Дополнение о требованиях Европейского Союза в области обработки и защиты персональных данных
Choose your language:
Перевод предоставляется исключительно для удобства, и в случае любых расхождений в значении или интерпретации между переводом и текстом на английском языке, английская версия имеет преимущественную силу.
Дополнение о требованиях Европейского Союза в области обработки и защиты персональных данных
Настоящее Дополнение о требованиях в области обработки персональных данных (далее по тексту «Дополнение») является частью, а также дополняет Договор об общих директивах для консультантов, положениях и условиях сотрудничества компании «Гайдпоинт Глоубал, Эл Эл Си» (Guidepoint Global, LLC) и Консультанта (далее по тексту «Договор»). Настоящий Договор заключен между компанией «Гайдпоинт Глоубал, Эл Эл Си» (Guidepoint Global, LLC), зарегистрированной по адресу 10017 штат Нью-Йорк, Нью-Йорк, 3-ее Авеню 730 (730 ThirdAvenue, NewYork, NY 10017) (далее «Обработчик» и/или «Импортер данных»), с одной стороны, и Консультантом («Оператор» и/или «Экспортер данных») с другой стороны, и подтверждает, что стороны ознакомлены, не имеют возражений и соглашаются с положениями и условиями Дополнения. Настоящее Дополнение подписано и вступает в силу в дату вступления в силу Договора или 25 мая 2018 года (далее по тексту «Дата вступления в силу»). Оператор и Обработчик далее по тексту обозначаются как «Сторона» или «Стороны» вместе.
В целях настоящего Дополнения и до вступления в силу иных соглашений, условия и положения, указанные в документе имеют юридическую силу наравне с Требованиями Европейского Союза в области обработки и защиты персональных Данных («Требования ЕС») или Стандартными договорными условиями о передаче персональных данных обработчикам данных, принятыми в третьих странах и указанными в приложении Постановления Европейской Комиссии 2010/87/EC о стандартных договорных условиях передачи персональных данных обработчикам, принятого в третьих странах от 5 февраля 2010 года (далее по тексту «Стандартные договорные условия» или «Положения», оговариваемые в Приложении 1).
Настоящее Дополнение относится к персональным данным, полученным о Субъектах данных Европейского Союза от третьих лиц или предоставленных от самих Субъектов данных. Данное Дополнение в соответствующей части относится к любым персональным данным, проходящим обработку в Европейском Союзе.
ПОЛОЖЕНИЯ
ПОСКОЛЬКУ,в соответствии с положениями Обработчика об услугах, предоставляемых по данному Договору, Обработчик имеет право получать в пользование или хранить, обрабатывать или получать доступ к определенным файлам данных, которые могут содержать Персональные данные, определенные в Требованиях ЕС, что далее указывается в Приложении 1 к данному документу; и
ПОСКОЛЬКУ, Стороны желают утвердить важность адекватных мер безопасности для обеспечения конфиденциальности Субъекта данных в соответствии с Требованиями ЕС и тем самым желают дополнить Договор указанными далее условиями и положениями; и
ПОСКОЛЬКУ, Европейские законы защиты данных требуют от экспортеров данных в странах Европейского союза/Европейской экономической зоны разрабатыватьадекватные меры защиты при передаче Персональных данных в страны, не принадлежащие Европейскому союзу/ Европейской Экономической Зоне, атакже при условии, что такие меры защиты могут быть добавлены по запросу импортеров данных в Стандартные договорные условия передачи персональных данных в третьи страны в соответствии с Постановлениями Комиссии 2004/915/EC от 27 декабря 2004 года (в качестве дополнения или изменения),
ТО С УЧЕТОМ ВЫШЕИЗЛОЖЕННОГО,на основании взаимного соглашения и вышеупомянутыхусловий, а в целях надлежащего встречного удовлетворения, получение и достаточность которого настоящим подтверждается, Стороны настоящего Договора договорились о нижеследующем:
ПОПРАВКИ К ДОГОВОРУ
8.1 Удаление или возврат Персональных данных Оператора. Если иное не требуется по законодательству или не разрешено применимой производственной практикой для соответствующего снижения юридического риска или в целях закрепления требований Оператора по отношению к письменным инструкциям, Обработчик соглашается удалять или возвращать Персональные данные Оператора в течение оговоренного периода времени: (1) по завершению предоставления Услуг по обработке данных или (2) по письменному авторизованному запросу Оператора.
