Дополнение по обработке данных
Настоящее Дополнение к обработке данных («Дополнение») заключено между DEVAR и Лицензиатом («Разработчик»).
Настоящее Дополнение включено в Условия и положения, лицензионное соглашение и/или иное коммерческое соглашение между Разработчиком и DEVAR («Соглашение») и применяется в отношении предоставления Услуг Разработчику, если обработка Персональных данных Разработчика (как определено ниже) подпадает под действие GDPR, только в том случае, если Разработчик является Контролером Персональных данных Разработчика, а DEVAR – Обработчиком. Настоящее Дополнение призвано удовлетворить требования Статьи 28 (3) GDPR. Настоящее Дополнение действует в течение срока действия Соглашения.
1. ОПРЕДЕЛЕНИЯ.
1.1. Для целей настоящего Дополнения:
1.1.1. «Персональные данные Разработчика» означают Персональные данные, описанные в разделе 2 настоящего Дополнения, в отношении которых Разработчик является Контролером;
1.1.2. «Законодательство о защите данных» означает все применимое законодательство, касающееся защиты данных и конфиденциальности, включая, без ограничений, GDPR, вместе с любыми национальными законами, применяемыми в любом государстве-члене Европейского Союза или, насколько это применимо, в любой другой стране, с поправками, отменой, консолидацией или заменой время от времени;
1.1.3. «GDPR» означает Общий регламент по защите данных (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 года о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных;
1.1.4. «Персональные данные», «Субъект данных», «Нарушение персональных данных», «Обработка», «Процессор» и «Контролер» будут иметь значения, указанные в GDPR; и
1.1.5. “Стандартные договорные условия” означает соглашение, заключенное сторонами и прилагаемое к настоящему документу в качестве Приложения 1 в соответствии с решением Европейской комиссии (C(2010)593) от 5 февраля 2010 года о стандартных договорных условиях для передачи персональных данных обработчикам, созданным в третьих странах, которые не обеспечивают надлежащий уровень защиты данных.
1.2. Термины с заглавной буквы, не имеющие иного определения в настоящем документе, имеют то значение, которое придается им в Соглашении.
2. ДЕТАЛИ ОБРАБОТКИ
2.1. Категории Субъектов Данных. Настоящее Дополнение применяется к обработке Персональных данных Разработчика, относящихся к конечным пользователям продуктов и услуг Разработчика.
2.2. Типы Персональных данных. Персональные данные Разработчика включают Персональные данные, объем которых определяется и контролируется Разработчиком по своему усмотрению, такие как IP-адрес, агент пользователя браузера, марка, модель и операционная система устройств конечных пользователей, информация, связанная с использованием конечными пользователями продуктов Разработчика, включающих Сервис (например, продолжительность работы Сервиса), уникальный идентификатор устройства/приложения, который не может быть использован для отслеживания устройств в приложениях или на веб-сайтах, и, с разрешения конечного пользователя, данные камеры с устройства конечного пользователя.
2.3. Объект и характер обработки. Предметом обработки персональных данных Разработчика компанией DEVAR является предоставление Услуг Разработчику, которое включает в себя обработку персональных данных Разработчика. Персональные данные Разработчика будут подвергаться тем действиям по обработке, которые DEVAR должен выполнить для оказания Услуг в соответствии с Соглашением.
2.4. Цель обработки. Персональные данные Разработчика будут обрабатываться DEVAR в целях предоставления Услуг, предусмотренных Соглашением.
2.5. Продолжительность обработки. Персональные данные Разработчика будут обрабатываться в течение всего срока действия Соглашения, с учетом положений Раздела 10 настоящего Дополнения.
3. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ РАЗРАБОТЧИКА
3.1. Стороны признают и соглашаются, что Разработчик является Контролером Персональных данных Разработчика, а DEVAR – Обработчиком этих данных. DEVAR будет обрабатывать Персональные данные Разработчика только в качестве Обработчика от имени и в соответствии с предварительными письменными инструкциями Разработчика, в том числе в отношении передачи персональных данных. Настоящим DEVAR поручается обрабатывать Персональные данные Разработчика в объеме, необходимом для того, чтобы DEVAR мог предоставлять Услуги в соответствии с Соглашением.
