Дополнение о требованиях Европейского Союза в области обработки и защиты персональных данных

Choose your language:

Перевод предоставляется исключительно для удобства, и в случае любых расхождений в значении или интерпретации между переводом и текстом на английском языке, английская версия имеет преимущественную силу.

Дополнение о требованиях Европейского Союза в области обработки и защиты персональных данных

Настоящее Дополнение о требованиях в области обработки персональных данных (далее по тексту «Дополнение») является частью, а также дополняет Договор об общих директивах для консультантов, положениях и условиях сотрудничества компании «Гайдпоинт Глоубал, Эл Эл Си» (Guidepoint Global, LLC) и Консультанта (далее по тексту «Договор»). Настоящий Договор заключен между компанией «Гайдпоинт Глоубал, Эл Эл Си» (Guidepoint Global, LLC), зарегистрированной по адресу 10017 штат Нью-Йорк, Нью-Йорк, 3-ее Авеню 730 (730 ThirdAvenue, NewYork, NY 10017) (далее «Обработчик» и/или «Импортер данных»), с одной стороны, и Консультантом («Оператор» и/или «Экспортер данных») с другой стороны, и подтверждает, что стороны ознакомлены, не имеют возражений и соглашаются с положениями и условиями Дополнения. Настоящее Дополнение подписано и вступает в силу в дату вступления в силу Договора или 25 мая 2018 года (далее по тексту «Дата вступления в силу»).  Оператор и Обработчик далее по тексту обозначаются как «Сторона» или «Стороны» вместе.

 

В целях настоящего Дополнения и до вступления в силу иных соглашений, условия и положения, указанные в документе имеют юридическую силу наравне с Требованиями Европейского Союза в области обработки и защиты персональных Данных  («Требования ЕС») или Стандартными договорными условиями о передаче персональных данных обработчикам данных, принятыми в третьих странах и указанными в приложении Постановления Европейской Комиссии 2010/87/EC о стандартных договорных условиях передачи персональных данных обработчикам, принятого в третьих странах от 5 февраля 2010 года (далее по тексту «Стандартные договорные условия» или «Положения», оговариваемые в Приложении 1).

 

Настоящее Дополнение относится к персональным данным, полученным о Субъектах данных Европейского Союза от третьих лиц или предоставленных от самих Субъектов данных. Данное Дополнение в соответствующей части относится к любым персональным данным, проходящим обработку в Европейском Союзе.

 

ПОЛОЖЕНИЯ

ПОСКОЛЬКУ,в соответствии с положениями Обработчика об услугах, предоставляемых по данному Договору, Обработчик имеет право получать в пользование или хранить, обрабатывать или получать доступ к определенным файлам данных, которые могут содержать Персональные данные, определенные в Требованиях ЕС, что далее указывается в Приложении 1 к данному документу; и

ПОСКОЛЬКУ,  Стороны желают утвердить важность адекватных мер безопасности для обеспечения конфиденциальности Субъекта данных в соответствии с Требованиями ЕС и тем самым желают дополнить Договор указанными далее условиями и положениями; и

ПОСКОЛЬКУ, Европейские законы защиты данных требуют от экспортеров данных в странах Европейского союза/Европейской экономической зоны разрабатыватьадекватные меры защиты при передаче Персональных данных в страны, не принадлежащие Европейскому союзу/ Европейской Экономической Зоне,  атакже при условии, что такие меры защиты могут быть добавлены по запросу импортеров данных в Стандартные договорные условия передачи персональных данных в третьи страны в соответствии с Постановлениями Комиссии  2004/915/EC от 27 декабря 2004 года (в качестве дополнения или изменения),

ТО С УЧЕТОМ ВЫШЕИЗЛОЖЕННОГО,на основании взаимного соглашения и вышеупомянутыхусловий, а в целях надлежащего встречного удовлетворения, получение и достаточность которого настоящим подтверждается, Стороны настоящего Договора договорились о нижеследующем:  

 

ПОПРАВКИ К ДОГОВОРУ

1. ПОПРАВКИ К ДОГОВОРУ
1.1. Поправка.  Стороны настоящим соглашаются, что в Договор должны быть внесены поправки внесением настоящего Дополнения.

 

1.2. Действие Дополнения.  Все положения Договора об услугах, косвенно измененные или дополненные нижеследующими положениями, остаются действительными и действующими в полной юридической силе. В случае любых неразрешимых противоречий между положениями настоящего Дополнения и любых положений Договора об услугах положения настоящего Дополнения имеют высшую силу.  В случае, если любое положение настоящего Дополнения недействительно, остальные положения настоящего Дополнения не теряют своей силы, каждое условие и положение настоящего документа остается действительным и сохраняет полную юридическую силу в рамках законодательства.

