможности обжалования. При оспаривании запроса импортер данных обязуется добиваться временных мер с целью приостановления действия запроса до тех пор, пока компетентный судебный орган не примет решение по существу дела. Он не должен раскрывать запрошенные персональные данные до тех пор, пока это не потребуется в соответствии с применимыми процессуальными нормами. Эти требования не освобождают импортера данных от обязательств согласно Условию 14(e).
(b) Импортер данных соглашается документально оформить свою правовую оценку и любое оспаривание запроса о раскрытии и, насколько это допустимо в соответствии с законодательством страны назначения, предоставить документацию экспортеру данных. Он также обязуется предоставить ее компетентному надзорному органу по запросу.
(c) Импортер данных соглашается предоставить минимально допустимый объем информации при ответе на запрос о раскрытии на основе обоснованного толкования запроса.
[4] Что касается влияния таких законов и практик на соблюдение настоящих Условий, то в рамках общей оценки могут быть учтены различные элементы. Такие элементы могут включать соответствующий и задокументированный практический опыт предыдущих запросов о раскрытии информации от государственных органов или отсутствие таких запросов, охватывая представительный период времени. Это относится, в частности, к внутренним записям или другой документации, которую составляют на постоянной основе в соответствии с должной осмотрительностью и заверяют на уровне высшего руководства при условии, что эта информация может быть передана третьим лицам на законных основаниях. В тех случаях, когда на основе этого практического опыта можно сделать вывод о том, что импортер данных не будет препятствовать соблюдению настоящих Условий, такой вывод необходимо подкрепить другими соответствующими объективными фактами, и Стороны должны внимательно изучить, являются ли эти факты достаточно весомыми с точки зрения их надежности и репрезентативности для подкрепления указанного вывода. В частности, Стороны должны учитывать, подтвержден ли их практический опыт и не противоречит ли ему общедоступная или иным образом доступная, достоверная информация о наличии или отсутствии запросов в рамках того же сектора и (или) применении законодательства на практике, включая прецедентное право и отчеты независимых надзорных органов.
Условие 14
Национальное законодательство и процессуальные нормы, влияющие на соблюдение Условий
(a) Стороны гарантируют, что у них нет оснований полагать, что законодательство и процессуальные нормы в третьей стране назначения, применимые к обработке персональных данных импортером данных, включая любые требования о раскрытии персональных данных или меры, разрешающие доступ к данным со стороны органов государственной власти, мешают импортеру данных выполнять его обязательства в соответствии с настоящими Условиями. Основанием для этого служит понимание того, что законодательство и процессуальные нормы, которые уважают сущность основных прав и свобод и не выходят за необходимые и соразмерные рамки, принятые в демократическом обществе для защиты одной из целей, перечисленных в статье 23(1) Регламента (ЕС) 2016/679, не противоречат данным Условиям.
(b) Стороны заявляют, что при предоставлении гарантии в пункте (а), они должным образом учли, в частности, следующие факторы:
(i) конкретные обстоятельства передачи, включая длину цепочки обработки, количество задействованных субъектов и используемые каналы передачи; предполагаемую передачу данных; тип получателя; цель обработки; категории и формат передаваемых персональных данных; сектор экономики, в котором происходит передача; место хранения переданных данных;
(ii) законодательство и процессуальные нормы третьей страны назначения, в том числе те, которые требуют раскрытия данных органам государственной власти или разрешают доступ таких органов, относящиеся к конкретным обстоятельствам передачи, а также применимые ограничения и гарантии [4] ;
(iii) любые соответствующие договорные, технические или организационные меры безопасности, принятые в дополнение к гарантиям в соответствии с этими Условиями, включая меры, применяемые во время передачи и обработки персональных данных в стране назначения.
(c) Импортер данных гарантирует, что при проведении оценки в соответствии с пунктом (b) он приложил все усилия, чтобы предоставить экспортеру данных соответствующую информацию, и соглашается на продолжение сотрудничества с экспортером данных для обеспечения соблюдения настоящих Условий.
(d) Стороны соглашаются документально оформить оценку в соответствии с пунктом (b) и предоставить ее компетентному надзорному органу по запросу.
