СОГЛАШЕНИЕ ОБ ОБРАБОТКЕ ДАННЫХ (ГЛОБАЛЬНОЕ)

Дата последнего изменения: июнь 2023 года

Настоящее Соглашение об обработке данных, включая Приложения и Дополнения к нему («Соглашение»), заключено между корпорацией Avigilon, дочерней компанией Motorola Solutions, Inc. («Motorola Solutions»), от ее имени и от имени ее аффилированных и дочерних компаний («Avigilon») и заказчиком, указанным в месте для подписи ниже («Заказчик»), и отражает соглашение сторон в отношении обработки данных Заказчика, которые могут включать персональные данные, в соответствии с договором между Заказчиком и авторизованным реселлером Avigilon («Договор»). Если положения настоящего Соглашение противоречат Договору, Приложениям, Дополнениям или другим условиям Договора, настоящее Соглашение будет иметь преимущественную силу.

При продлении срока действия или приобретении новых Продуктов или Услуг применяется действующее на тот момент Соглашение, которое не должно изменяться в течение соответствующего Срока. Когда компания Avigilon предоставляет новые функции или дополнения к Продуктам или Услугам, компания Avigilon может предоставить дополнительные условия или внести изменения в настоящее Соглашение, которые должны применяться к использованию Заказчиком этих новых функций или дополнений. 

1. Определения.

Термины, написанные с заглавной буквы, которым не дано определение, употребляются в том значении, которое изложено в Договоре. Все термины со строчной буквы, не определенные в настоящем Соглашении, имеют значение, установленное в статье 4 GDPR, если они определены в ней, независимо от того, применяется ли GDPR. 

«Данные Avigilon» означают данные, принадлежащие компании Avigilon и предоставляемые Заказчику в связи с Продуктами и Услугами.

«Контактные данные Заказчика» означают данные, которые компания Avigilon собирает у Заказчика, его Авторизованных пользователей и конечных пользователей, для взаимодействия в деловых целях, в том числе, без ограничений, в целях маркетинга, рекламы, лицензирования и продажи.

«Данные Заказчика» означают данные, включая изображения, текст, видео и аудио, которые предоставляются компании Avigilon Заказчиком, его Авторизованными пользователями или конечными пользователями в процессе использования Продуктов и Услуг. Данные Заказчика не включают в себя Контактные данные Заказчика, Данные об использовании услуг, за исключением той части, которая состоит из Персональных данных, или Данные третьих лиц.

«Законы о защите данных» означает все законы и нормативные акты о защите данных, применимые к Стороне в отношении обработки Персональных данных в рамках Договора.

«Субъект данных» означает идентифицированное или могущее быть идентифицированным лицо, к которому относятся Персональные данные.

«Метаданные» — это данные, описывающие другие данные.

«Персональные данные» означают любую информацию, относящуюся к идентифицированному или могущему быть идентифицированным физическому лицу, переданную компании Avigilon Заказчиком, его Авторизованными пользователями или конечными пользователями, через них или от их имени, как часть Данных Заказчика. Идентифицируемое или могущее быть идентифицированным физическое лицо — это лицо, которое может быть прямо или косвенно идентифицировано, в частности по имени, идентификационному номеру, данным о местонахождении, онлайн-идентификатору или по одному или нескольким факторам, связанным с физической, физиологической, генетической, психической, экономической, культурной или социальной идентичностью этого физического лица.

«Обработчик» означает физическое или юридическое лицо, орган государственной власти, агентство или другой орган, который обрабатывает персональные данные по поручению контролера. Обработчики действуют от имени соответствующего контролера и по его указаниям. При этом они действуют в интересах контролера, а не в своих собственных. 

«Обработка» означает любую операцию или набор операций, которые выполняются с Персональными данными или наборами Персональных данных, с использованием или без использования автоматизированных средств, такие как сбор, запись, копирование, анализ, кеширование, упорядочивание, структурирование, хранение, адаптация, изменение, извлечение, консультирование, использование, раскрытие путем передачи, распространение или иное предоставление доступа, сопоставление или комбинирование, ограничение, стирание или уничтожение.

«Инцидент безопасности» означает инцидент, приводящий к случайному или незаконному уничтожению, потере, изменению или раскрытию Данных Заказчика, которые могут включать Персональные данные, во время их обработки компанией Avigilon. 

«Данные об использовании услуг» означают данные, полученные в результате использования Продуктов и Услуг Заказчиком или поддержки Продуктов и Услуг компанией Avigilon. Данные об использовании услуг могут включать Метаданные, Персональные данные, информацию о производительности и ошибках продукта, журналы активности, а также дату и время использования.

«Стандартные договорные положения» означают положения, приведенные в Дополнительном соглашении 1 к настоящему Соглашению и установленные решением Европейской комиссии (C(2021) 3972 от 4 июня 2021 г.), о стандартных договорных условиях передачи персональных данных обработчику, зарегистрированному в третьей стране, которая не обеспечивает надлежащий уровень защиты данных. 

«Субобработчик» означает другого обработчика, привлеченного компанией Avigilon для обработки Данных Заказчика, которые могут включать Персональные данные.

«Данные третьих лиц» означает информацию, полученную компанией Avigilon из общедоступных источников или от Сторонних поставщиков контента и предоставленную Заказчиком посредством Продуктов или Услуг. 

2. Обработка Данных Заказчика

• 2.1. Роли сторон. Стороны соглашаются, что в отношении обработки Персональных данных в рамках настоящего Соглашения Заказчик является Контролером, а Avigilon — Обработчиком, который может привлекать Субобработчиков в соответствии с требованиями раздела. 6. «Субобработчики» ниже.
• 2.2. Обработка Данных Заказчика компанией Avigilon. Компания Avigilon и Заказчик соглашаются, что компания Avigilon может использовать и обрабатывать данные Заказчика, включая Персональную информацию, содержащуюся в Данных об использовании услуг, только в соответствии с задокументированными инструкциями Заказчика для следующих целей: (i) для оказания Услуг и предоставления Продуктов в рамках Договора; (ii) для анализа Данных Заказчика с целью эксплуатации, обслуживания, управления и улучшения продуктов и услуг Avigilon; (iii) для создания новых продуктов и услуг. Клиент соглашается с тем, что Договор (включая настоящее Соглашение), а также Документация по Продуктам и Услугам и использование и настройка Заказчиком функций Продуктов и Услуг составляют полные и окончательные задокументированные инструкции Заказчика для компании Avigilon по обработке Данных Заказчика. Любые дополнительные или альтернативные инструкции должны быть согласованы в соответствии с процедурой внесения изменений в Договор с Заказчиком. Заказчик заявляет и гарантирует компании Avigilon, что инструкции Заказчика, включая назначение компании Avigilon в качестве Обработчика или субобработчика, были разрешены соответствующим контролером. Данные Заказчика могут обрабатываться компанией Avigilon в любом из ее международных офисов и (или) передаваться субобработчикам. Заказчик несет ответственность за уведомление Авторизованных пользователей о сборе и использовании компанией Avigilon Данных Заказчика, а также за получение всех необходимых согласий, предоставление всех необходимых уведомлений и выполнение любых других применимых юридических требований в отношении такого сбора и использования. Заказчик заявляет и гарантирует компании Avigilon, что он выполнил условия данного положения.
  
  Во избежание сомнений, если Данные Заказчика не идентифицируют конкретного Заказчика, в соответствии с определением в Договоре, Данные Заказчика не включают, а компания Avigilon может свободно использовать, передавать и применять данные об угрозах безопасности и их устранении в целом, включая, без ограничений, сторонние векторы угроз и IP-адреса, информацию о хешах файлов, имена доменов, сигнатуры и информацию о вредоносном ПО, информацию, полученную из источников третьих лиц, индикаторы компрометации, а также тактики, методы и процедуры, используемые, изученные или разработанные в ходе предоставления Услуг.
• 2.3. Сведения об обработке. Предмет Обработки Персональных данных компанией Avigilon в рамках настоящего Соглашения, продолжительность Обработки, категории Субъектов данных и типы Персональных данных изложены в Дополнении I к настоящему Соглашению.
• 2.4. Раскрытие обрабатываемых Данных. Компания Avigilon обязуется не раскрывать и не передавать Данные Заказчика Третьим лицам, за исключением субобработчиков, поставщиков и партнеров компании Avigilon, по необходимости для предоставления Продуктов и Услуг, кроме случаев, когда это допускается Договором, разрешено Заказчиком или требуется по закону. В случае если государственные или надзорные органы потребуют доступа к Данным Заказчика, компания Avigilon, насколько это допускается законом, должна уведомить Заказчика о получении такого требования, чтобы у Заказчика было достаточно времени для обращения в соответствующую судебную инстанцию. При любых обстоятельствах компания Avigilon оставляет за собой право соблюдать применимое законодательство. Компания Avigilon гарантирует, что ее персонал будет соблюдать конфиденциальность, и субобработчики по договору обязаны соблюдать конфиденциальность в отношении обработки Данных Заказчика и любых Персональных данных, содержащихся в Данных об использовании услуг.
• 2.5. Обязательства Заказчика. Заказчик несет полную ответственность за соблюдение всех Законов о защите данных, а также за разработку и поддержание собственных политик и процедур для обеспечения такого соблюдения. Заказчик не должен использовать Продукты и Услуги в нарушение применимых Законов о защите данных. Заказчик несет полную ответственность за: (a) законность передачи Персональных данных компании Avigilon; (b) точность, качество и законность Персональных данных, предоставленных компании Avigilon; (c) способы, с помощью которых Заказчик получил Персональные данные; (d) предоставление любых необходимых уведомлений и получение любых необходимых подтверждений, разрешений или согласий от Субъектов данных. Заказчик берет на себя полную ответственность за то, чтобы предоставлять компании Avigilon Персональные данные в минимальном объеме, необходимом для выполнения компанией Avigilon условий Договора. Заказчик несет полную ответственность за соблюдение применимых Законов о защите данных. Заказчик подтверждает, что использует административные, физические и технические средства защиты среды и операций Заказчика, которые как минимум соответствуют принятым в отрасли стандартам, и обязуется обеспечить соответствие всех таких механизмов защиты применимым законам о защите данных и конфиденциальности. Заказчик соглашается с тем, что компания Avigilon не несет ответственности за любые Инциденты безопасности, возникшие в результате нарушения Заказчиком данного требования.
• 2.6. Ограждение от ответственности. Заказчик обязуется защищать, возмещать и ограждать компанию Avigilon и ее субподрядчиков, дочерние компании и другие аффилированные лица от любых убытков, потерь, обязательств и расходов (включая разумные гонорары и расходы на адвокатов), возникающих в результате любых фактических или возможных претензий, требований, исков или разбирательств от третьих лиц, возникающих в связи с невыполнением Заказчиком своих обязательств по данному Договору и (или) несоблюдением применимых Законов о защите данных. Компания Avigilon незамедлительно направит Заказчику письменное уведомление о любой претензии, на которую распространяется вышеуказанное условие. Компания Avigilon будет за свой счет сотрудничать с Заказчиком в рамках защиты от исков или урегулирования претензий.

