Дополнение о требованиях Европейского Союза в области обработки и защиты персональных данных

ДОПОЛНИТЕЛЬНОЕ СОГЛАШЕНИЕ О СОВМЕСТНОМ ИСПОЛЬЗОВАНИИ ДАННЫХ

(включая стандартные договорные положения ЕС)

Настоящее дополнительное соглашение о совместном использовании данных (Дополнительное Соглашение о Совместном Использовании Данных) является частью Соглашения между Guidepoint и Клиентом (определение приведено ниже) (далее — Стороны). Термины, употребленные с заглавной буквы в настоящем Дополнительном Соглашении о Совместном Использовании Данных, имеют значение, указанное в пункте 1 ниже, или, если они не определены в настоящем документе, имеют значение, указанное в Соглашении. Если термин с заглавной буквы не определен ни в настоящем документе, ни в Соглашении, он будет иметь то же значение, что и соответствующий термин без заглавной буквы, используемый в Стандартных Договорных Положениях.
Клиент заключает настоящее Дополнительное Соглашение о Совместном Использовании Данных от своего имени, а также от имени и по поручению своих Аффилированных Лиц, действующих в качестве Передающих организаций-заказчиков (определенных ниже).

1. Определения

1.1 Следующие термины, употребленные с заглавной буквы в настоящем Дополнительном Соглашении о Совместном Использовании Данных, имеют значение, определенное ниже:

Консультанты — лица, являющиеся специалистами, профессионалами и учеными в различных отраслях, которые предоставляют консультационные услуги клиентам Guidepoint через членство в Guidepoint Global Advisors.

Аффилированное лицо — в отношении любой компании любая прямая или косвенная дочерняя или холдинговая компания этой компании или любая прямая или косвенная дочерняя компания любой такой холдинговой компании.

Клиент — юридическое или физическое лицо, заключившее с Guidepoint письменное соглашение о предоставлении определенных услуг.

Персональные данные клиента — Персональные данные, предоставленные Клиентом компании Guidepoint или ее Аффилированным лицам в соответствии с Соглашением.

Контроллер — организация, которая самостоятельно или совместно с другими лицами определяет цели и способы обработки Персональных данных.

Экспортер данных — сторона, которая передает Персональные данные из Страны Расширенной ЕЭЗ.

Импортер данных — сторона, которая получает Персональные данные от Экспортера данных в Третьей Стране.

Законы о защите данных означают все законы и положения, применимые к обработке персональных данных в рамках Соглашения, включая Общий Регламент о Защите Персональных Данных Великобритании, Закон Великобритании о защите данных 2018 года (Закон о Защите Данных 2018), Общий Регламент о Защите Персональных Данных и другие законы и положения Европейского Союза, ЕЭЗ и их государств-членов, а также Великобритании, касающиеся обработки персональных данных и конфиденциальности.

Субъект данных — лицо, к которому относятся Персональные данные.

Запрос Субъекта Данных — запрос Субъекта Данных на осуществление прав этого лица в соответствии с Законами о защите данных в отношении его Персональных Данных, включая, без ограничений, право на доступ, исправление, изменение, передачу, получение копии, возражение против обработки, блокирование или удаление таких Персональных Данных.

ЕЭЗ — Европейская Экономическая Зона.

ЕС — Европейский Союз.

Страна Расширенной ЕЭЗ — страна, входящая в ЕЭЗ, Исландия, Лихтенштейн или Норвегия, а Страны Расширенной ЕЭЗ означают все вышеперечисленные страны вместе.

Персональные данные Расширенной ЕЭЗ — Персональные данные, обработка которых регулируется законами о защите данных соответствующей Страны Расширенной ЕЭЗ.

Страна, не входящая в Расширенную ЕЭЗ — Швейцария или Великобритания.

Общий регламент защиты персональных данных означает Регламент (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 года (Общий регламент защиты данных).

Персональные данные Guidepoint — любые Персональные данные, которые Guidepoint предоставляет Клиенту и/или его Аффилированным лицам в соответствии с Соглашением.

Guidepoint означает Guidepoint Global, LLC или соответствующее подразделение Guidepoint, указанное в Соглашении.

