Протокол обработки данных

Настоящий Протокол обработки данных ("Протокол") регулирует деятельность компании JIA, Inc. ("Обработчик") и Клиента ("Контролер"), каждый из которых является "Стороной", а вместе - "Сторонами". Настоящий Протокол вступает в силу с даты ("Дата вступления в силу") Генерального соглашения об оказании услуг ("Соглашение"), подписанного обеими Сторонами, за исключением случаев, когда Протокол может быть изменен JIA.

Настоящий Протокол применяется к персональным данным (как определено ниже), обрабатываемым (как определено ниже) в связи с программным обеспечением и/или услугами, предоставляемыми в рамках Соглашения (совместно именуемыми "Услуги"). Услуги предполагают использование стороннего облачного провайдера (в настоящее время корпорация Microsoft, предоставляющая Azure) и могут относиться к одной из трех категорий, указанных в Соглашении:

[СЦЕНАРИЙ ОДИН] Процессор заключает и управляет отношениями со сторонним поставщиком облачных услуг. В этом сценарии Контроллер настоящим уполномочивает Процессора заключать прямые контракты со сторонним поставщиком облачных услуг от имени и/или в интересах Контроллера, а сторонний поставщик облачных услуг является субподрядчиком Процессора и раскрывается как таковой в настоящем Протоколе.

[СЦЕНАРИЙ ДВА] Контроллер устанавливает отношения с третьей стороной - поставщиком облачных услуг, а Процессор управляет использованием Контроллером услуг третьей стороны - поставщика облачных услуг. В этом сценарии Контролер отвечает за заключение договоров непосредственно с поставщиком облачных услуг третьей стороны (включая, без ограничений, любые соглашения об обработке данных, требуемые применимым законодательством) и несет полную ответственность за все обязательства, связанные с этой третьей стороной. Сторонний поставщик облачных услуг является процессором Контроллера. Процессор в данном сценарии является процессором только для Контроллера.

[СЦЕНАРИЙ ТРЕТИЙ] Контролер закупает и управляет отношениями со сторонним поставщиком облачных услуг. То же самое, что и СЦЕНАРИЙ ДВА, выше, за исключением того, что - с учетом закупок и управления Контроллера - возможно, что Процессор не будет обрабатывать какие-либо персональные данные от имени Контроллера. Однако этот протокол все же может потребоваться, если Контролер обратится к Процессору за поддержкой - что может включать случайную обработку персональных данных.

С даты вступления в силу настоящий Протокол является частью Соглашения и включен в него, поэтому ссылки на "Соглашение" в Соглашении будут включать настоящий Протокол. За исключением изменений, внесенных настоящим Протоколом, Соглашение остается неизменным и имеет полную силу и действие. В случае противоречия между настоящим Протоколом и Соглашением, настоящий Протокол будет иметь преимущественную силу.

ИСТОРИЯ

(A) Процессор предоставляет или будет предоставлять Услуги для Контроллера или от его имени в соответствии с Соглашением.

(B) Стороны признают и соглашаются, что Услуги могут включать обработку персональных данных в Соединенных Штатах, включая, без ограничений, передачу персональных данных в Соединенные Штаты и из них, а также хранение персональных данных в Соединенных Штатах.

(C) Целью настоящего Протокола является изложение условий защиты данных, которые будут применяться при обработке персональных данных для обеспечения защиты прав и свобод физических лиц в соответствии с Применимым законодательством о защите данных (как определено ниже).

ПРИНЯТО:

1. Определения

В этом протоколе:

1.1 "предприятие", "потребитель", "контролер", "процессор", "субъект данных", "персональные данные", "обработка""процесс"), "поставщик услуг" и "специальные категории данных" будут иметь значения, указанные в Применимом законе о защите данных. "Личная информация" (как этот термин используется в Применимом законе о защите данных) будет включена в фразу "персональные данные", а "потребитель" будет включен в фразу "субъект данных", используемую в настоящем Протоколе.

1.2 "Применимое законодательство о защите данных" означает любое законодательство о конфиденциальности или защите данных, которое время от времени применяется к Сторонам в отношении обработки персональных данных в рамках Соглашения, включая, без ограничения, GDPR и CCPA (оба определения приведены ниже).

1.3 "Уполномоченные лица" означает, в отношении каждой Стороны, любое лицо, уполномоченное этой Стороной на обработку Данных (включая персонал, агентов и субподрядчиков такой Стороны).

1.4 "CCPA" означает Калифорнийский закон о защите частной жизни потребителей, Гражданский кодекс Калифорнии, раздел 1798.100 и последующие, а также положения о его применении. С 1 января 2023 года "CCPA" будет включать в себя Закон Калифорнии о правах на частную жизнь и положения о его применении.

1.5 "ЕЭЗ" означает Европейскую экономическую зону и, как используется в настоящем Протоколе, включает Швейцарию.