3. Данные об использовании услуг. За исключением Персональных данных, Заказчик соглашается с тем, что компания Avigilon может собирать и использовать Данные об использовании услуг в своих собственных целях, при условии что такие цели соответствуют применимым Законам о защите данных. Данные об использовании услуг могут обрабатываться компанией Avigilon в любом из ее международных офисов и (или) передаваться субобработчикам.

4. Данные третьих лиц и данные Avigilon. Данные Avigilon и Данные третьих лиц могут быть доступны Заказчику через Продукты и Услуги. Заказчик и его Авторизованные пользователи могут использовать Данные Avigilon и Данные третьих лиц в соответствии с условиями компании Avigilon и соответствующего поставщика данных третьих лиц, как это описано в Договоре. Если это прямо не разрешено в Договоре, Заказчику и его Авторизованным пользователям запрещается: (a) использовать Данные Avigilon или Данные третьих лиц для любых целей, кроме внутренних целей Заказчика, или раскрывать эти данные третьим лицам; (b) предоставлять такие данные под своим именем или иным образом искажать источник или право собственности на них, а также перепродавать, распространять, сублицензировать или использовать данные в коммерческих целях любым способом; (c) использовать такие данные в нарушение действующего законодательства; (d) использовать такие данные для деятельности или целей, в которых использование таких данных может привести к смерти, травмам или повреждению имущества; (e) удалять, скрывать, изменять или фальсифицировать любые знаки или уведомления о правах собственности, указывающие на источник, происхождение или принадлежность данных; (f) изменять такие данные или объединять их с Данными Заказчика или другими данными, или использовать данные для создания баз данных. Дополнительные ограничения могут быть установлены в Договоре. Любые права, предоставленные Заказчику или Авторизованным пользователям в отношении Данных Avigilon или Данных третьих лиц, будут немедленно отозваны при прекращении или истечении срока действия Договора. Кроме того, компания Avigilon или соответствующий поставщик Данных третьих лиц может приостановить, изменить или прекратить доступ Заказчика или любого Авторизованного пользователя к данным Avigilon или Данным третьих лиц, если компания Avigilon или такой поставщик Данных третьих лиц считает, что использование данных Заказчиком или Авторизованным пользователем нарушает Договор, применимые законы или соглашение компании Avigilon с соответствующим поставщиком Данных третьих лиц. После прекращения прав Заказчика на использование любых Данных Avigilon или Данных третьих лиц, Заказчик и все Авторизованные пользователи должны немедленно прекратить использование таких данных, удалить все копии таких данных и подтвердить такое удаление компании Avigilon. Несмотря на любые положения Договора об обратном, компания Avigilon не несет ответственности за Данные третьих лиц или Данные Avigilon, доступные через Продукты и Услуги. Компания Avigilon и ее поставщики Данных третьих лиц сохраняют за собой все права на Данные Avigilon и Данные третьих лиц, не предоставленные в явном виде в Договоре.

5. Avigilon в качестве Контролера или Соконтролера. Во всех случаях, когда компания Avigilon выступает в качестве Контролера, она должна соблюдать применимые положения Заявления о конфиденциальности, опубликованного по адресу https://​www​.avig​ilon​.com/​about…, в которое время от времени могут вноситься изменения. Компания Avigilon выступает Контролером для всех Контактных данных Заказчика и обязуется обрабатывать такие Контактные данные в соответствии с Положением о конфиденциальности Avigilon. В случаях, когда компания Avigilon выступает в качестве Соконтролера с Заказчиком, стороны должны заключить отдельное дополнение к Договору, чтобы распределить соответствующие роли в качестве соконтролеров. 

6. Субобработчики.

• 6.1. Привлечение Субобработчиков. Заказчик соглашается с тем, что компания Avigilon может привлекать Субобработчиков, которые, в свою очередь, могут также привлекать Субобработчиков для обработки Персональных данных в соответствии с настоящим Соглашением. Актуальный список Субобработчиков приведен в Дополнении III. При привлечении Субобработчиков компания Avigilon должна заключать с ними соглашения, обязывающие их выполнять обязательства по стандартам не ниже изложенных в настоящем Соглашении.
• 6.2. Изменения в последующей обработке. Настоящим Заказчик дает согласие на привлечение компанией Avigilon Субобработчиков для обработки Данных Заказчика при соблюдении следующих условий: (i) компания Avigilon обязуется приложить разумные усилия для предварительного уведомления о добавлении или удалении Субобработчика не менее чем за 10 дней путем размещения информации на странице, указанной Заказчику в Дополнении III к настоящему Соглашению; (ii) компания Avigilon обязует всех Субобработчиков, назначенных для защиты Данных Заказчика, соблюдать стандарты, которые предусмотрены настоящим Соглашением; (iii) компания Avigilon несет полную ответственность за любое нарушение данного пункта, которое вызвано действием, ошибкой или упущением назначенных Субобработчиков. Заказчик может возражать против назначения или замены Субобработчика компанией Avigilon до момента назначения или замены, если такое возражение основано на разумных основаниях, связанных с защитой данных. В этом случае компания Avigilon назначит или заменит Субобработчика, либо, если по усмотрению компании Avigilon это невозможно, Заказчик может расторгнуть настоящий Договор и получить пропорциональное возмещение любых предоплаченных услуг или сборов за поддержку в качестве полного удовлетворения любых претензий, возникающих в связи с таким расторжением. 
• 6.3. Запросы от Субъектов данных. Компания Avigilon обязана, насколько это разрешено законом, незамедлительно уведомить Заказчика о получении запроса от Субъекта данных, включая, без ограничений, запросы на доступ, исправление, изменение, перенос или удаление Персональных данных такого Субъекта данных, и, насколько это применимо, компания Avigilon обязана предоставить Заказчику коммерчески обоснованную помощь в отношении любой жалобы, уведомления или сообщения от Субъекта данных. Заказчик обязуется оперативно отвечать на все запросы Субъектов Данных, которые Avigilon предоставляет Заказчику, и принимать меры в этой связи. Заказчик несет ответственность за любые разумные расходы, понесенные компанией Avigilon в связи с предоставлением такой помощи в соответствии с настоящим разделом.

7. Передача данных. Компания Avigilon обязуется в рамках настоящего Договора передавать Персональные данные из одной юрисдикции в другую только в соответствии с настоящим Договором и применимыми Законами о защите данных. Компания Avigilon соглашается заключить соответствующие соглашения со своими аффилированными лицами и Субобработчиками, что позволит компании Avigilon передавать Персональные данные своим аффилированным лицам и Субобработчикам. Компания Avigilon соглашается при необходимости внести изменения в свое соглашение с Заказчиком, чтобы разрешить передачу Персональных данных от компании Avigilon Заказчику. Avigilon также обязуется содействовать Заказчику в заключении соглашений с его аффилированными лицами и Субобработчиками, если это требуется в соответствии с применимыми Законами о защите данных для осуществления необходимой передачи. В той мере, в какой компания Avigilon является Обработчиком или Субобработчиком Персональных данных, подпадающих под действие Общего регламента по защите данных (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 года о защите физических лиц в отношении обработки Персональных данных и о свободном перемещении таких данных (GDPR), отменяющего Директиву 95/46/EC, к передаче данных должны применяться Стандартные договорные положения, приведенные в Приложении 1 к настоящему Соглашению.

8. Безопасность. Компания Avigilon должна применять соответствующие технические и организационные меры для обеспечения уровня безопасности, соответствующего риску, связанному с Обработкой Персональных данных, с учетом затрат на реализацию; характера, объема, контекста и целей обработки; а также риска различной вероятности и тяжести ущерба для субъектов данных. Соответствующие технические и организационные меры, принятые компанией Avigilon, приведены в Дополнении II. При оценке необходимого уровня безопасности компания Avigilon должна взвесить риски, связанные с Обработкой, в частности со случайным или незаконным уничтожением, потерей, изменением, несанкционированным раскрытием или доступом к персональным данным, переданным, сохраненным или иным образом обработанным.

9. Уведомление об инцидентах безопасности. Если компании Avigilon станет известно об инциденте безопасности, компания Avigilon обязуется: (a) без необоснованных задержек уведомить Заказчика об инциденте безопасности, (b) провести расследование инцидента безопасности и сообщить Заказчику подробности инцидента безопасности; (c) принять коммерчески обоснованные меры для остановки утечки Персональных данных в результате инцидента безопасности, если это находится под контролем компании Avigilon. Уведомление об инциденте безопасности не должно рассматриваться как признание компанией Avigilon вины или ответственности в связи с инцидентом безопасности. Компания Avigilon обязуется приложить разумные усилия, чтобы помочь Заказчику выполнить его обязательства в соответствии с Законами о защите данных по уведомлению соответствующего контролирующего органа и Субъектов данных о таком инциденте.

10. Сохранение и удаление данных. За исключением анонимизированных Данных Заказчика, как описано выше, или если иное не предусмотрено Договором, компания Avigilon удаляет все Данные Заказчика через 90 (девяносто) дней после прекращения или истечения срока действия Договора, если иное не требуется в соответствии с применимым законодательством. Несмотря на вышеизложенное, компания Avigilon будет хранить Данные Заказчика в течение не менее 30 (тридцати) дней после прекращения или истечения срока действия Договора, чтобы удовлетворить запрос Заказчика на получение Данных Заказчика. Если в течение 30 (тридцати) дней Заказчик в письменной форме запросит доступ к данным, компания Avigilon предоставит Заказчику Данные Заказчика для экспорта или загрузки на срок 30 (тридцать) дней. Компания Avigilon не обязана сохранять такие Данные Заказчика по истечении 30-дневного периода. В соответствии с разделом 12.4, касающимся данных CJIS, компания Avigilon может удалить любые Данные об использовании услуг после прекращения или истечения срока действия Договора.