Персональные данные — любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу (идентифицируемое физическое лицо — это лицо, которое может быть идентифицировано прямо или косвенно, в частности, по идентификационному номеру или по одному или нескольким факторам, относящимся к физической, физиологической, психической, экономической, культурной или социальной идентичности этого физического лица).

Нарушение персональных данных — нарушение безопасности, которое привело или может привести к случайному, несанкционированному или незаконному уничтожению, потере, изменению, раскрытию, доступу или шифрованию персональных данных, переданных, сохраненных или иным образом обработанных.

Обработка или Обрабатывание означает любое действие или набор действий, которые осуществляются с Персональными данными, включающие автоматические средства, такие как сбор, запись, систематизацию, хранение, адаптацию или изменение, поиск, запрос, использование, раскрытие путем передачи, распространения или иного предоставления доступа, согласования или комбинирования, блокирования, стирания или уничтожения.

Стандартные договорные положения означают стандартные договорные положения о передаче Персональных данных в третьи страны в соответствии с Регламентом (ЕС) 2016/679 Европейского парламента и Совета, принятым решением Европейской комиссии от 4 июня 2021 года и опубликованным под номером документа C(2021) 3972 (доступен по адресу https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?locale=en&uri=CELEX:32021D0914).

Третья страна — страна, которая не считается подходящей для получения Персональных данных в Расширенной зоне ЕЭЗ в соответствии с законодательством о защите данных соответствующей Страны Расширенной зоны ЕЭЗ.

Передающая организация-заказчик — Клиент или любое из его Аффилированных лиц, которые передают или способствуют передаче Персональных данных из Расширенной ЕЭЗ непосредственно в Guidepoint.

Передаваемые Персональные данные — Персональные данные Клиента и/или Персональные данные Guidepoint, которые также являются Персональными данными Расширенной ЕЭЗ и которые передаются (a) Передающей организацией-заказчиком компании Guidepoint; или (b) компанией Guidepoint Клиенту (в зависимости от ситуации) в соответствии с настоящем Дополнительным соглашении о совместном использовании данных.

Адендум для Великобритании — шаблон Адендума B1.0, выпущенный Управлением комиссара по информации Великобритании и представленный в парламент в соответствии с разделом s119A Закона о защите данных 2018 года 2 февраля 2022 года и вступивший в силу 21 марта 2022 года, в редакции, предусмотренной разделом 18 Обязательных положений Великобритании (доступно по адресу international-data-transfer-addendum.pdf (ico.org.uk)).

Общий Регламент о Защите Персональных Данных Великобритании означает Общий Регламент о Защите Персональных Данных с поправками и переносом в законодательство Соединенного Королевства в соответствии с Законом о выходе из Европейского союза 2018 года и Законом о выходе из Европейского союза 2020 года.

Обязательные положения для Великобритании означают обязательные положения Дополнения Великобритании, которые время от времени обновляются и заменяются любой окончательной версией, опубликованной Управлением комиссара по информации.

2. Независимые контроллеры данных

2.1 Стороны признают и соглашаются, что каждая из них будет действовать как независимый Контроллер в отношении обработки переданных персональных данных.

2.2 Каждая Сторона несет ответственность за соблюдение обязательств, налагаемых на Контроллера Законами о защите данных, включая ведение или осуществление любых регистраций и/или получение любых разрешений, требуемых Законами о защите данных в отношении их соответствующего получения и обработки переданных Персональных данных в рамках Соглашения.

2.3 Каждая Сторона несет ответственность за то, чтобы перед передачей персональных данных Guidepoint или Персональных данных Клиента другой Стороне, передающая Сторона обеспечила информирование соответствующих Субъектов данных (если это требуется в соответствии с законодательством о защите данных) о передаче.

2.4 Целью обработки персональных данных Guidepoint Клиентом является выполнение обязательств по Соглашению, а также иные цели, указанные в Приложении 1 (Детали обработки данных) (далее — «Цель»). Типы персональных данных, обрабатываемых в рамках Соглашения, и категории Субъектов данных дополнительно указаны в Приложении 1 (Детали обработки данных).