1.6 "GDPR" означает Общий регламент по защите данных (ЕС) 2016/679 и - при использовании в настоящем Протоколе - включает UK-GDPR (в отношении Соединенного Королевства ("Великобритания")) и Федеральный закон о защите данных (в отношении Швейцарии).

1.7 Ссылки на "инструкции" и связанные с ними термины означают письменные инструкции Контроллера по обработке Данных (как определено ниже), которые состоят из условий Соглашения и настоящего Протокола.

1.8 "Типовые положения" означает, в зависимости от обстоятельств:

1.8.1 Для передачи данных, регулируемой законодательством ЕЭЗ, стандартные договорные положения о передаче личных данных в третьи страны из ЕЭЗ в соответствии с GDPR и одобренные Европейской комиссией в соответствии с Решением (ЕС) 2021/914, как в настоящее время изложено на сайте https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc/standard-contractual-clauses-international-transfers_en ( "Типовые положения ЕЭЗ").

1.8.2 Для передачи данных, регулируемой законодательством Великобритании, - Типовые положения ЕЭЗ плюс обязательные положения утвержденного дополнения, выпущенного Управлением комиссара по информации Великобритании ("ICO"), как в настоящее время указано на сайте https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf ( "Дополнение к дополнению Великобритании").

1.8.3 Для передачи данных, регулируемой Федеральным законом о защите данных (Швейцария), будут применяться Типовые положения ЕЭЗ; при условии, что в них будут внесены изменения, предусматривающие надзор со стороны Федерального комиссара по защите данных и информации Швейцарии, а термин "государство-член" не будет толковаться таким образом, чтобы исключить швейцарских субъектов данных из возможности отстаивать свои права в Швейцарии.

1.9 "Разрешенная цель" имеет значение, указанное в Разделе 3; и

2. Отношения сторон

Компания Controller является контролером (и в некоторых случаях процессором) и настоящим назначает компанию Processor в качестве процессора для обработки персональных данных, описанных в прилагаемом Приложении 2. Такие персональные данные именуются "Данные". 

3. Ограничение цели

3.1 Процессор будет обрабатывать Данные (и вести учет такой обработки) в качестве процессора только в том случае, если это необходимо для выполнения Услуг, и только в соответствии с документированными инструкциями Контроллера ("Разрешенная цель"). Кроме того, в той мере, в какой это применимо, Стороны признают, что (x) Контроллер является "предприятием", а Процессор - "поставщиком услуг", как эти термины определены в CCPA; (y) обработка Данных Процессором необходима для предоставления Услуг; и (z) Контроллер не будет получать от Процессора никаких денежных или иных ценных вознаграждений в обмен на доступ Процессора к Данным и их обработку. Если применимое законодательство противоречит документированным инструкциям Контроллера, Процессор проинформирует Контроллера об этом до начала обработки, если такое уведомление не запрещено законом. В любом случае Стороны справедливо скорректируют размер вознаграждения, выплачиваемого Процессору, если письменные инструкции Контролера налагают на Процессор дополнительные требования. Не ограничивая вышесказанное, ни при каких обстоятельствах Процессор не будет:

(a) обрабатывать Данные в своих собственных целях или в целях любой третьей стороны, включая продажу, аренду, выпуск, раскрытие, распространение или иное предоставление таких Данных любой третьей стороне;

(b) брать на себя ответственность за определение целей и способа обработки Данных;

(c) раскрывать Данные любой третьей стороне (кроме своих уполномоченных субподрядчиков) без предварительного согласия Контроллера, за исключением случаев, когда и в той степени, в которой раскрытие требуется в соответствии с любым законом, применимым к Процессору.

(d) обрабатывать Данные любым способом, который может привести к нарушению Контролером каких-либо обязательств в соответствии с применимым законодательством о защите данных.

3.2 Контролер несет ответственность за обеспечение законности обработки и обладает всеми другими необходимыми правами, позволяющими Обработчику обрабатывать Данные. Контролер не будет предоставлять Процессору доступ к любым Данным, в отношении которых Контролер не обладает такими правами. Не ограничивая вышесказанное, Контролер несет ответственность за обеспечение предоставления любых необходимых уведомлений, получение согласия субъектов данных, а также за ведение учета таких согласий. Если субъект данных отзывает свое согласие, Контролер несет ответственность за сообщение факта такого отзыва Обработчику и оказание помощи Обработчику в отношении дальнейшей обработки этих Данных.

3.3 Контролер несет ответственность за точность и качество Данных.

3.4 Контроллер приложит все усилия, чтобы определить, предполагают ли Услуги обработку каких-либо персональных данных, происходящих из Австралии, Бразилии, ЕЭЗ, Великобритании или Аргентины, и, если это так, незамедлительно уведомит Процессора. Кроме того, Контролер должен уведомить Процессора, если данные подпадают под действие какого-либо применимого закона о защите данных, отличного от CCPA или GDPR, чтобы стороны могли принять меры по заключению дополнительных договорных положений (если таковые имеются), необходимых для соблюдения такого закона.