Приложение 1
Стандартные договорные условия (обработчики)
В целях удовлетворения Требований ЕС и статьи 26(2) Сборника указаний 95/46/EC по передаче персональных данных Обработчикам, зарегистрированным в третьих странах, которые не гарантируют надлежащий уровень защиты данных, Импортер данных и Экспортер данных, каждый из которых являются по данному Договору «Стороной», совместно «Сторонами»,
ДОГОВОРИЛИСЬ о нижеследующих Договорных положениях (Положения) в целях введения соответствующих мер безопасности в связи с обеспечением конфиденциальности и фундаментальных прав и свобод лиц при передаче Экспортером данных Импортеру данных Персональных данных на основании Приложения 1.
Положение 1
Определения
ВцеляхудовлетворенияПоложений:
(a)определения «персональные данные», «особая категория данных», «обрабатывать/обработка», «оператор», «обработчик», «субъект данных» и «надзирательный орган» должны иметь одинаковое значение, как в Сборнике указаний95/46/EC Европейского парламента и Европейского совета от 24 октября 1995 года по защите индивидуумов относительно обработки персональных данных, так и при свободном движении таких данных;
(б)«экспортер данных» означает оператора, который передает персональные данные;
(в)«импортер данных» означает обработчика, который соглашается принимать от экспортера данных персональные данные с целью обработки от имени и на пользу экспортера в соответствии с инструкциями и условиями Положений, а также несет ответственность перед системой третьих стран, гарантируя соответствующую защиту в рамках статьи 25(1) Сборника указаний 95/46/EC;
(г)«сторонний обработчик» является любым Обработчиком, нанятым со стороны импортера данных или иным сторонним Обработчиком импортера данных, который соглашается получать персональные данные от импортера данных или от иного стороннего обработчика импортёра данных исключительно в целях обработки от имени и на пользу экспортера данных в соответствии с инструкциями от такового, а также условиями Положений и условиями договора субподряда;
(д)«применимое законодательство в области защиты данных» означает законодательство, направленное на защиту фундаментальных прав и свобод лиц, и, в частности, их права на конфиденциальность в целях обработки персональных данных, применимого к оператору данных в стране-участнике, в которой экспортер данных зарегистрирован;
(е)«технические и организационные меры безопасности» – меры, направленные на защиту персональных данных от случайных или незаконных нарушений или случайнойутери, ущерба, неавторизованного раскрытия или доступа, в частности, если обработка подразумевает передачу по сети, или от иных противозаконных форм обработки.
Положение 2
Детали Передачи
Детали передачи, в частности, специальных категорий персональных данных на случай необходимости указаны в Приложении 1, которое формирует с Положениями цельный документ.
Положение 3
Положение о стороннем выгодоприобретателе
1.Субъект данных может применять по отношению к экспортеру данных настоящее Положение, Положение 4(б) до (з), Положения 5(a) до (д), и (ё) to (и), Положение 6(1) and(2), Положение 7, Положение 8(2), и Положения 9–12 в качестве стороннего выгодоприобретателя.
2.Субъект данных может применять по отношению к импортеру данных настоящее Положение, Положение 5(a) до (д) и (ё), Положение 6, Положение 7, Положение 8(2), и Положения 9 до 12 в случаях, если экспортер данных фактически пропадает или прекращает существовать в законодательстве до тех пор, пока какое-либо лицо-правопреемник не принимает все юридические обязательства экспортера данных по договору или в соответствии с применимым законодательством, в результате чего он принимает на себя права и обязанности экспортера данных, как следствие субъект данных применяет настоящие Положения по отношению к такому лицу.
3.Субъект данных может применять по отношению сторонних обработчиков настоящее Положение, Положения 5(a) до (д) и (ё), Положение 6, Положение 7, Положение 8(2), и Положения 9 до 12, в случаях, если экспортер данных и импортер данных фактически исчезли или прекратили существовать в законодательстве или оказались банкротами, пока любое лицо-правопреемник не приобретает все юридические обязательства экспортера данных по контракту или в соответствии с законодательством, в результате чего оно принимает на себя права и обязанности экспортера данных, в таком случае субъект данных применяет такие Положения по отношению к такому лицу. Такая ответственность стороннего обработчика ограничивается выполнением обработки в соответствии с Положениями.
4.Стороны не возражают, если субъект данных представлен ассоциацией или иныморганом при условии согласия субъекта данных и разрешения со стороны национальногозаконодательства.