(e) Импортер данных соглашается незамедлительно уведомить экспортера данных, если после согласия с настоящими Условиями и в течение срока действия договора у него есть основания полагать, что он подпадает под действие или к нему применимы законы или практики, не соответствующие требованиям пункта (a), в том числе после изменения законодательства третьей страны, или мера (например, требование о раскрытии информации), указывающая на применение таких законов на практике, не соответствует требованиям пункта (a).
(f) После отправки уведомления в соответствии с пунктом (e), или если у экспортера данных по иным причинам есть основания полагать, что импортер данных больше не может выполнять свои обязательства в соответствии с настоящими Условиями, экспортер данных незамедлительно определяет соответствующие меры (например, технические или организационные меры для обеспечения безопасности и конфиденциальности), которые должны быть предприняты экспортером данных и (или) импортером данных для решения ситуации. Экспортер данных приостанавливает передачу данных, если он считает, что для такой передачи не могут быть обеспечены соответствующие меры безопасности, или если он получил соответствующие инструкции от компетентного надзорного органа. В этом случае экспортер данных имеет право расторгнуть договор, если это касается обработки персональных данных в соответствии с настоящими Условиями. Если в договоре участвуют более двух Сторон и, если Стороны не договорились об ином, экспортер данных может осуществить это право на расторжение только в отношении соответствующей Стороны. Если расторжение договора происходит в соответствии с настоящим Условием, применяются Условия 16 (d) и (e).
Условие 15
Обязанности импортера данных в случае доступа к данным со стороны органов государственной власти
15.1. Уведомление
(a) Импортер данных соглашается незамедлительно уведомить экспортера данных и, по возможности, субъекта данных (при необходимости, с помощью экспортера данных), если:
(i) он получает юридически обязательный запрос от органа государственной власти, включая судебные органы, в соответствии с законодательством страны назначения о раскрытии персональных данных, переданных в соответствии с настоящими Условиями; такое уведомление должно включать информацию о запрошенных персональных данных, запрашивающем органе, правовом основании запроса и предоставленном ответе; или
(ii) ему становится известно о любом прямом доступе органов государственной власти к персональным данным, передаваемым в соответствии с настоящими Условиями и законодательством страны назначения; такое уведомление должно включать всю доступную импортеру информацию.
(b) Если импортеру данных запрещено уведомлять экспортера данных и (или) субъекта данных в соответствии с законодательством страны назначения, импортер данных соглашается приложить все усилия, чтобы добиться отмены запрета, с тем чтобы предоставить как можно больше сведений в кратчайшие сроки. Импортер данных соглашается документально оформить все свои усилия, чтобы иметь возможность продемонстрировать их по запросу экспортера данных.
(c) Если это разрешено законодательством страны назначения, импортер данных соглашается предоставлять экспортеру регулярно в течение срока действия договора как можно больше соответствующей информации о полученных запросах (в частности, количество запросов, тип запрошенных данных, запрашивающие органы, были ли оспорены запросы и результат таких оспариваний и т.д.).
(d) Импортер данных соглашается хранить информацию в соответствии с пунктами (a)–(c) в течение срока действия договора и предоставлять ее компетентному надзорному органу по запросу.
(e) Пункты (a)–(c) не освобождают импортера данных от обязательства согласно Условию 14(e) и Условию 16 незамедлительно информировать экспортера данных о том, что он не может выполнить данные Условия.
15.2. Проверка законности и минимизация данных
(a) Импортер данных соглашается проверить законность запроса на раскрытие данных, в частности находится ли он в рамках полномочий, предоставленных запрашивающему органу государственной власти, и оспорить запрос, если после тщательной оценки он придет к выводу, что есть достаточные основания полагать, что запрос является незаконным в соответствии с законодательством страны назначения, применимыми обязательствами в соответствии с международным правом и принципами международной вежливости. Импортер данных обязуется на тех же условиях использовать возможности обжалования. При оспаривании запроса импортер данных обязуется добиваться временных мер с целью приостановления действия запроса до тех пор, пока компетентный судебный орган не примет решение по существу дела. Он не должен раскрывать запрошенные персональные данные до тех пор, пока это не потребуется в соответствии с применимыми процессуальными нормами. Эти требования не освобождают импортера данных от обязательств согласно Условию 14(e).
(b) Импортер данных соглашается документально оформить свою правовую оценку и любое оспаривание запроса о раскрытии и, насколько это допустимо в соответствии с законодательством страны назначения, предоставить документацию экспортеру данных. Он также обязуется предоставить ее компетентному надзорному органу по запросу.