3.5 Если Данные включают любые персональные данные, полученные в ЕЭЗ или Великобритании, то, заключая настоящий Протокол, Обработчик и Контролер также настоящим подписывают, заключают и включают в настоящий Протокол применимые Типовые положения, упомянутые в разделе 11 ниже.

3.6 Если механизм передачи данных, используемый Сторонами, впоследствии будет изменен, отменен или признан недействительным компетентным регулирующим или иным государственным органом, Контроллер и Процессор будут добросовестно сотрудничать, чтобы прекратить передачу данных, осуществляемую в рамках этого механизма, или найти подходящий альтернативный механизм.

4. Конфиденциальность обработки

Процессор обеспечит, чтобы все Уполномоченные лица были обязаны соблюдать конфиденциальность (договорную, установленную законом или иную), и не позволит обрабатывать Данные лицам, на которых не распространяется обязанность соблюдать конфиденциальность. Обработчик гарантирует, что все Уполномоченные лица будут обрабатывать Данные только так, как это необходимо для Разрешенной цели.

5. Безопасность

5.1 Процессор будет внедрять и поддерживать соответствующие технические и организационные меры безопасности для защиты Данных от несанкционированных или незаконных нарушений безопасности, которые приводят к случайному или незаконному уничтожению, потере, изменению, несанкционированному раскрытию или доступу к Данным, находящимся под контролем Процессора ("Инцидент безопасности"). Технические и организационные меры безопасности Процессора изложены в Приложении 3 и могут время от времени обновляться.

5.2 Контролер несет ответственность за проверку информации, предоставляемой Процессором в отношении безопасности данных, и самостоятельное определение того, соответствуют ли меры безопасности Процессора требованиям Контролера и юридическим обязательствам в соответствии с применимым законодательством о защите данных.

6. Субподряд

Процессор не будет передавать обработку Данных сторонним субподрядчикам без предварительного письменного согласия Контроллера, которое не будет необоснованно удерживаться, обусловливаться или задерживаться. Контроллер соглашается на привлечение Процессором своих аффилированных лиц и других сторонних субподрядчиков для обработки Данных при условии, что: (i) Процессор предоставляет не менее чем за 10 дней предварительное уведомление о добавлении или удалении любого субподрядчика (включая подробную информацию об обработке, которую он выполняет или будет выполнять), которое может быть направлено Контроллеру по электронной почте; (ii) Процессор налагает условия защиты данных на любого назначенного им субподрядчика, которые защищают Данные по существу по тем же стандартам, которые предусмотрены настоящим Протоколом; и (iii) Процессор несет полную ответственность за любое нарушение настоящего Протокола, вызванное действием, ошибкой или упущением его субподрядчика. Субподрядчики по состоянию на Дату вступления в силу указаны в Приложении 4. 

7. Сотрудничество и права субъектов данных

Принимая во внимание характер обработки, Процессор будет - насколько это возможно - оперативно уведомлять Контролера и оказывать разумную помощь Контролеру (за счет Контролера), чтобы Контролер мог ответить на: (i) любой запрос от субъекта данных на осуществление любого из его прав в соответствии с Применимым законодательством о защите данных (включая, без ограничений, права на доступ, исправление, возражение, стирание и переносимость данных, в зависимости от обстоятельств); и (ii) любую другую корреспонденцию, запрос или жалобу, полученную от субъекта данных, регулирующего органа или другой третьей стороны в связи с обработкой Данных. Обработчик не несет ответственности за прямой ответ на любой запрос, корреспонденцию, запрос или жалобу, если иное не требуется по закону. 

8. Инциденты, связанные с безопасностью

8.1 Узнав о любом Инциденте безопасности, Процессор без неоправданной задержки сообщит об этом Контроллеру. Процессор приложит разумные усилия для выявления причины такого Инцидента безопасности и предпримет шаги, которые сочтет необходимыми и разумными для устранения причины такого Инцидента безопасности в той степени, в которой устранение находится под контролем Процессора; при условии, что Процессор не будет иметь таких обязательств, если Инцидент безопасности произошел по вине Контроллера или любой третьей стороны, нанятой в связи с Услугами.

8.2 Контроллер несет убытки и расходы (включая разумные гонорары адвокатов), связанные с Инцидентом безопасности, возникшим в результате небрежных действий или бездействия Контроллера (или любой третьей стороны) или нарушения настоящего Протокола, включая, без ограничений, любые расходы: (а) на предоставление уведомлений об Инциденте безопасности пострадавшим лицам и регулирующим органам; и (б) на устранение и иное смягчение любого фактического или потенциального ущерба или вреда от Инцидента безопасности, включая, без ограничений, создание центров обработки вызовов и предоставление услуг кредитного мониторинга или восстановления кредитоспособности.