Положение 4
Обязательства экспортера данных
Экспортер данных соглашается и гарантирует:
(а)что обработка, включая саму передачу, персональных данных была и будет проводиться в соответствии с соответствующими положениями применимого законодательства по защите данных (и при необходимости соответствующие органы страны-участника, в которой зарегистрирован экспортер данных, должны быть оповещены) и не нарушает соответствующих положений настоящей страны;
(б)что он проинструктировал, а также будет инструктировать импортера данных на протяжении всего срока обработки персональных данных о том, что при обработке персональных данных передача производится только от лица и на пользу экспортера данных и в соответствии с применимым законодательством по защите данных и настоящими Положениями;
(в)что импортер данных будет предоставлять надлежащие гарантии в целях разработки технических и организационных мер безопасности, указанных в Приложении 1 настоящего договора;
(г)что после оценки требований применимого законодательства по защите данных меры безопасности важны для защиты персональных данных от случайной или незаконной утери, ущерба, неавторизованного раскрытия или доступа, в частности, если обработка включает передачу данных по сети, и по отношению иных незаконных форм обработки, а также что такие меры гарантируют соответствующий уровень защиты, адекватный рискам, возникающим в связи с обработкой и природой данных, которые требуют защиты в соответствии с современным состоянием и расходами на реализацию;
(д)что он будет гарантировать соблюдение мер безопасности;
(е)что, в случае, если передача включает специальные категории данных, субъект данных информируется или будет информирован заблаговременно или как можно раньше после передачи о том, что данные могут быть переданы в третью страну без предоставления соответствующих мер защиты в рамках Сборника указаний 95/46/EC;
(ё)обязуется направлять уведомления, полученные от импортера данных или стороннего обработчика, на основании Положений 5(б) и 8(3) в надзорный орган защиты данных, если экспортер данных решает продолжать передачу или снять приостановку передачи;
(ж)предоставлять субъекту данных по запросу копию Положений, за исключением Приложения 2, а также заключительное описание мер безопасности, а также копию любого контракта со сторонними обработчиками, которые были заключены в соответствии с настоящими Положениями, причем если договор содержит коммерческую информацию, он имеет право удалить такую коммерческую информацию;
(з)что, в случае сторонней обработки, процесс обработки производится в соответствии с Положением 11 сторонним обработчиком, придерживающимся соответствующего уровня защиты персональных данных и соблюдающего права субъекта данных наравне с правами импортера данных в соответствии с Положениями; и
(и)что он гарантирует соблюдение Положений 4(a) до (з).
Положение 5
Обязательства импортера данных
Импортер данных соглашается и гарантирует:
(a)обрабатывать персональные данные только от лица и на пользу экспортера данных и в соответствии инструкций, полученных от него, и Положений; в случае невозможности соблюдения таковых ввиду разумных причин он соглашается оперативно информировать экспортера данных о невозможности соблюдения положений документов, в таком случае экспортер данных вправе приостановить и/или прекратить действие договора;
(б)что у него нет оснований считать, что применимое законодательство мешает выполнению инструкций, полученных от экспортера данных, а также его обязанностей по договору, и что в случае изменения законодательства, что может иметь негативный эффект на гарантии и обязанности по настоящим Положениям, он будет оперативно информировать об изменениях экспортера данных как можно раньше после получения информации, в случае чего экспортер данных имеет право приостановить и/или прекратить действие договора;
(в)что он применяет технические и организационные меры безопасности, указанные в Приложении 2 перед началом обработки переданных персональных данных;
(г)что он оперативно будет оповещать экспортера данных о следующем:
(1)любом юридически обвязывающем запросе раскрытия персональных данных по принуждению властей, так как обратное запрещено, например, криминальное право запрещает сохранять конфиденциальность при юридически обвязывающем расследовании,
(2)любом случайном или неавторизованном доступе, и
(3)любом запросе, полученном напрямую от субъектов данных, не отвечая на такой запрос, пока он не имеет разрешения на то;
(д)незамедлительно и должным образом реагировать на запросы экспортера данных всвязи с обработкой персональных данных с целью передачи и придерживаться указанийнадзирательного органа в связи с обработкой данных при передаче;
(е)по запросу экспортера данных предоставлять оборудование, используемое дляобработки данных, для аудита процесса обработки на основании Положений, которыйдолжен проводиться экспортером данных или инспекционным органом, состоящим изнезависимых членов и обладающим требуемыми профессиональными квалификациями и придерживающимся мер конфиденциальности, избранным экспортером данных, при необходимости по согласованию с надзорным органом;
(ё)предоставить по запросу субъекта данных копию Положений или действующего Договора о сторонней обработке при условии, что Положения или договор не содержат коммерческой информации, за исключением Приложения 2, которое должно заменяться общим описанием мер безопасности в подобных случаях, когда субъект данных не имеет возможности получить копию от экспортера данных;
(ж)что в случае применения сторонней обработки, он будет предварительно информировать экспортера данных в письменной форме;
(з)что услуги по обработке, предоставляемые сторонним обработчиком, производятся в соответствии с Положением 11;
(и)незамедлительно направлять копию договора по сторонней обработке, заключенного на основании настоящих Положений, экспортеру данных.
