ДОПОЛНЕНИЕ О ЗАЩИТЕ ДАННЫХ

Дополнение о защите данных

Настоящее Приложение о защите данных («добавление") в сочетании с другими документами, включая, помимо прочего, Соглашение с конечным пользователем и Заказ, является частью ("Обсуждение") между Stellar Cyber Inc. и ее аффилированными лицами («Звездный кибер») и Клиент и его Аффилированные лица («Клиент»). Стороны соглашаются с тем, что настоящее Дополнение устанавливает их обязательства в отношении обработки и безопасности Данных клиента в связи с использованием Клиентом Результатов. Термины, определенные в настоящем Дополнении, имеют значения, указанные в Дополнении. Термины, написанные с заглавной буквы и не определенные в настоящем документе, имеют значение, данное им в Соглашении с конечным пользователем и/или Заказе. За исключением приведенных ниже изменений, условия Соглашения остаются в полной силе и действии. Принимая во внимание взаимные обязательства, изложенные в настоящем документе, стороны настоящим соглашаются, что положения и условия, изложенные ниже, должны быть добавлены в качестве приложения к Соглашению. За исключением случаев, когда контекст требует иного, ссылки в настоящем Дополнении к Соглашению относятся к Соглашению с поправками, внесенными настоящим Дополнением и включая его. Настоящее Приложение, в том числе Стандартные договорные положения, представленные в Приложении 3, было предварительно подписано Stellar Cyber. После получения Stellar Cyber правильно заполненного Дополнения по электронной почте, направленной на po@stellarcyber.ai, это Дополнение станет юридически обязывающим при условии, что предварительно подписанная версия настоящего Дополнения будет недействительной, если в нее будут внесены какие-либо изменения, помимо заполнения Клиентом любой необходимой базовой контактной информации в Стандартных договорных пунктах и полях для подписи.

Определения
1. В этом Дополнительном соглашении следующие термины имеют значения, указанные ниже, и родственные термины должны толковаться соответственно:
  1. "Применимые законы«означает (а) европейские законы о защите данных и (б) неевропейские законы о защите данных;
  2. «Партнерская«означает организацию, которая владеет или контролирует, находится в собственности или под контролем или находится под общим контролем или собственностью со стороной в настоящем документе, где контроль определяется как обладание, прямо или косвенно, полномочиями направлять или вызывать управление управление и политика организации, будь то посредством владения голосующими ценными бумагами, по контракту или иным образом;
  3. "Персональные данные клиента«означает любые Персональные данные, обрабатываемые Обработчиком по контракту от имени Клиента в соответствии с Соглашением или в связи с ним;
  4. "Контрактный обработчик« означает Stellar Cyber или субпроцессор Stellar Cyber;
  5. "Практические результаты" означает услуги и другие виды деятельности, которые должны предоставляться или выполняться Stellar Cyber для Клиента или от его имени в соответствии с Соглашением;
  6. "ЕЭЗ«означает Европейскую экономическую зону;
  7. "Европейские законы о защите данных«означает, в зависимости от обстоятельств: (i) GDPR; (ii) GDPR Великобритании; и/или (iii) FDPA Швейцарии;
  8. "GDPR" означает Общий регламент ЕС по защите данных 2016/679;
  9. "Неевропейские законы о защите данных«Означает все законы и правила, применимые к обработке Персональных данных Клиента Stellar Cyber в соответствии с Соглашением, которые действуют за пределами ЕЭЗ, Великобритании и Швейцарии;
  10. "Ограниченный перевод" средства:
    1. передача Персональных данных Клиента от Клиента Контрактному обработчику; или же
    2. последующая передача Персональных данных клиента от Нанятого обработчика к Нанятому обработчику или между двумя учреждениями Нанятого обработчика, в каждом случае, когда такая передача будет запрещена Применимым законодательством (или условиями заключенных соглашений о передаче данных). для устранения ограничений на передачу данных в соответствии с Применимым законодательством) в отсутствие Стандартных договорных условий, которые должны быть установлены в соответствии с разделом 11 ниже;
  11. «Стандартные договорные положения» означает договорные положения, изложенные в Приложении 3, для Субъектов данных ЕС, находящихся в ЕЭЗ и Швейцарии; и Приложение 4 для Субъектов данных, находящихся в Соединенном Королевстве;
  12. «Субпроцессор» означает любое лицо (включая любое третье лицо, но исключая сотрудника Stellar Cyber или любого из ее субподрядчиков), назначенное Stellar Cyber или от его имени для обработки персональных данных от имени Клиента в связи с предоставлением Stellar Cyber Результатов в соответствии с соглашение; и
  13. «Швейцарская ФДПА» означает Федеральный закон о защите данных от 19 июня 1992 г. (Швейцария); и
  14. «Великобритания GDPR» означает GDPR ЕС с поправками, включенными в законодательство Великобритании в соответствии с Законом Великобритании о Европейском союзе (выход) 2018 года, а также применимым подзаконным актом, принятым в соответствии с ним.
2. Условия, «Комиссия», «Контролер», «Субъект данных», «Государство-член», «Персональные данные», «Нарушение персональных данных», «Обработка». и «Наблюдательный орган» имеют то же значение, что и в GDPR, и их родственные термины должны толковаться соответствующим образом.
Обработка персональных данных клиента
1. Если европейские законы о защите данных применяются к обработке Персональных данных клиента:
  1. предмет и детали обработки описаны в Приложении 1;
  2. Stellar Cyber является обработчиком Персональных данных этого Клиента в соответствии с европейскими законами о защите данных;
  3. Клиент является контролером или обработчиком этих Личных данных Клиента в соответствии с европейскими законами о защите данных;
  4. Каждая сторона будет соблюдать обязательства, применимые к ней в соответствии с европейскими законами о защите данных в отношении обработки этих персональных данных клиента.
2. Если к обработке Персональных данных клиента какой-либо из сторон применяются неевропейские законы о защите данных, соответствующая сторона будет соблюдать любые обязательства, применимые к ней в соответствии с этим законодательством в отношении обработки этих Персональных данных клиента.
3. Stellar Cyber обязуется:
  1. не обрабатывать Персональные данные Клиента, кроме как для предоставления Результатов в соответствии с Соглашением (в том числе, как указано в настоящем Дополнении и как описано в Приложении 1 к настоящему Дополнению), за исключением случаев, когда обработка требуется в соответствии с применимым законодательством, которому подчиняется соответствующий Нанятый обработчик. («Разрешенная цель»), и в этом случае Stellar Cyber должна, насколько это разрешено применимым законодательством, информировать Клиента об этом правовом требовании до соответствующей обработки этих Персональных данных Клиента; и
  2. немедленно уведомить Клиента, если, по мнению Stellar Cyber, европейские законы о защите данных запрещают Stellar Cyber выполнять Разрешенную цель или Stellar Cyber иным образом не может выполнить Разрешенную цель. Настоящий Раздел не ограничивает права или обязанности какой-либо из сторон в других разделах Соглашения.
4. Клиент настоящим:
  1. поручает Stellar Cyber (и уполномочивает Stellar Cyber давать указания каждому вспомогательному обработчику) обрабатывать Персональные данные Клиента для Разрешенной цели; и
  2. гарантирует и заявляет, что он имеет и будет в любое время должным образом и эффективно уполномочен давать инструкции, изложенные в настоящем документе, от имени каждого соответствующего Клиента или Аффилированного лица клиента:
Звездный киберперсонал
Stellar Cyber обязуется принять разумные меры для обеспечения надежности любого сотрудника, агента или подрядчика любого обработчика по контракту, который может иметь доступ к Персональным данным Клиента, гарантируя в каждом случае, что доступ строго ограничен теми лицами, которым необходимо знать/получить доступ к соответствующие Персональные данные Клиента, строго необходимые для целей Соглашения, и соблюдать Применимое законодательство в контексте обязанностей этого лица перед Обработчиком по контракту, гарантируя, что на всех таких лиц распространяются обязательства конфиденциальности или профессиональные или законодательные обязательства конфиденциальности. .
Безопасность.
1. Stellar Cyber будет внедрять и поддерживать технические и организационные меры, изложенные в Приложении 1 («Меры безопасности»). Stellar Cyber может время от времени обновлять Меры безопасности при условии, что такие обновления не приводят к снижению безопасности Результатов.
2. При оценке надлежащего уровня безопасности Stellar Cyber должен учитывать, в частности, риски, связанные с Обработкой, в частности, связанные с утечкой персональных данных.
Подобработка
1. Клиент уполномочивает Stellar Cyber назначать (и разрешать каждому субобработчику, назначенному в соответствии с настоящим разделом 5, назначать) субобработчиков в соответствии с настоящим разделом 5 и любыми ограничениями Соглашения. Stellar Cyber должна предоставить Клиенту текущий список Субобработчиков, которые обрабатывают Персональные данные Клиента, прикрепленный в Приложении III к Приложению 3. Stellar Cyber должна предоставить Клиенту предварительное письменное уведомление о назначении любого нового Субобработчика, включая подробную информацию о Подлежащей Обработке. осуществляется Субобработчиком. Если в течение тридцати (30) дней с момента получения такого уведомления Клиент уведомляет Stellar Cyber в письменном виде о любых возражениях против предлагаемого назначения и далее предоставляет коммерчески разумные обоснования таких возражений, основанные на обоснованных опасениях относительно такой предлагаемой деловой практики Субобработчика в отношении данных. защиты, то (i) Stellar Cyber будет добросовестно работать с Клиентом для рассмотрения возражений Клиента относительно нового Субобработчика; и (ii) если проблемы Клиента не могут быть решены в течение тридцати (30) дней с момента получения Stellar Cyber уведомления Клиента, несмотря на какие-либо положения Соглашения, Клиент может, предоставив Stellar Cyber письменное уведомление с немедленным вступлением в силу, расторгнуть Соглашение и Stellar Cyber возместит Клиенту все предоплаченные сборы за Результаты, относящиеся к Сроку выполнения результатов (как указано в соответствующем Заказе) после прекращения действия Соглашения.
2. В отношении каждого Субобработчика Stellar Cyber обязуется:
  1. перед первой обработкой Персональных данных клиента Субобработчиком провести надлежащую комплексную проверку, чтобы убедиться, что Субобработчик способен обеспечить уровень защиты Персональных данных клиента, требуемый Соглашением;
  2. гарантировать, что договоренность между, с одной стороны, (а) Stellar Cyber или (б) соответствующим промежуточным субобработчиком; а с другой стороны, Субобработчик регулируется письменным договором, включающим условия, которые обеспечивают как минимум такой же уровень защиты Персональных данных клиента, как те, которые изложены в настоящем Дополнении, и отвечают требованиям статьи 28(3) GDPR. ;
  3. если эта договоренность предполагает Ограниченную передачу, убедитесь, что Стандартные договорные положения всегда включены в соглашение между, с одной стороны, (а) Stellar Cyber или (б) соответствующим промежуточным Субобработчиком; и, с другой стороны, Дополнительный обработчик или до того, как Дополнительный обработчик впервые обработает Персональные данные клиента, обеспечит заключение с Клиентом соглашения, включающего Стандартные договорные положения. и
  4. предоставлять Клиенту на рассмотрение такие копии соглашений Обработчиков по контракту с Субобработчиками (которые могут быть отредактированы для удаления конфиденциальной коммерческой информации, не соответствующей требованиям настоящего Дополнительного соглашения), которые Клиент может время от времени запрашивать.
3. Stellar Cyber обеспечивает выполнение каждым Субобработчиком своих обязательств в соответствии с разделами 2.1, 3, 4, 6.1, 7.2, 8 и 10.1, поскольку они применяются к Обработке Персональных данных клиента, осуществляемой этим Субобработчиком, как если бы он был стороной настоящего Дополнения в Место Звездного Кибера.
XNUMX. Права субъекта данных
1. Принимая во внимание характер Обработки, Stellar Cyber должна помочь Клиенту путем реализации соответствующих технических и организационных мер, насколько это возможно, для выполнения обязательств Клиента, как разумно понимает Клиент, по реагированию на запросы об исполнении Субъекта данных. права в соответствии с применимым законодательством.
2. Stellar Cyber обязуется:
  1. незамедлительно уведомлять Клиента, если какой-либо Нанятый обработчик получает запрос от Субъекта данных в соответствии с любым Законом о защите данных в отношении Персональных данных Клиента; и
  2. обеспечить, чтобы Контрактный обработчик не отвечал на этот запрос, за исключением документированных инструкций Клиента или соответствующего Аффилированного лица клиента или в соответствии с требованиями Применимого законодательства, которому подчиняется Контрактный обработчик, и в этом случае Stellar Cyber обязуется в той степени, в которой это разрешено Применимым законодательством. сообщить Клиенту об этом законном требовании, прежде чем Контрактный обработчик ответит на запрос.
Нарушение личных данных
1. Stellar Cyber обязуется уведомить Клиента без неоправданной задержки, как только Stellar Cyber или любому субобработчику станет известно об утечке персональных данных, затрагивающей персональные данные клиента, предоставив Клиенту достаточную информацию, позволяющую ему выполнить любые обязательства по сообщению или информированию Субъектов данных о утечке персональных данных в соответствии с Применимые законы. Такое уведомление должно включать как минимум следующую информацию: (i) характер Нарушения Персональных данных, категории и количество соответствующих Субъектов данных, а также категории и количество соответствующих записей Персональных данных; (ii) имя и контактные данные сотрудника по защите данных Stellar Cyber или другого соответствующего контактного лица, от которого можно получить дополнительную информацию; (iii) вероятные последствия Утечки Персональных данных; и (iv) меры, принятые или предлагаемые к принятию для устранения утечки персональных данных.
2. Stellar Cyber обязуется сотрудничать с Клиентом и предпринимать разумные коммерческие шаги, указанные Клиентом, для оказания помощи в расследовании, смягчении последствий и устранении последствий каждого такого Нарушения персональных данных.
Оценка воздействия на защиту данных и предварительные консультации
В той мере, в какой этого требует Применимое законодательство, Stellar Cyber обязуется оказывать разумную помощь Клиенту в проведении любых оценок воздействия на защиту данных и предварительных консультациях с надзорными органами или другими компетентными органами по обеспечению конфиденциальности данных, которые, по разумному мнению Клиента, требуются от Клиента в соответствии с Применимым законодательством, в в каждом случае исключительно в связи с Обработкой Персональных данных Клиента Нанятыми обработчиками с учетом характера Обработки и информации, доступной для них.
Удаление или возврат Персональных данных Клиента
1. С учетом разделов 9.2 и 9.3 после даты прекращения предоставления любых Результатов, связанных с Обработкой Персональных данных Клиента («Дата прекращения»), Stellar Cyber обязуется удалить и обеспечить удаление всех копий этих Персональных данных Клиента без неоправданной задержки.
2. Каждый Контрактный обработчик может хранить Персональные данные клиента в объеме, требуемом Применимым законодательством, и только в объеме и в течение такого периода, которые требуются Применимым законодательством, и всегда при условии, что Stellar Cyber и каждое Аффилированное лицо Stellar Cyber обеспечивают конфиденциальность всех таких Персональных данных клиента. и должен гарантировать, что такие Персональные данные клиента обрабатываются только по мере необходимости для целей, указанных в Применимом законодательстве, требующих их хранения, и ни для каких других целей.
3. Stellar Cyber обязуется предоставить Клиенту письменное подтверждение того, что он полностью соблюдает настоящий раздел 9, в течение десяти (10) дней с момента получения письменного запроса Клиента на получение такого подтверждения.
Аудит и записи
1. Stellar Cyber, в соответствии с Применимым законодательством, предоставляет Клиенту такую информацию, находящуюся во владении или под контролем Stellar Cyber, которую Клиент может разумно запросить с целью демонстрации соблюдения Stellar Cyber Применимого законодательства в отношении обработки им Персональных данных Клиента.
2. Клиент может воспользоваться своим правом на проведение аудита в соответствии с европейскими законами о защите данных в отношении личных данных клиента через Stellar Cyber, предоставив:
  1. информация, необходимая для демонстрации соответствия европейским законам о защите данных, а также для проведения и участия в проверках, включая проверки, проводимые контролером или другим аудитором, уполномоченным контролером
  2. дополнительную информацию, находящуюся во владении или под контролем Stellar Cyber, надзорному органу ЕС, когда он запрашивает или требует дополнительную информацию в отношении обработки персональных данных клиента, осуществляемой Stellar Cyber в соответствии с настоящим Дополнением.
Ограниченные переводы
1. В соответствии с Разделами 11.2 и 11.3 Клиент (как «экспортер данных») и каждый Контрактный обработчик, в зависимости от обстоятельств (как «импортер данных») настоящим заключает Стандартные договорные условия в отношении любой Ограниченной передачи от этого Клиента такому Обработчику по договору.
2. Стандартные договорные условия вступают в силу в соответствии с разделом 11.1 позднее:
  1. экспортер данных становится их стороной;
  2. импортер данных становится их стороной; и
  3. начало соответствующей Ограниченной передачи.
3. Раздел 11.1 не применяется к Ограниченной передаче, за исключением случаев, когда ее результатом вместе с другими разумно осуществимыми шагами соблюдения (которые, во избежание сомнений, не включают получение согласия от Субъектов данных), не является разрешение соответствующей Ограниченной передачи без нарушение действующего Закона о защите данных.
Общие положения
1. Без ущерба для пункта 18 Стандартных договорных условий, (i) стороны настоящего Дополнения настоящим подчиняются выбору юрисдикции, предусмотренной в Соглашении, в отношении любых споров или претензий, возникающих в связи с настоящим Дополнением, включая споры относительно его существования, действительности или прекращение или последствия его ничтожности; и (ii) настоящее Дополнение и все внедоговорные или иные обязательства, возникающие из него или в связи с ним, регулируются законами страны или территории, предусмотренными для этой цели в Соглашении.
2. Ничто в настоящем Дополнительном соглашении не ограничивает обязательства Stellar Cyber по Соглашению в отношении защиты Персональных данных и не позволяет Stellar Cyber обрабатывать (или разрешать обработку) Персональные данные способом, запрещенным Соглашением. В случае любого конфликта или несоответствия между настоящим Приложением и Стандартными договорными условиями, Стандартные договорные условия имеют преимущественную силу.
3. В соответствии с разделом 12.2, в отношении предмета настоящего Дополнения, в случае несоответствия между положениями настоящего Дополнения и любыми другими соглашениями между сторонами, включая Соглашение и в том числе (за исключением случаев, когда иное прямо согласовано в письменной форме, подписанное от имени сторон) соглашения, заключенные или предполагаемые к заключению после даты настоящего Дополнения, положения настоящего Дополнения имеют преимущественную силу.
4. Любая ответственность, связанная с несоблюдением настоящего Дополнения, будет регулироваться положениями об ограничении ответственности, изложенными в Соглашении.
5. Клиент может, направив письменное уведомление Stellar Cyber не менее чем за тридцать (30) календарных дней, время от времени вносить любые изменения в Стандартные договорные положения, заключенные в соответствии с разделом 11.1, поскольку такие изменения применяются к Ограниченным передачам, которые зависят от определенных Данных. Закон о защите данных, но только в тех случаях, когда такие изменения требуются в результате любого изменения или решения компетентного органа в соответствии с этим Законом о защите данных, чтобы разрешить (или продолжать осуществлять) такие Ограниченные передачи без нарушения этого Закон о защите данных.
6. Если Клиент направляет уведомление в соответствии с разделом 12.5, то (i) Stellar Cyber обязуется незамедлительно сотрудничать (и обеспечивать незамедлительное сотрудничество всех затронутых Субобработчиков), чтобы обеспечить внесение эквивалентных изменений в любое соглашение, заключенное в соответствии с разделом 5.3.3; и (ii) Клиент не должен необоснованно отказывать или задерживать согласие на любые последующие изменения к настоящему Дополнению, предложенные Stellar Cyber для защиты Контрактных обработчиков от дополнительных рисков, связанных с изменениями, внесенными в соответствии с разделом 12.5.
7. Если Клиент направляет уведомление в соответствии с разделом 12.5, стороны должны незамедлительно обсудить предлагаемые изменения и провести добросовестные переговоры с целью согласования и реализации этих или альтернативных изменений, предназначенных для удовлетворения требований, указанных в уведомлении Клиента, как только это станет практически осуществимо.
8. Клиенту требуется согласие или одобрение Аффилированного лица клиента для внесения поправок в настоящее Дополнение в соответствии с настоящим разделом 12.8 или иным образом.
9. Если какое-либо положение этого Дополнения будет недействительным или не имеющим исковой силы, то оставшаяся часть этого Дополнения останется в силе. Недействительное или неисполнимое положение должно быть либо (i) изменено по мере необходимости, чтобы обеспечить его действительность и исковую силу, при максимально возможном сохранении намерений сторон, либо, если это невозможно, (ii) толковаться таким образом, как если бы недействительное или неисполнимая часть никогда не содержалась в нем.