(c) Импортер данных соглашается предоставить минимально допустимый объем информации при ответе на запрос о раскрытии на основе обоснованного толкования запроса.
[4] Что касается влияния таких законов и практик на соблюдение настоящих Условий, то в рамках общей оценки могут быть учтены различные элементы. Такие элементы могут включать соответствующий и задокументированный практический опыт предыдущих запросов о раскрытии информации от государственных органов или отсутствие таких запросов, охватывая представительный период времени. Это относится, в частности, к внутренним записям или другой документации, которую составляют на постоянной основе в соответствии с должной осмотрительностью и заверяют на уровне высшего руководства при условии, что эта информация может быть передана третьим лицам на законных основаниях. В тех случаях, когда на основе этого практического опыта можно сделать вывод о том, что импортер данных не будет препятствовать соблюдению настоящих Условий, такой вывод необходимо подкрепить другими соответствующими объективными фактами, и Стороны должны внимательно изучить, являются ли эти факты достаточно весомыми с точки зрения их надежности и репрезентативности для подкрепления указанного вывода. В частности, Стороны должны учитывать, подтвержден ли их практический опыт и не противоречит ли ему общедоступная или иным образом доступная, достоверная информация о наличии или отсутствии запросов в рамках того же сектора и (или) применении законодательства на практике, включая прецедентное право и отчеты независимых надзорных органов.
РАЗДЕЛ IV — ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
Условие 16
Несоблюдение Условий и прекращение их действия
(a) Импортер данных обязуется незамедлительно информировать экспортера данных, если он не может выполнить настоящие Условия по каким-либо причинам.
(b) В случае, если импортер данных нарушает настоящие Условия или не может выполнять их, экспортер данных приостанавливает передачу персональных данных импортеру данных до тех пор, пока не будет возобновлено выполнение Условий или не будет расторгнут договор. Это не ограничивает смысл Условия 14(f).
(c) Экспортер данных имеет право расторгнуть договор, когда это касается обработки персональных данных в соответствии с настоящими Условиями, если:
(i) экспортер данных приостановил передачу персональных данных импортеру данных в соответствии с пунктом (b), и выполнение настоящих Условий не возобновлено в разумные сроки и в любом случае в течение одного месяца после приостановки;
(ii) импортер данных существенно или постоянно нарушает настоящие Условия; или
(iii) импортер данных не выполняет обязательное решение компетентного суда или надзорного органа в отношении своих обязательств по настоящим Условиям.
В этих случаях он должен проинформировать компетентный надзорный орган и управляющего о таком несоблюдении. Когда в договоре участвуют более двух Сторон и, если Стороны не договорились об ином, экспортер данных может осуществить это право на расторжение только в отношении соответствующей Стороны.
(d) Персональные данные, которые были переданы до расторжения договора в соответствии с пунктом (c), должны быть немедленно возвращены экспортеру данных или полностью удалены по желанию экспортера данных. То же самое относится к любым копиям данных. Импортер данных обязуется предоставить подтверждение об удалении данных экспортеру данных. До тех пор, пока данные не будут удалены или возвращены, импортер данных продолжает обеспечивать соблюдение настоящих Условий. В случае, если на импортера данных распространяется национальное законодательство, запрещающее возврат или удаление переданных персональных данных, импортер данных гарантирует, что он будет продолжать обеспечивать соблюдение настоящих Условий и будет обрабатывать данные только в той степени и в течение такого периода, которые установлены национальным законодательством.
(e) Любая Сторона может отозвать свое согласие на выполнение настоящих Условий, если (i) Европейская Комиссия принимает решение в соответствии со Статьей 45(3) Регламента (ЕС) 2016/679, которая охватывает передачу персональных данных, к которым применяются эти Условия; или (ii) Регламент (ЕС) 2016/679 становится частью правовой базы страны, в которую передаются персональные данные. Это не освобождает от других обязательств, применимых к рассматриваемой обработке в соответствии с Регламентом (ЕС) 2016/679.
Условие 17
Применимое право
Данные Условия подчиняются законодательству государства-члена ЕС, в котором учрежден экспортер данных. Если такой закон не допускает прав третьих лиц-бенефициаров, то Условия подчиняются законодательству другого государства-члена ЕС, которое допускает права третьих лиц-бенефициаров. Стороны соглашаются, что таким законодательством является законодательство Федеративной Республики Германия.