9. Передача, удаление или возврат данных

По запросу и за счет Контролера Контролер будет иметь право получить от Процессора копию всех Данных, находящихся в распоряжении Процессора. Процессор предоставит за счет Контролера любую дополнительную помощь, обоснованно запрошенную Контролером в связи с безопасной передачей третьему лицу любых Данных. Процессор также обязуется по запросу Контролера и за его счет удалять или иным образом безопасно уничтожать все Данные, находящиеся в распоряжении Процессора (включая, без ограничений, любые Данные, находящиеся в распоряжении субподрядчиков). Эти требования не будут применяться в той степени, в которой Процессор обязан по какому-либо закону, применимому к Процессору, сохранить некоторые или все Данные, в этом случае Процессор изолирует и защитит Данные от любой дальнейшей обработки, за исключением той степени, которая требуется по такому закону, а затем вернет или безопасно уничтожит их как можно скорее.

10. Аудит

Процессор будет по запросу через разумные промежутки времени и если того требует Применимый закон о защите данных, предоставлять Контролеру всю информацию, необходимую для демонстрации соблюдения обязательств по такому закону; при условии, что Стороны приложат максимум усилий для выполнения всех обязательств по аудиту посредством письменных анкет и копий отчетов или сертификатов. Если результат аудита не может быть получен в письменной форме, допускается также проведение инспекции. Контроллер может (если применимое законодательство о защите данных не предусматривает иного) запрашивать проведение аудита в соответствии с настоящим разделом только один раз в календарный год. Все аудиторские проверки и иное предоставление документов и информации будут осуществляться за счет Контролера и с соблюдением положений Соглашения о конфиденциальности. Процессор может обусловить соблюдение требований настоящего раздела тем, что все третьи лица, получающие информацию, обязуются в письменной форме рассматривать всю информацию как конфиденциальную.   

11. Механизм передачи данных

11.1 Если при оказании Услуг данные, подпадающие под действие GDPR или любого другого закона, касающегося защиты или конфиденциальности частных лиц, который применяется в ЕЭЗ или Великобритании, передаются за пределы ЕЭЗ или Великобритании в страны, такие как США, которые не обеспечивают адекватный уровень защиты данных в соответствии с применимым законодательством о защите данных, к таким передачам будет применяться механизм(ы) передачи, перечисленные ниже, и они могут быть непосредственно применены Сторонами (в той степени, в которой это разрешено применимым законодательством о защите данных):

11.1.1 Для передачи в ЕЭЗ, при которой Контролер действует в качестве контролера, а Процессор действует в качестве процессора, Модуль два Типовых положений ЕЭЗ (Контролер - Процессор) - с учетом условий, содержащихся в Приложении 1 настоящего Протокола;

11.1.2 Для передачи в ЕЭЗ, когда Контроллер действует в качестве процессора, а Процессор действует в качестве субпроцессора Контроллера, Модуль 3 Типовых положений ЕЭЗ (Процессор - процессор) - с учетом условий в Приложении 1 настоящего Протокола;

11.1.3 Для передачи в Великобританию - либо Модуль два, либо Модуль три Типовых положений ЕЭЗ (в зависимости от обстоятельств) плюс Поправка к Дополнению Великобритании - с учетом условий в Приложении 1 к настоящему Протоколу.

11.1.4 Для передачи данных из Швейцарии - либо Модуль два, либо Модуль три Типовых положений ЕЭЗ (в зависимости от ситуации) - с учетом условий в Приложении 1 настоящего Протокола.

12. Ограничение ответственности

Совокупная ответственность Процессора и его аффилированных лиц, вытекающая из настоящего Протокола или связанная с ним, регулируется ограничениями ответственности, ограничениями гарантий, отказами от ответственности и другими исключениями гарантий и ответственности, изложенными в Соглашении. Вышеизложенное применяется независимо от характера претензии - будь то договор, правонарушение или иная теория ответственности.

13. Возмещение ущерба

Контроллер будет защищать, возмещать и ограждать Процессора, его филиалы, субподрядчиков и каждого из их соответствующих владельцев, директоров, должностных лиц, менеджеров, членов, сотрудников, подрядчиков и агентов от любой ответственности, убытков, ущерба или расходов (включая гонорары адвокатов) в той степени, в которой они вызваны или возникли вследствие (a) небрежности, умышленного проступка или мошенничества Контроллера или его агентов (включая, без ограничений, третьих лиц, нанятых в связи с Услугами); (b) инструкций, предоставленных Контроллером; или (c) нарушения обязательств Контроллера по настоящему Протоколу.

14. Разное

14.1 Заголовки разделов и другие заголовки в настоящем Протоколе приведены исключительно для удобства пользования и не являются частью настоящего Протокола и не влияют на его смысл или толкование.

14.2 Положения настоящего Протокола являются делимыми. Если какое-либо условие или положение является недействительным или неисполнимым полностью или частично, такая недействительность или неисполнимость будет затрагивать только такое условие или положение, а остальные положения настоящего Протокола останутся в полной силе и действии.