ПРИЛОЖЕНИЕ 1 К ПРИЛОЖЕНИЮ О ЗАЩИТЕ ДАННЫХ

ОСОБЕННОСТИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТА

В этом Приложении 1 содержатся некоторые сведения об обработке персональных данных Компании в соответствии со статьей 28(3) GDPR. Предмет и продолжительность обработки Персональных данных Клиента Stellar Cyber будет обрабатывать Персональные данные Клиента по мере необходимости для выполнения Результатов в соответствии с Соглашением. Продолжительность обработки будет составлять: до истечения срока действия/расторжения Соглашения, когда Stellar Cyber удалит или уничтожит Персональные данные Клиента без неоправданной задержки, или 30 дней с момента получения запроса на удаление некоторых или всех Персональных данных. Характер и цель обработки Персональных данных Клиента Stellar Cyber занимается предоставлением Клиенту результатов, связанных с обработкой Персональных данных. Объем Результатов указан в Соглашении, и Stellar Cyber будет обрабатывать Персональные данные по мере необходимости для предоставления этих Результатов и соблюдения условий Соглашения и настоящего Дополнения. Типы персональных данных клиента, подлежащих обработке Персональные данные, собираемые Stellar Cyber, включают Категории данных, указанные в Приложении 1 Приложения к Стандартным договорным условиям.

ПРИЛОЖЕНИЕ 2 К ПРИЛОЖЕНИЮ О ЗАЩИТЕ ДАННЫХ

ТЕХНИЧЕСКИЕ И ОРГАНИЗАЦИОННЫЕ МЕРЫ, ВКЛЮЧАЯ ТЕХНИЧЕСКИЕ И ОРГАНИЗАЦИОННЫЕ МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ДАННЫХ

Stellar Cyber соблюдает технические и организационные меры, описанные ниже. Для получения подробного описания мер безопасности, принятых Stellar Cyber, отправьте запрос на Privacy@stellarcyber.ai Технические и организационные меры включают, помимо прочего, следующие меры по обеспечению постоянной конфиденциальности, целостности и доступности данных для предотвращения несанкционированного доступа, использования, изменения или раскрытия данных:

Проведение проверки биографических данных всех сотрудников, имеющих доступ к обработке данных, а также подписание обязательств о неразглашении и деловой этике перед приемом на работу.
Обучение по вопросам безопасности и конфиденциальности, включая признание и согласие соблюдать политики безопасности организации, для всего персонала при приеме на работу и ежегодно после этого.
Поддержание полного набора политик, процедур и планов безопасности и конфиденциальности, которые пересматриваются не реже одного раза в год и содержат рекомендации для организации в отношении методов обеспечения безопасности и конфиденциальности; процессы оценки потенциальных и существующих субобработчиков, чтобы убедиться, что они имеют возможность и обязуются принимать соответствующие технические и организационные меры для обеспечения постоянной конфиденциальности, целостности и доступности данных.
Процесс регулярного тестирования, оценки и оценки эффективности административных, технических и физических мер безопасности для обеспечения безопасности обработки, передачи или хранения данных посредством внешних и внутренних аудитов.
Предотвращение доступа, использования, изменения или раскрытия данных, кроме как уполномоченным персоналом Stellar Cyber (1) для предоставления результатов и предотвращения или решения сервисных или технических проблем, (2) в соответствии с требованиями закона или (3) в соответствии с явным письменным разрешением Клиента. .
Ведение журналов безопасности и мониторинг их работы с помощью системы управления инцидентами безопасности («SIEM») системы и оповещения при обнаружении подозрительного поведения системы и/или пользователей; процессы и инструменты для регулярного выявления, оценки и сортировки уязвимостей на основе отраслевых стандартов.
Псевдонимизация или шифрование данных при передаче и хранении с использованием стандартных отраслевых механизмов для определенных результатов.
MFA и надежные пароли строго соблюдаются для доступа к блоку обработки данных.
Возможность своевременного восстановления доступности и доступа к Данным клиента в случае инцидента, влияющего на доступность Данных клиента, путем поддержки решения резервного копирования для целей аварийного восстановления.

ПРИЛОЖЕНИЕ 3 К ПРИЛОЖЕНИЮ О ЗАЩИТЕ ДАННЫХ

СТАНДАРТНЫЕ УСЛОВИЯ ДОГОВОРА

РАЗДЕЛ I

Статья 1

Цель и сфера применения

Целью этих стандартных договорных положений является обеспечение соблюдения требований Регламента (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 года о защите физических лиц в отношении обработки персональных данных и о свободное перемещение таких данных (Общее положение о защите данных) для передачи персональных данных в третью страну.
Стороны:
1. физическое или юридическое лицо (лица), орган (органы) государственной власти, агентство (агенства) или другой орган (органы) (далее именуемые «органы»), передающие персональные данные, как указано в Приложении IA (далее каждый «экспортер данных»), и
2. юридическое лицо в третьей стране, получающее персональные данные от экспортера данных, прямо или косвенно через другое юридическое лицо, также являющееся Стороной настоящих Пунктов, как указано в Приложении IA (далее «импортер данных»)
согласились с этими стандартными договорными положениями (далее: «Положения»).
Настоящие пункты применяются в отношении передачи персональных данных, как указано в Приложении IB.
Приложение к настоящим Пунктам, содержащее упомянутые в нем Приложения, составляет неотъемлемую часть настоящих Пунктов.

Статья 2

Действие и неизменность статей

В этих пунктах изложены соответствующие гарантии, включая подлежащие исполнению права субъектов данных и эффективные средства правовой защиты, в соответствии со статьей 46 (1) и статьей 46 (2) (c) Регламента (ЕС) 2016/679, а также в отношении передачи данных от контролеров. обработчикам и/или обработчикам обработчикам, стандартные договорные положения в соответствии со статьей 28(7) Регламента (ЕС) 2016/679, при условии, что они не изменены, за исключением выбора соответствующего модуля (модулей) или добавления или обновления информации в аппендикс. Это не мешает Сторонам включать стандартные договорные положения, изложенные в настоящих Пунктах, в более широкий договор и/или добавлять другие положения или дополнительные гарантии при условии, что они не противоречат, прямо или косвенно, этим положениям или не наносят ущерба основным правам. или свободы субъектов данных.
Эти пункты не наносят ущерба обязательствам, которым подлежит экспортер данных в соответствии с Регламентом (ЕС) 2016/679.

Если экспортером данных является обработчик, подпадающий под действие Регламента (ЕС) 2016/679, действующий от имени учреждения или органа Союза в качестве контролера, использование этих Пунктов при привлечении другого обработчика (субобработка), не подпадающего под действие Регламента (ЕС) 2016/ 679 также обеспечивает соблюдение статьи 29(4) Регламента (ЕС) 2018/1725 Европейского парламента и Совета от 23 октября 2018 г. о защите физических лиц в отношении обработки персональных данных учреждениями Союза, органами , офисов и агентств и о свободном перемещении таких данных, а также об отмене Регламента (ЕС) № 45/2001 и Решения № 1247/2002/ЕС (ОЖ L 295 от 21.11.2018, стр. 39) в той мере, в какой настоящие Пункты и обязательства по защите данных, изложенные в договоре или другом правовом акте между контролером и обработчиком в соответствии со статьей 29(3) Регламента (ЕС) 2018/1725, согласованы. В частности, это будет иметь место, когда контролер и обработчик полагаются на стандартные договорные положения, включенные в Решение […].