Условие 18
Выбор места урегулирования споров и юрисдикции
(a) Любой спор, вытекающий из настоящих Условий, подлежит решению в судах государства-члена ЕС.
(b) Стороны соглашаются, что такими судами являются суды Федеративной Республики Германия.
(c) Субъект данных может также возбудить судебное дело против экспортера и (или) импортера данных в судах государства-члена его постоянного места жительства.
(d) Стороны соглашаются подчиняться юрисдикции таких судов.
Условие 16
Несоблюдение Условий и прекращение их действия
(a) Импортер данных обязуется незамедлительно информировать экспортера данных, если он не может выполнить настоящие Условия по каким-либо причинам.
(b) В случае, если импортер данных нарушает настоящие Условия или не может выполнять их, экспортер данных приостанавливает передачу персональных данных импортеру данных до тех пор, пока не будет возобновлено выполнение Условий или не будет расторгнут договор. Это не ограничивает смысл Условия 14(f).
(c) Экспортер данных имеет право расторгнуть договор, когда это касается обработки персональных данных в соответствии с настоящими Условиями, если:
(i) экспортер данных приостановил передачу персональных данных импортеру данных в соответствии с пунктом (b), и выполнение настоящих Условий не возобновлено в разумные сроки и в любом случае в течение одного месяца после приостановки;
(ii) импортер данных существенно или постоянно нарушает настоящие Условия; или
(iii) импортер данных не выполняет обязательное решение компетентного суда или надзорного органа в отношении своих обязательств по настоящим Условиям.
В этих случаях он должен проинформировать компетентный надзорный орган и управляющего о таком несоблюдении. Когда в договоре участвуют более двух Сторон и, если Стороны не договорились об ином, экспортер данных может осуществить это право на расторжение только в отношении соответствующей Стороны.
(d) Персональные данные, которые были переданы до расторжения договора в соответствии с пунктом (c), должны быть немедленно возвращены экспортеру данных или полностью удалены по желанию экспортера данных. То же самое относится к любым копиям данных. Импортер данных обязуется предоставить подтверждение об удалении данных экспортеру данных. До тех пор, пока данные не будут удалены или возвращены, импортер данных продолжает обеспечивать соблюдение настоящих Условий. В случае, если на импортера данных распространяется национальное законодательство, запрещающее возврат или удаление переданных персональных данных, импортер данных гарантирует, что он будет продолжать обеспечивать соблюдение настоящих Условий и будет обрабатывать данные только в той степени и в течение такого периода, которые установлены национальным законодательством.
(e) Любая Сторона может отозвать свое согласие на выполнение настоящих Условий, если (i) Европейская Комиссия принимает решение в соответствии со Статьей 45(3) Регламента (ЕС) 2016/679, которая охватывает передачу персональных данных, к которым применяются эти Условия; или (ii) Регламент (ЕС) 2016/679 становится частью правовой базы страны, в которую передаются персональные данные. Это не освобождает от других обязательств, применимых к рассматриваемой обработке в соответствии с Регламентом (ЕС) 2016/679.
Условие 17
Применимое право
Данные Условия подчиняются законодательству государства-члена ЕС, в котором учрежден экспортер данных. Если такой закон не допускает прав третьих лиц-бенефициаров, то Условия подчиняются законодательству другого государства-члена ЕС, которое допускает права третьих лиц-бенефициаров. Стороны соглашаются, что таким законодательством является законодательство Федеративной Республики Германия.
Условие 18
Выбор места урегулирования споров и юрисдикции
(a) Любой спор, вытекающий из настоящих Условий, подлежит решению в судах государства-члена ЕС.
(b) Стороны соглашаются, что такими судами являются суды Федеративной Республики Германия.
(c) Субъект данных может также возбудить судебное дело против экспортера и (или) импортера данных в судах государства-члена его постоянного места жительства.
(d) Стороны соглашаются подчиняться юрисдикции таких судов.
ДОПОЛНЕНИЕ
ПРИЛОЖЕНИЕ I
A. СПИСОК СТОРОН
Экспортер(ы) данных:
Имя: Пользователь-клиент Системы онлайн-голосований Polys, принявший Условия использования.
Адрес: адрес Клиента «Лаборатории Касперского».
Имя, должность и контактные данные контактного лица: Контакты Клиента «Лаборатории Касперского», контакты Ответственного за защиту персональных данных.