3. Обязательства Клиента

3.1 Клиент обязан:

(a) обрабатывать Персональные данные Guidepoint только для достижения Цели, всегда делать это в соответствии с Законами о защите данных, не объединять Персональные данные Guidepoint с любыми другими данными и не использовать их в нарушение Соглашения или в ущерб интересам, основным правам и свободам Субъектов данных;

(b) принимать соответствующие процедурные, технические и организационные меры для предотвращения незаконного раскрытия, несанкционированной обработки или случайной потери, уничтожения, повреждения или изменения Персональных данных Guidepoint, находящихся в его распоряжении или под его контролем;

(c) при условии соблюдения разумных и надлежащих обязательств по обеспечению конфиденциальности, разрешать Guidepoint (или его уполномоченному представителю) проводить проверки и аудит своей деятельности по обработке данных (и/или деятельности своих агентов, дочерних компаний и/или субподрядчиков, которые обрабатывают Персональные данные Guidepoint от имени Клиента) и выполнять все разумные запросы или указания Guidepoint с целью проверки и/или обеспечения полного соблюдения Клиентом своих обязательств по защите данных в рамках Соглашения и принимать меры по устранению ситуации, которые Guidepoint потребует после проведения такой проверки;

(d) прекратить обработку персональных данных Guidepoint по требованию Guidepoint в случае нарушения Клиентом условий Соглашения;

(e) при прекращении действия Соглашения по любой причине или по письменному запросу Guidepoint в соответствии с пунктом 3.1(d) выше, немедленно прекратить обработку любых Персональных данных Guidepoint, полученных от или от имени Guidepoint в рамках Соглашения, и вернуть Guidepoint или уничтожить (по усмотрению Guidepoint) любые Персональные данные Guidepoint, находящиеся в его распоряжении или под его контролем (если только применимое законодательство не требует продолжения хранения таких Персональных данных Guidepoint);

(f) немедленно уведомить Guidepoint о любом фактическом или потенциальном нарушении персональных данных, жалобе или запросе Субъекта данных в отношении использования им (или его агентами или субподрядчиками) персональных данных Guidepoint и незамедлительно предоставить Guidepoint подробную информацию о реакции на нарушение персональных данных, разрешение жалобы или запроса Субъекта данных по запросу Guidepoint; и

(g) вести надлежащий учет всех операций по обработке Персональных данных Guidepoint.

4. Передача данных

Применение стандартных договорных положений

4.1 В случае если:

(a) Передающая организация-заказчик (как Экспортер данных) передает или способствует передаче Передаваемых персональных данных непосредственно Guidepoint (как Импортеру данных) в Третьей стране; или

(b) Guidepoint передает (в качестве Экспортера данных) или содействует передаче переданных Персональных данных Клиенту или его Аффилированным лицам (в качестве импортера данных) в Третьей стране, будут применяться Стандартные договорные условия, как указано в пункте 4.4 ниже, если не применяются другие ограничения или отступления в отношении экспорта данных, признанные законами о защите данных соответствующей Страны Расширенной ЕЭЗ. В отношении Стандартных договорных условий стороны Стандартных договорных условий могут выступать в качестве Импортера данных и/или Экспортера данных и/или Контроллера, в каждом случае, как указано в пункте 4.4 ниже.

4.2 Если Передающая организация-заказчик передает Персональные данные компании Guidepoint, расположенной не в третьей стране, Стандартные положения договора не применяются. В данных случаях Guidepoint несет ответственность за обеспечение соответствия любого экспорта переданных персональных данных Guidepoint в третью страну действующему законодательству о защите данных.

4.3 Если Guidepoint передает Персональные данные Клиенту, не находящемуся в Третьей Стране, Стандартные договорные положения не применяются. В таких случаях Клиент несет ответственность за обеспечение того, чтобы любой экспорт Передаваемых Персональных данных Клиентом в третью страну соответствовал действующему законодательству о защите данных. Включение и интерпретация Стандартных договорных положений (включая, в случае необходимости, Дополнительное соглашение для Великобритании):

4.4 В соответствии с пунктом 4.1, Стандартные договорные положения включены в данный документ посредством ссылки. Если применимые разделы Стандартных договорных условий требуют от Экспортера и Импортера данных выбора модуля, стороны Стандартных договорных условий признают, что Модуль 1 Стандартных договорных условий (Передача контроллера к контроллеру) применяется в соответствии с приведенной ниже таблицей ниже.