Статья 3

Сторонние бенефициары

Субъекты данных могут ссылаться на настоящие Пункты и применять их в качестве сторонних бенефициаров в отношении экспортера и/или импортера данных со следующими исключениями:
1. Пункт 1, Пункт 2, Пункт 3, Пункт 6, Пункт 7;
2. Раздел 8. Модуль первый: пункт 8.5 (e) и пункт 8.9 (b); Модуль второй: пункты 8.1(b), 8.9(a), (c), (d) и (e); Модуль третий: пункт 8.1(a), (c) и (d) и пункт 8.9(a), (c), (d), (e), (f) и (g); Модуль четвертый: пункт 8.1 (b) и пункт 8.3 (b);
3. Раздел 9 – Модуль второй: Пункт 9(a), (c), (d) и (e); Модуль третий: Пункт 9(a), (c), (d) и (e);
4. Статья 12 – Модуль первый: Статья 12(a) и (d); Модули второй и третий: пункт 12(a), (d) и (f);
5. пункт 13;
6. Пункт 15.1(c), (d) и (e);
7. Пункт 16(е);
8. Статья 18 – Модули один, два и три: Статья 18(a) и (b); Модуль четвертый: Пункт 18.
Пункт (а) не ущемляет прав субъектов данных в соответствии с Регламентом (ЕС) 2016/679.

Статья 4

Интерпретация

Если в настоящих Пунктах используются термины, определенные в Регламенте (ЕС) 2016/679, эти термины имеют то же значение, что и в этом Регламенте.
Эти пункты следует читать и интерпретировать в свете положений Регламента (ЕС) 2016/679.
Эти пункты не должны толковаться как противоречащие правам и обязанностям, предусмотренным Регламентом (ЕС) 2016/679.

Статья 5

иерархия

В случае противоречия между настоящими Пунктами и положениями соответствующих соглашений между Сторонами, существовавших на момент согласования или заключения этих Пунктов после этого, настоящие Пункты имеют преимущественную силу.

Статья 6

Описание трансфера(ов)

Подробная информация о передаче(ях) и, в частности, категории передаваемых персональных данных и цели(и), для которых они передаются, указаны в Приложении IB.

Пункт 7. Необязательно.

Пункт стыковки

Организация, не являющаяся Стороной настоящих Пунктов, может по соглашению Сторон присоединиться к этим Пунктам в любое время либо в качестве экспортера данных, либо в качестве импортера данных, заполнив Приложение и подписав Приложение IA.
После заполнения Приложения и подписания Приложения IA присоединившаяся организация становится Стороной настоящих Пунктов и имеет права и обязанности экспортера или импортера данных в соответствии со своим обозначением в Приложении IA.
Присоединяющееся лицо не имеет прав или обязательств, вытекающих из настоящих Пунктов, начиная с периода, предшествующего тому, чтобы стать Стороной.

РАЗДЕЛ II – ОБЯЗАННОСТИ СТОРОН

Статья 8

Гарантии защиты данных

Экспортер данных гарантирует, что он предпринял разумные усилия для определения того, что импортер данных в состоянии посредством реализации соответствующих технических и организационных мер выполнить свои обязательства в соответствии с настоящими Пунктами.

МОДУЛЬ ПЕРВЫЙ: Передача контроллера на контроллер

Ограничение цели
Импортер данных должен обрабатывать персональные данные только для конкретной цели (целей) передачи, как указано в Приложении IB. Он может обрабатывать персональные данные только для другой цели:
1. если он получил предварительное согласие субъекта данных;
2. когда это необходимо для установления, осуществления или защиты правовых требований в контексте конкретных административных, нормативных или судебных разбирательств; или же
3. когда это необходимо для защиты жизненно важных интересов субъекта данных или другого физического лица.
Прозрачность
a. Чтобы субъекты данных могли эффективно осуществлять свои права в соответствии с пунктом 10, импортер данных должен информировать их либо напрямую, либо через экспортера данных:
1. о его личности и контактных данных;
2. категорий обрабатываемых персональных данных;
3. о праве на получение копии настоящих Условий;
4. если он намеревается в дальнейшем передать персональные данные какой-либо третьей стороне, получателю или категориям получателей (в зависимости от обстоятельств, с целью предоставления значимой информации), цель такой дальнейшей передачи и основание, таким образом, в соответствии с пунктом 8.7.
1. Параграф (а) не применяется, если субъект данных уже обладает информацией, в том числе когда такая информация уже была предоставлена экспортером данных, или когда предоставление информации оказывается невозможным или потребовало бы несоразмерных усилий для импортера данных. В последнем случае импортер данных должен, насколько это возможно, сделать информацию общедоступной.
2. По запросу Стороны должны сделать копию настоящих Пунктов, включая заполненное ими Приложение, доступной для субъекта данных бесплатно. В той мере, в какой это необходимо для защиты коммерческой тайны или другой конфиденциальной информации, включая персональные данные, Стороны могут отредактировать часть текста Приложения до предоставления копии, но должны предоставить содержательное резюме, если субъект данных в противном случае не смог бы понимать его содержание или осуществлять свои права. По запросу Стороны должны предоставить субъекту данных причины редактирования, насколько это возможно, не раскрывая отредактированную информацию.
3. Пункты (a)–(c) не наносят ущерба обязательствам экспортера данных в соответствии со статьями 13 и 14 Регламента (ЕС) 2016/679.
Точность и минимизация данных
1. Каждая Сторона обеспечивает точность персональных данных и, при необходимости, их актуальность. Импортер данных должен принять все разумные меры для обеспечения того, чтобы персональные данные, которые являются неточными с учетом цели (целей) обработки, были удалены или исправлены без промедления.
2. Если одной из Сторон становится известно, что переданные или полученные ею персональные данные являются неточными или устарели, она незамедлительно информирует об этом другую Сторону.
3. Импортер данных должен гарантировать, что персональные данные являются адекватными, актуальными и ограничиваются тем, что необходимо в связи с целью (целями) обработки.
Ограничение хранения
Импортер данных должен хранить персональные данные не дольше, чем это необходимо для целей, для которых они обрабатываются. Он должен принять соответствующие технические или организационные меры для обеспечения соблюдения этого обязательства, включая стирание или анонимизацию данных и всех резервных копий в конце периода хранения.
Безопасность обработки
1. Импортер данных, а также экспортер данных во время передачи должны принять соответствующие технические и организационные меры для обеспечения безопасности персональных данных, включая защиту от нарушения безопасности, ведущего к случайному или незаконному уничтожению, потере, изменению, несанкционированному раскрытию или доступу. (далее «нарушение персональных данных»). При оценке надлежащего уровня безопасности они должны должным образом учитывать уровень техники, затраты на внедрение, характер, объем, контекст и цель (цели) обработки, а также риски, связанные с обработкой для субъекта данных. Стороны, в частности, должны рассмотреть возможность использования шифрования или псевдонимизации, в том числе во время передачи, когда цель обработки может быть достигнута таким образом.
2. Стороны согласовали технические и организационные меры, изложенные в Приложении II. Импортер данных должен проводить регулярные проверки, чтобы гарантировать, что эти меры продолжают обеспечивать надлежащий уровень безопасности.
3. Импортер данных должен обеспечить, чтобы лица, уполномоченные обрабатывать персональные данные, взяли на себя обязательство соблюдать конфиденциальность или несли соответствующее установленное законом обязательство о конфиденциальности.
4. В случае утечки персональных данных, касающихся персональных данных, обрабатываемых импортером данных в соответствии с настоящими Пунктами, импортер данных должен принять соответствующие меры для устранения утечки персональных данных, включая меры по смягчению его возможных неблагоприятных последствий.
5. В случае утечки персональных данных, которая может привести к риску для прав и свобод физических лиц, импортер данных должен без неоправданной задержки уведомить как экспортера данных, так и компетентный надзорный орган в соответствии с пунктом 13. Такое уведомление должно содержать i) описание характера нарушения (включая, по возможности, категории и приблизительное количество затронутых субъектов данных и записей персональных данных), ii) его вероятные последствия, iii) меры, предпринятые или предлагаемые для устранения нарушения, и iv ) сведения о контактном лице, у которого можно получить дополнительную информацию. В той мере, в какой импортер данных не может предоставить всю информацию одновременно, он может делать это поэтапно без неоправданной дополнительной задержки.
6. В случае утечки персональных данных, которая может привести к высокому риску для прав и свобод физических лиц, импортер данных также должен без неоправданной задержки уведомить заинтересованные субъекты данных о нарушении персональных данных и его характере, если это необходимо в сотрудничество с экспортером данных вместе с информацией, упомянутой в параграфе (e), пунктах ii)–iv), если только импортер данных не принял меры для значительного снижения риска для прав или свобод физических лиц, или уведомление будет включать несоразмерные усилия. В последнем случае импортер данных должен вместо этого опубликовать публичное сообщение или принять аналогичные меры для информирования общественности об утечке персональных данных.
7. Импортер данных должен документировать все соответствующие факты, связанные с утечкой персональных данных, включая ее последствия и любые предпринятые меры по исправлению положения, и вести их учет.
8. Это требует анонимизации данных таким образом, чтобы никто больше не мог идентифицировать человека, в соответствии с пунктом 26 Регламента (ЕС) 2016/679, и чтобы этот процесс был необратимым.
Чувствительные данные
Если передача включает персональные данные, раскрывающие расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения или членство в профсоюзах, генетические данные или биометрические данные с целью однозначной идентификации физического лица, данные о здоровье или половой жизни человека или сексуальной ориентации или данные, касающиеся уголовных судимостей или правонарушений (далее «конфиденциальные данные»), импортер данных должен применять специальные ограничения и/или дополнительные меры безопасности, адаптированные к конкретному характеру данных и сопутствующим рискам. Это может включать ограничение доступа персонала к персональным данным, дополнительные меры безопасности (такие как псевдонимизация) и/или дополнительные ограничения в отношении дальнейшего раскрытия информации.
Дальнейшие переводы
Импортер данных не должен раскрывать персональные данные третьей стороне, находящейся за пределами Европейского Союза (в той же стране, что и импортер данных, или в другой третьей стране, далее именуемой «дальнейшая передача»), за исключением случаев, когда третья сторона связана или соглашается быть связанной эти пункты в соответствующем модуле. В противном случае дальнейшая передача импортером данных может иметь место только в том случае, если:
1. это страна, получившая решение о достаточности в соответствии со статьей 45 Регламента (ЕС) 2016/679, которая распространяется на последующую передачу;
2. иным образом третья сторона обеспечивает надлежащие гарантии в соответствии со статьями 46 или 47 Регламента (ЕС) 2016/679 в отношении рассматриваемой обработки;
3. третья сторона заключает с импортером данных обязательный документ, обеспечивающий тот же уровень защиты данных, что и в соответствии с настоящими Пунктами, и импортер данных предоставляет копию этих гарантий экспортеру данных;
4. это необходимо для установления, осуществления или защиты юридических требований в контексте конкретных административных, нормативных или судебных разбирательств;
5. это необходимо для защиты жизненно важных интересов субъекта данных или другого физического лица; или же
6. если ни одно из других условий не применяется, импортер данных получил явное согласие субъекта данных на дальнейшую передачу в конкретной ситуации после того, как сообщил ему / ей о ее цели (целях), личности получателя и возможном риски такой передачи ему/ей из-за отсутствия надлежащих гарантий защиты данных. В этом случае импортер данных информирует экспортера данных и по запросу последнего передает ему копию информации, предоставленной субъекту данных.
Любая последующая передача зависит от соблюдения импортером данных всех других мер безопасности в соответствии с настоящими Пунктами, в частности ограничения цели.
Обработка с разрешения импортера данных
Импортер данных должен обеспечить, чтобы любое лицо, действующее под его руководством, включая обработчика, обрабатывало данные только по его указаниям.
Документация и соответствие
(a) Каждая Сторона должна быть в состоянии продемонстрировать соблюдение своих обязательств в соответствии с настоящими Пунктами. В частности, импортер данных должен вести соответствующую документацию по обработке, осуществляемой под его ответственность. (s) Импортер данных должен предоставить такую документацию компетентному надзорному органу по запросу.