Действия, относящиеся к данным, передаваемым в соответствии с настоящими Условиями:
Экспортер данных использует Систему онлайн-голосований Polys и решает, какие персональные данные необходимо хранить, добавляет и убирает данные, отправляет приглашения для участия в голосовании, управляет голосованиями, изучает результаты и осуществляет иные действия по управлению в Продукте.
Подпись и дата: ____________________________________________________________
Роль (контролер/обработчик): контролер.
Импортер(ы) данных:
Имя: АО «Лаборатория Касперского».
Адрес: Российская Федерация, Москва, 125212, Ленинградское шоссе, д.39А, стр.3, тел.: +7 495 797 8700, факс: +7 495 797 8709, email: info@kaspersky.com.
Имя, должность и контактные данные контактного лица: dpo@kaspersky.com.
Действия, относящиеся к данным, передаваемым в соответствии с настоящими Условиями:
Импортер данных осуществляет физические действия по выполнению указаний (команд) экспортера данных, направленных им посредством интерфейса Продукта или посредством авторизованной связи со Службой поддержки импортера данных.
Подпись и дата: ___________________________________________________________
Роль (контролер/обработчик): обработчик.
B. ОПИСАНИЕ ПЕРЕДАЧИ
Категории субъектов данных, чьи персональные данные подлежат передаче
Организаторы голосования и участники голосования
Категории передаваемых персональных данных
Организатор голосования:
Имя пользователя, идентификатор пользователя, идентификатор пользователя, используемый для создания голосования, адрес электронной почты, метаданные, открытый ключ подписи, одноразовый код для доступа к системе, секретный ключ.
Участник голосования:
Имя пользователя, адрес электронной почты, идентификатор пользователя, метаданные, одноразовый код для доступа к системе, открытый ключ подписи, секретный ключ.
Передаваемые специальные категории персональных данных (если применимо) и применяемые ограничения или меры безопасности, которые полностью учитывают характер данных и связанные с ними риски, такие как, например, строгое целевое ограничение, ограничения доступа (включая доступ только для персонала, прошедшего специализированное обучение), ведение записи о доступе к данным, ограничения передачи данных или дополнительные меры безопасности
Продукт, предоставляемый импортером данных, не предполагает ни хранения, ни обработки каких-либо специальных категорий персональных данных, и импортер данных полагается на экспортера данных, который принимает решение о конкретных персональных данных, подлежащих хранению и обработке.
Частота передачи (например, передаются ли данные однократно или на непрерывной основе)
На непрерывной основе
Характер обработки
Цель(-и) передачи данных и их последующей обработки
Предоставление возможности голосования
Период, в течение которого будут храниться персональные данные, или, если это указать невозможно, критерии, используемые для определения этого периода
Импортер данных хранит персональные данные не дольше, чем это необходимо для выполнения условий соглашения об использовании Продукта.
Для передачи (дополнительным) обработчикам также указать предмет, характер и продолжительность обработки
Экспортер(ы) данных:
Имя: Пользователь-клиент Системы онлайн-голосований Polys, принявший Условия использования.
Адрес: адрес Клиента «Лаборатории Касперского».
Имя, должность и контактные данные контактного лица: Контакты Клиента «Лаборатории Касперского», контакты Ответственного за защиту персональных данных.
Действия, относящиеся к данным, передаваемым в соответствии с настоящими Условиями:
Экспортер данных использует Систему онлайн-голосований Polys и решает, какие персональные данные необходимо хранить, добавляет и убирает данные, отправляет приглашения для участия в голосовании, управляет голосованиями, изучает результаты и осуществляет иные действия по управлению в Продукте.
Подпись и дата: ____________________________________________________________
Роль (контролер/обработчик): контролер.
Импортер(ы) данных:
Имя: АО «Лаборатория Касперского».
Адрес: Российская Федерация, Москва, 125212, Ленинградское шоссе, д.39А, стр.3, тел.: +7 495 797 8700, факс: +7 495 797 8709, email: info@kaspersky.com.
Имя, должность и контактные данные контактного лица: dpo@kaspersky.com.
Действия, относящиеся к данным, передаваемым в соответствии с настоящими Условиями:
Импортер данных осуществляет физические действия по выполнению указаний (команд) экспортера данных, направленных им посредством интерфейса Продукта или посредством авторизованной связи со Службой поддержки импортера данных.