Data Sharing Table

Parties' Roles	Applicable module in the Standard Contractual Clauses	Description of the transfer (to complete Annex I, Part B of the Standard Contractual Clauses)
Guidepoint (Data Importer): Controller Client or Client Affiliate (Data Exporter): Controller	Module One	Part A of the Appendix of this Data Sharing Addendum
Guidepoint (Data Exporter): Controller Client or Client Affiliate (Data Importer): Controller	Module One	Part B of the Appendix of this Data Sharing Addendum

4.5 Стандартные договорные положения представляют собой отдельное соглашение между каждым Импортером данных и Экспортером данных. Общие положения

4.6 Если какое-либо положение или часть положения настоящего Дополнительного соглашения о совместном использовании данных приводит к тому, что Стандартные договорные условия делают недействительным экспортный механизм в соответствующей Стране Расширенной ЕЭЗ, оно должно быть аннулировано, но это не влияет на действительность и применимость остальных положений настоящего Дополнительного соглашения о совместном использовании данных, и Стороны должны добросовестно провести переговоры для согласования заменяющего положения, которое в максимально возможной степени обеспечивает достижение запланированного коммерческого результата первоначального положения.

4.7 За исключением случаев, когда Стандартные договорные условия или Закон о защите данных Страны Расширенной ЕЭЗ требуют иного, Стандартные договорные условия регулируются законодательством Республики Ирландия и подлежат юрисдикции судов Республики Ирландии.

4.8 Для целей Приложения I, Раздел C (Компетентный надзорный орган) Стандартных договорных условий, надзорным органом является:

(i) если Экспортер данных создан на территории ЕС — надзорный орган государства-члена ЕС, в котором создан Экспортер данных;

(ii) если Экспортер данных создан за пределами ЕС в Стране расширенной ЕЭЗ — надзорный орган Страны Расширенной ЕЭЗ, в которой создан Экспортер данных;

(iii) если Экспортер данных создан в стране, которая не является Страной Расширенной ЕЭЗ, а Персональные данные были получены в ЕС — надзорный орган в стране-члене ЕС, в которой Экспортер данных назначил Представителя ЕС в соответствии со Статьей 27(2) Общего Регламента Защиты Персональных Данных. Если представитель ЕС не был назначен, надзорным органом является надзорный орган Республики Ирландия; и

(iv) если Экспортер данных создан в стране, не являющейся Страной Расширенной ЕЭЗ, а Персональные данные были получены в Стране Расширенной ЕЭЗ, которая не входит в ЕС — надзорный орган Страны Расширенной ЕЭЗ, из которой были получены Персональные данные.

4.9 В соответствии с пунктом 4.11 ниже, если соответствующая Страна Расширенной ЕЭЗ, в которой учрежден Экспортер данных или из которой были переданы Персональные данные, не является страной-членом ЕС, предусмотрены следующие ссылки в Стандартных договорных условиях:

(a) «Европейский союз», «Союз», «ЕС», «государство-член», «государство-член ЕС» означают применимую Страну Расширенной ЕЭЗ, в которой учрежден Экспортер данных или из которой переданные Персональные данные были получены;

(b) «Регламент (ЕС) 2016/679» означает применимое законодательство о защите данных Страны Расширенной ЕЭЗ, в которой создан Экспортер данных или откуда были переданы Персональные данные; и

(c) «контролирующий орган» означает соответствующий орган по защите данных в Стране Расширенной ЕЭЗ.

4.10 Если передача Персональных данных Импортеру данных подпадает под действие Общего Регламента Защиты Персональных Данных Великобритании, Стандартные условия договора будут дополнены Дополнительным соглашением для Великобритании, а Раздел 1 Утвержденного дополнительного соглашения для Великобритании будет заполнена, как указано ниже:

(a) Таблица 1. Датой начала будет считаться дата вступления в силу настоящего дополнительного соглашения о совместном использовании данных. Сторонами являются Клиент или Аффилированное лицо Клиента и Guidepoint или Аффилированное лицо Guidepoint.

(b) Таблица 2. Модуль 1 — это модуль Стандартных договорных условий в соответствии с пунктом 4.4 настоящего Дополнительного соглашения о совместном использовании данных.