МОДУЛЬ ВТОРОЙ: Передача контроллера процессору

инструкции
1. Импортер данных должен обрабатывать персональные данные только по документально оформленным инструкциям экспортера данных. Экспортер данных может давать такие инструкции в течение всего срока действия контракта.
2. Импортер данных должен немедленно сообщить экспортеру данных, если он не может следовать этим инструкциям.
Ограничение цели
Импортер данных должен обрабатывать персональные данные только для конкретной цели (целей) передачи, как указано в Приложении IB, за исключением случаев получения дополнительных инструкций от экспортера данных.
Прозрачность
По запросу экспортер данных должен бесплатно предоставить субъекту данных копию настоящих Пунктов, включая Приложение, заполненное Сторонами. В той мере, в какой это необходимо для защиты коммерческой тайны или другой конфиденциальной информации, включая меры, описанные в Приложении II, и персональных данных, экспортер данных может отредактировать часть текста Приложения к настоящим Пунктам до предоставления копии, но должен предоставить значимую резюме, в котором субъект данных иначе не смог бы понять его содержание или реализовать свои права. По запросу Стороны должны предоставить субъекту данных причины редактирования, насколько это возможно, не раскрывая отредактированную информацию. Этот пункт не затрагивает обязательств экспортера данных в соответствии со статьями 13 и 14 Регламента (ЕС) 2016/679.
точность
Если импортеру данных становится известно, что полученные им персональные данные неточны или устарели, он должен незамедлительно сообщить об этом экспортеру данных. В этом случае импортер данных должен сотрудничать с экспортером данных для удаления или исправления данных. Если импортер данных узнает, что полученные им персональные данные неточны или устарели, он должен незамедлительно сообщить об этом экспортеру данных. . В этом случае импортер данных должен сотрудничать с экспортером данных для удаления или исправления данных.
Продолжительность обработки и удаления или возврата данных
Обработка импортером данных осуществляется только в течение срока, указанного в Приложении IB. После окончания предоставления услуг по обработке импортер данных по выбору экспортера данных удаляет все персональные данные, обрабатываемые от имени данных. экспортеру и подтвердить экспортеру данных, что он сделал это, или вернуть экспортеру данных все персональные данные, обработанные от его имени, и удалить существующие копии. До тех пор, пока данные не будут удалены или возвращены, импортер данных должен продолжать обеспечивать соблюдение этих пунктов. В случае применения местных законов, применимых к импортеру данных, которые запрещают возврат или удаление персональных данных, импортер данных гарантирует, что он будет продолжать обеспечивать соблюдение этих пунктов и будет обрабатывать их только в той степени и до тех пор, пока это требуется в соответствии с этим. местный закон. Это не наносит ущерба пункту 14, в частности требованию к импортеру данных в соответствии с пунктом 14(e) уведомлять экспортера данных в течение всего срока действия контракта, если у него есть основания полагать, что он является или стал объектом законов или практики. не соответствует требованиям пункта 14(а).
Безопасность обработки
1. Импортер данных, а также экспортер данных во время передачи должны принять соответствующие технические и организационные меры для обеспечения безопасности данных, включая защиту от нарушения безопасности, ведущего к случайному или незаконному уничтожению, потере, изменению, несанкционированному раскрытию или доступу к эти данные (далее «нарушение персональных данных»). При оценке надлежащего уровня безопасности Стороны должным образом учитывают уровень техники, затраты на внедрение, характер, объем, контекст и цель (цели) обработки, а также риски, связанные с обработкой для субъектов данных. . Стороны, в частности, должны рассмотреть возможность использования шифрования или псевдонимизации, в том числе во время передачи, когда цель обработки может быть достигнута таким образом. В случае псевдонимизации дополнительная информация для отнесения персональных данных к конкретному субъекту данных должна, по возможности, оставаться под исключительным контролем экспортера данных. При выполнении своих обязательств в соответствии с настоящим параграфом импортер данных должен, по крайней мере, реализовать технические и организационные меры, указанные в Приложении II. Импортер данных должен проводить регулярные проверки, чтобы гарантировать, что эти меры продолжают обеспечивать надлежащий уровень безопасности.
2. Импортер данных должен предоставлять доступ к персональным данным членам своего персонала только в той мере, в какой это строго необходимо для выполнения, управления и мониторинга контракта. Он должен гарантировать, что лица, уполномоченные обрабатывать персональные данные, взяли на себя обязательство соблюдать конфиденциальность или находятся под соответствующим установленным законом обязательством конфиденциальности.
3. В случае утечки персональных данных, касающихся персональных данных, обрабатываемых импортером данных в соответствии с настоящими Пунктами, импортер данных должен принять соответствующие меры для устранения нарушения, включая меры по смягчению его неблагоприятных последствий. Импортер данных также должен уведомить экспортера данных без неоправданной задержки после того, как ему стало известно о нарушении. Такое уведомление должно содержать сведения о контактном лице, где можно получить дополнительную информацию, описание характера нарушения (включая, по возможности, категории и приблизительное количество затронутых субъектов данных и записей персональных данных), его вероятные последствия и меры, принятые или предложенные для устранения нарушения, включая, при необходимости, меры по смягчению его возможных неблагоприятных последствий. В тех случаях, когда невозможно предоставить всю информацию одновременно, первоначальное уведомление должно содержать имеющуюся на тот момент информацию, а дополнительная информация, по мере ее поступления, впоследствии предоставляется без неоправданной задержки.
4. Импортер данных должен сотрудничать с экспортером данных и помогать ему, чтобы экспортер данных мог выполнять свои обязательства в соответствии с Регламентом (ЕС) 2016/679, в частности, уведомлять компетентный надзорный орган и затронутых субъектов данных, принимая во внимание характер обработка и информация, доступная импортеру данных.
Чувствительные данные
Если передача включает персональные данные, раскрывающие расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения или членство в профсоюзах, генетические данные или биометрические данные с целью однозначной идентификации физического лица, данные о здоровье или половой жизни человека или сексуальной ориентации или данные, касающиеся уголовных судимостей и правонарушений (далее «конфиденциальные данные»), импортер данных должен применять особые ограничения и/или дополнительные меры безопасности, описанные в Приложении IB.
Дальнейшие переводы
Импортер данных должен раскрывать персональные данные третьей стороне только в соответствии с документально оформленными инструкциями экспортера данных. Кроме того, данные могут быть раскрыты третьей стороне, находящейся за пределами Европейского Союза (в той же стране, что и импортер данных, или в другой третьей стране, далее именуемой «последующая передача»), если третья сторона связана или соглашается соблюдать настоящих Пунктов в соответствующем Модуле, или если:
1. последующая передача осуществляется в страну, получившую выгоду от решения о достаточности в соответствии со статьей 45 Регламента (ЕС) 2016/679, которая распространяется на последующую передачу;
2. третья сторона иным образом обеспечивает надлежащие гарантии в соответствии со статьями 46 или 47 Регламента (ЕС) 2016/679 в отношении рассматриваемой обработки;
3. последующая передача необходима для установления, осуществления или защиты правовых требований в контексте конкретных административных, нормативных или судебных разбирательств; или же
4. дальнейшая передача необходима для защиты жизненно важных интересов субъекта данных или другого физического лица.
Любая последующая передача зависит от соблюдения импортером данных всех других мер безопасности в соответствии с настоящими Пунктами, в частности ограничения цели.
Документация и соответствие
1. Импортер данных должен оперативно и адекватно реагировать на запросы экспортера данных, касающиеся обработки в соответствии с настоящими Пунктами.
2. Стороны должны быть в состоянии продемонстрировать соблюдение настоящих Пунктов. В частности, импортер данных должен хранить соответствующую документацию об операциях по обработке, осуществляемых от имени экспортера данных.
3. Импортер данных должен предоставить экспортеру данных всю информацию, необходимую для демонстрации соблюдения обязательств, изложенных в настоящих Пунктах, и по запросу экспортера данных разрешить и способствовать аудиту деятельности по обработке, охватываемой настоящими Пунктами, через разумные промежутки времени или при наличии признаков несоответствия. Принимая решение о пересмотре или аудите, экспортер данных может учитывать соответствующие сертификаты, имеющиеся у импортера данных.
4. Экспортер данных может провести аудит самостоятельно или поручить независимому аудитору. Аудиты могут включать инспекции в помещениях или физических объектах импортера данных и должны, при необходимости, проводиться с разумным уведомлением.
5. Стороны должны предоставить информацию, указанную в пунктах (b) и (c), включая результаты любых проверок, доступную для компетентного надзорного органа по запросу.
Соглашение о Европейской экономической зоне (Соглашение о ЕЭП) предусматривает расширение внутреннего рынка Европейского Союза на три государства ЕЭЗ: Исландию, Лихтенштейн и Норвегию. Законодательство Союза о защите данных, включая Регламент (ЕС) 2016/679, подпадает под действие Соглашения о ЕЭЗ и включено в Приложение XI к нему. Таким образом, любое раскрытие импортером данных третьей стороне, находящейся в ЕЭЗ, не квалифицируется как дальнейшая передача для целей настоящих Положений.

МОДУЛЬ ТРЕТИЙ: Передача процессора процессору

инструкции
1. Экспортер данных проинформировал импортера данных о том, что он действует в качестве обработчика в соответствии с инструкциями своего контроллера(ов), которые экспортер данных должен предоставить импортеру данных до обработки.
2. Импортер данных должен обрабатывать персональные данные только в соответствии с документированными инструкциями контролера, переданными импортеру данных экспортером данных, и любыми дополнительными документированными инструкциями экспортера данных. Такие дополнительные инструкции не должны противоречить инструкциям контролера. Контроллер или экспортер данных могут давать дополнительные документированные инструкции относительно обработки данных на протяжении всего срока действия контракта.
3. Импортер данных должен немедленно сообщить экспортеру данных, если он не может следовать этим инструкциям. Если импортер данных не может следовать инструкциям контролера, экспортер данных должен немедленно уведомить об этом контролера.
4. Экспортер данных гарантирует, что он возложил на импортера данных те же обязательства по защите данных, которые изложены в договоре или другом правовом акте в соответствии с законодательством Союза или государства-члена между контролером и экспортером данных.
Ограничение цели
Импортер данных должен обрабатывать персональные данные только для конкретной цели (целей) передачи, как указано в Приложении IB, за исключением случаев, когда по дальнейшим инструкциям от контролера, которые были сообщены импортеру данных экспортером данных, или от данных экспортер.
Прозрачность
По запросу экспортер данных должен бесплатно предоставить субъекту данных копию настоящих Пунктов, включая Приложение, заполненное Сторонами. В той мере, в какой это необходимо для защиты коммерческой тайны или другой конфиденциальной информации, включая личные данные, экспортер данных может отредактировать часть текста Приложения до того, как поделиться копией, но должен предоставить содержательное резюме, если в противном случае субъект данных не смог бы понимать его содержание или осуществлять свои права. По запросу Стороны должны предоставить субъекту данных причины редактирования, насколько это возможно, не раскрывая отредактированную информацию.
точность
Если импортеру данных становится известно, что полученные им персональные данные неточны или устарели, он должен незамедлительно сообщить об этом экспортеру данных. В этом случае импортер данных должен сотрудничать с экспортером данных для исправления или удаления данных. См. статью 28(4) Регламента (ЕС) 2016/679 и, если контролером является учреждение или орган ЕС, статью 29(4) Регламента (ЕС) 2018/1725.
Продолжительность обработки и удаления или возврата данных
Обработка импортером данных осуществляется только в течение срока, указанного в Приложении IB. После окончания предоставления услуг по обработке импортер данных по выбору экспортера данных удаляет все персональные данные, обрабатываемые от имени контролера. и подтвердить экспортеру данных, что он сделал это, или вернуть экспортеру данных все персональные данные, обработанные от его имени, и удалить существующие копии. До тех пор, пока данные не будут удалены или возвращены, импортер данных должен продолжать обеспечивать соблюдение этих пунктов. В случае применения местных законов, применимых к импортеру данных, которые запрещают возврат или удаление персональных данных, импортер данных гарантирует, что он будет продолжать обеспечивать соблюдение этих пунктов и будет обрабатывать их только в той степени и до тех пор, пока это требуется в соответствии с этим. местный закон. Это не наносит ущерба пункту 14, в частности требованию к импортеру данных в соответствии с пунктом 14(e) уведомлять экспортера данных в течение всего срока действия контракта, если у него есть основания полагать, что он является или стал объектом законов или практики. не соответствует требованиям пункта 14(а).
Безопасность обработки
1. Импортер данных, а также экспортер данных во время передачи должны принять соответствующие технические и организационные меры для обеспечения безопасности данных, включая защиту от нарушения безопасности, ведущего к случайному или незаконному уничтожению, потере, изменению, несанкционированному раскрытию или доступу к эти данные (далее «нарушение персональных данных»). При оценке надлежащего уровня безопасности они должны должным образом учитывать уровень техники, затраты на внедрение, характер, объем, контекст и цель (цели) обработки, а также риски, связанные с обработкой для субъекта данных. Стороны, в частности, должны рассмотреть возможность использования шифрования или псевдонимизации, в том числе во время передачи, когда цель обработки может быть достигнута таким образом. В случае псевдонимизации дополнительная информация для отнесения персональных данных к конкретному субъекту данных должна, по возможности, оставаться под исключительным контролем экспортера данных или контролера. При выполнении своих обязательств в соответствии с настоящим параграфом импортер данных должен, по крайней мере, реализовать технические и организационные меры, указанные в Приложении II. Импортер данных должен проводить регулярные проверки, чтобы гарантировать, что эти меры продолжают обеспечивать надлежащий уровень безопасности.
2. Импортер данных должен предоставлять доступ к данным членам своего персонала только в объеме, строго необходимом для реализации, управления и мониторинга контракта. Он должен гарантировать, что лица, уполномоченные обрабатывать персональные данные, взяли на себя обязательство соблюдать конфиденциальность или находятся под соответствующим установленным законом обязательством конфиденциальности.
3. В случае утечки персональных данных, касающихся персональных данных, обрабатываемых импортером данных в соответствии с настоящими Пунктами, импортер данных должен принять соответствующие меры для устранения нарушения, включая меры по смягчению его неблагоприятных последствий. Импортер данных также должен без неоправданной задержки уведомить экспортера данных и, если это уместно и возможно, контролера после того, как ему стало известно о нарушении. Такое уведомление должно содержать сведения о контактном лице, где можно получить дополнительную информацию, описание характера нарушения (включая, по возможности, категории и приблизительное количество затронутых субъектов данных и записей персональных данных), его вероятные последствия и меры, принятые или предложенные для устранения утечки данных, включая меры по смягчению ее возможных неблагоприятных последствий. В тех случаях, когда невозможно предоставить всю информацию одновременно, первоначальное уведомление должно содержать имеющуюся на тот момент информацию, а дополнительная информация, по мере ее поступления, впоследствии предоставляется без неоправданной задержки.
4. Импортер данных должен сотрудничать с экспортером данных и помогать ему, чтобы экспортер данных мог выполнять свои обязательства в соответствии с Регламентом (ЕС) 2016/679, в частности, уведомлять своего контролера, чтобы последний, в свою очередь, мог уведомить компетентный надзорный орган и затрагиваемые субъекты данных, принимая во внимание характер обработки и информацию, доступную импортеру данных.
Чувствительные данные
Если передача включает персональные данные, раскрывающие расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения или членство в профсоюзах, генетические данные или биометрические данные с целью однозначной идентификации физического лица, данные о здоровье или половой жизни человека или сексуальной ориентации или данные, касающиеся уголовных судимостей и правонарушений (далее «конфиденциальные данные»), импортер данных должен применять особые ограничения и/или дополнительные меры безопасности, изложенные в Приложении IB.
Дальнейшие переводы
Импортер данных должен раскрывать персональные данные третьей стороне только в соответствии с задокументированными инструкциями контролера, которые были сообщены импортеру данных экспортером данных. Кроме того, данные могут быть раскрыты третьей стороне, находящейся за пределами Европейского Союза (в той же стране, что и импортер данных, или в другой третьей стране, далее именуемой «последующая передача»), если третья сторона связана или соглашается соблюдать настоящих Пунктов в соответствующем Модуле, или если:
1. последующая передача осуществляется в страну, получившую выгоду от решения о достаточности в соответствии со статьей 45 Регламента (ЕС) 2016/679, которая распространяется на последующую передачу;
2. третья сторона иным образом обеспечивает надлежащие гарантии в соответствии со статьями 46 или 47 Регламента (ЕС) 2016/679;
3. последующая передача необходима для установления, осуществления или защиты правовых требований в контексте конкретных административных, нормативных или судебных разбирательств; или же
4. дальнейшая передача необходима для защиты жизненно важных интересов субъекта данных или другого физического лица.
Любая последующая передача зависит от соблюдения импортером данных всех других мер безопасности в соответствии с настоящими Пунктами, в частности ограничения цели.
Документация и соответствие
1. Импортер данных должен оперативно и адекватно обрабатывать запросы от экспортера данных или контролера, которые касаются обработки в соответствии с настоящими Пунктами.
2. Стороны должны быть в состоянии продемонстрировать соблюдение настоящих Пунктов. В частности, импортер данных должен хранить соответствующую документацию об операциях по обработке, осуществляемых от имени контролера.
3. Импортер данных должен предоставить всю информацию, необходимую для демонстрации соблюдения обязательств, изложенных в настоящих Пунктах, экспортеру данных, который должен предоставить ее контролеру.
4. Импортер данных должен разрешать и способствовать проведению экспортером данных проверок операций по обработке, подпадающих под действие настоящих Пунктов, через разумные промежутки времени или при наличии признаков несоблюдения. То же самое применяется, когда экспортер данных запрашивает аудит по указанию контролера. Принимая решение о проведении аудита, экспортер данных может учитывать соответствующие сертификаты, имеющиеся у импортера данных.
5. Если аудит проводится по указанию контролера, экспортер данных должен предоставить результаты контролеру.
6. Экспортер данных может провести аудит самостоятельно или поручить независимому аудитору. Аудиты могут включать инспекции в помещениях или физических объектах импортера данных и должны, при необходимости, проводиться с разумным уведомлением.
7. Стороны должны предоставить информацию, указанную в пунктах (b) и (c), включая результаты любых проверок, доступную для компетентного надзорного органа по запросу.