14.3 Любое уведомление, письмо или иное сообщение, предусмотренное настоящим Протоколом, должно быть предоставлено в соответствии с условиями Соглашения.

14.4 Положения настоящего Протокола будут действовать в интересах и будут обязательными для Сторон и их соответствующих правопреемников и цессионариев.

14.5 Настоящий Протокол будет регулироваться и толковаться во всех отношениях в соответствии с положениями о регулирующем праве и юрисдикции, изложенными в Соглашении, если иное не требуется в соответствии с Применимым законодательством о защите данных.

Расписание 1

Механизмы передачи данных для стран ЕЭЗ, Великобритании и Швейцарии

Для целей второго модуля типовых положений (контроллер - процессор) и третьего модуля типовых положений (процессор - процессор) контроллер является экспортером данных, а процессор - импортером данных, и Стороны соглашаются со следующим. Если в настоящем Приложении 1 прямо не указано, какой Модуль применяется, оно применяется к обоим.

1. Ссылки на Типовые положения и Поправку к Аддендуму Великобритании. Соответствующие положения, содержащиеся в Модуле два и Модуле три Типовых положений, включены путем отсылки и являются неотъемлемой частью настоящего Протокола. Добавочная поправка Великобритании также включена путем отсылки и является неотъемлемой частью настоящего Протокола. Информация, требуемая для Дополнения к Типовым положениям и Дополнения к Поправке Соединенного Королевства, изложена в Приложении 2. 

2. Оговорка о стыковке. Стороны решили исключить факультативную оговорку о стыковке в Типовых положениях (п. 7).

3. Инструкции. Настоящий Протокол и Соглашение являются полными и окончательными документированными инструкциями Контроллера на момент подписания Соглашения Обработчику по обработке персональных данных. Любые дополнительные или альтернативные инструкции должны соответствовать условиям настоящего Протокола и Соглашения. Для целей пункта 8.1(a) Типовых положений инструкции Контроллера по обработке персональных данных включают их передачу третьим лицам, находящимся за пределами ЕЭЗ и Великобритании, для целей оказания Услуг.

Если Контроллер выступает в качестве обработчика, Клиент заявляет и гарантирует, что его инструкции по обработке, изложенные в Соглашении и настоящем Протоколе, включая его разрешения Процессору на назначение субпроцессоров в соответствии с настоящим Протоколом, были санкционированы соответствующим контроллером. Контролер будет нести полную ответственность за пересылку любых уведомлений, полученных от Процессора, соответствующему контролеру, где это необходимо.

4. Безопасность обработки. Для целей пункта 8.6(a) Типовых положений Контролер несет исключительную ответственность за независимое определение того, соответствуют ли технические и организационные меры, изложенные в Приложении 3, требованиям Контролера, и соглашается с тем, что (с учетом уровня техники, затрат на реализацию, характера, объема, контекста и целей обработки его персональных данных, а также рисков для отдельных лиц) меры безопасности, внедренные и поддерживаемые Процессором, обеспечивают уровень безопасности, соответствующий риску в отношении таких персональных данных. В соответствии с пунктом 8.6(c) Типовых положений, случаи утечки персональных данных будут рассматриваться в соответствии с разделом 8 Протокола.

5. Аудиторские проверки в соответствии с Типовыми положениями. Стороны соглашаются, что аудиторские проверки, описанные в п. 8.9 Типовых положений, будут проводиться в соответствии с разделом 10 Протокола.

6. Общее разрешение на использование субпроцессоров. Стороны выбирают вариант 2 в соответствии с пунктом 9 Типовых положений. Для целей пункта 9(a) Процессор имеет общее разрешение Контроллера на привлечение субпроцессоров в соответствии с разделом 6 Протокола. Процессор предоставит Клиенту текущий список субпроцессоров в соответствии с разделом 6 настоящего Протокола (где субпроцессоры именуются "субподрядчиками"). Если Процессор заключает с субпроцессором в связи с предоставлением Услуг Третий модуль типовых положений (процессор - субпроцессор), Контроллер настоящим предоставляет Процессору и его аффилированным лицам полномочия на предоставление общего разрешения от имени Контроллера на привлечение субпроцессоров субпроцессорами, участвующими в предоставлении Услуг, а также полномочия на принятие решений и утверждение добавления или замены любых таких субпроцессоров.

7. Жалобы - возмещение ущерба. Стороны решили исключить факультативную формулировку в пункте 11 Типовых положений. Для целей оставшегося текста в пункте 11 и с учетом раздела 7 Протокола, Процессор будет информировать субъектов данных на своем веб-сайте о контактном пункте для подачи жалоб. Процессор проинформирует Контролера, если получит жалобу от субъекта данных в отношении персональных данных, обрабатываемых в рамках Соглашения, и Процессор без неоправданной задержки передаст жалобу Контролеру. В противном случае Процессор не будет иметь никаких обязательств по рассмотрению запроса (если иное не требуется по закону или не согласовано с Контролером).