 

1.3. Дальнейшие Поправки.  Положения Договора, включая положения настоящего документа не могут быть изменены, заменены или дополнены, исключаются освобождение или уклонение от исполнения условий Договора без предварительного письменного разрешения на то от уполномоченного представителя каждого из Сторон. Ниодин отказ любой из Сторон от выполнения обязательств, искажение или нарушение нижеследующих гарантии или соглашения, как намеренного, так и случайного характера, не распространяется на любой предшествующий или последующий отказ от исполнения, искажение или нарушение нижеследующих гарантии или соглашения и не должны оказывать влияние на любые права, возникающие в связи с любым предшествующим или последующим подобным событием.    
2. ОБРАБОТКА ДАННЫХ

 

2.1 Инструкция от Оператора.  Обработчик имеет право обрабатывать Персональные данные Оператора только в интересах и от лица Оператора в соответствии с документальными инструкциями от Оператора. Стороны однозначно договариваются и соглашаются, что Договор, включая применимые соглашения об уровне обслуживания и аналогичные документы, представляют собой письменные инструкции Оператора для Обработчика. Иные дополнительные инструкции по обработке данных должны совместно согласовываться в письменной форме двумя Сторонами. Обработчик обязуется незамедлительно информировать Оператора о случаях нарушения инструкцией действующего законодательства.
2.2 Право передачи Обработчику.  Оператор заявляет и гарантирует, что Оператор имеет основания и право, включая разрешение в случае необходимости на законном основании передавать Обработчику все Персональные данные и иные данные или информацию, связанную с доступом или пользованием Оператором Услугами.
2.3 Соответствие с Применимым законодательством.  Оператор заявляет и гарантирует, что инструкции составлены в соответствии с применимым международным, федеральным, государственным, провинциальным или местным законодательством, правилами, директивами и актуальными государственными запросами, имеющими силу в отношении приватности, конфиденциальности и/или зашиты Персональных данных, включая, но не ограничиваясь Требованиями ЕС; (2) применимыми производственными стандартами относительно приватности, защиты данных, конфиденциальности или безопасности информации, включая, но не ограничиваясь  Стандартом безопасности данных индустрии платежных карт (PCI/DSS); и (3) применимыми  положениями требований Обработчика, изложенных в письменном виде, относительно приватности, конфиденциальности и/или безопасности Персональных данных или действующей политики конфиденциальности,  заявлений или уведомлений со стороны Обработчика Оператору в письменном виде (в совокупности  «Применимое законодательство»).
3. СТОРОННИЕ ОБРАБОТЧИКИ

 

3.1 Привлечение Сторонних обработчиков. Оператор признает и соглашается, что (а) Обработчик имеет право удерживать любое лицо, которое находится под контролем, контролирует или находится под общим контролем с Обработчиком («Аффилированные лица») в связи с предоставлением услуг; (б) Обработчик и Аффилированные лицаОбработчика имеют право нанимать третьих лиц для обработки данных в связи в предоставлением услуг (в совокупности “Сторонние обработчики»).
3.2 Обязательства Сторонних обработчиков.  Каждый из Сторонних обработчиков получает право обрабатывать Персональные данные только в случае необходимости предоставления услуг, в связи с которыми Обработчик нанимает их, такие Сторонние обработчики не имеют права обрабатывать Персональные данные в каких-либо иных целях. Такие Сторонние обработчики обязуются предоставлять услуги в соответствии с письменным соглашением, содержащим правила защиты данных, изложенные в настоящем документе. Обработчик несет ответственность перед Оператором за действие и бездействие Сторонних обработчиков в полной мере, как и Оператор несет ответственность за исполнение услуг каждым из Сторонних обработчиков строго в соответствии с положениями и условиями настоящего Дополнения, если иное не оговаривается в Договоре.
3.3 Список Сторонних обработчиков. По запросу Оператора Обработчик обязуется предоставить Оператору актуальный список Сторонних обработчиков для индивидуальной административной работы с таковыми (далее «Список Сторонних обработчиков»).
4. КОНФИДЕНЦИАЛЬНОСТЬ
4.1 Конфиденциальность.  Обработчик обязуется обращаться с Персональными данными Оператора конфиденциально. Обработчик гарантирует, что его персонал, задействованный в обработке Персональных данных Оператора, информирован о конфиденциальной природе Персональных данных, прошел необходимую подготовку и обучение по их обязанностям, а также несет ответственность действовать конфиденциально на протяжении всего срока найма от Обработчика.
5. БЕЗОПАСНОСТЬ