МОДУЛЬ ЧЕТЫРЕ: Передача процессора на контроллер

инструкции
1. Экспортер данных должен обрабатывать персональные данные только по документально оформленным инструкциям импортера данных, выступающего в качестве его контролера.
2. Экспортер данных должен немедленно сообщить импортеру данных, если он не может следовать этим инструкциям, в том числе если такие инструкции нарушают Регламент (ЕС) 2016/679 или другой закон Союза или государства-члена о защите данных.
3. Импортер данных должен воздерживаться от любых действий, которые могут помешать экспортеру данных выполнить свои обязательства в соответствии с Регламентом (ЕС) 2016/679, в том числе в контексте дополнительной обработки или в отношении сотрудничества с компетентными надзорными органами.
4. После окончания предоставления услуг по обработке экспортер данных должен, по выбору импортера данных, удалить все персональные данные, обработанные от имени импортера данных, и подтвердить импортеру данных, что он это сделал, или вернуться к импортер данных обрабатывает все персональные данные от его имени и удаляет существующие копии.
Безопасность обработки
1. Стороны принимают соответствующие технические и организационные меры для обеспечения безопасности данных, в том числе при их передаче, и защиты от нарушения безопасности, ведущего к случайному или незаконному уничтожению, утрате, изменению, несанкционированному раскрытию или доступу (далее — «нарушение персональных данных»). ). При оценке надлежащего уровня безопасности они должны должным образом учитывать уровень техники, затраты на реализацию, характер персональных данных, характер, объем, контекст и цель (цели) обработки, а также риски, связанные с обработки для субъектов данных и, в частности, рассмотреть возможность использования шифрования или псевдонимизации, в том числе во время передачи, если цель обработки может быть достигнута таким образом.
2. Экспортер данных должен помочь импортеру данных в обеспечении надлежащей безопасности данных в соответствии с параграфом (а). В случае утечки персональных данных, касающихся персональных данных, обрабатываемых экспортером данных в соответствии с настоящими Пунктами, экспортер данных должен уведомить импортера данных без неоправданной задержки после того, как ему стало известно об этом, и помочь импортеру данных в устранении нарушения.
3. Экспортер данных должен обеспечить, чтобы лица, уполномоченные обрабатывать персональные данные, обязались соблюдать конфиденциальность или несли соответствующие установленные законом обязательства конфиденциальности.
Документация и соответствие
1. Стороны должны быть в состоянии продемонстрировать соблюдение настоящих Пунктов.
2. Экспортер данных должен предоставить импортеру данных всю информацию, необходимую для демонстрации соблюдения его обязательств в соответствии с настоящими Пунктами, а также разрешить проведение проверок и способствовать их проведению.
Это включает в себя, включает ли передача и дальнейшая обработка персональные данные, раскрывающие расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения или членство в профсоюзах, генетические данные или биометрические данные с целью однозначной идентификации физического лица, данные о здоровье или сексуальная жизнь или сексуальная ориентация лица, или данные, касающиеся уголовных судимостей или правонарушений.

Статья 9

Использование подпроцессоров

МОДУЛЬ ВТОРОЙ: Передача контроллера процессору
1. ВАРИАНТ 1: СПЕЦИАЛЬНОЕ ПРЕДВАРИТЕЛЬНОЕ РАЗРЕШЕНИЕ Импортер данных не должен передавать какие-либо из своих действий по обработке, выполняемых от имени экспортера данных в соответствии с настоящими Пунктами, субподрядчику без предварительного специального письменного разрешения экспортера данных. Импортер данных должен отправить запрос на специальное разрешение как минимум за [указать период времени] до привлечения субобработчика вместе с информацией, необходимой для того, чтобы экспортер данных мог принять решение о разрешении. Список подпроцессоров, уже уполномоченных экспортером данных, можно найти в Приложении III. Стороны обновляют Приложение III. ВАРИАНТ 2: ОБЩЕЕ ПИСЬМЕННОЕ РАЗРЕШЕНИЕ Импортер данных имеет общее разрешение экспортера данных на привлечение подпроцессоров из согласованного списка. Импортер данных должен специально информировать экспортера данных в письменной форме о любых предполагаемых изменениях в этом списке путем добавления или замены подпроцессоров как минимум за [указать период времени] заранее, тем самым давая экспортеру данных достаточно времени, чтобы иметь возможность возразить против такие изменения до привлечения подпроцессора(ов). Импортер данных должен предоставить экспортеру данных информацию, необходимую для того, чтобы экспортер данных мог реализовать свое право на возражение.
2. Если импортер данных нанимает субобработчика для выполнения определенных действий по обработке (от имени экспортера данных), он должен сделать это посредством письменного контракта, который по существу предусматривает те же обязательства по защите данных, что и те, которые связывают импортер данных в соответствии с настоящими Пунктами, в том числе с точки зрения прав сторонних бенефициаров для субъектов данных. Стороны соглашаются, что, соблюдая настоящий пункт, импортер данных выполняет свои обязательства по пункту 8.8. Импортер данных должен обеспечить выполнение подпроцессором обязательств, возложенных на импортера данных в соответствии с настоящими Пунктами.
3. Импортер данных должен предоставить по запросу экспортера данных копию такого соглашения с субобработчиком и любые последующие поправки экспортеру данных. В той мере, в какой это необходимо для защиты коммерческой тайны или другой конфиденциальной информации, включая личные данные, импортер данных может отредактировать текст соглашения перед передачей копии.
4. Импортер данных несет полную ответственность перед экспортером данных за выполнение обязательств субобработчика по его контракту с импортером данных. Импортер данных должен уведомить экспортера данных о любом невыполнении субпроцессором своих обязательств по этому контракту.
5. Импортер данных должен согласовать с субобработчиком положение о третьей стороне-бенефициаре, согласно которому - в случае, если импортер данных фактически исчез, прекратил свое существование по закону или стал неплатежеспособным - экспортер данных имеет право прекратить действие субобработчика. договор об обработчике и поручить субобработчику удалить или вернуть персональные данные.
Это требование может быть выполнено путем присоединения подпроцессора к данным Пунктам в соответствующем Модуле в соответствии с Пунктом 7.

МОДУЛЬ ТРЕТИЙ: Передача процессора процессору

ВАРИАНТ 1: СПЕЦИАЛЬНОЕ ПРЕДВАРИТЕЛЬНОЕ РАЗРЕШЕНИЕ Импортер данных не должен передавать какие-либо из своих действий по обработке, выполняемых от имени экспортера данных в соответствии с настоящими Пунктами, субподрядчику без предварительного специального письменного разрешения контролера. Импортер данных должен отправить запрос на конкретное разрешение как минимум [указать период времени] до привлечения субобработчика вместе с информацией, необходимой для того, чтобы контролер мог принять решение о разрешении. Он должен информировать экспортера данных о таком обязательстве. Список подпроцессоров, уже уполномоченных контроллером, можно найти в Приложении III. Стороны обновляют Приложение III. ВАРИАНТ 2: ОБЩЕЕ ПИСЬМЕННОЕ РАЗРЕШЕНИЕ Импортер данных имеет общее разрешение контролера на привлечение подпроцессоров из согласованного списка. Импортер данных должен специально информировать контролера в письменной форме о любых предполагаемых изменениях в этом списке путем добавления или замены подпроцессоров как минимум за [указать период времени] заранее, тем самым давая контролеру достаточно времени, чтобы иметь возможность возражать против таких изменений. до привлечения подпроцессора(ов). Импортер данных должен предоставить контролеру информацию, необходимую для того, чтобы контролер мог реализовать свое право на возражение. Импортер данных должен информировать экспортера данных о привлечении подпроцессора(ов).
Если импортер данных нанимает субобработчика для выполнения определенных действий по обработке (от имени контролера), он должен сделать это посредством письменного договора, который по существу предусматривает те же обязательства по защите данных, что и те, которые связывают данные. импортером в соответствии с настоящими Пунктами, в том числе с точки зрения прав сторонних бенефициаров для субъектов данных. Стороны соглашаются, что, соблюдая настоящий пункт, импортер данных выполняет свои обязательства по пункту 8.8. Импортер данных должен обеспечить выполнение подпроцессором обязательств, возложенных на импортера данных в соответствии с настоящими Пунктами.
Импортер данных должен предоставить по запросу экспортера данных или контролера копию такого соглашения с субобработчиком и любые последующие поправки. В той мере, в какой это необходимо для защиты коммерческой тайны или другой конфиденциальной информации, включая личные данные, импортер данных может отредактировать текст соглашения перед передачей копии.
Импортер данных несет полную ответственность перед экспортером данных за выполнение обязательств субобработчика по его контракту с импортером данных. Импортер данных должен уведомить экспортера данных о любом невыполнении субпроцессором своих обязательств по этому контракту.
Импортер данных должен согласовать с субобработчиком положение о третьей стороне-бенефициаре, согласно которому - в случае, если импортер данных фактически исчез, прекратил свое существование по закону или стал неплатежеспособным - экспортер данных имеет право прекратить действие субобработчика. договор об обработчике и поручить субобработчику удалить или вернуть персональные данные.

Это требование может быть выполнено путем присоединения подпроцессора к данным Пунктам в соответствующем Модуле в соответствии с Пунктом 7.

Статья 10

Права субъекта данных

МОДУЛЬ ПЕРВЫЙ: Передача контроллера на контроллер

Импортер данных, в соответствующих случаях, при содействии экспортера данных, должен рассматривать любые запросы и запросы, которые он получает от субъекта данных, касающиеся обработки его/ее персональных данных и осуществления его/ее прав в соответствии с настоящими Пунктами без неправомерных действий. задержки и не позднее одного месяца с момента получения запроса или запроса. Импортер данных должен принять соответствующие меры для облегчения таких запросов, запросов и осуществления прав субъекта данных. Любая информация, предоставляемая субъекту данных, должна быть в понятной и легкодоступной форме, с использованием ясного и простого языка.
В частности, по запросу субъекта данных импортер данных бесплатно:
1. предоставить субъекту данных подтверждение того, обрабатываются ли его/ее персональные данные, и, если это так, копию данных, касающихся его/ее, и информацию в Приложении I; если персональные данные были или будут переданы в дальнейшем, предоставить информацию о получателях или категориях получателей (в зависимости от обстоятельств, с целью предоставления значимой информации), которым персональные данные были или будут переданы в дальнейшем, цель такой дальнейшей передачи и их основание в соответствии с пунктом 8.7; и предоставить информацию о праве подать жалобу в надзорный орган в соответствии с пунктом 12(c)(i);
2. исправить неточные или неполные данные о субъекте данных;
3. удалить персональные данные, касающиеся субъекта данных, если такие данные обрабатываются или обрабатывались с нарушением любого из этих пунктов, обеспечивающих права третьих лиц-бенефициаров, или если субъект данных отзывает согласие, на котором основана обработка.
Если импортер данных обрабатывает персональные данные в целях прямого маркетинга, он должен прекратить обработку для таких целей, если против этого возражает субъект данных.
Импортер данных не должен принимать решение, основанное исключительно на автоматизированной обработке переданных персональных данных (далее «автоматизированное решение»), которое имело бы юридические последствия в отношении субъекта данных или аналогичным образом существенно повлияло бы на него / ее, если только с явного согласия субъекту данных или если он уполномочен на это в соответствии с законодательством страны назначения, при условии, что такое законодательство устанавливает соответствующие меры для защиты прав и законных интересов субъекта данных. В этом случае импортер данных должен, при необходимости, в сотрудничестве с экспортером данных:
1. информировать субъекта данных о предполагаемом автоматизированном решении, предполагаемых последствиях и задействованной логике; и
2. применять соответствующие меры предосторожности, по крайней мере, позволяя субъекту данных оспорить решение, выразить свою точку зрения и получить отзыв от человека.
Если запросы от субъекта данных являются чрезмерными, в частности, из-за их повторяющегося характера, импортер данных может либо взимать разумную плату с учетом административных расходов на удовлетворение запроса, либо отказаться действовать по запросу.
Импортер данных может отклонить запрос субъекта данных, если такой отказ разрешен законодательством страны назначения и необходим и соразмерен в демократическом обществе для защиты одной из целей, перечисленных в статье 23(1) Регламента (ЕС) 2016 г. /679.
Если импортер данных намеревается отклонить запрос субъекта данных, он должен сообщить субъекту данных причины отказа и возможность подачи жалобы в компетентный надзорный орган и/или обращения за судебной защитой.

МОДУЛЬ ВТОРОЙ: Передача контроллера процессору

Импортер данных должен незамедлительно уведомить экспортера данных о любом запросе, полученном им от субъекта данных. Он не должен отвечать на этот запрос сам, если он не уполномочен на это экспортером данных.
Импортер данных должен помогать экспортеру данных в выполнении его обязательств по ответам на запросы субъектов данных об осуществлении их прав в соответствии с Регламентом (ЕС) 2016/679. В связи с этим Стороны излагают в Приложении II соответствующие технические и организационные меры, принимая во внимание характер обработки, посредством которой будет оказана помощь, а также объем и степень требуемой помощи.
При выполнении своих обязательств в соответствии с пунктами (a) и (b) импортер данных должен соблюдать инструкции экспортера данных.