8. Ответственность. В дополнение к другим ограничениям, изложенным в Соглашении и Протоколе, ответственность Обработчика в соответствии с пунктом 12 Типовых положений будет ограничена только теми убытками, которые вызваны его обработкой, если он не выполнил свои обязательства по Применимому закону о защите данных, специально направленному на обработчиков, или если он действовал вне или вопреки законным инструкциям, предоставленным Контролером - например, указанным в статье 82 GDPR. 

9. Надзор. Пункт 13 Типовых положений будет применяться следующим образом:

a. Если Контроллер создан в государстве-члене ЕС, надзорный орган, отвечающий за обеспечение соблюдения Контроллером GDPR в отношении передачи данных, будет выступать в качестве компетентного надзорного органа.

b. Если Контролер не учрежден в государстве-члене ЕС, но подпадает под территориальную сферу действия GDPR в соответствии с его Статьей 3(2) и назначил представителя в соответствии со Статьей 27(1) GDPR, надзорный орган государства-члена ЕС, в котором учрежден представитель в значении Статьи 27(1) GDPR, будет действовать как компетентный надзорный орган.

c. Если Контролер не учрежден в государстве-члене ЕС, но подпадает под территориальную сферу применения GDPR в соответствии с его Статьей 3(2) без необходимости назначения представителя в соответствии со Статьей 27(2) GDPR, в качестве компетентного надзорного органа будет выступать надзорный орган одного из государств-членов ЕС, в котором находятся субъекты данных, чьи персональные данные передаются или чье поведение контролируется.

d. Если Контроллер создан в Великобритании или попадает в территориальную сферу применения UK-GDPR, ICO будет выступать в качестве компетентного надзорного органа.

e. Если Контроллер учрежден в Швейцарии или входит в территориальную сферу применения Федерального закона о защите данных (Швейцария), Федеральный комиссар по защите данных и информации Швейцарии будет выступать в качестве компетентного надзорного органа в той мере, в какой соответствующая передача данных регулируется Федеральным законом о защите данных.

10. Уведомление о правительственных запросах на доступ. В соответствии с пунктом 15.1(a) Типовых положений, Процессор будет уведомлять Контролера (только), а не субъекта(ов) данных в случае правительственных запросов на доступ. Контролер будет нести полную ответственность за своевременное уведомление субъекта(ов) данных в случае необходимости. 

11. Регулирующее право. В максимально допустимой законом степени регулирующим правом для целей статьи 17 Типовых положений будет являться право, указанное в разделе "Регулирующее право" Соглашения. В противном случае Типовые положения ЕЭЗ будут регулироваться (а) в отношении ЕЭЗ (кроме Швейцарии) законами Бельгии; (б) в отношении Великобритании законами Англии и Уэльса; и (в) в отношении Швейцарии законами Швейцарии.  

12. Выбор форума и юрисдикции. В максимально возможной степени, разрешенной законом, судами с исключительной юрисдикцией в соответствии с пунктом 18 Типовых положений будут суды, указанные в разделе "Место проведения" Соглашения. В противном случае судом с исключительной юрисдикцией для разрешения любого спора или иска, возникающего из Типовых положений или в связи с ними, будут суды (a) в отношении передачи данных с участием субъектов данных ЕЭЗ (за исключением швейцарских субъектов данных) - суды Бельгии; (b) в отношении передачи данных с участием субъектов данных Великобритании - суды Англии и Уэльса; и (c) в отношении передачи данных с участием швейцарских субъектов данных - суды Швейцарии.

13. Приложение. Приложение к Типовым положениям ЕЭЗ будет заполнено следующим образом:

a. Содержание раздела 1 Приложения 2 составит Приложение I.A к Типовым положениям ЕЭЗ.
b. Содержание раздела 2 Приложения 2 составит Приложение I.B к Типовым положениям ЕЭЗ.
c. Содержание раздела 3 Приложения 2 составит Приложение I.C к Типовым положениям ЕЭЗ.
d. Содержание раздела 4 Приложения 2 составит Приложение II к Типовым положениям ЕЭЗ.

14. Экспорт данных Великобритании. Информация, необходимая для Таблиц 1-3 Части первой Дополнения к Соглашению о Великобритании, изложена в Приложении 2. Для целей Таблицы 4 Части первой Дополнения к Соглашению о Великобритании ни одна из сторон не может прекратить действие Дополнения к Соглашению о Великобритании, если оно изменяется.

15. Экспорт данных из Швейцарии. При передаче данных из Швейцарии Типовые положения ЕЭЗ также применяются к передаче информации, относящейся к идентифицированному или идентифицируемому юридическому лицу, если такая информация защищается аналогично персональным данным в соответствии с законодательством Швейцарии - до тех пор, пока такие законы не будут изменены, чтобы больше не применяться к юридическому лицу. Кроме того, термин "государство-член" не будет толковаться таким образом, чтобы исключить возможность для швейцарских субъектов данных отстаивать свои права в Швейцарии.