11. Права на проведение аудита

• 11.1. Периодический аудит. Компания Avigilon разрешит Заказчику за свой счет в разумном объеме и в разумные сроки провести аудит операций Avigilon, связанных с Продуктами и Услугами, приобретенными в рамках Договора, для проверки соблюдения технических и организационных мер, изложенных в Дополнении II, при соблюдении следующих условий: (a) Avigilon уведомит Заказчика об Инциденте безопасности, который привел к нарушению безопасности приобретенных Продуктов и (или) Услуг; (b) у Заказчика есть основания полагать, что Avigilon не соблюдает свои обязательства по безопасности в соответствии с настоящим Соглашением; (c) такой аудит требуется в соответствии с Законами о защите данных. Любой аудит должен проводиться в соответствии с процедурами, изложенными в разделе 11.3 настоящего Соглашения, не чаще одного раза в год. Если такая проверка требует доступа к конфиденциальной информации других клиентов, поставщиков или агентов компании Avigilon, эта часть проверки может проводиться только признанными на национальном уровне независимыми сторонними аудиторами в соответствии с процедурами, изложенными в разделе 11.3 настоящего Соглашения. Если это не предусмотрено GDPR или не предписано законом или решением суда, то в целях безопасности и соответствия нормативным требованиям проведение аудита в центре обработки данных не допускается. Компания Avigilon ни при каких обстоятельствах не предоставит Заказчику возможность аудита любой части своего программного обеспечения, продуктов и услуг, если это может нарушить конфиденциальность информации или Персональных данных третьих лиц.

• 11.2. Удовлетворение запроса на проведение аудита. После получения письменного запроса на проведение аудита и в зависимости от условий договора с Заказчиком компания Avigilon может удовлетворить такой запрос, предоставив Заказчику конфиденциальную копию последней проверки безопасности Avigilon, проведенной национально признанным независимым аудитором, например отчет SOC2 Type II или сертификат ISO 27001, чтобы Заказчик мог проверить соблюдение компанией Avigilon отраслевых стандартов.

• 11.3. Процесс аудита. Заказчик обязуется не менее чем за 60 (шестьдесят) дней письменно уведомить компанию Avigilon о запросе на проведение аудита, как описано в разделе 11.1. Все аудиты должны проводиться в обычное рабочее время, на объекте или удаленно, в соответствии с указаниями компании Avigilon. Если аудит проводится не удаленно, он выполняется в местах, где осуществляются доступ и обработка Данных Заказчика. Аудит не должен необоснованно мешать повседневной деятельности компании Avigilon. Аудит должен проводиться исключительно за счет Заказчика и с соблюдением условий конфиденциальности, предусмотренных Договором. Перед началом аудита компания Avigilon и Заказчик должны взаимно согласовать время и продолжительность аудита. Компания Avigilon должна оказывать разумное содействие в проведении аудита, включая предоставление назначенному аудитору права просматривать, но не копировать, информацию или материалы по безопасности компании Avigilon при условии, что аудитор заключил соответствующее соглашение о неразглашении. Политика компании Avigilon заключается в предоставлении информации о методологии и кратких сведений, а не исходных данных или конфиденциальной информации. Заказчик обязан безвозмездно предоставить компании Avigilon полную копию всех результатов аудита.

12. Условия, связанные с соблюдения требований

GDPR. Если компания Avigilon является Обработчиком или Субобработчиком Персональных данных, подпадающих под действие GDPR (как определено в разделе 7 настоящего Соглашения), должны применяться Стандартные договорные положения, изложенные в Приложении 1 к настоящему Соглашению.

13. Контактные данные Avigilon. Если Заказчик считает, что компания Avigilon не соблюдает свои обязательства по обеспечению конфиденциальности или безопасности в соответствии с данным документом, Заказчик должен обратиться к специалисту по защите данных компании Motorola по адресу: Motorola Solutions, Inc, 500 W. Monroe St., Chicago, IL USA 60661 — 3618 или privacy1@​motorolasolutions.​com.

Приложение 1

СТАНДАРТНЫЕ ДОГОВОРНЫЕ ПОЛОЖЕНИЯ

РАЗДЕЛ I

Положение 1

Цель и область применения

(а) Целью настоящих стандартных договорных положений является обеспечение соблюдения требований Регламента (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 года о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных (General Data Protection Regulation) при передаче персональных данных в третью страну.

(b) Стороны:

• (i) физическое или юридическое лицо или лица, органы государственной власти, агентства или другие органы (далее «лица»), передающие персональные данные, перечисленные в Дополнении I.A (далее «экспортер данных»);
• (ii) лица в третьей стране, получающие персональные данные от экспортера данных, прямо или косвенно через других лиц, также являющихся Стороной настоящих Положений и перечисленных в Дополнении I.A (далее «импортер данных») согласились с настоящими стандартными договорными положениями (далее «Положения»).

(c) Настоящие Положения применяются в отношении передачи персональных данных, указанных в Дополнении I.B.

(d) Дополнительное соглашение к настоящим Положениям, содержащее Дополнения, является неотъемлемой частью настоящих Положений.

Положение 2

Действие и неизменность Положений

(a) Настоящие Положения устанавливают соответствующие средства защиты, включая обеспечение прав субъектов данных и эффективные средства правовой защиты, в соответствии со статьей 46(1) и статьей 46(2)(c) Регламента (ЕС) 2016/679 и, в отношении передачи данных от контролеров к обработчикам и (или) между обработчиками, стандартные договорные положения в соответствии со статьей 28(7) Регламента (ЕС) 2016/679, при условии, что они не будут изменены, за исключением выбора соответствующего Модуля или Модулей или добавления или обновления информации в Дополнительном соглашении. При этом Стороны могут включать стандартные договорные положения, изложенные в настоящих Положениях, в более широкий договор и (или) добавлять другие положения или дополнительные гарантии, если они прямо или косвенно не противоречат настоящим Положениям и не ущемляют основные права или свободы субъектов данных.

(b) Настоящие положения не ограничивают обязательства экспортера данных в силу Регламента (ЕС) 2016/679.

Положение 3

Сторонние выгодоприобретатели

(a) Субъекты данных могут ссылаться на настоящие Положения как сторонние выгодоприобретатели в разбирательствах с экспортером и (или) импортером данных, за следующими исключениями:

• (i) положение 1, положение 2, положение 3, положение 6, положение 7;
• (ii) положение 8 — модуль 1: положение 8.5 (e) и положение 8.9 (b); модуль 2: положение 8.1 (b), 8.9 (a), (c), (d) и (e); модуль 3: положение 8.1(a), (c) и (d) и положение 8.9 (a), (c), (d), (e), (f) и (g); модуль 4: положение 8.1 (b) и положение 8.3 (b);
• (iii) положение 9 — модуль 2: положение 9 (a), (c), (d) и (e); модуль 3: положение 9 (a), (c), (d) и (e);
• (iv) положение 12 — модуль 1: положение 12 (a) и (d); модули 2 и 3: положение 12 (a), (d) и (f);
• (v) положение 13;
• (vi) положение 15.1 (c), (d) и (e);
• (vii) положение 16 (e);
• (viii) положение 18 — модули 1, 2 и 3: положение 18 (a) и (b); модуль 4: положение 18.

(b) Пункт (a) не ограничивает права субъектов данных в соответствии с Регламентом (ЕС) 2016/679.

Положение 4

Толкование

(a) Если в настоящих Положениях используются термины, которые определены в Регламенте (ЕС) 2016/679, эти термины имеют то же значение, что и в данном Регламенте.

(b) Настоящие Положения должны рассматриваться и толковаться с учетом положений Регламента (ЕС) 2016/679.

(c) Настоящие Положения не должны толковаться таким образом, чтобы это противоречило правам и обязанностям, предусмотренным Регламентом (ЕС) 2016/679.

Положение 5

Иерархия

В случае противоречия между настоящими Положениями и положениями соответствующих соглашений между Сторонами, действующих на момент согласования настоящих Положений или заключенных впоследствии, преимущественную силу имеют настоящие Положения.

Положение 6

Описание передачи данных

Сведения о передаче данных, в частности категории передаваемых персональных данных и цели их передачи, указаны в Дополнении I.B.

Положение 7 (необязательное)

Стыковочная оговорка

(a) Лицо, не являющаяся Стороной настоящих Положений, может, с согласия Сторон, в любое время присоединиться к настоящим Положениям как в качестве экспортера, так и в качестве импортера данных, заполнив Дополнительное соглашение и подписав Дополнение I.A.

(b) После заполнения Дополнительного соглашения и подписания Дополнения I.A присоединяющееся лицо становится Стороной настоящих Положений и имеет права и обязанности экспортера или импортера данных в соответствии со своим обозначением в Дополнении I.A.

(c) Присоединяющееся лицо не имеет никаких прав и обязанностей, вытекающих из настоящих Положений, в период, предшествующий вступлению в число Сторон.

РАЗДЕЛ II. ОБЯЗАТЕЛЬСТВА СТОРОН

Положение 8

Механизмы защиты данных

Экспортер данных гарантирует, что он приложил разумные усилия для определения того, что импортер данных способен путем применения соответствующих технических и организационных мер выполнить свои обязательства в соответствии с настоящими Положениями.

8.1. Указания

(a) Импортер данных должен обрабатывать персональные данные только в соответствии с задокументированными указаниями экспортера данных. Экспортер данных может давать такие указания в течение всего срока действия контракта.

(b) Импортер данных должен немедленно информировать экспортера данных, если не может следовать этим указаниям.

8.2. Ограничение целей

Импортер данных должен обрабатывать персональные данные только в конкретных целях передачи, как указано в Дополнении I.B, за исключением случаев получения дополнительных указаний от экспортера данных.

8.3. Прозрачность

По запросу экспортер данных обязан бесплатно предоставить субъекту данных копию настоящих Положений, включая Дополнительное приложение, заполненное Сторонами. В той мере, в какой это необходимо для защиты коммерческой тайны или другой конфиденциальной информации, включая меры, описанные в Дополнении II, и персональных данных, экспортер данных может отредактировать часть текста Дополнительного соглашения к настоящим Положениям до предоставления копии, но должен предоставить подробное описание, если субъект данных иначе не сможет понять его содержание или осуществить свои права. По запросу Стороны предоставляют субъекту данных информацию о причинах редактирования, насколько это возможно без раскрытия отредактированной информации. Настоящее положение не ограничивает обязательства экспортера данных в соответствии со статьями 13 и 14 Регламента (ЕС) 2016/679.