Положение 6
Ответственность
1.Стороны соглашаются, что любой субъект данных, который подвергается ущербу в результате нарушения обязательств по Положению 3 или Положению 11 любой из сторон или сторонним обработчиком, имеет право получить компенсацию от экспортера данных за понесенный ущерб.
2.В случае, если субъект данных не имеет возможности направить заявление на компенсацию в соответствии с параграфом 1 в адрес экспортера данных, возникающее в связи с нарушением импортером данных или сторонним обработчиков любых обязательств по Положению 3 или 11, в связи с тем, что экспортер данных фактически исчез или прекратил существование в законодательстве или оказался банкротом, импортер данных соглашается, что субъект данных имеет право направлять заявление всторону импортера данных, пока иное лицо-правопреемник не принял юридические обязательства экспортера данных по договору или законодательству, в случае чего субъект данных имеет право направить запрос в сторону такого лица.
Импортер данных имеет право не возлагать ответственность за нарушение обязательств на стороннего обработчика во избежание исполнения собственных обязательств.
3.В случае, если субъект данных не имеет возможности направить заявление в сторону экспортера данных или импортера данных на основании параграфов 1 и 2, возникающее в связи с нарушением сторонними обработчиками их обязательств по Положениям 3 и 11, в связи с тем, что импортер данных и экспортер данных фактически исчезли или прекратили существование в законодательстве или оказались банкротами, сторонний обработчик соглашается, что субъект данных имеет право направить заявление в сторону стороннего обработчика данных, пока иное лицо-правопреемник не принял юридические обязательства экспортера данных или импортера данных по договору или законодательству, в таком случае субъект данных имеет право направить запрос в сторону такого лица. Ответственность стороннего обработчика ограничивается операциями по обработке в соответствии с Положениями.
Положение 7
Посредничество и юрисдикция
1.Импортер данных соглашается, что в случае, если субъект данных ссылается в его сторону на права выгодоприобретателя третей стороны и/или заявляет на компенсацию ущерба на основании Положений, импортер данных принимает решение относительно субъекта данных:
(a)направить диспут о посредничестве независимым лицом или, при необходимости надзорным органом;
(б)направить диспут в суды страны-участника, в которой зарегистрирован экспортер данных.
2.Стороны соглашаются, что выбор, произведенный субъектом данных не нанесет ущерб его материальным или процессуальным правам при поиске средств правовой защиты в соответствии с другими положениями национального или международного права.
Положение 8
Сотрудничествосорганаминадзора
1.Экспортер данных соглашается предоставлять копию договора надзирательному органу по запросу,если предоставление такой документации требуется по применимому законодательству по защите данных.
2.Стороны соглашаются, что надзирательный орган имеет право проводить аудит импортера данных или иного стороннего обработчика, который имеет равноценный объем и подвергается равноценным условиям проведения, что и аудита экспортера данных в соответствии с применимым законодательством защиты данных.
3.Импортер данных обязуется оперативно сообщать экспортеру данных о существовании законодательства, применимому к нему или иному стороннему обработчику, препятствующему проведению аудита импортера данных или иного стороннего обработчика в соответствии с параграфом 2. В таком случае экспортер данных обязуется предпринять меры, указанные в Положении 5 (б).
Положение 9
Действующеезаконодательство
Положения регулируются законодательством Страны-участника, в которой зарегистрирован экспортер данных.
Положение 10
ВариацииДоговора
Стороны не имеют права предпринимать попытки варьировать или изменять Положения. Настоящее Положение не запрещает Сторонам добавлять предложения, связанным с вопросами бизнеса, в случае, если требуется, и это не препятствует Положениям.