Подпись и дата: ___________________________________________________________
Роль (контролер/обработчик): обработчик.
B. ОПИСАНИЕ ПЕРЕДАЧИ
Категории субъектов данных, чьи персональные данные подлежат передаче
Организаторы голосования и участники голосования
Категории передаваемых персональных данных
Организатор голосования:
Имя пользователя, идентификатор пользователя, идентификатор пользователя, используемый для создания голосования, адрес электронной почты, метаданные, открытый ключ подписи, одноразовый код для доступа к системе, секретный ключ.
Участник голосования:
Имя пользователя, адрес электронной почты, идентификатор пользователя, метаданные, одноразовый код для доступа к системе, открытый ключ подписи, секретный ключ.
Передаваемые специальные категории персональных данных (если применимо) и применяемые ограничения или меры безопасности, которые полностью учитывают характер данных и связанные с ними риски, такие как, например, строгое целевое ограничение, ограничения доступа (включая доступ только для персонала, прошедшего специализированное обучение), ведение записи о доступе к данным, ограничения передачи данных или дополнительные меры безопасности
Продукт, предоставляемый импортером данных, не предполагает ни хранения, ни обработки каких-либо специальных категорий персональных данных, и импортер данных полагается на экспортера данных, который принимает решение о конкретных персональных данных, подлежащих хранению и обработке.
Частота передачи (например, передаются ли данные однократно или на непрерывной основе)
На непрерывной основе
Характер обработки
- Адрес электронной почты, метаданные, одноразовый код для доступа к системе используются для отправки сообщений, связанных с Продуктом (например, приглашения для участия в голосовании);
- Имя пользователя, идентификатор пользователя, адрес электронной почты, идентификатор пользователя, используемый для создания голосования, открытый ключ подписи, секретный ключ используются для предоставления Организатору возможности проведения голосования;
- Имя пользователя, идентификатор пользователя, адрес электронной почты, открытый ключ подписи, секретный ключ используются для предоставления участнику голосования возможности голосования.
Цель(-и) передачи данных и их последующей обработки
Предоставление возможности голосования
Период, в течение которого будут храниться персональные данные, или, если это указать невозможно, критерии, используемые для определения этого периода
Импортер данных хранит персональные данные не дольше, чем это необходимо для выполнения условий соглашения об использовании Продукта.
Для передачи (дополнительным) обработчикам также указать предмет, характер и продолжительность обработки
C. КОМПЕТЕНТНЫЙ НАДЗОРНЫЙ ОРГАН
Определите компетентный надзорный орган в соответствии с Условием 13
Баварское Государственное Управление по надзору за соблюдением законодательства в сфере защиты персональных данных (BayLDA), Променад 18, 91522 Ансбах
Определите компетентный надзорный орган в соответствии с Условием 13
Баварское Государственное Управление по надзору за соблюдением законодательства в сфере защиты персональных данных (BayLDA), Променад 18, 91522 Ансбах
ПРИЛОЖЕНИЕ II
ТЕХНИЧЕСКИЕ И ОРГАНИЗАЦИОННЫЕ МЕРЫ, ВКЛЮЧАЯ ТЕХНИЧЕСКИЕ И ОРГАНИЗАЦИОННЫЕ МЕРЫ ДЛЯ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ДАННЫХ
Организация информационной безопасности
Организация информационной безопасности
- Назначен один или несколько сотрудников по безопасности, ответственных за координацию и контроль правил и процедур безопасности.
- Персонал, имеющий доступ к данным клиента, обязан соблюдать конфиденциальность
- Проведена оценка рисков перед обработкой Персональных данных или запуском услуг.
- Ведется инвентаризация всех ресурсов (на которых хранятся Персональные данные). Доступ к инвентаризации таких носителей ограничен персоналом, уполномоченным иметь такой доступ.
- Личные данные классифицируются, чтобы помочь идентифицировать их и позволить соответствующим образом ограничить доступ к ним.
- Требуется получение специального разрешения перед хранением Персональных данных на портативных устройствах, удаленным доступом к Персональным данным или обработкой Персональных данных вне помещений компании.
- Компания информирует свой персонал о соответствующих процедурах безопасности и их соответствующих ролях.
- Компания также информирует свой персонал о возможных последствиях нарушения правил и процедур безопасности.