8.4. Точность

Если импортеру данных станет известно, что полученные им персональные данные являются неточными или устаревшими, он должен без промедления сообщить об этом экспортеру данных. В этом случае импортер данных должен сотрудничать с экспортером данных для удаления или исправления данных.

8.5. Продолжительность обработки и удаление или возврат данных

Обработка данных импортером осуществляется только в течение срока, указанного в Дополнении I.B. После окончания оказания услуг по обработке данных импортер данных, по выбору экспортера данных, должен удалить все персональные данные, обрабатываемые по поручению экспортера данных, и предоставить экспортеру данных подтверждение удаления, либо вернуть экспортеру данных все персональные данные, обрабатываемые по его поручению, и удалить имеющиеся копии. До тех пор, пока данные не будут удалены или возвращены, импортер данных должен продолжать обеспечивать соблюдение настоящих Положений. Если местное законодательство, применимое к импортеру данных, запрещает возврат или удаление персональных данных, импортер данных гарантирует, что он будет продолжать обеспечивать соблюдение настоящих Положений и обрабатывать их только в том объеме и в течение того времени, которые требуются в соответствии с местным законодательством. Это не ограничивает положение 14, в частности требования к импортеру данных в соответствии с положением 14(e) уведомлять экспортера данных в течение всего срока действия контракта, если у него есть основания полагать, что на него распространяются законы или практики, не соответствующие требованиям положения 14(a).

8.6. Безопасность обработки

(a) Импортер данных, а во время передачи также и экспортер данных, обязуются применять соответствующие технические и организационные меры для обеспечения безопасности данных, включая защиту от нарушения безопасности, приводящего к случайному или незаконному уничтожению, потере, изменению, несанкционированному раскрытию или доступу к этим данным (далее «нарушение безопасности персональных данных»). При оценке надлежащего уровня безопасности Стороны должным образом учитывают современные технологии, затраты на внедрение, характер, объем, контекст и цели обработки, а также риски, связанные с обработкой для субъектов данных. Стороны, в частности, рассматривают возможность использования шифрования или псевдонимизации, в том числе при передаче, если цель обработки может быть достигнута таким образом. В случае псевдонимизации дополнительная информация, позволяющая отнести персональные данные к конкретному субъекту данных, должна, по возможности, оставаться под исключительным контролем экспортера данных. При выполнении своих обязательств, предусмотренных настоящим пунктом, импортер данных должен, по крайней мере, применять технические и организационные меры, указанные в Дополнении II. Импортер данных должен проводить регулярные проверки, чтобы убедиться, что эти меры продолжают обеспечивать надлежащий уровень безопасности.

(b) Импортер данных должен предоставлять доступ к персональным данным своим сотрудникам только в той мере, в какой это необходимо для выполнения, управления и контроля над исполнением контракта. Он должен гарантировать, что лица, уполномоченные обрабатывать персональные данные, взяли на себя обязательства соблюдать конфиденциальность или по закону обязаны соблюдать конфиденциальность.

(c) В случае нарушения конфиденциальности персональных данных, обрабатываемых импортером данных в соответствии с настоящими Положениями, импортер данных должен принять соответствующие меры по устранению нарушения, включая меры по смягчению негативных последствий. Импортер данных должен также без необоснованных задержек уведомить экспортера о нарушении. Такое уведомление должно содержать сведения о контактных данных, по которым можно получить дополнительную информацию, описание характера нарушения (включая, по возможности, категории и приблизительное количество субъектов данных и соответствующих записей персональных данных), вероятные последствия и меры, принятые или предлагаемые для устранения нарушения, включая, при необходимости, меры по смягчению возможных негативных последствий. В тех случаях, когда невозможно предоставить всю информацию одновременно, первоначальное уведомление должно содержать имеющуюся на тот момент информацию, а последующая информация должна предоставляться без неоправданных задержек по мере поступления.

(d) Импортер данных должен сотрудничать с экспортером данных и оказывать ему помощь, чтобы экспортер данных мог выполнить свои обязательства по Регламенту (ЕС) 2016/679, в частности уведомить надлежащий надзорный орган и затронутых субъектов данных, с учетом характера обработки и информации, имеющейся у импортера данных.

8.7. Чувствительные данные

Если передача включает персональные данные, раскрывающие расовую или этническую принадлежность, политические взгляды, религиозные или философские убеждения или членство в профсоюзе, генетические или биометрические данные с целью однозначной идентификации физического лица, данные о здоровье, сексуальной жизни или сексуальной ориентации, а также данные, касающиеся судимостей и преступлений (далее «чувствительные данные»), импортер данных должен применять специальные ограничения и (или) дополнительные механизмы защиты, описанные в Дополнении I.B.

8.8. Дальнейшая передача данных

Импортер данных может передавать персональные данные третьему лицу только в соответствии с задокументированными указаниями экспортера данных. Кроме того, данные могут быть переданы третьему лицу, находящемуся за пределами Европейского союза (4) (в той же стране, что и импортер данных, или в другой третьей стране, далее «передача данных»), только если это третье лицо соблюдает или соглашается соблюдать настоящие Положения, в соответствии с определенным Модулем, или если:

(a) передача осуществляется в страну, относительно которой принято решение о достаточности мер в соответствии со статьей 45 Регламента (ЕС) 2016/679, которая распространяется на эту передачу;

(b) третье лицо иным образом обеспечивает надлежащие механизмы защиты в соответствии со статьями 46 или 47 Регламента (ЕС) 2016/679 в отношении данной обработки;

(c) дальнейшая передача необходима в связи с судебными исками в контексте конкретного административного, нормативного или судебного разбирательства;

(d) дальнейшая передача необходима для защиты жизненно важных интересов субъекта данных или другого физического лица.

При последующей передаче импортер данных обязуется применять все механизмы защиты, предусмотренные настоящими Положениями, в частности ограничения целей.

8.9. Документация и соблюдение требований

(a) Импортер данных должен оперативно и адекватно отвечать на запросы экспортера данных, связанные с их обработкой в соответствии с настоящими Положениями.

(b) Стороны должны быть в состоянии продемонстрировать соблюдение настоящих Положений. В частности, импортер данных должен вести соответствующую документацию о деятельности по обработке, осуществляемой по поручению экспортера данных.

(c) Импортер данных должен предоставлять экспортеру данных всю информацию, необходимую для подтверждения выполнения обязательств, предусмотренных настоящими Положениями, по требованию экспортера данных разрешать проведение аудиторских проверок деятельности по обработке данных, предусмотренной настоящими Положениями, и способствовать их проведению через разумные промежутки времени или при наличии признаков несоблюдения. При принятии решения о проведении проверки или аудита экспортер данных может принять во внимание соответствующие сертификаты, имеющиеся у импортера данных.

(d) Экспортер данных может провести аудит самостоятельно или поручить его независимому аудитору. Аудиторские проверки могут включать в себя инспекцию помещений или физических объектов импортера данных и, в случае необходимости, должны проводиться после предварительного уведомления, отправленного в разумные сроки.

(e) Стороны предоставляют информацию, упомянутую в пунктах (b) и (c), включая результаты любых проверок, надлежащему надзорному органу по его запросу.

Положение 9

Привлечение субобработчиков

(a) ВАРИАНТ 1. СПЕЦИАЛЬНОЕ ПРЕДВАРИТЕЛЬНОЕ СОГЛАСИЕ. Импортер данных обязуется не передавать субобработчику действия по обработке, выполняемые от имени экспортера данных в соответствии с настоящими Положениями, без предварительного специального письменного разрешения экспортера данных. Импортер данных должен представить запрос на специальное разрешение не менее чем за [указать срок] до привлечения субобработчика вместе с информацией, необходимой экспортеру данных для принятия решения о разрешении. Список субобработчиков, уже авторизованных экспортером данных, приведен в Дополнении III. Стороны обязуются поддерживать Дополнение III в актуальном состоянии.

ВАРИАНТ 2. ОБЩЕЕ ПИСЬМЕННОЕ РАЗРЕШЕНИЕ. Импортер данных имеет общее разрешение экспортера данных на привлечение субобработчиков из согласованного списка. Импортер данных должен специально информировать экспортера данных в письменной форме о любых предполагаемых изменениях в этом списке путем добавления или замены субобработчиков не менее чем за [указать период времени], чтобы у экспортера данных было достаточно времени для того, чтобы возразить против таких изменений до привлечения субобработчиков. Импортер данных должен предоставить экспортеру данных информацию, необходимую для того, чтобы экспортер данных мог воспользоваться своим правом на возражение.

(b) Если импортер данных привлекает субобработчика для выполнения конкретных действий по обработке (от имени экспортера данных), он должен сделать это на основании письменного договора, который, по существу, предусматривает те же обязательства по защите данных, что и у импортера данных в соответствии с настоящими Положениями, в том числе в отношении прав сторонних выгодоприобретателей для субъектов данных. (8) Стороны соглашаются, что, выполняя настоящее Положение, импортер данных выполняет свои обязательства по Положению 8.8. Импортер данных должен обеспечить соблюдение субобработчиком обязательств, которые возлагаются на импортера данных в соответствии с настоящими Положениями.

(c) Импортер данных обязан предоставить экспортеру данных по его требованию копию такого соглашения с субобработчиком и все последующие правки к нему. В целях защиты коммерческой тайны или другой конфиденциальной информации, включая персональные данные, импортер данных может отредактировать текст соглашения до предоставления его копии.

(d) Импортер данных несет полную ответственность перед экспортером данных за выполнение субобработчиком своих обязательств по договору с импортером данных. Импортер данных обязан уведомить экспортера данных о любом невыполнении субобработчиком своих обязательств по этому договору.

(e) Импортер данных должен согласовать с субобработчиком положение о стороннем выгодоприобретателе, согласно которому в случае фактического исчезновения, прекращения существования или неплатежеспособности импортера данных экспортер данных будет иметь право расторгнуть договор с субобработчиком и дать субобработчику указание стереть или вернуть персональные данные.

Положение 10

Права субъектов данных

(a) Импортер данных должен незамедлительно уведомить экспортера данных о любом запросе, полученном им от субъекта данных. Он не должен сам отвечать на этот запрос, если только он не был уполномочен на это экспортером данных.