Положение 11
Обработка данных третьими сторонами
1.Импортер данных не имеет права заключать договор субподряда с третьими лицами относительно обработки данных от имени экспортера данных в соответствии с Положениями без получения предварительного письменного разрешения экспортера данных. Если импортер данных заключает договор субподряда на основании Положений с разрешения экспортера данных при условии, что разрешение получено от экспортера данных, то договор составляется в письменно виде со сторонним обработчиком, которые приобретает равноценные обязательства, что и импортер данных на основании Положений. Если сторонний обработчик нарушает обязательства по защите данных по письменному договору, импортер данных несет полную юридическую ответственность за действия стороннего обработчика согласно такого договора.
2.Предварительный письменный договор между импортером данных и сторонним обработчиком также должен обеспечивать положения для выгодоприобретателя третьей стороны, как указано в Положении 3 для случаев, если субъект данных не имеет возможности направлять заявление на компенсацию, как указывается в параграфе 1 положения 6 по отношению экспортера данных или импортера данных в связи с тем, что они фактически исчезли или прекратили существование или оказались банкротами, и ни одно лицо-правопреемник не приняло полную юридическую ответственность экспортера данных или импортера данных по договору или действующему законодательству. Такая ответственность строгих подрядчиков ограничивается обработкой данных в соответствии с Положениями.
3.Положения, связанные с аспектами защиты данных для договоров субподряда, указанные в параграфе 1, должны управляться законодательством Страны-участника, в которой зарегистрирован экспортер данных.
4.Экспортер данных обязуется заключать список договоров субподряда на основании Положений и в соответствии с требованиями импортера данных, оговоренных в Положении 5 (и), а также обновлять такие договоры по крайней мере раз в год. Список должен быть доступен органу надзора по защите данных экспортера данных.
Положение 12
Ответственность после прекращения предоставления услуг по обработке данных
1.Стороны соглашаются, что по прекращении предоставления услуг по обработке данных импортер данных и сторонний обработчик обязуются возвратить все переданные персональные данные и копии таковых экспортеру данных по его выбору или уничтожить все персональные данные и подтвердить удаление экспортеру данных, за исключением случаев, когда юридические обязательства, возложенные на импортера данных, препятствуют возвращению или удалению всех или части полученных персональных данных. В таком случае импортер данных гарантирует поддерживать конфиденциальность передаваемых персональных данных и не передавать персональные данные другим лицам.
2.Импортер данных и сторонний обработчик гарантируют, что по запросу экспортера данных и/ или органа надзора, они предоставят свое оборудование по обработке данных на аудит мероприятий, оговариваемых в параграфе 1.
ПРИЛОЖЕНИЕ 1 К СТАНДАРТНЫМ ДОГОВОРНЫМ УСЛОВИЯМ
Настоящее Приложение составляет часть Положений и должно быть составлено и подписано Сторонами.
Страны-участники имеют право дополнять или уточнять любую необходимую дополнительную информацию, содержащуюся в Приложении в соответствии с национальным законодательством.
Экспортер данных
Экспортер данных (добавить краткое уточнение Ваших обязанностей в отношении передачи данных):
Оператор (экспортер данных) договаривается с Импортером данных о возможности потенциального предоставления консультирования или равноценных услуг клиентам Импортера данных за дополнительную плату от Импортера данных.
Импортер данных
Импортер данных (добавить краткое описание обязательств в отношении передачи данных):
Гайдпоинт является Импортером данных. Оператор (экспортер данных) договаривается в Импортером данных о возможности потенциального предоставления консультированияили равноценных услуг клиентам Импортера данных за дополнительную плату от Импортера данных.
Субъекты данных
Персональные данные передаются следующим категориям субъектов данных:
Виды данных
Передаваемые Персональные данные различаются по следующим категориям:
Особые категории данных (в случае необходимости)
Передаваемые Персональные данные относятся следующих особых категорий данных:
Отсутствуют.
Операции обработки
Передаваемые Персональные данные подвергаются следующим базовым операциям:
Данные, предоставляемые непосредственно перечисленным субъектам данных, позволяют Обработчику предоставлять Услуги и оказывать поддержку Оператору в стандартных случаях, включая работу в области коммуникации по различным бизнес вопросам, соблюдения законодательства (включая соблюдение Требований ЕС и составление письменных инструкций) и иных соответствующих предполагаемое вопросов использования бизнеса в рамках Договора.
ПРИЛОЖЕНИЕ 2 К СТАНДАРТНЫМ ДОГОВОРНЫМ УСЛОВИЯМ
Настоящее Приложение является частью Положений и должно быть составлено и подписано Сторонами.
Описаниетехнических и организационных мер безопасности, применяемых Импортером данных в соответствии с Положениями 4(г) и 5(в) (или документ/закон прилагается):