(c) «Информация о Приложении» указана в пунктах 4.11(a)–4.11(d) настоящего Дополнения о совместном использовании данных.

(d) Таблица 4. Стороны могут прекратить действие Дополнительного соглашения для Великобритании в соответствии с пунктом 19 Обязательных положений для Великобритании.

4.11 Приложения к Стандартным договорным положениям должны быть заполнены следующим образом:

(a) Приложение I, Раздел A (Список сторон) Стандартных договорных условий заполняется посредством ссылки на соответствующие роли Клиента или Аффилированного лица Клиента и Guidepoint или Аффилированного лица Guidepoint, указанные в соответствующем разделе «Роли сторон» таблицы в пункте 4.4 выше, и сведения о таких сторонах, указанные в Соглашении;

(b) Приложение I, Раздел Б (Описание передачи) Стандартных договорных условий должно быть заполнено с использованием информации, указанной в соответствующей графе «Описание передачи» таблицы, приведенной в пункте 4.4 выше;

(c) Приложение I, Раздел C (Компетентный надзорный орган) Стандартных договорных условий должно быть дополнено ссылкой на пункт 4.7 выше; и

(d) Приложение II (Технические и организационные меры, включая технические и организационные меры по обеспечению безопасности данных) Стандартных договорных условий настоящим считается выполненным следующим образом: Импортер данных осуществляет и поддерживает технические и организационные меры безопасности для адекватной защиты Персональных данных Экспортера данных от рисков, присущих обработке Персональных данных для целей, определенных в Соглашении, и рисков несанкционированной или незаконной обработки, а также уничтожения, повреждения, неправомерного использования, в каждом случае, как указано в Приложении 2 к настоящему Дополнению о совместном использовании данных, включая любые соответствующие дополнения или приложения, определяющие требования безопасности, такие как приложение о требованиях безопасности, и любые дополнительные технические и организационные меры безопасности, о которых Импортер данных время от времени уведомляет Экспортера данных.

4.12 В случае противоречия между Стандартными условиями договора и настоящим Дополнением о совместном использовании данных и/или Соглашением (включая любые дополнения) (в зависимости от ситуации), преимущественную силу имеют Стандартные условия договора.

5. Общие сведения

5.1 Ответственность

(a) Стороны соглашаются, что никакие ограничения ответственности, изложенные в Соглашении, не будут применяться к ответственности любой стороны перед Субъектами данных в соответствии с положениями о третьих лицах-выгодоприобретателях в Стандартных договорных положениях в той степени, в которой такие ограничения запрещены Законами о защите данных.

(b) Несмотря на пункт 4.12, Стороны соглашаются, что все обязательства между ними и/или их Аффилированными лицами в соответствии со Стандартными договорными условиями будут регулироваться ограничениями ответственности, изложенными в Соглашении, за исключением случаев, запрещенных действующим законодательством.

5.2 Юридическая сила

Настоящее Дополнение о совместном использовании данных (которое включается в Соглашение и является его неотъемлемой частью) представляет собой полное соглашение и понимание между Сторонами и заменяет собой все предыдущие и современные устные и письменные переговоры, соглашения и договоренности, если таковые имеются, по конкретному предмету настоящего Дополнения о совместном использовании данных, и настоящее Дополнение о совместном использовании данных не может быть изменено иначе как в соответствии с письменным соглашением, подписанным уполномоченным представителем каждой Стороны.

ПРИЛОЖЕНИЕ 1

Детали обработки данных

РАЗДЕЛ A — Контроллер — Контроллер (Guidepoint в качестве импортера данных)
Категории субъектов данных, чьи персональные данные передаются: Персонал, работающий в Передающей организации-заказчике.