МОДУЛЬ ТРЕТИЙ: Передача процессора процессору

Импортер данных должен незамедлительно уведомить экспортера данных и, при необходимости, контролера о любом запросе, полученном им от субъекта данных, не отвечая на этот запрос, если он не был уполномочен на это контролером.
Импортер данных должен помогать, при необходимости, в сотрудничестве с экспортером данных, контролеру в выполнении его обязательств по ответу на запросы субъектов данных об осуществлении их прав в соответствии с Регламентом (ЕС) 2016/679 или Регламентом (ЕС) 2018/1725. , применимо. В связи с этим Стороны излагают в Приложении II соответствующие технические и организационные меры, принимая во внимание характер обработки, посредством которой будет оказана помощь, а также объем и степень требуемой помощи.
При выполнении своих обязательств в соответствии с пунктами (a) и (b) импортер данных должен соблюдать инструкции контролера, сообщенные экспортером данных.

МОДУЛЬ ЧЕТЫРЕ: Передача процессора на контроллер

Стороны должны помогать друг другу в ответах на запросы и запросы, сделанные субъектами данных в соответствии с местным законодательством, применимым к импортеру данных, или, для обработки данных экспортером данных в ЕС, в соответствии с Регламентом (ЕС) 2016/679.

Статья 11

возмещение

Импортер данных должен информировать субъектов данных в прозрачном и легкодоступном формате, посредством индивидуального уведомления или на своем веб-сайте, о контактном лице, уполномоченном рассматривать жалобы. Он должен незамедлительно рассматривать любые жалобы, которые он получает от субъекта данных. [ВАРИАНТ: Импортер данных соглашается с тем, что субъекты данных могут также подать жалобу в независимый орган по разрешению споров бесплатно для субъекта данных. Он должен информировать субъектов данных в порядке, указанном в пункте (а), о таком механизме возмещения ущерба и о том, что они не обязаны его использовать или следовать определенной последовательности при обращении за возмещением.]

МОДУЛЬ ПЕРВЫЙ: Передача контроллера на контроллер

МОДУЛЬ ВТОРОЙ: Передача контроллера процессору

МОДУЛЬ ТРЕТИЙ: Передача процессора процессору

В случае возникновения спора между субъектом данных и одной из Сторон относительно соблюдения настоящих Пунктов, эта Сторона приложит все усилия для своевременного мирного решения вопроса. Стороны информируют друг друга о таких спорах и, при необходимости, сотрудничают в их разрешении.
Если субъект данных ссылается на право стороннего бенефициара в соответствии с пунктом 3, импортер данных должен принять решение субъекта данных:
1. подать жалобу в надзорный орган в государстве-члене его/ее обычного проживания или места работы или в компетентный надзорный орган в соответствии с пунктом 13;
2. передать спор в компетентные суды по смыслу статьи 18.
Стороны соглашаются с тем, что субъект данных может быть представлен некоммерческим органом, организацией или ассоциацией в соответствии с условиями, изложенными в статье 80(1) Регламента (ЕС) 2016/679.
Импортер данных должен соблюдать решение, которое является обязательным в соответствии с применимым законодательством ЕС или государства-члена.
Импортер данных соглашается с тем, что выбор, сделанный субъектом данных, не нанесет ущерба его/ее материальным и процессуальным правам на получение средств правовой защиты в соответствии с действующим законодательством.

Статья 12

Ответственность

МОДУЛЬ ПЕРВЫЙ: Передача контроллера на контроллер

МОДУЛЬ ЧЕТЫРЕ: Передача процессора на контроллер

Каждая Сторона несет ответственность перед другой Стороной за любой ущерб, который она причиняет другой Стороне в результате любого нарушения настоящих Пунктов.
Каждая Сторона несет ответственность перед субъектом данных, и субъект данных имеет право на получение компенсации за любой материальный или нематериальный ущерб, который Сторона причиняет субъекту данных, нарушая права третьих лиц-бенефициаров в соответствии с настоящими Пунктами. Это не наносит ущерба ответственности экспортера данных в соответствии с Регламентом (ЕС) 2016/679.
Если более одной Стороны несут ответственность за любой ущерб, причиненный субъекту данных в результате нарушения настоящих Пунктов, все ответственные Стороны несут солидарную ответственность, и субъект данных имеет право подать иск в суд против любого из этих пунктов. Стороны.
Стороны соглашаются, что если одна из Сторон будет привлечена к ответственности в соответствии с пунктом (c), она будет иметь право требовать возврата от другой Стороны/ей той части компенсации, которая соответствует ее/их ответственности за ущерб.
Импортер данных не может ссылаться на поведение обработчика или субобработчика, чтобы избежать собственной ответственности.

МОДУЛЬ ВТОРОЙ: Передача контроллера процессору

МОДУЛЬ ТРЕТИЙ: Передача процессора процессору

Каждая Сторона несет ответственность перед другой Стороной за любой ущерб, который она причиняет другой Стороне в результате любого нарушения настоящих Пунктов.
Импортер данных несет ответственность перед субъектом данных, а субъект данных имеет право на получение компенсации за любой материальный или нематериальный ущерб, который импортер данных или его субобработчик причиняет субъекту данных, нарушая права третьих лиц-бенефициаров. по этим пунктам.
Несмотря на параграф (b), экспортер данных несет ответственность перед субъектом данных, а субъект данных имеет право на получение компенсации за любой материальный или нематериальный ущерб, нанесенный экспортеру данных или импортеру данных (или его субобработчику). причиняет субъекту данных нарушение прав третьих лиц-бенефициаров в соответствии с настоящими пунктами. Это не наносит ущерба ответственности экспортера данных и, если экспортер данных является обработчиком, действующим от имени контролера, ответственности контролера в соответствии с Регламентом (ЕС) 2016/679 или Регламентом (ЕС) 2018/1725, применимо.
Стороны соглашаются с тем, что если экспортер данных несет ответственность в соответствии с пунктом (c) за ущерб, причиненный импортером данных (или его субобработчиком), он имеет право потребовать от импортера данных вернуть ту часть компенсации, которая соответствует ответственность импортера данных за ущерб.
Если более одной Стороны несут ответственность за любой ущерб, причиненный субъекту данных в результате нарушения настоящих Пунктов, все ответственные Стороны несут солидарную ответственность, и субъект данных имеет право подать иск в суд против любого из этих пунктов. Стороны.
Стороны соглашаются, что если одна из Сторон будет привлечена к ответственности в соответствии с пунктом (е), она будет иметь право потребовать от другой Стороны/других той части компенсации, которая соответствует ее/их ответственности за ущерб.
Импортер данных не может ссылаться на поведение субобработчика, чтобы избежать собственной ответственности.

Статья 13

Надзор

МОДУЛЬ ПЕРВЫЙ: Передача контроллера на контроллер

МОДУЛЬ ВТОРОЙ: Передача контроллера процессору

МОДУЛЬ ТРЕТИЙ: Передача процессора процессору

[Если экспортер данных учрежден в государстве-члене ЕС:] Надзорный орган, ответственный за обеспечение соблюдения экспортером данных Регламента (ЕС) 2016/679 в отношении передачи данных, как указано в Приложении IC, действует как компетентный надзорный орган. [Если экспортер данных не зарегистрирован в государстве-члене ЕС, но подпадает под территориальную сферу применения Регламента (ЕС) 2016/679 в соответствии с его статьей 3(2) и назначил представителя в соответствии со статьей 27(1) ) Регламента (ЕС) 2016/679:] Надзорный орган государства-члена, в котором учрежден представитель по смыслу статьи 27(1) Регламента (ЕС) 2016/679, как указано в Приложении IC, действует в качестве компетентного надзорного органа. [Если экспортер данных не зарегистрирован в государстве-члене ЕС, но подпадает под территориальную сферу применения Регламента (ЕС) 2016/679 в соответствии с его статьей 3(2), однако без необходимости назначать представителя в соответствии со статьей 27 (2) Регламента (ЕС) 2016/679:] Надзорный орган одного из государств-членов, в котором субъекты данных, чьи персональные данные передаются в соответствии с настоящими Пунктами в связи с предложением им товаров или услуг, или чье поведение находится под наблюдением, находится, как указано в Приложении IC, действует как компетентный надзорный орган.
Импортер данных соглашается подчиняться юрисдикции компетентного надзорного органа и сотрудничать с ним в любых процедурах, направленных на обеспечение соблюдения этих пунктов. В частности, импортер данных соглашается отвечать на запросы, проводить проверки и соблюдать меры, принятые надзорным органом, включая меры по исправлению положения и компенсации. Он должен предоставить надзорному органу письменное подтверждение того, что необходимые действия были предприняты.

РАЗДЕЛ III – МЕСТНЫЕ ЗАКОНЫ И ОБЯЗАННОСТИ В СЛУЧАЕ ДОСТУПА ОРГАНОВ ГОСУДАРСТВЕННОЙ ВЛАСТИ

Статья 14

Местные законы и практика, влияющие на соблюдение положений

МОДУЛЬ ПЕРВЫЙ: Передача контроллера на контроллер

МОДУЛЬ ВТОРОЙ: Передача контроллера процессору

МОДУЛЬ ТРЕТИЙ: Передача процессора процессору

МОДУЛЬ ЧЕТЫРЕ: Передача процессора на контроллер

(где обработчик из ЕС объединяет персональные данные, полученные от третьей страны-контролера, с персональными данными, собранными обработчиком в ЕС)

Стороны гарантируют, что у них нет оснований полагать, что законы и практика третьей страны назначения, применимые к обработке персональных данных импортером данных, включая любые требования о раскрытии персональных данных или меры, разрешающие доступ к ним со стороны государственных органов, предотвращают импортер данных от выполнения своих обязательств в соответствии с настоящими пунктами. Это основано на понимании того, что законы и практика, которые уважают сущность основных прав и свобод и не выходят за рамки того, что необходимо и пропорционально в демократическом обществе для защиты одной из целей, перечисленных в статье 23(1) Регламента (ЕС ) 2016/679, не противоречат настоящим пунктам.
Стороны заявляют, что при предоставлении гарантии в пункте (а) они должным образом учли, в частности, следующие элементы:
1. конкретные обстоятельства передачи, включая длину цепочки обработки, количество вовлеченных участников и используемые каналы передачи; предполагаемые дальнейшие переводы; тип получателя; цель обработки; категории и формат передаваемых персональных данных; сектор экономики, в котором происходит передача; место хранения переданных данных;
2. законы и практика третьей страны назначения, в том числе требующие раскрытия данных государственным органам или разрешающие доступ таким органам, актуальные в свете конкретных обстоятельств передачи, а также применимые ограничения и гарантии;
3. любые соответствующие договорные, технические или организационные гарантии, введенные в действие в дополнение к гарантиям в соответствии с настоящими Пунктами, включая меры, применяемые во время передачи и обработки персональных данных в стране назначения.
Импортер данных гарантирует, что при проведении оценки в соответствии с пунктом (b) он приложил все усилия, чтобы предоставить экспортеру данных соответствующую информацию, и соглашается с тем, что он будет продолжать сотрудничать с экспортером данных в обеспечении соблюдения этих пунктов.
Стороны соглашаются документировать оценку в соответствии с пунктом (b) и предоставлять ее компетентному надзорному органу по запросу.
Импортер данных соглашается незамедлительно уведомить экспортера данных, если после согласия с настоящими Пунктами и в течение срока действия контракта у него есть основания полагать, что он подпадает или стал подпадать под действие законов или практик, не соответствующих требованиям пункта (a), в том числе после изменения законодательства третьей страны или меры (например, требования о раскрытии информации), указывающей на применение таких законов на практике, не соответствующее требованиям пункта (a). [Для третьего модуля: экспортер данных должен направить уведомление контролеру.]
После уведомления в соответствии с параграфом (e) или если у экспортера данных есть основания полагать, что импортер данных больше не может выполнять свои обязательства в соответствии с настоящими Пунктами, экспортер данных должен незамедлительно определить соответствующие меры (например, технические или организационные меры для обеспечения безопасности и конфиденциальности) должен быть принят экспортером данных и/или импортером данных для разрешения ситуации [для третьего модуля: , при необходимости, после консультации с контролером]. Экспортер данных должен приостановить передачу данных, если он считает, что не могут быть обеспечены надлежащие гарантии для такой передачи, или если он получил указание [для Модуля 16: контроллер или] компетентный надзорный орган сделать это. В этом случае экспортер данных имеет право расторгнуть договор, поскольку это касается обработки персональных данных в соответствии с настоящими пунктами. Если в договоре участвуют более двух Сторон, экспортер данных может воспользоваться этим правом на расторжение только в отношении соответствующей Стороны, если Стороны не договорились об ином. В случае расторжения договора в соответствии с настоящим пунктом применяются пункты XNUMX(d) и (e).

Статья 15

Обязанности импортера данных в случае доступа государственных органов

МОДУЛЬ ПЕРВЫЙ: Передача контроллера на контроллер

МОДУЛЬ ВТОРОЙ: Передача контроллера процессору

МОДУЛЬ ТРЕТИЙ: Передача процессора процессору

МОДУЛЬ ЧЕТЫРЕ: Передача процессора на контроллер

(где обработчик из ЕС объединяет персональные данные, полученные от третьей страны-контролера, с персональными данными, собранными обработчиком в ЕС)

Уведомления
1. 1. Импортер данных соглашается незамедлительно уведомить экспортера данных и, по возможности, субъекта данных (при необходимости с помощью экспортера данных), если он:
    1. получает юридически обязывающий запрос от государственного органа, включая судебные органы, в соответствии с законодательством страны назначения о раскрытии персональных данных, переданных в соответствии с настоящими Пунктами; такое уведомление должно включать информацию о запрашиваемых персональных данных, запрашивающем органе, правовой основе запроса и предоставленном ответе; или же
    2. становится известно о любом прямом доступе государственных органов к персональным данным, передаваемым в соответствии с настоящими пунктами в соответствии с законодательством страны назначения; такое уведомление должно включать всю информацию, доступную импортеру.
[Для третьего модуля: экспортер данных должен направить уведомление контролеру.]
1. Если импортеру данных запрещено уведомлять экспортера данных и/или субъекта данных в соответствии с законодательством страны назначения, импортер данных соглашается приложить все усилия для снятия запрета с целью сообщения как можно информацию как можно быстрее. Импортер данных соглашается документировать свои усилия, чтобы иметь возможность продемонстрировать их по запросу экспортера данных.
2. Там, где это разрешено законодательством страны назначения, импортер данных соглашается предоставлять экспортеру данных через регулярные промежутки времени в течение срока действия контракта как можно больше соответствующей информации о полученных запросах (в частности, количество запросов, тип запрошенных данных, запрашивающий(ие) орган(ы), были ли запросы оспорены, и результаты таких запросов и т. д.). [Для третьего модуля: экспортер данных должен направить информацию контролеру.]
3. Импортер данных соглашается хранить информацию в соответствии с пунктами (a)–(c) в течение срока действия контракта и предоставлять ее компетентному надзорному органу по запросу.
4. Параграфы (a)–(c) не затрагивают обязательства импортера данных в соответствии с пунктом 14(e) и пунктом 16 незамедлительно информировать экспортера данных, если он не может соблюдать эти пункты.
Проверка законности и минимизация данных
1. Импортер данных соглашается проверить законность запроса на раскрытие, в частности, остается ли он в пределах полномочий, предоставленных запрашивающему государственному органу, и оспорить запрос, если после тщательной оценки он придет к выводу, что есть разумные основания считать, что запрос является незаконным в соответствии с законодательством страны назначения, применимыми обязательствами в соответствии с международным правом и принципами международной вежливости. Импортер данных должен на тех же условиях использовать возможности обжалования. При оспаривании запроса импортер данных должен принять обеспечительные меры с целью приостановить действие запроса до тех пор, пока компетентный судебный орган не примет решение по существу. Он не должен раскрывать запрошенные персональные данные до тех пор, пока это не потребуется в соответствии с применимыми процедурными правилами. Эти требования не наносят ущерба обязательствам импортера данных в соответствии с пунктом 14(e).
2. Импортер данных соглашается документировать свою юридическую оценку и любые возражения против запроса о раскрытии информации и, насколько это разрешено законодательством страны назначения, предоставлять документацию экспортеру данных. Он также должен предоставить его компетентному надзорному органу по запросу. [Для третьего модуля: экспортер данных должен сделать оценку доступной для контролера.]
3. Импортер данных соглашается предоставить минимально допустимый объем информации при ответе на запрос о раскрытии на основе разумного толкования запроса.