 

5.1 Мерыбезопасности.Обработчик обязуется применять соответствующие технические и организационные меры безопасности, конфиденциальности, неприкосновенности и доступности в соответствии с положениями, перечисленными далее в Приложении 2.
5.2 Уведомление о нарушении безопасности данных.  Обработчик обязуется оперативно и незамедлительно оповещать Оператора о любом нарушении безопасности, влекущему к случайному или неправомерному удалению, утере, изменению или раскрытию, или доступу к Персональным данным Оператора («Нарушение данных») после получения информации о Нарушении данных.  Уведомление (я) о Нарушении данных (в случае возникновения таковых) передаются Оператору по каналам связи и контактам согласно договоренности Сторон. Оператор несет единоличную ответственность за поддержание корректности работы канала связи и достоверности контактов, предназначенных для получения таких уведомлений.  I
6. ПОДДЕРЖКА ОПЕРАТОРА

 

6.1 ПраваСубъектовданных.Принимая во внимание природу обработки Обработчик при возникновении возможности будет обеспечивать Оператора коммерчески разумной поддержкой для удовлетворения обязательств Оператора по реагированию на запросы по осуществлению прав Субъектов данных на основании Требований ЕС, изложенных в статьях 12-23.
6.2 Оценка воздействия мер безопасности и защиты данных. Обработчик будет предоставлять коммерчески разумную поддержку Оператора с целью удовлетворения обязательств Оператора в соответствии с Требованиями ЕС, изложенными в статье 32 (безопасность обработки) и статье 36 (предварительное консультирование), в подходящих и целесообразных случаях с учетом природы обработки и информации, доступной Обработчику.  
6.3 Аудиты и проверки. В рамка ограничений, связанных с безопасностью систем или неприкосновенностью файлов данных, связанных с деятельностью Обработчика,Обработчик обязуется предоставлять Оператору информацию, подтверждающую соблюдение обязательств в соответствии с Требованиями ЕС, изложенными в статье 28. Обработчики обязуются давать разрешение и содействовать процессам аудита, включая проверки, проводимые Оператором или иным аудитором, назначенным Оператором. Оператор возмещает затраты Обработчика за любое время, затраченное на каждый такой аудит на месте по установленным Обработчиком актуальным на тот период времени ставкам на профессиональные услуги, которые предоставляются Оператору по запросу. Перед началом реализации любого такого аудита на месте Оператор и Обработчик обоюдно соглашаются по вопросам объема, времени и длительности аудита в дополнении к ставке возмещения затрат, по которой Оператор несет ответственность. Стороны совместно разрабатывают график аудита, взаимно удобный Сторонам, во избежание необоснованных срывов бизнес процессов Обработчика. Ставки в отношении возмещения затрат должны быть разумными с учетом затраченных Обработчиком ресурсов. Если иное не оговаривается в письменном виде Сторонами, Оператор обязуется покрыть расходы Обработчика, связанные с проведением аудитов, на основании настоящих положений. Оператор обязуется оперативно уведомлять Обработчика о любых нарушениях, обнаруженных в процессе аудита относительно услуг или настоящего Договора.
7. ПЕРЕДАЧА ДАННЫХ

 

7.1 Передача данных в Соединенные Штаты Америки.  Оператор настоящим признает, что часть Услуг или все Услуги могут быть предоставлены и/или организованы с территории Соединенных Штатов, и юрисдикция Европейского Союза характеризуется отсутствием соответствующих норм юридической защиты Персональных данных. Оператор настоящим дает согласие на передачу Персональных данных Оператора в соединенные Штаты в целях исполнения обслуживания Обработчиком и действия на основании Договора. Такие передачи данных проводятся на основании настоящего Договора, включая Приложение 1 (Стандартные договорные условия).
8. УДАЛЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

8.1 Удаление или возврат Персональных данных Оператора.  Если иное не требуется по законодательству или не разрешено применимой производственной практикой для соответствующего снижения юридического риска или в целях закрепления требований Оператора по отношению к письменным инструкциям, Обработчик соглашается удалять или возвращать Персональные данные Оператора в течение оговоренного периода времени: (1) по завершению предоставления Услуг по обработке данных или (2) по письменному авторизованному запросу Оператора.