(b) Импортер данных должен оказывать экспортеру данных содействие в выполнении обязательств по реагированию на запросы субъектов данных в связи с осуществлением их прав в соответствии с Регламентом (ЕС) 2016/679. В связи с этим Стороны устанавливают в Дополнении II соответствующие технические и организационные меры, принимая во внимание характер обработки, с помощью которых должно быть оказано содействие, а также объем и степень требуемой помощи.

(c) При выполнении своих обязательств, предусмотренных пунктами (a) и (b), импортер данных должен соблюдать инструкции экспортера данных.

Положение 11

Удовлетворение претензий

(a) Импортер данных обязуется информировать субъектов данных в прозрачном и легкодоступном формате, индивидуально или на своем веб-сайте, о контактном лице, уполномоченном рассматривать жалобы. Он обязан незамедлительно рассматривать любые жалобы, полученные от субъекта данных.

[ВАРИАНТ: импортер данных соглашается с тем, что субъекты данных могут также подать жалобу в независимый орган по разрешению споров без затрат для субъекта данных. Он обязуется проинформировать субъектов данных в порядке, указанном в пункте (a), о таком механизме правовой защиты и о том, что они не обязаны использовать его или следовать определенной процедуре при обращении за правовой защитой.]

(b) В случае возникновения спора между субъектом данных и одной из Сторон в отношении соблюдения настоящих положений эта Сторона обязуется приложить все усилия для своевременного решения вопроса мирным путем. Стороны будут информировать друг друга о таких спорах и при необходимости содействовать в их разрешении.

(c) Если субъект данных ссылается на право стороннего выгодоприобретателя в соответствии с Положением 3, импортер данных должен согласиться с решением субъекта данных:

(i) подать жалобу в надзорный орган государства-члена ЕС по месту жительства или работы либо в надлежащий надзорный орган в соответствии с Положением 13;

(ii) передать спор на рассмотрение суда надлежащей инстанции в соответствии с Положением 18.

(d) Стороны признают, что субъект данных может быть представлен некоммерческим органом, организацией или ассоциацией в соответствии с условиями, изложенными в статье 80(1) Регламента (ЕС) 2016/679.

(e) Импортер данных обязуется выполнить решение, которое является обязательным в соответствии с действующим законодательством ЕС или государства-члена.

(f) Импортер данных соглашается с тем, что выбор, сделанный субъектом данных, не ущемляет его материальные и процессуальные права на обращение за средствами правовой защиты в соответствии с действующим законодательством.

Положение 12

ОТВЕТСТВЕННОСТЬ

(a) Каждая Сторона несет ответственность перед другими Сторонами за любой ущерб, причиненный ею другим Сторонам в результате нарушения настоящих Положений.

(b) Импортер данных несет ответственность перед субъектом данных, а субъект данных имеет право на получение компенсации за любой материальный или нематериальный ущерб, который импортер данных или его субобработчик причиняет субъекту данных в результате нарушения прав сторонних выгодоприобретателей в соответствии с настоящими Положениями.

(c) Невзирая на пункт (b), экспортер данных несет ответственность перед субъектом данных, а субъект данных имеет право на получение компенсации за любой материальный или нематериальный ущерб, который экспортер или импортер данных или его субобработчик причиняет субъекту данных в результате нарушения прав сторонних выгодоприобретателей в соответствии с настоящими Положениями. Это не ограничивает ответственность экспортера данных и, если экспортер данных является обработчиком, действующим от имени контролера, ответственность контролера в соответствии с Регламентом (ЕС) 2016/679 или Регламентом (ЕС) 2018/1725, в зависимости от ситуации.

(d) Стороны соглашаются, что если экспортер данных будет привлечен к ответственности в соответствии с пунктом (с) за ущерб, причиненный импортером данных (или его субобработчиком), он будет иметь право потребовать от импортера данных ту часть компенсации, которая соответствует ответственности импортера данных за ущерб.

(e) Если несколько Сторон несут ответственность за ущерб, причиненный субъекту данных в результате нарушения настоящих Положений, все ответственные Стороны несут солидарную ответственность, и субъект данных имеет право подать иск против любой из этих Сторон.

(f) Стороны соглашаются, что если одна из Сторон будет признана ответственной в соответствии с пунктом (e), она имеет право потребовать от других Сторон ту часть компенсации, которая соответствует их ответственности за причиненный ущерб.

(g) Импортер данных не может ссылаться на поведение субобработчика, чтобы избежать своей ответственности.

Положение 13

Контроль

(a) [Если экспортер данных зарегистрирован в государстве — члене ЕС] В качестве надлежащего надзорного органа выступает надзорный орган, ответственный за обеспечение соблюдения экспортером данных Регламента (ЕС) 2016/679 в отношении передачи данных, как указано в Дополнении I.C.

[Если экспортер данных не зарегистрирован в государстве — члене ЕС, но подпадает под территориальную сферу применения Регламента (ЕС) 2016/679 в соответствии со статьей 3(2) и назначил представителя в соответствии со статьей 27(1) Регламента (ЕС) 2016/679] В качестве надлежащего надзорного органа выступает надзорный орган государства-члена, в котором зарегистрирован представитель в соответствии со статьей 27(1) Регламента (ЕС) 2016/679, как указано в Дополнении I.C.

[Если экспортер данных не зарегистрирован в государстве — члене ЕС, но подпадает под территориальную сферу применения Регламента (ЕС) 2016/679 в соответствии со статьей 3(2) и не назначил представителя в соответствии со статьей 27(2) Регламента (ЕС) 2016/679] В качестве надлежащего надзорного органа выступает надзорный орган одного из государств-членов, в котором расположены субъекты данных, чьи персональные данные передаются в соответствии с настоящими Положениями в связи с предложением им товаров или услуг или чье поведение контролируется, как указано в Дополнении I.C.

(b) Импортер данных соглашается подчиниться юрисдикции надлежащего надзорного органа и сотрудничать с ним в рамках любых процедур, направленных на обеспечение соблюдения настоящих Положений. В частности, импортер данных обязуется отвечать на запросы, проводить проверки и соблюдать меры, принятые надзорным органом, включая меры по исправлению ситуации и компенсации. Он обязуется предоставить надзорному органу письменное подтверждение того, что необходимые действия были предприняты.

РАЗДЕЛ III. МЕСТНОЕ ЗАКОНОДАТЕЛЬСТВО И ОБЯЗАТЕЛЬСТВА В СЛУЧАЕ ОСУЩЕСТВЛЕНИЯ ДОСТУПА К ДАННЫМ ГОСУДАРСТВЕННЫМИ ОРГАНАМИ

Положение 14

Местные законы и практики, влияющие на соблюдение настоящих Положений

(a) Стороны гарантируют, что у них нет оснований полагать, что законы и практики в третьей стране назначения, применимые к обработке персональных данных импортером данных, включая любые требования о раскрытии персональных данных или меры, разрешающие доступ для государственных органов, препятствуют выполнению импортером данных своих обязательств по настоящим Положениям. Это означает, что законы и практики, которые отражают суть основных прав и свобод и не превышают того, что необходимо и соразмерно в демократическом обществе для обеспечения одной из целей, перечисленных в статье 23(1) Регламента (ЕС) 2016/679, не противоречат настоящим Положениям.

(b) Стороны заявляют, что при предоставлении гарантии, указанной в пункте (а), они должным образом учли, в частности, следующие аспекты:

• (i) конкретные обстоятельства передачи, включая длину цепочки обработки, количество участвующих субъектов и используемые каналы передачи; предполагаемые дальнейшие передачи; тип получателя; цель обработки; категории и формат передаваемых персональных данных; экономический сектор, в котором происходит передача; место хранения передаваемых данных;
• (ii) законы и практики третьей страны назначения, включая законы, требующие раскрытия данных государственным органам или разрешающие доступ для таких органов, действующие в свете конкретных обстоятельств передачи, а также применимые ограничения и механизмы защиты;
• (iii) любые соответствующие договорные, технические или организационные механизмы защиты, введенные в действие в дополнение к механизмам защиты, предусмотренным настоящими Положениями, включая меры, применяемые при передаче и обработке персональных данных в стране назначения.

(c) Импортер данных гарантирует, что при проведении оценки в соответствии с пунктом (b) он приложил все усилия для предоставления экспортеру данных соответствующей информации, и соглашается, что будет продолжать сотрудничать с экспортером данных при обеспечении соблюдения настоящих Положений.

(d) Стороны соглашаются документировать оценку, проведенную в соответствии с пунктом (b), и предоставлять ее компетентному надзорному органу по запросу.

(e) Импортер данных обязуется незамедлительно уведомить экспортера данных, если после согласования настоящих Положений и в течение срока действия договора у него появляются основания полагать, что на него распространяются законы или практики, не соответствующие требованиям пункта (a), в том числе после изменения законодательства третьей страны или принятых мер (например, запроса о раскрытии информации), указывающих на применение на практике таких законов, не соответствующих требованиям пункта (a). [Для третьего модуля: экспортер данных должен направить уведомление контролеру.]

(f) После получения уведомления в соответствии с пунктом (e) или если у экспортера данных есть иные основания полагать, что импортер данных не может более выполнять свои обязательства в соответствии с настоящими Положениями, экспортер данных должен незамедлительно определить соответствующие меры (например, технические или организационные меры по обеспечению безопасности и конфиденциальности), которые должны быть приняты экспортером и (или) импортером данных для разрешения ситуации [для третьего модуля: при необходимости по согласованию с контролером]. Экспортер данных должен приостановить передачу данных, если он считает, что для передачи данных невозможно обеспечить надлежащие механизмы защиты, или если это предписано [для третьего модуля: контролером или] надлежащим надзорным органом. В этом случае экспортер данных имеет право расторгнуть договор в той мере, в какой он касается обработки персональных данных в соответствии с настоящими Положениями. Если договор включает более двух Сторон, экспортер данных может воспользоваться правом на расторжение только в отношении соответствующей Стороны, если Стороны не договорились об ином. В случае расторжения договора в соответствии с настоящим Положением применяются Положения 16(d) и (e).