• Работники (включая самозанятых)
• Конечные пользователи
• Независимые подрядчики
• Инвесторы
• Владельцы
• Другие значимые лица, имеющие отношение к бизнесу

Категории передаваемых персональных данных: Передаваемые Персональные данные касаются следующих категорий данных, каждая из которых относится к персоналу Передающей организации-заказчика:

1. Имя
2. Контактная информация (включая адрес электронной почты, почтовый адрес и номер телефона)
3. IP-адреса
4. Файлы cookie в браузере
5. Идентификаторы устройств
6. Другая информация, предоставляемая по усмотрению Передающей организации-заказчика
7. Другая информация, необходимая для ведения бизнеса и предоставления услуг и поддержки Передающей организации-заказчику
8. Сопутствующая информация, связанная с персональными данными

Специальные категории передаваемых персональных данных (если применимо): Не указаны
Характер и цель (цели) передачи и дальнейшей обработки данных: Клиент обратился к услугам Guidepoint с целью получения консультационных услуг от экспертов в предметной области из глобальной профессиональной сети Guidepoint в соответствии с Соглашением. Предоставленные данные, относящиеся к перечисленным субъектам данных, используются для того, чтобы Guidepoint могла оказывать услуги и поддержку Клиенту или Передающей организации-заказчику в ходе обычной деятельности, включая обмен сообщениями для различных целей, связанных с бизнесом, соблюдением правовых норм (включая соблюдение Общего Регламента Защиты Персональных Данных и запись письменных инструкций) и другими соответствующими, предполагаемыми деловыми целями в рамках Соглашения.
Частота передачи: Насколько это необходимо для получения/предоставления услуг по Соглашению.
Срок, в течение которого будут храниться Персональные данные, или, если это невозможно, критерии, используемые для определения этого срока: Guidepoint будет хранить Персональные данные в соответствии с условиями Соглашения и своей коммерческой политикой хранения документов.

РАЗДЕЛ Б — От контроллера к контроллеру (Guidepoint в качестве Экспортера данных)
Категории субъектов данных, чьи персональные данные передаются: Сотрудники и советники компании Guidepoint.

Категории передаваемых персональных данных: Передаваемые Персональные данные касаются следующих категорий данных, каждая из которых относится к персоналу компании Guidepoint и ее консультантов:

1. Имя
2. Контактные данные (включая рабочий или личный адрес электронной почты, почтовый адрес и номер телефона)
3. IP-адреса
4. Файлы cookie в браузере
5. Идентификаторы устройств
6. Другая информация, предоставляемая по усмотрению Передающей организации-заказчика
7. Другая информация, необходимая для ведения бизнеса и предоставления услуг и поддержки Передающей организации-заказчику
8. Сопутствующая информация, связанная с персональными данными

Специальные категории передаваемых персональных данных (если применимо): Не указаны
Характер и цель (цели) передачи и дальнейшей обработки данных: Клиент обращается к услугам Guidepoint с целью получения консультационных услуг от экспертов в предметной области из глобальной профессиональной сети Guidepoint («Консультанты») в соответствии с Соглашением. Предоставленные данные, относящиеся к перечисленным субъектам данных, используются для оказания Guidepoint услуг и поддержки Клиента или Передающей организации-заказчика в ходе обычной деятельности, включая обмен информацией для различных целей, связанных с бизнесом, соблюдением правовых норм (включая соблюдение Общего Регламента Защиты Персональных Данных и запись письменных инструкций) и другими соответствующими, предполагаемыми деловыми целями в рамках Соглашения.
Частота передачи: Насколько это необходимо для получения/предоставления услуг по Соглашению.
Срок, в течение которого будут храниться Персональные данные, или, если это невозможно, критерии, используемые для определения этого срока: Клиент (включая Аффилированных лиц Клиента) хранит Персональные данные в соответствии с условиями Соглашения.
При передаче (суб-)обработчикам также укажите предмет, характер и продолжительность обработки: Н/Д

ПРИЛОЖЕНИЕ 2

ТЕХНИЧЕСКИЕ И ОРГАНИЗАЦИОННЫЕ МЕРЫ, ВКЛЮЧАЯ ТЕХНИЧЕСКИЕ И ОРГАНИЗАЦИОННЫЕ МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ДАННЫХ

Импортер данных обязан принять как минимум следующие меры:

• Письменная программа или план обеспечения безопасности
• План аварийного восстановления
• План реагирования на инциденты
• Сегментация сети
• Брандмауэры
• Устройства предотвращения вторжений
• Шифрование в пути и в покое
• Антивирусная защита
• Менеджер паролей
• Доступ на основе ролей
• Регулярное исправление и обновление критических систем и других систем, подключенных к критическим системам
• Обучение пользователей
• Справочник сотрудника
• Защита от спама
• Практика безопасного кодирования