8.1 Подтверждение.Стороны соглашаются, что подтверждение удаления Персональных данных, оговариваемое в Положении 12(1) Приложения 1 (Стандартные договорные условия) должна быть предоставлена Обработчиком Оператору по запросу Оператора в рамках действующего законодательства.
9. КОМПЕНСАЦИЯ

 

9.1 Компенсация.  Оператор соглашается возмещать Убытки и ограждать Обработчика и его аффилированных лиц, а также их соответствующих настоящих, будущих и прошлых офисных работников, наемных лиц, директоров, агентов, правопреемников и правоприобретателей (совместно «Заместители Обработчика»), а также по выбору Обработчика в сторону защиты, любых и всех Убытков (описано ниже), которые Заместители Обработчика могут понести, в том случае если такие Убытки возникают в связи или могут быть обусловлены:   (1) любым нарушением настоящего Дополнения и/или  (2) неосторожностью, халатностью, недобросовестностью, мошенническими действиями или упущениями, или намеренному или желаемому нарушению требований Оператора или его персонала в соответствии с обязательствами, указанными в настоящем Дополнении.   В целях настоящего Дополнения «Убытки» означают все судебные разбирательства, правовые урегулирования, гонорары адвокатов, ущерб, штрафы, ответственность, наказания, процентные взыскания (включая налоги или все расходы, связанные с процентами или наказанием), а также все соответствующие разумные расходы и другие суммы (включая все разумные гонорары адвокатов и разумные внутренние и внешние расходы на расследования, судебные разбирательства, иски, слушания, производство документов и данных и раскрытие, урегулирование, разбирательства, гонорары, процентные ставки и наказания).
10. ПРОЧИЕ ПОЛОЖЕНИЯ

 

10.1. Партнеры.Настоящее Дополнение подписывается с двух сторон, причем каждый из экземпляров документов является оригиналом и совместно представляет собой единый документ.  

 

10.2. Срок действия и прекращение действия. Все уведомления о прекращении действия документа должны направляться в письменном виде и быть составлены в соответствии с процедурами прекращения действия, обозначенными в Договоре.  Если Стороны не договорились об ином в письменном виде, настоящее Дополнение имеет юридическую силу до даты срока истечения Договора.

 

10.3. Соблюдение сроков действия. Права и обязанности каждой из Сторон, которые по своей природе имеют силу после завершения действия или расторжения настоящего Дополнения, включая, но не ограничиваясь обязательствами относительно конфиденциальности, должны соблюдаться до конца действия или расторжения настоящего Дополнения.  

 

10.4. Общий Договор. Настоящее Дополнение (которое является составляющей частью Договора и формирует с ним цельный документ) дополняет общий Договор и формирует понимание между Сторонами и имеет преимущественную силу над предыдущими и относящимся к соответствующему  периоду времени устными или письменными переговорами, соглашениями или процессами (если таковые имеются) по вопросам, обозначенным в настоящем Дополнении, а также в настоящее Дополнение не могут вноситься поправки, за исключением взаимного письменного соглашения, подписанного авторизованными представителями каждой из Сторон.
10.5. Делимость.В случае недействительности, нелегальности или наличия неприменимого в каком-либо законодательстве одного из положений настоящего Дополнения, такое положение является недействительным в меру такой недействительности, нелегальности или неприменимости, не оказывая влияния на действительность, легальность или применимость остальных положений; а также недействительно определённых положений в соответствующем законодательстве не оказывает влияние на действительность таких положений в любом другом законодательстве.

Приложение 1

Стандартные договорные условия (обработчики)

В целях удовлетворения Требований ЕС и статьи 26(2) Сборника указаний 95/46/EC по передаче персональных данных Обработчикам, зарегистрированным в третьих странах, которые не гарантируют надлежащий уровень защиты данных, Импортер данных и Экспортер данных, каждый из которых являются по данному Договору «Стороной», совместно «Сторонами»,

ДОГОВОРИЛИСЬ о нижеследующих Договорных положениях (Положения) в целях введения соответствующих мер безопасности в связи с обеспечением конфиденциальности и фундаментальных прав и свобод лиц при передаче Экспортером данных Импортеру данных Персональных данных на основании Приложения 1.  