РАЗДЕЛ IV. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

Статья 16

Несоблюдение пунктов и прекращение

Импортер данных должен незамедлительно информировать экспортера данных, если он по какой-либо причине не может соблюдать настоящие Пункты.
В случае, если импортер данных нарушает настоящие Пункты или не может соблюдать эти Пункты, экспортер данных должен приостановить передачу персональных данных импортеру данных до тех пор, пока не будет снова обеспечено соблюдение или расторжение договора. Это не противоречит статье 14(f).
Экспортер данных имеет право расторгнуть договор, поскольку это касается обработки персональных данных в соответствии с настоящими пунктами, если:
1. экспортер данных приостановил передачу персональных данных импортеру данных в соответствии с параграфом (b), и соблюдение этих пунктов не восстанавливается в разумный срок и в любом случае в течение одного месяца после приостановки;
2. импортер данных существенно или постоянно нарушает настоящие Пункты; или же
3. импортер данных не выполняет обязательное решение компетентного суда или надзорного органа в отношении своих обязательств в соответствии с настоящими Пунктами.
В этих случаях он должен информировать компетентный надзорный орган [для третьего модуля: и контролера] о таком несоблюдении. Если в договоре участвуют более двух Сторон, экспортер данных может воспользоваться этим правом на расторжение только в отношении соответствующей Стороны, если Стороны не договорились об ином.
[Для Модулей один, два и три: Персональные данные, которые были переданы до расторжения договора в соответствии с пунктом (c), должны быть по выбору экспортера данных немедленно возвращены экспортеру данных или полностью удалены. То же самое относится к любым копиям данных.] [Для Модуля четыре: персональные данные, собранные экспортером данных в ЕС, которые были переданы до расторжения договора в соответствии с пунктом (c), должны быть немедленно удалены в его целиком, включая любую его копию.] Импортер данных должен подтвердить удаление данных экспортеру данных. До тех пор, пока данные не будут удалены или возвращены, импортер данных должен продолжать обеспечивать соблюдение этих пунктов. В случае применимых к импортеру данных местных законов, запрещающих возврат или удаление переданных персональных данных, импортер данных гарантирует, что он будет продолжать обеспечивать соблюдение этих пунктов и будет обрабатывать данные только в той степени и до тех пор, пока требуется в соответствии с этим местным законодательством.
Любая из Сторон может отозвать свое согласие на обязательность этих Пунктов, если (i) Европейская комиссия принимает решение в соответствии со статьей 45(3) Регламента (ЕС) 2016/679, которое касается передачи персональных данных, к которым применяются эти Пункты; или (ii) Регламент (ЕС) 2016/679 становится частью правовой базы страны, в которую передаются персональные данные. Это не наносит ущерба другим обязательствам, применимым к рассматриваемой обработке в соответствии с Регламентом (ЕС) 2016/679.

Статья 17

Управляющий закон

МОДУЛЬ ПЕРВЫЙ: Передача контроллера на контроллер

МОДУЛЬ ВТОРОЙ: Передача контроллера процессору

МОДУЛЬ ТРЕТИЙ: Передача процессора процессору

[ВАРИАНТ 1: Настоящие Пункты регулируются законодательством одного из государств-членов ЕС при условии, что такое законодательство допускает права третьих лиц-бенефициаров. Стороны соглашаются, что это будет законодательством Нидерландов. [ВАРИАНТ 2 (для Модулей два и три): Настоящие пункты регулируются законодательством государства-члена ЕС, в котором зарегистрирован экспортер данных. Если такой закон не допускает прав третьих лиц-бенефициаров, они регулируются законодательством другого государства-члена ЕС, которое допускает права третьих лиц-бенефициаров. Стороны соглашаются, что это будет законодательством Нидерландов.

МОДУЛЬ ЧЕТЫРЕ: Передача процессора на контроллер

Настоящие Пункты регулируются законодательством страны, допускающим права третьих лиц-бенефициаров. Стороны соглашаются, что это будет законодательством Нидерландов.

Статья 18

Выбор форума и юрисдикции

МОДУЛЬ ПЕРВЫЙ: Передача контроллера на контроллер

МОДУЛЬ ВТОРОЙ: Передача контроллера процессору

МОДУЛЬ ТРЕТИЙ: Передача процессора процессору

Любой спор, вытекающий из настоящих Пунктов, разрешается судами государства-члена ЕС.
Стороны соглашаются, что это будут суды Нидерландов.
Субъект данных также может возбудить судебное дело против экспортера и/или импортера данных в судах государства-члена, в котором он/она имеет свое обычное место жительства.
Стороны соглашаются подчиняться юрисдикции таких судов.

МОДУЛЬ ЧЕТЫРЕ: Передача процессора на контроллер

Любой спор, вытекающий из настоящих Пунктов, подлежит разрешению в судах Нидерландов.

ПРИЛОЖЕНИЕ К СТАНДАРТНЫМ УСЛОВИЯМ ДОГОВОРА

ПРИЛОЖЕНИЕ I К СТАНДАРТНЫМ УСЛОВИЯМ ДОГОВОРА

А. ОПИСАНИЕ ПЕРЕДАЧИ

МОДУЛЬ ПЕРВЫЙ: Передача контроллера на контроллер

МОДУЛЬ ВТОРОЙ: Передача контроллера процессору

МОДУЛЬ ТРЕТИЙ: Передача процессора процессору

МОДУЛЬ ЧЕТЫРЕ: Передача процессора на контроллер

Категории субъектов данных, персональные данные которых передаются Все сотрудники экспортера данных, агенты, консультанты, субподрядчики или контактные лица канала Клиента, партнеры, клиенты, потенциальные клиенты, деловые партнеры и поставщики, а также любые другие пользователи конечных точек Клиента, на которых установлены Результаты, или другие авторизованные пользователи Результатов. Категории передаваемых персональных данных Передаваемые персональные данные относятся к следующим категориям данных

реквизиты компании-клиента; должности, адреса электронной почты, номера телефонов и имена представителей Клиента; информация об оплате; деловая информация; и другие Данные или информацию, которые Клиент решает предоставить Stellar Cyber с помощью или посредством Результатов или любых других средств или механизмов.
Данные пользователя и конечной точки: идентификатор агента, имя конечной точки, идентификатор пользователя Active Directory клиента, имя пользователя, установленные приложения — время установки, размер, издатель и версия, имя пользователя SMTP, данные конфигурации, связанные с интеграцией Active Directory.
Полный путь к файлу: будет включать личные данные только в том случае, если имя файла, указанное Клиентом, включает данные.
Сетевые данные (внутренний сетевой IP-адрес, общедоступный IP-адрес, MAC-адрес).
Восстановленные файлы: файлы, восстановленные по сети.
Системные настройки, полученные из консоли управления (имена пользователей, адреса электронной почты и номера телефонов).
Информация об угрозе (путь к файлу, сигнатура обнаружения вторжений (которая может включать имена пользователей, IP-адреса, имена файлов).
Мониторинг сети в реальном времени (URL-адреса, заголовки URL-адресов, временные метки).
Где Клиент активирует функцию извлечения файлов Stellar Cyber: любые данные, содержащиеся в файлах, извлеченных администраторами Клиента.

Передаваемые конфиденциальные данные (если применимо) и применяемые ограничения или меры безопасности, которые полностью учитывают характер данных и сопутствующие риски, такие как, например, строгое ограничение цели, ограничения доступа (включая доступ только для сотрудников, прошедших специальное обучение), сохранение запись о доступе к данным, ограничениях на дальнейшую передачу или дополнительных мерах безопасности. Непригодный. Частота передачи (например, передаются ли данные разово или непрерывно). Передача данных осуществляется непрерывно в течение срока действия Соглашения. Цель(и) передачи данных и дальнейшей обработки Stellar Cyber занимается предоставлением Клиенту результатов, связанных с обработкой Персональных данных. Объем Результатов указан в Соглашении, и Stellar Cyber будет обрабатывать Персональные данные по мере необходимости для предоставления этих Результатов и соблюдения условий Соглашения и настоящего Дополнения. Период, в течение которого будут храниться персональные данные, или, если это невозможно, критерии, используемые для определения этого периода. Продолжительность обработки будет: до истечения срока действия/расторжения Соглашения или (ii) 30 дней с момента получения Клиентом запроса на удаление некоторых или всех Персональных данных. Для передачи (суб-)обработчикам также укажите предмет, характер и продолжительность обработки. Stellar Cyber использует субпроцессоры для поддержки своей инфраструктурной среды, местных и международных поставщиков телекоммуникационных и сетевых услуг, организаций, занимающихся хранением данных и доставкой контента. Персональные данные, обрабатываемые субобработчиками, обрабатываются в соответствии с целями и сроком действия соответствующего соглашения об услугах Stellar Cyber или документа заказа. Для получения дополнительной информации см. Список подпроцессоров Stellar Cyber в Приложении III к SCC.

B. КОМПЕТЕНТНЫЙ НАДЗОРНЫЙ ОРГАН

МОДУЛЬ ПЕРВЫЙ: Передача контроллера на контроллер

МОДУЛЬ ВТОРОЙ: Передача контроллера процессору

МОДУЛЬ ТРЕТИЙ: Передача процессора процессору

Определите компетентный(ые) надзорный(ие) орган(ы) в соответствии с пунктом 13. По вопросам, связанным с передачей данных в соответствии с Регламентом (ЕС) 2016/679: Autoriteit Persoongegevens of the Netherlands: https://www.autoriteitpersoonsgegevens.nl/en

ПРИЛОЖЕНИЕ II К ТИПОВЫМ УСЛОВИЯМ ДОГОВОРА – ТЕХНИЧЕСКИЕ И ОРГАНИЗАЦИОННЫЕ МЕРЫ, ВКЛЮЧАЯ ТЕХНИЧЕСКИЕ И ОРГАНИЗАЦИОННЫЕ МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ДАННЫХ

МОДУЛЬ ПЕРВЫЙ: Передача контроллера на контроллер

МОДУЛЬ ВТОРОЙ: Передача контроллера процессору

МОДУЛЬ ТРЕТИЙ: Передача процессора процессору

Описание технических и организационных мер, принятых импортером(ами) данных (включая любые соответствующие сертификаты) для обеспечения надлежащего уровня безопасности с учетом характера, объема, контекста и цели обработки, а также рисков для прав. и свободы физических лиц.

Технические и организационные меры включают, помимо прочего, следующие меры по обеспечению постоянной конфиденциальности, целостности и доступности данных для предотвращения несанкционированного доступа, использования, изменения или раскрытия данных:

Проведение проверки биографических данных всех сотрудников, имеющих доступ к обработке данных, а также подписание обязательств о неразглашении и деловой этике перед приемом на работу.
Обучение по вопросам безопасности и конфиденциальности, включая признание и согласие соблюдать политики безопасности организации, для всего персонала при приеме на работу и ежегодно после этого.
Поддержание полного набора политик, процедур и планов безопасности и конфиденциальности, которые пересматриваются не реже одного раза в год и содержат рекомендации для организации в отношении методов обеспечения безопасности и конфиденциальности; процессы оценки потенциальных и существующих субобработчиков, чтобы убедиться, что они имеют возможность и обязуются принимать соответствующие технические и организационные меры для обеспечения постоянной конфиденциальности, целостности и доступности данных.
Процесс регулярного тестирования, оценки и оценки эффективности административных, технических и физических мер безопасности для обеспечения безопасности обработки, передачи или хранения данных посредством внешних и внутренних аудитов.
Предотвращение доступа, использования, изменения или раскрытия данных, кроме как уполномоченным персоналом Stellar Cyber (1) для предоставления результатов и предотвращения или решения сервисных или технических проблем, (2) в соответствии с требованиями закона или (3) в соответствии с явным письменным разрешением Клиента. .
Ведение журналов безопасности и мониторинг их работы с помощью системы управления инцидентами безопасности («SIEM») системы и оповещения при обнаружении подозрительного поведения системы и/или пользователей; процессы и инструменты для регулярного выявления, оценки и сортировки уязвимостей на основе отраслевых стандартов.
Псевдонимизация или шифрование данных при передаче и хранении с использованием стандартных отраслевых механизмов для определенных результатов.
MFA и надежные пароли строго соблюдаются для доступа к блоку обработки данных.
Возможность своевременно восстанавливать доступность и доступ к Данным клиента в случае инцидента, влияющего на доступность Данных клиента, путем поддержания решения для резервного копирования в целях аварийного восстановления;

Для передачи (суб-)обработчику также опишите конкретные технические и организационные меры, которые должен принять (суб-)обработчик, чтобы иметь возможность оказывать помощь контролеру, а для передачи от обработчика к подпроцессору, чтобы экспортер данных

Stellar Cyber требует, чтобы его подпроцессоры соблюдали материально эквивалентные технические и организационные меры, принятые Stellar Cyber.