Положение 15

Обязанности импортера данных в случае доступа к ним государственных органов

15.1. Уведомление

(a) Импортер данных обязуется незамедлительно (при необходимости при помощи экспортера данных) уведомить экспортера данных и, по возможности, субъекта данных, если он:

• (i) получает юридически обязывающий запрос от государственного органа, включая судебные органы, в соответствии с законодательством страны назначения, о раскрытии персональных данных, переданных в соответствии с настоящими Положениями; такое уведомление должно содержать информацию о запрашиваемых персональных данных, запрашивающем органе, правовом основании запроса и полученном ответе;
• (ii) узнает о любом прямом доступе государственных органов к персональным данным, передаваемым по настоящим Положениям в соответствии с законодательством страны назначения; такое уведомление должно включать всю информацию, имеющуюся у импортера.

(b) Если импортеру данных запрещено уведомлять экспортера данных и (или) субъекта данных в соответствии с законодательством страны назначения, импортер данных соглашается приложить все усилия для получения отмены такого запрета с целью передачи как можно более полной информации в кратчайшие сроки. Импортер данных обязуется задокументировать свои усилия по решению этого вопроса, чтобы иметь возможность продемонстрировать их по запросу экспортера данных.

Если это допустимо в соответствии с законодательством страны назначения, импортер данных обязуется регулярно предоставлять экспортеру данных в течение всего срока действия договора максимально возможный объем соответствующей информации о полученных запросах (в частности, количество запросов, тип запрашиваемых данных, запрашивающий орган или органы, были ли оспорены запросы и результаты таких попыток оспаривания и т. д.). [Для третьего модуля: экспортер данных должен направить информацию контролеру.]

(d) Импортер данных обязуется сохранять информацию, указанную в пунктах (a) — (c), в течение всего срока действия договора и предоставлять ее по запросу надлежащего надзорного органа.

(e) Пункты (a) — (с) не ограничивают обязательство импортера данных в соответствии с Положением 14(e) и 16 незамедлительно информировать экспортера данных, если он не в состоянии выполнить эти Положения.

15.2. Проверка законности и минимизация данных

(a) Импортер данных обязуется проверить законность запроса на раскрытие информации, в частности остается ли он в рамках полномочий, предоставленных запрашивающему государственному органу, и оспорить запрос, если после тщательной оценки он придет к выводу, что имеются разумные основания считать запрос незаконным по законодательству страны назначения, применимым обязательствам в рамках международного права и принципам международного этикета. Импортер данных при тех же условиях должен использовать возможности обжалования. При оспаривании запроса импортер данных должен добиваться принятия обеспечительных мер с целью приостановления действия запроса до принятия надлежащим судебным органом решения по существу. Он обязуется не раскрывать запрашиваемые персональные данные до тех пор, пока это не потребуется в соответствии с действующими процессуальными нормами. Эти требования не ограничивают обязательства импортера данных в соответствии с Положением 14(e).

(b) Импортер данных соглашается документировать свою правовую оценку и любые попытки оспорить запрос на раскрытие информации и, в той мере, в какой это допустимо законодательством страны назначения, предоставлять эту документацию экспортеру данных. Он также должен предоставлять эту документацию по запросу надлежащего надзорного органа. [Для третьего модуля: экспортер данных должен предоставить оценку контролеру].

(c) Импортер данных соглашается предоставить минимально допустимый объем информации при ответе на запрос о раскрытии информации, основываясь на разумном толковании запроса.

РАЗДЕЛ IV. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

Положение 16

Несоблюдение Положений и расторжение договора

(a) Импортер данных должен незамедлительно информировать экспортера данных, если он по каким-либо причинам не может выполнить настоящие Положения.

(b) В случае если импортер данных нарушает настоящие Положения или не может их соблюдать, экспортер данных приостанавливает передачу персональных данных импортеру данных до тех пор, пока не будет вновь обеспечено их соблюдение или не будет расторгнут договор. Это условие не ограничивает Положение 14(f).

(c) Экспортер данных имеет право расторгнуть договор в той мере, в какой он касается обработки персональных данных в соответствии с настоящими Положениями, если:

• (i) экспортер данных приостановил передачу персональных данных импортеру данных в соответствии с пунктом (b) и соблюдение настоящих Положений не восстановлено в разумный срок и, при любых обстоятельствах, через один месяц после приостановки;
• (ii) импортер данных существенно или постоянно нарушает настоящие Положения;
• (iii) импортер данных не выполняет обязательное решение суда надлежащей инстанции или надзорного органа, касающееся его обязательств в соответствии с настоящими Положениями.

В этих случаях он должен проинформировать надлежащий надзорный орган [для Модуля 3: и контролера] о таком несоблюдении. Если договор включает более двух Сторон, экспортер данных может воспользоваться правом на расторжение только в отношении соответствующей Стороны, если Стороны не договорились об ином.

(d) Персональные данные, которые были переданы до прекращения действия договора в соответствии с пунктом (c), должны быть, по выбору экспортера данных, немедленно возвращены экспортеру данных или удалены в полном объеме. То же самое относится и к любым копиям данных. Импортер данных должен подтвердить удаление данных экспортеру данных. До тех пор, пока данные не будут удалены или возвращены, импортер данных должен продолжать обеспечивать соблюдение настоящих Положений. Если местное законодательство, применимое к импортеру данных, запрещает возврат или удаление переданных персональных данных, импортер данных гарантирует, что он будет продолжать обеспечивать соблюдение настоящих Положений и обрабатывать их только в том объеме и в течение того времени, которые требуются в соответствии с местным законодательством.

(e) Любая из Сторон может отозвать свое согласие на соблюдение настоящих Положений, если: (i) Европейская комиссия примет решение в связи со статьей 45(3) Регламента (ЕС) 2016/679, распространяющееся на передачу персональных данных, к которым применяются настоящие Положения; (ii) Регламент (ЕС) 2016/679 станет частью правовой базы страны, в которую передаются персональные данные. Данное условие не ограничивает другие обязательства, применимые к данной обработке в соответствии с Регламентом (ЕС) 2016/679.

Положение 17

Регулирующее законодательство

Настоящие Положения регулируются законодательством государства — члена ЕС, в котором зарегистрирован экспортер данных. Если такое законодательство не предусматривает прав сторонних выгодоприобретателей, то они регулируются законодательством другого государства — члена ЕС, которое предусматривает права сторонних выгодоприобретателей. Стороны соглашаются, что это будет законодательство Дании. 

Положение 18

Выбор места урегулирования споров и юрисдикции

(a) Все споры, возникающие в связи с настоящими Положениями, подлежат разрешению в судах одного из государств — членов ЕС.

(b) Стороны соглашаются, что таковыми являются суды Дании. 

(c) Субъект данных может также подать иск на экспортера и (или) импортера данных в судах государства — члена ЕС, в котором он постоянно проживает.

(d) Стороны соглашаются подчиняться юрисдикции таких судов.

ДОПОЛНЕНИЕ I

A. СПИСОК СТОРОН

Экспортеры данных: [Обозначение и контактные данные экспортеров данных и, если применимо, их лица, ответственного за защиту данных, и (или) представителя в Европейском союзе]

1.

Наименование: …

Адрес: …

Имя контактного лица, его должность и контактная информация: …

Действия с данными, передаваемыми в соответствии с настоящими Положениями: …

Роль (контролер/​обработчик): контролер

2.

…

Импортеры данных: [Обозначение и контактные данные импортеров данных, включая любое контактное лицо, отвечающее за защиту данных]

1.

Наименование: Motorola Solutions, Inc. 

Адрес: 500 W. Monroe St., Chicago, IL 60661 USA

Имя, должность и контактная информация контактного лица: Ирен Аму (Irene Amu), ответственный за защиту данных, Privacy1@MotorolaSolu​tions​.com

Действия с данными, передаваемыми в соответствии с настоящими Положениями: оказание услуг, связанных с видеонаблюдением и (или) системой контроля доступа в помещениях Контролера. 

Роль (контролер/​обработчик): обработчик

2.

…

B. ОПИСАНИЕ ПЕРЕДАЧИ

Категории субъектов данных, персональные данные которых передаются

К субъектам данных относятся представители экспортера данных и конечные пользователи, включая сотрудников, подрядчиков, партнеров и заказчиков экспортера данных. Субъектами данных могут быть также лица, пытающиеся передать или передающие персональные данные пользователям услуг, предоставляемых импортером данных. Компания Avigilon признает, что в зависимости от использования Заказчиком Онлайн-сервиса, Заказчик может принять решение о включении в Данные Заказчика персональных данных любого из следующих типов субъектов данных:

• сотрудники, подрядчики и временные работники (действующие, потенциальные, будущие) экспортера данных;
• иждивенцы вышеуказанных лиц;
• партнеры / контактные лица экспортера данных (физические лица) или сотрудники, подрядчики или временные работники партнеров / контактных лиц юридического лица (действующие, потенциальные, бывшие);
• пользователи (например, заказчики, клиенты, пациенты, посетители и т. д.) и другие субъекты данных, являющиеся пользователями услуг экспортера данных;
• партнеры, заинтересованные лица или лица, которые активно сотрудничают или иным образом взаимодействуют с сотрудниками экспортера данных и (или) используют средства коммуникации, такие как приложения и веб-сайты, предоставляемые экспортером данных;
• заинтересованные стороны или физические лица, которые пассивно взаимодействуют с экспортером данных (например, потому, что они являются объектом расследования, исследования или упоминаются в документах или корреспонденции с экспортером данных);
• несовершеннолетние;
• специалисты, обладающие привилегией на сохранение профессиональной тайны (например, врачи, адвокаты, нотариусы, религиозные деятели и т. д.).