16. Коллизия. Типовые положения регулируются Протоколом. Однако если Типовые положения применимы к конкретной ситуации и существует конфликт между Типовыми положениями и Протоколом, то Типовые положения будут контролировать и регулировать ситуацию.

Расписание 2

Описание услуг

1. ПАРТИИ

Экспортер(ы) данных: Личность и контактные данные экспортера(ов) данных и, если применимо, его/их сотрудника по защите данных и/или представителя в Европейском Союзе (и/или Великобритании или Швейцарии)

Имя: Клиент (как этот термин определен во вступительном абзаце Генерального соглашения об обслуживании) ("Контроллер")

Адрес: Как указано во вступительном абзаце Генерального соглашения об обслуживании 

Имя, должность и контактные данные контактного лица: Как указано в разделе 6 Генерального соглашения об оказании услуг

Действия, относящиеся к данным, передаваемым в соответствии с настоящими пунктами: выполнение Услуг в рамках Соглашения.

Роль: Для целей Модуля два (Controller-to-Processor), Контроллер - это контроллер. Для целей Модуля три (Processor-to-Processor), Контроллер - это процессор.

Импортер(ы) данных: личность и контактные данные импортера(ов) данных, включая любое контактное лицо, ответственное за защиту данных

Название: JIA, Inc. ("Процессор")

Адрес: 201 NE Park Plaza, Suite 220, Ванкувер, Вашингтон 98684 Соединенные Штаты Америки

Имя контактного лица, должность и контактная информация: Гленн Бэтсон (glenn.batson@jenkon.com)

Действия, относящиеся к данным, передаваемым в соответствии с настоящими пунктами: выполнение Услуг в рамках Соглашения.

Роль: процессор

2. ОПИСАНИЕ ПЕРЕДАЧИ

a. КАТЕГОРИИ СУБЪЕКТОВ ДАННЫХ, ЧЬИ ПЕРСОНАЛЬНЫЕ ДАННЫЕ ПЕРЕДАЮТСЯ

Контроллер может предоставлять персональные данные в Услуги, объем которых определяется и контролируется Контроллером по его собственному усмотрению, и которые могут включать, но не ограничиваться персональными данными, относящимися к следующим категориям субъектов данных:

  • Независимые продавцы (например, представители, консультанты, аффилированные лица), потенциальные покупатели, клиенты, деловые партнеры, поставщики и сотрудники Контроллера (являющиеся физическими лицами)
  • Пользователи, уполномоченные Контролером на использование Услуг

b. КАТЕГОРИИ ПЕРЕДАВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ

Контроллер может предоставлять персональные данные в Услугах, объем которых определяется и контролируется Контроллером по его собственному усмотрению и которые могут включать, но не ограничиваются следующими категориями персональных данных:

  • Основные идентификаторы (например, имя, паспорт, ИНН и т.д.)
  • Контактная информация
  • Демографическая информация
  • Финансовая информация
  • Онлайн-идентификаторы (т.е. IP-адреса, файлы cookie и т.д.)
  • Пользовательский контент (например, материалы социальных сетей, личный веб-сайт и т.д.)

c. ПЕРЕДАВАЕМЫЕ КОНФИДЕНЦИАЛЬНЫЕ ДАННЫЕ (ЕСЛИ ПРИМЕНИМО)

Передача чувствительных данных (если применимо) и применение ограничений или мер предосторожности, которые полностью учитывают характер данных и связанные с ними риски, например, строгое ограничение цели, ограничение доступа (включая доступ только для сотрудников, прошедших специальное обучение), ведение учета доступа к данным, ограничения на последующую передачу или дополнительные меры безопасности.

Нет.

d. ЧАСТОТА ПЕРЕДАЧИ
Частота передачи (например, передаются ли данные разово или постоянно).

Постоянно, по запросу Контроллера в связи с Услугами.

e. ХАРАКТЕР ОБРАБОТКИ

Характер Обработки заключается в выполнении Услуг по Соглашению.

f. ЦЕЛЬ ОБРАБОТКИ, ПЕРЕДАЧА ДАННЫХ И ДАЛЬНЕЙШАЯ ОБРАБОТКА

Обработчик будет обрабатывать персональные данные, необходимые для выполнения Услуг в рамках Соглашения, а также в соответствии с дальнейшими указаниями Контроллера при использовании Услуг.

g. ДЛИТЕЛЬНОСТЬ ОБРАБОТКИ
Срок, в течение которого персональные данные будут храниться, или, если это невозможно, критерии, используемые для определения этого срока.