- Компания проводит обучение по вопросам безопасности персональных данных.
- Компания ограничивает доступ к объектам, где расположены информационные системы, обрабатывающие Персональные данные, только идентифицированными уполномоченными лицами:
- Охрана осуществляется 7х24 охранниками.
- Доступ по периметру контролируется системой электронных карт доступа.
- Турникет используется с бесконтактной картой на всех проходных пунктах.
- Сотрудники должны носить бейдж компании.
- Посетители регистрируются и должны носить бейджи, посетители сопровождаются во время визита.
- Все периметры доступа и охраняемые зоны контролируются системой видеонаблюдения, за которой следят сотрудники охраны.
- Компания ведет учет входящих и исходящих носителей, включая вид носителя, уполномоченного отправителя/получателя, дату и время, количество носителей.
- Для защиты от потери данных из-за сбоев в электропитании или помех в линии используются различные системы, соответствующие отраслевым стандартам.
- Для удаления личных данных, когда они больше не нужны, используются стандартные для отрасли процессы.
- Компания поддерживает документы по безопасности, описывающие ее меры безопасности и соответствующие процедуры и обязанности персонала, имеющего доступ к Персональным данным.
- Копии Персональных данных и процедуры восстановления данных хранятся в месте, отличном от места расположения основного компьютерного оборудования, обрабатывающего Персональные данные.
- Для предотвращения получения вредоносным программным обеспечением несанкционированного доступа к Персональным данным, включая вредоносное программное обеспечение, исходящее из сетей общего пользования, используются средства защиты от вредоносного программного обеспечения.
- Данные клиентов, передаваемые по сетям общего пользования, шифруются.
- Компания регистрирует доступ и использование информационных систем, содержащих Персональные данные, регистрируя идентификатор доступа, время, предоставленную или отклоненную авторизацию и соответствующую деятельность.
- Компания ведет и обновляет учет персонала, уполномоченного на доступ к системам, содержащим Клиентские данные.
- Компания идентифицирует персонал, который может предоставлять, изменять или отменять авторизованный доступ к данным и ресурсам.
- Компания гарантирует, что если более одного человека имеют доступ к системам, содержащим данные Клиента, то они имеют отдельные идентификаторы/входы в систему.
- Персоналу технической поддержки разрешается иметь доступ к Персональным данным только в случае необходимости.
- Компания ограничивает доступ к Персональным данным только теми лицами, которым такой доступ необходим для выполнения их должностных обязанностей.
- Компания внедряет контроль доступа на основе ролей
- Персонал проинструктирован об отключении административных сессий, когда он покидает контрольные помещения или когда компьютеры остаются без присмотра.
- Пароли хранятся таким образом, чтобы сделать их неразборчивыми, пока они действуют.
- Компания использует стандартные отраслевые практики для идентификации и аутентификации пользователей, которые пытаются получить доступ к информационным системам.
- Компания разработала политику паролей, которая запрещает обмен паролями, определяет, что делать, если пароль раскрыт, требует регулярно менять пароли и изменять пароли по умолчанию.
- Политика паролей компании определяет требования к сложности паролей.
- Все пароли хранятся с использованием алгоритма одностороннего хеширования и никогда не передаются в незашифрованном виде.
- Компания имеет средства контроля, чтобы избежать использования лицами прав доступа, которые им не были назначены, для получения доступа к данным клиента, на который они не уполномочены.
- Внутренний сетевой канал компании защищен с помощью межсетевых экранов.
- Все передачи данных между Компанией, юридическими лицами, партнерами и клиентами защищены протоколом TLS/SSL
- Компания ведет учет нарушений безопасности с описанием нарушения, временного периода, последствий нарушения, имени сообщившего и кому было сообщено о нарушении, а также процедуры восстановления данных.
- Информационные ресурсы компании регулярно проверяются сканерами уязвимостей.
- Компания проводит тестирование информационных ресурсов на проникновение и аудит безопасности.
ПРИЛОЖЕНИЕ III
СПИСОК ДОПОЛНИТЕЛЬНЫХ ОБРАБОТЧИКОВ
Контролер разрешил использование услуг следующих дополнительных обработчиков:
Контролер разрешил использование услуг следующих дополнительных обработчиков:
Polys — система онлайн-голосований на основе технологии блокчейн и прозрачных криптоалгоритмов. Поддерживается «Лабораторией Касперского».