Положение 1

Определения

ВцеляхудовлетворенияПоложений:

(a)определения «персональные данные», «особая категория данных», «обрабатывать/обработка», «оператор», «обработчик», «субъект данных» и «надзирательный орган» должны иметь одинаковое значение, как в Сборнике указаний95/46/EC Европейского парламента и Европейского совета от 24 октября 1995 года по защите индивидуумов относительно обработки персональных данных, так и при свободном движении таких данных;

(б)«экспортер данных» означает оператора, который передает персональные данные;

(в)«импортер данных» означает обработчика, который соглашается принимать от экспортера данных персональные данные с целью обработки от имени и на пользу экспортера в соответствии с инструкциями и условиями Положений, а также несет ответственность перед системой третьих стран, гарантируя соответствующую защиту в рамках  статьи 25(1) Сборника указаний 95/46/EC;

(г)«сторонний обработчик» является любым Обработчиком, нанятым со стороны импортера данных или иным сторонним Обработчиком импортера данных, который соглашается получать персональные данные от импортера данных или от иного стороннего обработчика импортёра данных исключительно в целях обработки от имени и на пользу экспортера данных в соответствии с инструкциями от такового, а также условиями Положений и условиями договора субподряда;

(д)«применимое законодательство в области защиты данных» означает законодательство, направленное на защиту фундаментальных прав и свобод лиц, и, в частности, их права на конфиденциальность в целях обработки персональных данных, применимого к оператору данных в стране-участнике, в которой экспортер данных зарегистрирован;

(е)«технические и организационные меры безопасности» – меры, направленные на защиту персональных данных от случайных или незаконных нарушений или случайнойутери, ущерба, неавторизованного раскрытия или доступа, в частности, если обработка подразумевает передачу по сети, или от иных противозаконных форм обработки.  

Положение 2

Детали Передачи

Детали передачи, в частности, специальных категорий персональных данных на случай необходимости указаны в Приложении 1, которое формирует с Положениями цельный документ.

Положение 3

Положение о стороннем выгодоприобретателе  

1.Субъект данных может применять по отношению к экспортеру данных настоящее Положение, Положение 4(б) до (з), Положения 5(a) до (д), и (ё) to (и), Положение 6(1) and(2), Положение 7, Положение 8(2), и Положения 912 в качестве стороннего выгодоприобретателя.

2.Субъект данных может применять по отношению к импортеру данных настоящее Положение, Положение 5(a) до (д) и (ё), Положение 6, Положение 7, Положение 8(2), и Положения 9 до 12 в случаях, если экспортер данных фактически пропадает или прекращает существовать в законодательстве  до тех пор, пока какое-либо лицо-правопреемник не принимает все юридические обязательства экспортера данных по договору или в соответствии с применимым законодательством, в результате чего он принимает на себя права и обязанности экспортера данных, как следствие субъект данных  применяет настоящие Положения по отношению к такому лицу.

3.Субъект данных может применять по отношению сторонних обработчиков настоящее Положение, Положения 5(a) до (д) и (ё), Положение 6, Положение 7, Положение 8(2), и Положения 9 до 12, в случаях, если экспортер данных и импортер данных фактически исчезли или прекратили существовать в законодательстве или оказались банкротами, пока любое лицо-правопреемник  не приобретает все юридические обязательства экспортера данных по контракту  или в соответствии с законодательством, в результате чего оно принимает на себя права и обязанности экспортера данных, в таком случае субъект данных применяет такие Положения по отношению к такому лицу.  Такая ответственность стороннего обработчика ограничивается выполнением обработки в соответствии с Положениями.

4.Стороны не возражают, если субъект данных представлен ассоциацией или иныморганом при условии согласия субъекта данных и разрешения со стороны национальногозаконодательства.

Положение 4

Обязательства экспортера данных

Экспортер данных соглашается и гарантирует:

(а)что обработка, включая саму передачу, персональных данных была и будет проводиться в соответствии с соответствующими положениями применимого законодательства по защите данных (и при необходимости соответствующие органы страны-участника, в которой зарегистрирован экспортер данных, должны быть оповещены) и не нарушает соответствующих положений настоящей страны;

(б)что он проинструктировал, а также будет инструктировать импортера данных на протяжении всего срока обработки персональных данных о том, что при обработке персональных данных передача производится только от лица и на пользу экспортера данных и в соответствии с применимым законодательством по защите данных и настоящими Положениями;  

(в)что импортер данных будет предоставлять надлежащие гарантии в целях разработки технических и организационных мер безопасности, указанных в Приложении 1 настоящего договора;  

(г)что после оценки требований применимого законодательства по защите данных меры безопасности важны для защиты персональных данных от случайной или незаконной утери, ущерба, неавторизованного раскрытия или доступа, в частности, если обработка включает передачу данных по сети,  и по отношению иных незаконных форм обработки, а также что такие меры гарантируют соответствующий уровень защиты, адекватный рискам, возникающим в связи с обработкой и природой данных, которые требуют защиты в соответствии с современным состоянием и расходами на реализацию;  