В соответствии с разделом 9 Протокола, Обработчик будет обрабатывать персональные данные в течение всего срока действия Соглашения, если иное не согласовано в письменной форме.

h. ПЕРЕДАЧА СУБПРОЦЕССОРУ
Для передачи (суб-) процессорам также укажите предмет, характер и продолжительность обработки:

В соответствии с обработкой Процессором, как указано в подразделе 2(f) выше, субпроцессоры будут обрабатывать персональные данные, необходимые для выполнения Услуг в соответствии с Соглашением. В соответствии с разделом 6 Протокола субпроцессор будет обрабатывать персональные данные в течение всего срока действия Соглашения, если иное не согласовано в письменной форме.

Идентификаторы субпроцессоров, используемых в настоящее время для предоставления Услуг, и страны их местонахождения перечислены в Приложении 4. Список субпроцессоров может быть обновлен, как указано в разделе 6 Протокола.

3. КОМПЕТЕНТНЫЙ НАДЗОРНЫЙ ОРГАН

Определите компетентный надзорный орган/ы в соответствии с пунктом 13.

См. раздел 9 Приложения 1 к настоящему Протоколу. 

4. ТЕХНИЧЕСКИЕ И ОРГАНИЗАЦИОННЫЕ МЕРЫ

Процессор будет поддерживать административные, технические и физические гарантии для защиты безопасности, конфиденциальности и целостности персональных данных, обрабатываемых в связи с Услугами, как описано в Приложении 3 или иным способом, разумно предоставленным Процессором.

Расписание 3

Технические и организационные меры, включая технические и организационные меры по обеспечению безопасности данных

Описание технических и организационных мер, применяемых Процессором для обеспечения надлежащего уровня безопасности с учетом характера, объема, контекста и цели обработки, а также рисков для прав и свобод физических лиц.

Процессор использует разумные административные, технические и физические гарантии, включая, в частности, шифрование, надежные пароли и контроль доступа, чтобы ограничить доступ к личной информации только теми лицами, которым необходимо знать такую информацию для выполнения обязательств Процессора по Соглашению. Процессор также ведет учет лиц, получивших доступ к персональной информации. Персонал Processor, имеющий доступ к личной информации, проходит обучение по вопросам гарантий и надлежащего доступа к личной информации. Когда Процессору необходимо перенести личную информацию за пределы производственной среды экспортера данных, данные сначала удаляются или скремблируются с помощью процесса "Scrub Script", предоставляемого и поддерживаемого Процессором. После выполнения сценария данные могут быть переданы по защищенному протоколу передачи файлов. 

Если экспортер данных запрашивает у Процессора доступ к производственной среде экспортера данных, Процессор получает доступ только к тому, что запрошено экспортером данных - и такой доступ всегда управляется экспортером данных и подчиняется любым политикам или процедурам, которые экспортер данных может предоставить в это время. 

Как указано выше, корпорация Майкрософт предоставляет Процессору услуги облачного хранения данных в соответствии с договором между корпорацией Майкрософт и Процессором. Конкретные сведения о технических и организационных мерах Microsoft можно найти здесь: https://docs.microsoft.com/en-us/azure/compliance/. Действующая форма дополнения Microsoft о защите данных доступна здесь: https://www.microsoft.com/licensing/docs/view/Microsoft-Products-and-Services-Data-Protection-Addendum-DPA.

Дополнительные меры включают:

  • Псевдонимизация и шифрование персональных данных
  • Обеспечение постоянной конфиденциальности, целостности, доступности и устойчивости систем и услуг обработки данных
  • Регулярное тестирование, анализ и оценка эффективности технических и организационных мер для обеспечения безопасности обработки
  • Идентификация и авторизация пользователей
  • Защита данных при передаче
  • Защита данных во время хранения
  • Регистрация событий
  • Ограниченное хранение данных

Расписание 4

СПИСОК СУБПРОЦЕССОРОВ

Импортер данных использует следующих субподрядчиков для обработки персональных данных в рамках Соглашения:

Название организации

Деятельность по переработке

Страна-субъект

Корпорация Microsoft (Azure)

Сторонний поставщик облачных услуг

Соединенные Штаты и другие страны, в которых может размещаться Azure Tenant, как указано в Соглашении.

Atlassian

Поставщик приложений HelpDesk

Соединенные Штаты

Филиалы импортера данных:

Название организации

Страна-субъект

Jenkon Mexico S DE RL DE CV

Мексика

В компании "Дженкон" мы знаем, что вы строите выигрышную компанию прямых продаж. Вам нужен партнер по программному обеспечению с основными ценностями, который будет безупречно поддерживать ваши стратегии роста. Целостность. Сотрудничество. Страсть. Надежность. Доверие.

В компании "Дженкон" мы знаем, что вы строите выигрышную компанию прямых продаж. Вам нужен партнер по программному обеспечению с основными ценностями, который будет безупречно поддерживать ваши стратегии роста. Целостность. Сотрудничество. Страсть. Надежность. Доверие.

Авторское право © 2024 | Jenkon Enterprise | Все права защищены

Золотой партнер Microsoft

Авторское право © 2024 | Jenkon Enterprise | Все права защищены

Золотой партнер Microsoft