Категории передаваемых персональных данных

При использовании Заказчиком Продуктов и Услуг Заказчик может принять решение о включении в Данные Заказчика персональных данных из любой из следующих категорий:

• основные персональные данные (например, место рождения, улица и номер дома (адрес), почтовый индекс, город проживания, страна проживания, номер мобильного телефона, фамилия, инициалы, адрес электронной почты, пол, дата рождения), включая основные персональные данные о членах семьи и детях;
• данные аутентификации (например, имя пользователя, пароль или PIN-код, секретный вопрос, журнал аудита);
• контактная информация (например, адреса, электронная почта, номера телефонов, идентификаторы социальных сетей; контактные данные для экстренной связи);
• уникальные идентификационные номера и подписи (например, номер социального страхования, номер банковского счета, номер паспорта и удостоверения личности, номер водительского удостоверения и регистрационные данные транспортного средства, IP-адреса, номер сотрудника, номер студента, номер пациента, подпись, уникальный идентификатор в файлах cookie для отслеживания или аналогичной технологии);
• псевдонимные идентификаторы;
• финансовая и страховая информация (например, номер страховки, имя владельца и номер банковского счета, имя владельца и номер кредитной карты, номер счета, доход, тип гарантии, платежное поведение, кредитоспособность);
• коммерческая информация (например, история покупок, специальные предложения, информация о подписке, история платежей);
• биометрическая информация (например, ДНК, отпечатки пальцев и сканы радужной оболочки глаза);
• данные о местоположении (например, Cell ID, данные геолокации, местоположение по началу/​завершению вызова; данные о местоположении, полученные в результате использования точек доступа Wi-Fi);
• фотографии, видео и аудио;
• действия в Интернете (например, история просмотра веб-страниц, история поиска, чтение, просмотр телевизора, прослушивание радио);
• идентификация устройства (например, IMEI-номер, номер SIM-карты, MAC-адрес);
• профилирование (например, на основе замеченного преступного или антисоциального поведения или псевдонимных профилей на основе посещенных URL, потоков кликов, журналов просмотра, IP-адресов, доменов, установленных приложений или профилей на основе маркетинговых предпочтений);
• кадровые и рекрутинговые данные (например, декларация о статусе занятости, информация о найме (например, резюме, трудовая книжка, сведения об образовании), данные о работе и должности, включая отработанные часы, оценки и заработную плату, данные о разрешении на работу, доступность, условия найма, налоговые данные, платежные данные, страховые данные и местоположение, а также организации);
• данные об образовании (например, история образования, текущее образование, оценки и результаты, уровень образования, трудности с обучением);
• информация о гражданстве и месте жительства (например, гражданство, статус натурализации, семейное положение, национальность, иммиграционный статус, паспортные данные, сведения о месте жительства или разрешении на работу);
• информация, обрабатываемая для выполнения задачи, решаемой в общественных интересах или в рамках осуществления официальных полномочий;
• специальные категории данных (например, расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, членство в профсоюзе, генетические данные, биометрические данные для целей однозначной идентификации физического лица, данные о здоровье, данные о сексуальной жизни или сексуальной ориентации физического лица, данные, касающиеся судимостей или преступлений);
• любые другие персональные данные, указанные в статье 4 GDPR.

Передача чувствительных данных (если применимо) и применение ограничений или механизмов защиты, полностью учитывающих характер данных и связанные с ними риски, например строгое ограничение цели, ограничение доступа (включая доступ только для сотрудников, прошедших специальное обучение), ведение учета доступа к данным, ограничения на последующую передачу или дополнительные меры безопасности.

…

Частота передачи (например, передаются ли данные на разовой или постоянной основе).

Передача данных может осуществляться на постоянной основе в течение срока действия настоящего Договора или иного договора, к которому применяется настоящее Соглашение.

Характер обработки

Характер, объем и цель обработки персональных данных связаны с выполнением обязательств компании Avigilon по предоставлению Продуктов и Услуг, приобретаемых в рамках Договора. Импортер данных использует глобальную сеть центров обработки данных и объектов управления и поддержки, и обработка может осуществляться в любой юрисдикции, где импортер данных или его субобработчики используют такие объекты.

Цели передачи и дальнейшей обработки данных

Характер, объем и цель обработки персональных данных связаны с выполнением обязательств компании Avigilon по предоставлению Продуктов и Услуг, приобретаемых в рамках Договора. Импортер данных использует глобальную сеть центров обработки данных и объектов управления и поддержки, и обработка может осуществляться в любой юрисдикции, где импортер данных или его субобработчики используют такие объекты.

Срок, в течение которого персональные данные будут храниться, или, если это невозможно, критерии, используемые для определения этого срока

Хранение данных регулируется разделом 10 настоящего Соглашения об обработке данных

При передаче обработчикам и субобработчикам следует также указать предмет, характер и продолжительность обработки

Передача субобработчикам будет осуществляться только для выполнения обязательств компании Avigilon по предоставлению Продуктов и Услуг, приобретенных в рамках Договора. Срок обработки: в течение срока действия Договора. Импортер данных использует глобальную сеть центров обработки данных и объектов управления и поддержки, и обработка может осуществляться в любой юрисдикции, где импортер данных или его субобработчики используют такие объекты.

C. НАДЛЕЖАЩИЙ НАДЗОРНЫЙ ОРГАН

Датское агентство по защите данных

ДОПОЛНЕНИЕ II

ТЕХНИЧЕСКИЕ И ОРГАНИЗАЦИОННЫЕ МЕРЫ, ВКЛЮЧАЯ ТЕХНИЧЕСКИЕ И ОРГАНИЗАЦИОННЫЕ МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ДАННЫХ

ПОЯСНИТЕЛЬНОЕ ПРИМЕЧАНИЕ.

Технические и организационные меры должны быть описаны в конкретных (а не общих) формулировках. См. также общий комментарий на первой странице Дополнительного соглашения, в частности о необходимости четко указывать, какие меры применяются к каждой передаче или группе передач.

Описание технических и организационных мер, применяемых импортером (импортерами) данных (включая любые соответствующие сертификаты) для обеспечения надлежащего уровня безопасности с учетом характера, объема, контекста и цели обработки, а также рисков для прав и свобод физических лиц.

Примеры возможных мер:

Меры по псевдонимизации и шифрованию персональных данных

Там, где это технически возможно и не влияет на предоставляемые услуги:

• Компания Avigilon собирает только данные, которые, по ее мнению, необходимы для информирования, предоставления и поддержки продуктов и услуг, а также данные, необходимые для выполнения юридических обязательств.
• Avigilon шифрует данные при передаче и хранении.
• Компания Avigilon осуществляет псевдонимизацию и ограничивает административные учетные записи, имеющие доступ к обратной псевдонимизации.

Меры по обеспечению непрерывной конфиденциальности, целостности, доступности и отказоустойчивости систем и сервисов обработки данных

Для обеспечения непрерывной конфиденциальности, целостности, доступности и устойчивости систем и сервисов обработки данных Политика Avigilon по защите информации предусматривает институционализацию защиты информации на протяжении всего жизненного цикла разработки и эксплуатации решений. У компании Avigilon есть специальные отделы безопасности для обеспечения информационной безопасности в самой компании, а также для защиты продуктов и услуг. Практики и политики безопасности являются неотъемлемой частью бизнеса компании и обязательны для исполнения всеми сотрудниками и подрядчиками Avigilon. Ответственность и исполнительный надзор за такими политиками, включая формальное руководство, управление проверками, обучение персонала и соблюдение требований, осуществляет директор по информационной безопасности Avigilon. В целом Avigilon соблюдает требования NIST Cybersecurity Framework, а также ISO 27001. 

Часть конфигурации системы находится под контролем заказчика.

Меры по обеспечению возможности своевременного восстановления доступности и доступа к персональным данным в случае физического или технического инцидента

Процедуры реагирования на инциденты безопасности. Компания Avigilon поддерживает глобальный план реагирования на инциденты, позволяющий оперативно действовать в случае физических или технических инцидентов. Компания Avigilon ведет учет нарушений безопасности с указанием нарушения, периода времени, последствий нарушения, имени сообщившего лица и лица, которому было сообщено о нарушении, а также процедуры восстановления данных. В случае каждого нарушения безопасности, являющегося Инцидентом безопасности, уведомление будет осуществляться в соответствии с разделом «Уведомление об инциденте безопасности» настоящего Соглашения.

Непрерывность бизнес-процессов и готовность к стихийным бедствиям. Компания Avigilon поддерживает планы обеспечения непрерывности бизнес-процессов и готовности к стихийным бедствиям для критически важных функций и систем, находящихся под контролем компании Avigilon, которые поддерживают Продукты и Услуги, приобретаемые в рамках Договора, чтобы избежать перебоев в предоставлении услуг и минимизировать риски при восстановлении.

Процессы регулярного тестирования, анализа и оценки эффективности технических и организационных мер для обеспечения безопасности обработки

Компания Avigilon периодически оценивает свои процессы и системы, чтобы обеспечить постоянное соблюдение обязательств, налагаемых законом, нормативными актами или договором в отношении конфиденциальности, целостности, доступности и безопасности Данных Заказчика, включая персональные данные. Компания Avigilon документирует результаты этих оценок и любые действия по исправлению ситуации, предпринятые в ответ на эти оценки. Компания Avigilon периодически привлекает независимых аудиторов для проверок на соответствие применимым отраслевым стандартам, таким как ISO 27001, 27017, 27018 и 27701.

Меры по идентификации и авторизации пользователей

Идентификация и аутентификация. Компания Avigilon использует стандартные для отрасли методы идентификации и аутентификации пользователей, пытающихся получить доступ к информационным системам Avigilon. В тех случаях, когда механизмы аутентификации основаны на паролях, компания Avigilon требует, чтобы пароли состояли не менее чем из восьми символов и регулярно менялись. Компания Avigilon использует стандартные для отрасли методы защиты паролей, включая методы, направленные на поддержание конфиденциальности и целостности паролей при их назначении, распространении и хранении.

Политика доступа и администрирование. Компания Avigilon ведет учет разрешений для лиц, имеющих доступ к Данным Заказчика, включая персональные данные. Компания Avigilon придерживается соответствующих процессов запроса, утверждения и администрирования учетных записей и прав доступа в связи с обработкой Данных Заказчика. Предоставлять, изменять или отменять авторизованный доступ к данным и ресурсам может только уполномоченный персонал. В тех случаях, когда отдельные лица имеют доступ к системам, содержащим Данные Заказчика, им присваиваются отдельные уникальные идентификаторы. Avigilon периодически деактивирует учетные данные для аутентификации.

Меры по защите данных при передаче

При передаче данных в управляемых средах Avigilon они, как правило, шифруются. Шифрование при передаче также обычно требуется от субобработчиков. Кроме того, защита данных при передаче достигается с помощью средств контроля доступа, физической и сетевой безопасности, а также безопасности персонала, как описано в данном Дополнении II.

Меры по защите данных при хранении

При хранении данных в управляемых средах Avigilon они, как правило, шифруются. Шифрование при хранении также обычно требуется от субобработчиков. Кроме того, защита данных при передаче достигается с помощью средств контроля доступа, физической и сетевой безопасности, а также безопасности персонала, как описано в данном Дополнении II.