(д)что он будет гарантировать соблюдение мер безопасности;

(е)что, в случае, если передача включает специальные категории данных, субъект данных информируется или будет информирован заблаговременно или как можно раньше после передачи о том, что данные могут быть переданы в третью страну без предоставления соответствующих мер защиты в рамках Сборника указаний 95/46/EC;

(ё)обязуется направлять уведомления, полученные от импортера данных или стороннего обработчика, на основании Положений 5(б) и 8(3) в надзорный орган защиты данных, если экспортер данных решает продолжать передачу или снять приостановку передачи;

(ж)предоставлять субъекту данных по запросу копию Положений, за исключением Приложения 2, а также заключительное описание мер безопасности, а также копию любого контракта со сторонними обработчиками, которые были заключены в соответствии с настоящими Положениями, причем если договор содержит коммерческую информацию, он имеет право удалить такую коммерческую информацию;

(з)что, в случае сторонней обработки, процесс обработки производится в соответствии с Положением 11 сторонним обработчиком, придерживающимся соответствующего уровня защиты персональных данных и соблюдающего права субъекта данных наравне с правами импортера данных в соответствии с Положениями; и

(и)что он гарантирует соблюдение Положений 4(a) до (з).

Положение 5

Обязательства импортера данных

Импортер данных соглашается и гарантирует:

(a)обрабатывать персональные данные только от лица и на пользу экспортера данных и в соответствии инструкций, полученных от него, и Положений; в случае невозможности соблюдения таковых ввиду разумных причин он соглашается оперативно информировать экспортера данных о невозможности соблюдения положений документов, в таком случае экспортер данных вправе приостановить и/или прекратить действие договора;

(б)что у него нет оснований считать, что применимое законодательство мешает выполнению инструкций, полученных от экспортера данных, а также его обязанностей по договору, и что в случае изменения законодательства, что может иметь негативный эффект на гарантии и обязанности по настоящим Положениям, он будет оперативно информировать об изменениях экспортера данных как можно раньше после получения информации, в случае чего экспортер данных имеет право приостановить и/или прекратить действие договора;  

(в)что он применяет технические и организационные меры безопасности, указанные в Приложении 2 перед началом обработки переданных персональных данных;

(г)что он оперативно будет оповещать экспортера данных о следующем:

(1)любом юридически обвязывающем запросе раскрытия персональных данных по принуждению властей, так как обратное запрещено, например, криминальное право запрещает сохранять конфиденциальность при юридически обвязывающем расследовании,  

(2)любом случайном или неавторизованном доступе, и

(3)любом запросе, полученном напрямую от субъектов данных, не отвечая на такой запрос, пока он не имеет разрешения на то;

(д)незамедлительно и должным образом реагировать на запросы экспортера данных всвязи с обработкой персональных данных с целью передачи и придерживаться указанийнадзирательного органа в связи с обработкой данных при передаче;

(е)по запросу экспортера данных предоставлять оборудование, используемое дляобработки данных, для аудита процесса обработки на основании Положений, которыйдолжен проводиться экспортером данных или инспекционным органом, состоящим изнезависимых членов и обладающим требуемыми профессиональными квалификациями и придерживающимся мер конфиденциальности, избранным экспортером данных, при необходимости по согласованию с надзорным органом;

(ё)предоставить по запросу субъекта данных копию Положений или действующего Договора о сторонней обработке при условии, что Положения или договор не содержат коммерческой информации, за исключением Приложения 2, которое должно заменяться общим описанием мер безопасности в подобных случаях, когда субъект данных не имеет возможности получить копию от экспортера данных;  

(ж)что в случае применения сторонней обработки, он будет предварительно информировать экспортера данных в письменной форме;

(з)что услуги по обработке, предоставляемые сторонним обработчиком, производятся в соответствии с Положением 11;

(и)незамедлительно направлять копию договора по сторонней обработке, заключенного на основании настоящих Положений, экспортеру данных.

Положение 6

Ответственность

1.Стороны соглашаются, что любой субъект данных, который подвергается ущербу в результате нарушения обязательств по Положению 3 или Положению 11 любой из сторон или сторонним обработчиком, имеет право получить компенсацию от экспортера данных за понесенный ущерб.