ПРИЛОЖЕНИЕ III К СТАНДАРТНЫМ УСЛОВИЯМ ДОГОВОРА – СПИСОК СУБПРОЦЕССОРОВ

МОДУЛЬ ВТОРОЙ: Передача контроллера процессору

МОДУЛЬ ТРЕТИЙ: Передача процессора процессору

Контроллер разрешил использование следующих подпроцессоров:

Сущность	Тип обслуживания	Страна организации
Оракл, Инк.	Инфраструктура как услуга	Соединенные Штаты. Регион Центра обработки данных находится в регионе, выбранном Заказчиком.
Зендеск, Инк.	Служба поддержки клиентов:	США
Слэк Технолоджис, Инк.	Служба поддержки клиентов:	США
Atlassian	Служба поддержки клиентов:	США
Хекс Технологии	Business Intelligence	США
Gainsight	Служба поддержки клиентов:	США
Mixpanel	Аналитика продуктов	США

Контроллер разрешил использование следующих подпроцессоров:

Следующие условия дополняют Стандартные договорные положения только в том случае, если Стандартные договорные положения применяются в отношении передачи данных, подпадающей под действие Федерального закона о защите данных от 19 июня 1992 г. (Швейцария):

Термин «государство-член» будет толковаться таким образом, чтобы позволить субъекту данных в Швейцарии осуществлять свои права в соответствии с пунктами в месте своего обычного проживания (Швейцария) в соответствии с пунктом 18 (с) этих пунктов.

ПРИЛОЖЕНИЕ 4 К ПРИЛОЖЕНИЮ О ПРОИЗВОДСТВЕ ДАННЫХ

ДОПОЛНЕНИЕ О МЕЖДУНАРОДНОЙ ПЕРЕДАЧЕ ДАННЫХ К СТАНДАРТНЫМ ДОГОВОРНЫМ УСЛОВИЯМ КОМИССИИ ЕС

Настоящее Приложение было выпущено Уполномоченным по информации для Сторон, осуществляющих Ограниченные переводы. Уполномоченный по информации считает, что он обеспечивает надлежащие гарантии для ограниченных передач, когда он заключается в качестве юридически обязывающего контракта.

Часть 1: Таблицы

Таблица 1: Стороны

Дата начала
Стороны	Экспортер (кто отправляет Ограниченный перевод)	Импортер (кто получает Ограниченный перевод)
Детали сторон	Как указано в Соглашении.	Как указано в Соглашении.

Таблица 2: Выбранные SCC, модули и выбранные пункты

Приложение SCC ЕС	Версия Утвержденных SCC ЕС, к которой прилагается это Приложение 4, подробно описана ниже, включая информацию в Приложении:

Таблица 3: Информация о приложении

«Информация о приложении» означает информацию, которая должна быть предоставлена для выбранных модулей, как указано в Приложении к Утвержденным SCC ЕС (кроме Сторон), и которая для настоящего Дополнения изложена в: sentinelone.com/legal/sccs/eu-c2p .

Таблица 4: Завершение настоящего Дополнения в случае внесения изменений в Утвержденное Дополнение

Прекращение действия настоящего Дополнения при изменении Утвержденного Дополнения	Какие Стороны могут прекратить действие настоящего Дополнения, как указано в Разделе 19: Импорт Экспортер

Часть 2: Обязательные пункты

Каждая Сторона соглашается соблюдать положения и условия, изложенные в настоящем Дополнении, в обмен на то, что другая Сторона также соглашается соблюдать настоящее Дополнение.
Хотя Приложение 1A и Пункт 7 Утвержденных СУК ЕС требуют подписания Сторонами, в целях осуществления Ограниченной передачи Стороны могут заключать настоящее Дополнение любым способом, который делает его юридически обязательным для Сторон и позволяет субъектам данных обеспечивать соблюдение своих права, изложенные в настоящем Дополнении. Подписание настоящего Дополнения будет иметь тот же эффект, что и подписание Утвержденных СУК ЕС и любой части Утвержденных СУК ЕС.

Толкование настоящего Дополнения

Когда в настоящем Дополнении используются термины, определенные в Утвержденных СУК ЕС, эти термины имеют то же значение, что и в Утвержденных СУК ЕС. Кроме того, следующие термины имеют следующие значения: Приложение: Настоящее Дополнение к международной передаче данных, которое состоит из настоящего Дополнения, включающего в себя Дополнение ЕС SCC. Приложение SCC ЕС: Версии Утвержденных СУК ЕС, к которым прилагается настоящее Дополнение, как указано в Таблице 2, включая информацию в Приложении. Информация о приложении: Как указано в таблице 3. Соответствующие меры предосторожности: Стандарт защиты персональных данных и прав субъектов данных, который требуется в соответствии с Законами Великобритании о защите данных, когда вы совершаете Ограниченную передачу, полагаясь на стандартные положения о защите данных в соответствии со статьей 46 (2) (d) GDPR Великобритании. Утвержденное дополнение: Шаблон дополнения, выпущенный ICO и представленный в парламент в соответствии со статьей 119A Закона о защите данных 2018 года 2 февраля 2022 года, с изменениями, внесенными в соответствии с разделом 18. Утвержденные SCC ЕС: Стандартные договорные условия, изложенные в Приложении к Исполнительному решению Комиссии (ЕС) 2021/914 от 4 июня 2021 года. ICON:Комиссар по информации. Ограниченный перевод: Передача, на которую распространяется действие главы V GDPR Великобритании. Великобритания: Соединенное Королевство Великобритании и Северной Ирландии. Законы Великобритании о защите данных:Все законы, касающиеся защиты данных, обработки персональных данных, конфиденциальности и/или электронных коммуникаций, действующие время от времени в Великобритании, включая GDPR Великобритании и Закон о защите данных 2018 года. GDPR Великобритании: Как определено в разделе 3 Закона о защите данных 2018 года.

Настоящее Дополнение всегда должно толковаться в соответствии с Законами Великобритании о защите данных и таким образом, чтобы оно выполняло обязательства Сторон по обеспечению Надлежащих гарантий.
Если положения, включенные в Дополнение СУК ЕС, вносят поправки в Утвержденные СУК ЕС каким-либо образом, который не разрешен Утвержденными СУК ЕС или Утвержденным Дополнением, такие поправки не будут включены в настоящее Дополнение и эквивалентное положение Утвержденного СУК ЕС. Их место займут SCC.
В случае каких-либо несоответствий или противоречий между Законами Великобритании о защите данных и настоящим Дополнением применяются законы Великобритании о защите данных.
Если значение настоящего Дополнения неясно или имеется более одного значения, применяется значение, которое наиболее точно соответствует Законам Великобритании о защите данных.
Любые ссылки на законодательство (или конкретные положения законодательства) означают это законодательство (или конкретное положение), поскольку оно может меняться с течением времени. Это включает случаи, когда законодательство (или конкретное положение) было объединено, повторно введено в действие и/или заменено после вступления в силу настоящего Дополнения.

Толкование настоящего Дополнения

Хотя в пункте 5 Утвержденных СУК ЕС указано, что Утвержденные СУК ЕС превалируют над всеми соответствующими соглашениями между сторонами, стороны соглашаются с тем, что для Ограниченных передач преимущественную силу будет иметь иерархия, изложенная в Разделе 10.
В случае каких-либо несоответствий или противоречий между Утвержденным Дополнением и Дополнением СУК ЕС (если применимо), Утвержденное Дополнение имеет преимущественную силу над СУК ЕС Дополнения, за исключением случаев (и в той мере, в какой) несовместимые или противоречащие положения СУК ЕС Дополнения предусматривают усиление защиты субъектов данных, и в этом случае эти условия имеют преимущественную силу над Утвержденным дополнением.
В тех случаях, когда настоящее Дополнение включает в себя СУК ЕС Дополнения, которые были заключены для защиты передач, подпадающих под действие Общего регламента о защите данных (ЕС) 2016/679, Стороны признают, что ничто в настоящем Дополнении не влияет на эти СУК ЕС Дополнения.

Включение и изменение SCC ЕС

Настоящее Дополнение включает в себя Дополнение к СУК ЕС, в которое внесены поправки, необходимые для того, чтобы:

вместе они действуют для передачи данных, осуществляемой экспортером данных импортеру данных, в той мере, в какой Законы Великобритании о защите данных применяются к обработке экспортером данных при такой передаче данных, и они обеспечивают Надлежащие гарантии для такой передачи данных;
Разделы с 9 по 11 имеют приоритет над пунктом 5 (Иерархия) Дополнения ЕС SCC; и
настоящее Дополнение (включая включенные в него Дополнение ЕС СУК) (1) регулируется законами Англии и Уэльса и (2) любой спор, вытекающий из него, разрешается судами Англии и Уэльса, в каждом случае, если законы и /или суды Шотландии или Северной Ирландии были специально выбраны Сторонами.

Если Стороны не согласовали альтернативные поправки, отвечающие требованиям Раздела 12, применяются положения Раздела 15. В Утвержденные СУК ЕС не могут быть внесены никакие поправки, кроме как для выполнения требований Раздела 12. Внесены следующие поправки в Дополнение ЕС SCC (для целей Раздела 12):

Ссылки на «Положения» означают настоящее Дополнение, включающее Дополнение СУК ЕС;

В пункте 2 слова исключить:

«и, в отношении передачи данных от контроллеров процессорам и/или процессоров процессорам, стандартные договорные положения в соответствии со статьей 28(7) Регламента (ЕС) 2016/679»;

Пункт 6 (Описание передачи(й)) заменяется следующим:

«Подробности передачи(й) и, в частности, категории персональных данных, которые передаются, и цель(и), для которых они передаются), указаны в Приложении IB, где Законы Великобритании о защите данных применяются к обработке экспортером данных, когда сделать этот перевод.»;

Пункт 8.7(i) Модуля 1 заменяется следующим:

«именно в страну, в которой действуют положения о достаточности в соответствии с разделом 17A GDPR Великобритании, которые охватывают дальнейшую передачу»;

Пункт 8.8(i) Модулей 2 и 3 заменяется следующим:

«последующая передача осуществляется в страну, на которую распространяются правила адекватности в соответствии с разделом 17A GDPR Великобритании, который распространяется на последующую передачу;»

Ссылки на «Регламент (ЕС) 2016/679», «Регламент (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 г. о защите физических лиц в отношении обработки персональных данных и о свободном передвижении таких данных (Общий регламент по защите данных)» и «этот Регламент» заменены «Законами Великобритании о защите данных». Ссылки на конкретную статью (статьи) «Регламента (ЕС) 2016/679» заменены эквивалентной статьей или разделом Законов Великобритании о защите данных; Ссылки на Регламент (ЕС) 2018/1725 удалены; Ссылки на «Европейский союз», «Союз», «ЕС», «государство-член ЕС», «государство-член» и «ЕС или государство-член» заменены на «Великобритания»; Ссылка на «Статью 12(c)(i)» в Статье 10(b)(i) Модуля 11 заменена на «Статья 13(c)(i)»; Пункт 16(а) и Часть С Приложения I не используются; «Компетентный надзорный орган» и «надзорный орган» заменены на «Комиссара по информации»; CВ пункте XNUMX€ подраздел (i) заменен следующим:

«Государственный секретарь принимает постановления в соответствии с разделом 17A Закона о защите данных 2018 года, которые распространяются на передачу персональных данных, к которым применяются эти положения»;

Пункт 17 заменяется следующим:

«Эти статьи регулируются законами Англии и Уэльса»;

Пункт 18 заменяется следующим:

«Любой спор, возникающий в связи с настоящими пунктами, подлежит разрешению в судах Англии и Уэльса. Субъект данных также может возбудить судебное дело против экспортера и/или импортера данных в судах любой страны Великобритании. Стороны соглашаются подчиняться юрисдикции таких судов.»; и

Сноски к Утвержденным SCC ЕС не являются частью Дополнения, за исключением сносок 8, 9, 10 и 11.

Поправки к настоящему Дополнению

Стороны могут договориться об изменении Пункта 17 и/или 18 Дополнения СУК ЕС для ссылки на законы и/или суды Шотландии или Северной Ирландии.
Если Стороны желают изменить формат информации, включенной в Часть 1: Таблицы Утвержденного Дополнения, они могут сделать это, согласившись на изменение в письменной форме, при условии, что это изменение не уменьшает Соответствующие гарантии.

Время от времени ICO может выпускать пересмотренное Утвержденное дополнение, которое:

вносит разумные и соразмерные изменения в Утвержденное дополнительное соглашение, включая исправление ошибок в Утвержденном дополнительном соглашении; и/или
отражает изменения в Законах Великобритании о защите данных;

В пересмотренном Утвержденном дополнении будет указана дата начала, с которой вступают в силу изменения в Утвержденном дополнении, а также необходимость пересмотра Сторонами этого Дополнения, включая информацию в Приложении. В настоящее Дополнение автоматически вносятся поправки, как указано в пересмотренном Утвержденном Дополнении, начиная с указанной даты начала. Если ICO выпустит пересмотренное Утвержденное дополнение в соответствии с Разделом 18, если какая-либо Сторона, выбранная в Таблице 4 «Завершение действия Дополнения при изменении Утвержденного дополнения», в результате внесения изменений в Утвержденное дополнение получит существенное, непропорциональное и доказуемое увеличение в:

его прямые расходы на выполнение своих обязательств по Дополнению; и/или
свой риск в соответствии с Дополнением, и в любом случае она сначала предприняла разумные шаги для уменьшения этих затрат или рисков, чтобы они не были существенными и несоразмерными, то эта Сторона может прекратить действие настоящего Дополнения по истечении разумного периода уведомления, предоставив письменное уведомление за этот период другой Стороне до даты начала действия пересмотренного Утвержденного Дополнения.

Сторонам не требуется согласие какой-либо третьей стороны для внесения изменений в настоящее Дополнение, но любые изменения должны быть внесены в соответствии с его условиями.

Возможности безопасности

Вертикали

Сравните с Stellar Cyber

Случаи использования

Дифференциаторы

Продуманное лидерство

Программы и ресурсы

Свяжитесь с нами

Рекомендуемые ресурсы

SOC Руководства по автоматизации

Руководства по безопасности операций

AI-Driven SIEM Гиды

Выберите язык