Меры по обеспечению физической безопасности мест обработки персональных данных

Компания Avigilon поддерживает соответствующие средства обеспечения физической и сетевой безопасности для предотвращения несанкционированного доступа к Данным Заказчика, включая персональную информацию. Для защиты от несанкционированного проникновения на объекты Avigilon используются соответствующие средства физического контроля, например вход по пропускам и стойка регистрации. Доступ в контролируемые зоны на объекте предоставляется по служебной необходимости и требует специального разрешения. Использование пропусков для входа в контролируемую зону будет регистрироваться, и журналы регистрации будут храниться в соответствии с политикой компании Avigilon. Компания Avigilon лишает персонал доступа к объектам и контролируемым зонам Avigilon при увольнении в соответствии с политикой Avigilon. Политики Avigilon предусматривают стандартные для отрасли средства контроля рабочих станций, устройств и носителей информации, предназначенные для дополнительной защиты Данных Заказчика, включая персональные данные.

Меры по обеспечению безопасности персонала

Доступ к Данным Заказчика. Компания Avigilon использует процессы авторизации и контроля своих сотрудников и подрядчиков в отношении контроля доступа к Данным Заказчиков. Компания Avigilon требует от своих сотрудников, подрядчиков и агентов, которые имеют или могут иметь доступ к Данным Заказчика, соблюдать положения Договора, включая данное Дополнение и любые другие применимые соглашения, обязательные для компании Avigilon.

Осведомленность о безопасности и конфиденциальности. Компания Avigilon должна обеспечить осведомленность своих сотрудников и подрядчиков о стандартных отраслевых методах обеспечения безопасности и конфиденциальности, а также об их ответственности за защиту Данных Заказчиков и персональных данных. Сюда входит, в частности, защита от вредоносных программ, защита паролем, управление паролями и использование рабочих станций и учетных записей. Компания Avigilon требует периодически проводить обучение по информационной безопасности, конфиденциальности и деловой этике для всех сотрудников и подрядчиков.

Санкционная политика. Компания Avigilon поддерживает политику санкций, направленную на устранение нарушений внутренних требований безопасности Avigilon, а также требований, установленных законом, нормативными актами или договором.

Проверка биографических данных. Компания Avigilon соблюдает стандартные требования по обязательной проверке трудоустройства всех новых сотрудников. В соответствии с внутренней политикой компании Avigilon эти требования должны периодически пересматриваться и включать, в частности, проверку судимости, подтверждение личности и любые дополнительные проверки, которые компания Avigilon сочтет необходимыми. 

Меры по обеспечению регистрации событий

Компания Avigilon придерживается правил, требующих постоянного мониторинга и регистрации событий на всех производственных информационных ресурсах. На всех производственных информационных ресурсах Avigilon должны вестись журналы аудита приложений. Журналы аудита производственных информационных ресурсов Avigilon регулярно проверяются, и при необходимости принимаются меры по исправлению ситуации.

Меры по обеспечению конфигурации системы, включая конфигурацию по умолчанию

Меры по внутреннему управлению ИТ и информационной безопасностью 

Организация информационной безопасности предприятия Motorola Solutions построена следующим образом: управление / риски / соответствие требованиям, анализ угроз и управление уязвимостями, обнаружение, защита и реагирование. Ежегодно компания Avigilon проводит оценку эффективности организации с помощью сторонних экспертов. Они сообщают о результатах оценки в службу аудита Avigilon, которая отслеживает все выявленные меры по устранению недостатков. Дополнительную информацию можно получить в Центре доверия Avigilon по адресу  https://​www​.motoro​la​so​lu​tions​.com/​e​n​_​u​s​/​a​b​o​u​t​/​t​r​u​s​t​-​c​e​n​t​e​r​/​s​e​c​u​r​i​t​y​.html

Меры по сертификации и контролю процессов и продукции

Компания Avigilon проводит внутренние аудиты безопасности приложений и проектов, а также проверку готовности к производству перед выпуском услуги. При необходимости проводится оценка конфиденциальности продуктов и услуг компании Avigilon. По результатам внутренних аудитов формируется реестр рисков, в соответствии с которым соответствующему персоналу поручаются задачи. Аудит системы безопасности проводится ежегодно, при необходимости осуществляются дополнительные проверки. Дополнительные оценки конфиденциальности, включая обновление карт данных, проводятся при внесении существенных изменений в продукты или услуги. Кроме того, компания Avigilon Solution получила сертификаты AICPA SOC2 Type 2 и ISO/IEC 27001:2013 по многим операциям разработки и поддержки.

Меры по обеспечению минимизации данных

Политика компании Avigilon требует обработки всех персональных данных в соответствии с действующим законодательством, в том числе в случаях, когда это законодательство требует минимизации данных. Кроме того, компания Avigilon проводит оценку конфиденциальности своих продуктов и услуг, чтобы узнать, поддерживают ли эти продукты и услуги принципы обработки, такие как минимизация данных, изложенные в статье 5 GDPR.

Меры по обеспечению качества данных 

Политика компании Avigilon требует обработки всех персональных данных в соответствии с действующим законодательством, в том числе, когда это законодательство требует обеспечения качества и точности данных. Кроме того, компания Avigilon проводит оценку конфиденциальности своих продуктов и услуг, чтобы узнать, поддерживают ли эти продукты и услуги принципы обработки, такие как обеспечение качества данных, изложенные в статье 5 GDPR.

Меры по обеспечению ограниченного хранения данных

Компания Avigilon придерживается политики хранения данных, которая предусматривает график хранения с указанием сроков хранения персональных данных. График составлен с учетом потребностей бизнеса и содержит достаточную информацию для идентификации всех записей и принятия решений об удалении в соответствии с графиком. Политика периодически пересматривается и обновляется. 

Меры по обеспечению подотчетности

Для обеспечения подотчетности компания Avigilon реализует программу защиты конфиденциальности, которая, в целом, согласуется с Nymity Privacy Management and Accountability Framework и NIST Privacy Framework. Аудит программы конфиденциальности проводится ежегодно аудиторской службой Motorola Solutions. 

Меры по обеспечению переносимости и стирания данных

В ответ на запрос субъекта данных о перемещении, копировании или передаче его персональных данных компания Avigilon предоставляет персональные данные в структурированном, общепринятом и машиночитаемом формате. Там, где это возможно, и при наличии соответствующего запроса физического лица компания Avigilon может напрямую передать персональные данные другой организации.

При передаче обработчикам и субобработчикам также необходимо описать конкретные технические и организационные меры, которые должен принимать обработчик и субобработчик, чтобы иметь возможность оказывать помощь контролеру, а при передаче от обработчика субобработчику — экспортеру данных.

Обработчик заключает договоры со своими субобработчиками таким образом, чтобы обеспечить соблюдение своих обязательств перед Контролером. В отношении аффилированных компаний Обработчика, расположенных по всему миру, Обработчик применяет обязательные корпоративные правила. Что касается сторонних поставщиков, то Обработчик заключает с ними соответствующие договоры, включающие стандартные договорные положения, и проводит оценку безопасности перед передачей данных заказчика поставщику.

ДОПОЛНЕНИЕ III

СПИСОК СУБОБРАБОТЧИКОВ

ПОЯСНИТЕЛЬНОЕ ПРИМЕЧАНИЕ.

Данное Дополнение необходимо заполнить для второго и третьего модулей в случае специальной авторизации субобработчиков (Положение 9(a), вариант 1).

Контролер разрешил использование следующих субобработчиков:

AVIGILON ALTA

Наименование и службы (наименование и зарегистрированный адрес субъекта или субподрядчика поставщика, с кратким описанием соответствующих услуг)	Местоположение/​передача данных (местоположение, где субъект будет обрабатывать персональные данные. Укажите, где будет выполняться передача и от кого, если применимо)	Механизм (согласованный механизм для обеспечения соответствия любой операции передачи данных законодательству по защите данных)
Microsoft Azure (облачная платформа)	ЕС	Н/Д
Elastic (хранилище облачных сервисов для документов JSON)	ЕС	Н/Д
Google Ireland Ltd (облако Ava Security)	США, ЕС, Великобритания, Канада, Австралия,	Стандартные договорные положения
OpenPath Security, Inc. (компания MSI)	США, ЕС	Стандартные договорные положения
Amazon Web Services EMEA	США	Стандартные договорные положения
Freshworks Inc.	США	Стандартные договорные положения
Wasabi​.com	США, ЕС, Австралия, Канада	Стандартные договорные положения или аналогичный соответствующий применимый контрактный механизм
Digital Ocean	США, ЕС, Великобритания, Канада, Сингапур	Стандартные договорные положения или аналогичный соответствующий применимый контрактный механизм
Mixpanel, Inc.	США, ЕС	Стандартные договорные положения
Bugfender	США, ЕС	Стандартные договорные положения
Bugsnag	США, ЕС	Стандартные договорные положения
Avigilon Corporation (компания MSI)	США/​Канада/​ЕС	Стандартные договорные положения
Avigilon USA Corporation (компания MSI)	США/ЕС	Стандартные договорные положения
Millicast	США	Стандартные договорные положения
Netsuite	США	Стандартные договорные положения
Hubspot	США	Стандартные договорные положения
Locize	ЕС	Н/Д
Mouseflow	США	Стандартные договорные положения
LiveKit	США	Стандартные договорные положения

AVIGILON UNITY

Наименование и службы (наименование и зарегистрированный адрес субъекта или субподрядчика поставщика, с кратким описанием соответствующих услуг)	Местоположение/​передача данных (местоположение, где субъект будет обрабатывать персональные данные. Укажите, где будет выполняться передача и от кого, если применимо)	Механизм (согласованный механизм для обеспечения соответствия любой операции передачи данных законодательству по защите данных)	Применимо только для облачных служб
Microsoft Corporation	США, Австралия и Канада	Соответствующие контрактные системы	Да
Elastic	США, Австралия и Канада	Соответствующие контрактные системы	Да
Google, Inc.	Весь мир	Соответствующие контрактные системы
Apple, Inc.	Весь мир	Соответствующие контрактные системы
Motorola Solutions, Inc., включая дочерние компании	Весь мир	Соответствующие контрактные системы
Flexera	США	Соответствующие контрактные системы
Whatsapp	Весь мир	Соответствующие контрактные системы
Twilio	США	Соответствующие контрактные системы и обязательное корпоративное правило	Да
PubNub	США	Соответствующие контрактные системы	Да
Salesforce	США	Соответствующие контрактные системы и обязательное корпоративное правило