2.В случае, если субъект данных не имеет возможности направить заявление на компенсацию в соответствии с параграфом 1 в адрес экспортера данных, возникающее в связи с нарушением импортером данных или сторонним обработчиков любых обязательств по Положению 3 или 11, в связи с тем, что экспортер данных фактически исчез или прекратил существование в законодательстве или оказался банкротом, импортер данных соглашается, что субъект данных имеет право направлять заявление всторону импортера данных, пока иное лицо-правопреемник не принял юридические обязательства экспортера данных по договору или законодательству, в случае чего субъект данных имеет право направить запрос в сторону такого лица.  

Импортер данных имеет право не возлагать ответственность за нарушение обязательств на стороннего обработчика во избежание исполнения собственных обязательств.

3.В случае, если субъект данных не имеет возможности направить заявление в сторону экспортера данных или импортера данных на основании параграфов 1 и 2, возникающее в связи с нарушением сторонними обработчиками их обязательств по Положениям 3 и 11,  в связи с тем, что импортер данных и экспортер данных фактически исчезли или прекратили существование в законодательстве или оказались банкротами, сторонний обработчик соглашается, что субъект данных имеет право направить заявление в сторону стороннего обработчика данных, пока иное лицо-правопреемник не принял юридические обязательства экспортера данных или импортера данных по договору или законодательству, в таком случае субъект данных имеет право направить запрос в сторону такого лица.  Ответственность стороннего обработчика ограничивается операциями по обработке в соответствии с Положениями.

Положение 7

Посредничество и юрисдикция

1.Импортер данных соглашается, что в случае, если субъект данных ссылается в его сторону на права выгодоприобретателя третей стороны и/или заявляет на компенсацию ущерба на основании Положений, импортер данных принимает решение относительно субъекта данных:  

(a)направить диспут о посредничестве независимым лицом или, при необходимости надзорным органом;

(б)направить диспут в суды страны-участника, в которой зарегистрирован экспортер данных.

2.Стороны соглашаются, что выбор, произведенный субъектом данных не нанесет ущерб его материальным или процессуальным правам при поиске средств правовой защиты в соответствии с другими положениями национального или международного права.

Положение 8

Сотрудничествосорганаминадзора

1.Экспортер данных соглашается предоставлять копию договора надзирательному органу по запросу,если предоставление такой документации требуется по применимому законодательству по защите данных.

2.Стороны соглашаются, что надзирательный орган имеет право проводить аудит импортера данных или иного стороннего обработчика, который имеет равноценный объем и подвергается равноценным условиям проведения, что и аудита экспортера данных в соответствии с применимым законодательством защиты данных.

3.Импортер данных обязуется оперативно сообщать экспортеру данных о существовании законодательства, применимому к нему или иному стороннему обработчику, препятствующему проведению аудита импортера данных или иного стороннего обработчика в соответствии с параграфом 2.  В таком случае экспортер данных обязуется предпринять меры, указанные в Положении 5 (б).

Положение 9

Действующеезаконодательство

Положения регулируются законодательством Страны-участника, в которой зарегистрирован экспортер данных.

Положение 10

ВариацииДоговора

Стороны не имеют права предпринимать попытки варьировать или изменять Положения. Настоящее Положение не запрещает Сторонам добавлять предложения, связанным с вопросами бизнеса, в случае, если требуется, и это не препятствует Положениям.

Положение 11

Обработка данных третьими сторонами

1.Импортер данных не имеет права заключать договор субподряда с третьими лицами относительно обработки данных от имени экспортера данных в соответствии с Положениями без получения предварительного письменного разрешения экспортера данных. Если импортер данных заключает договор субподряда на основании Положений с разрешения экспортера данных при условии, что разрешение получено от экспортера данных, то договор составляется в письменно виде со сторонним обработчиком, которые приобретает равноценные обязательства, что и импортер данных на основании Положений. Если сторонний обработчик нарушает обязательства по защите данных по письменному договору, импортер данных несет полную юридическую ответственность за действия стороннего обработчика согласно такого договора.

2.Предварительный письменный договор между импортером данных и сторонним обработчиком также должен обеспечивать положения для выгодоприобретателя третьей стороны, как указано в Положении 3 для случаев, если субъект данных не имеет возможности направлять заявление на компенсацию, как указывается в параграфе 1 положения 6 по отношению экспортера данных или импортера данных  в связи с тем, что они фактически исчезли или прекратили существование или оказались банкротами, и ни одно лицо-правопреемник не приняло полную юридическую ответственность экспортера данных или импортера данных по договору или действующему законодательству. Такая ответственность строгих подрядчиков ограничивается обработкой данных в соответствии с Положениями.

3.Положения, связанные с аспектами защиты данных для договоров субподряда, указанные в параграфе 1, должны управляться законодательством Страны-участника, в которой зарегистрирован экспортер данных.

4.Экспортер данных обязуется заключать список договоров субподряда на основании Положений и в соответствии с требованиями импортера данных, оговоренных в Положении 5 (и), а также обновлять такие договоры по крайней мере раз в год. Список должен быть доступен органу надзора по защите данных экспортера данных.

Положение 12

Ответственность после прекращения предоставления услуг по обработке данных

1.Стороны соглашаются, что по прекращении предоставления услуг по обработке данных импортер данных и сторонний обработчик обязуются возвратить все переданные персональные данные и копии таковых экспортеру данных по его выбору или уничтожить все персональные данные и подтвердить удаление экспортеру данных, за исключением случаев, когда юридические обязательства, возложенные на импортера данных, препятствуют возвращению или удалению всех или части полученных персональных данных. В таком случае импортер данных гарантирует поддерживать конфиденциальность передаваемых персональных данных и не передавать персональные данные другим лицам.

2.Импортер данных и сторонний обработчик гарантируют, что по запросу экспортера данных и/ или органа надзора, они предоставят свое оборудование по обработке данных на аудит мероприятий, оговариваемых в параграфе 1.

ПРИЛОЖЕНИЕ 1 К СТАНДАРТНЫМ ДОГОВОРНЫМ УСЛОВИЯМ

Настоящее Приложение составляет часть Положений и должно быть составлено и подписано Сторонами.

 

Страны-участники имеют право дополнять или уточнять любую необходимую дополнительную информацию, содержащуюся в Приложении в соответствии с национальным законодательством.

 

Экспортер данных

Экспортер данных (добавить краткое уточнение Ваших обязанностей в отношении передачи данных):

 

Оператор (экспортер данных) договаривается с Импортером данных о возможности потенциального предоставления консультирования или равноценных услуг клиентам Импортера данных за дополнительную плату от Импортера данных.

 

Импортер данных

Импортер данных (добавить краткое описание обязательств в отношении передачи данных):

 

Гайдпоинт является Импортером данных. Оператор (экспортер данных) договаривается в Импортером данных о возможности потенциального предоставления консультированияили равноценных услуг клиентам Импортера данных за дополнительную плату от Импортера данных.

 

Субъекты данных

Персональные данные передаются следующим категориям субъектов данных:

 

Сотрудники (включая частных предпринимателей)
Конечные пользователи
Независимые подрядчики
Инвесторы
Владельцы
Иные соответствующие лица, связанные с бизнесом

Виды данных

Передаваемые Персональные данные различаются по следующим категориям:

 

Имена
Электронные адреса
Адреса проживания/Почтовые адреса
Телефонные номера
АдресаИнтернет-протокола IP
Файлы-куки браузера (cookies)
ID(уникальный идентификатор) устройств
Иная информация, представляемая по запросу Оператора или Субъекта данных
Иная информация, необходимая для ведения бизнеса и предоставления услуг и поддержки Оператора
Информация, связанная с Персональными данными

 

Особые категории данных (в случае необходимости)

Передаваемые Персональные данные относятся следующих особых категорий данных:

 

Отсутствуют.

 

Операции обработки

Передаваемые Персональные данные подвергаются следующим базовым операциям:

Данные, предоставляемые непосредственно перечисленным субъектам данных, позволяют Обработчику предоставлять Услуги и оказывать поддержку Оператору в стандартных случаях, включая работу в области коммуникации по различным бизнес вопросам, соблюдения законодательства (включая соблюдение Требований ЕС и составление письменных инструкций) и иных соответствующих предполагаемое вопросов использования бизнеса в рамках Договора.

ПРИЛОЖЕНИЕ 2 К СТАНДАРТНЫМ ДОГОВОРНЫМ УСЛОВИЯМ

Настоящее Приложение является частью Положений и должно быть составлено и подписано Сторонами.

 

Описаниетехнических и организационных мер безопасности, применяемых Импортером данных в соответствии с Положениями 4(г) и 5(в) (или документ/закон прилагается):

Политика и план безопасности в письменном виде
План ликвидации последствий катастрофы
План реагирования на инциденты
Сегментация сети
Брандмауэры
Устройства защиты от вторжений
Шифрование в передаче
Антивирусная защита
Программа генерирования паролей
Доступ на основе разделения функций
Регулярное исправление и обновление критически важных систем и других систем, подключенных к критически важным системам
Тренировка пользователей
Руководство сотрудников
Контроль анти-спам
Безопасные методы кодирования