3.2. Если DEVAR не может обрабатывать Персональные данные Разработчика в соответствии с инструкциями Разработчика по причине юридического требования в соответствии с любым применимым законодательством Европейского союза или государства-члена, DEVAR (i) незамедлительно уведомит Разработчика о такой невозможности, предоставив разумный уровень детализации инструкций, которые он не может выполнить, и причины, по которым он не может выполнить, в наибольшей степени, разрешенной применимым законодательством; и (ii) прекратит всю обработку затронутых Персональных данных Разработчика (кроме простого хранения и обеспечения безопасности затронутых Персональных данных Разработчика) до того момента, когда Разработчик выпустит новые инструкции, которым DEVAR может соответствовать.
3.3. Каждый Застройщик и DEVAR будут соблюдать свои соответствующие обязательства в соответствии с Законодательством о защите данных. Разработчик должен обеспечить, чтобы Разработчик получил (или получит) все права и согласия (если требуется), которые необходимы DEVAR для обработки Персональных данных Разработчика в соответствии с настоящим Дополнением.
3.4. Разработчик признает, что DEVAR не хранит Персональные данные Разработчика таким образом, чтобы DEVAR мог связать Персональные данные Разработчика с каким-либо конкретным Субъектом данных. Соответственно, Разработчик соглашается с тем, что DEVAR не обязан предоставлять помощь, предлагаемую в Разделах 7, 8 и 9 настоящего Дополнения, если (a) цели, для которых Разработчик обрабатывает Персональные данные Разработчика, не требуют от Разработчика идентификации Субъекта данных и (b) Разработчик предоставляет DEVAR информацию, достаточную для того, чтобы DEVAR мог связать Персональные данные Разработчика с Субъектом данных.
3.5. В связи с исполнением Соглашения Стандартные договорные положения, приложенные к настоящему Дополнению в качестве Приложения 1, будут применяться к Личным данным Разработчика, которые передаются за пределы Европейской экономической зоны («ЕЭЗ»), либо напрямую, либо посредством дальнейшей передачи, в любую страну, не признанную Европейской комиссией как обеспечивающую адекватный уровень защиты персональных данных (как описано в GDPR). Стандартные договорные условия перестанут применяться, если DEVAR внедрит альтернативный признанный механизм соблюдения законной передачи персональных данных за пределы ЕЭЗ в соответствии со статьей 46 GDPR, например, сертификацию в рамках Privacy Shield.
4. КОНФИДЕНЦИАЛЬНОСТЬ
4.1. DEVAR гарантирует, что любое лицо, которое DEVAR уполномочивает обрабатывать Персональные данные Разработчика от его имени, несет обязательства по соблюдению конфиденциальности в отношении этих Персональных данных Разработчика.
5. МЕРЫ БЕЗОПАСНОСТИ
5.1. DEVAR будет применять соответствующие технические и организационные меры для защиты от случайного или незаконного уничтожения, потери, изменения, несанкционированного раскрытия или доступа к Персональным данным Разработчика (описано в Приложении 2 к Стандартным условиям договора).
5.2. DEVAR по запросу Разработчика и при условии оплаты Разработчиком всех гонораров DEVAR по действующим ставкам, а также всех расходов, предоставит Разработчику разумную помощь, необходимую для выполнения обязательств Разработчика по обеспечению безопасности Персональных данных Разработчика.
6. СУБ-ОБРАБОТКА
6.1. Разработчик уполномочивает DEVAR назначать субпроцессоров для выполнения конкретных услуг от имени DEVAR, которые могут потребовать от таких субпроцессоров обработки Персональных данных Разработчика. Во избежание сомнений, вышеуказанное разрешение представляет собой предварительное письменное согласие Разработчика на субпроцессинг со стороны DEVAR для целей пункта 11 Стандартных договорных условий. DEVAR будет информировать Разработчика о любых предполагаемых изменениях, касающихся добавления или замены субпроцессоров, и Разработчик будет иметь возможность возразить против таких изменений на разумных основаниях в течение пятнадцати (15) рабочих дней после получения уведомления.
6.2. DEVAR заключит с субпроцессором обязательное письменное соглашение, которое налагает на субпроцессора те же обязательства, которые применяются к DEVAR в соответствии с настоящим Дополнением. Если какой-либо из субпроцессоров не выполняет свои обязательства по защите данных, DEVAR будет нести ответственность перед Разработчиком за выполнение обязательств субпроцессоров.
6.3. Несмотря на вышесказанное, если DEVAR привлекает в качестве субпроцессора крупного поставщика, такого как Amazon Web Services, Inc, Microsoft, Inc. или Google, Inc. («Суперсубпроцессор»), Разработчик признает, что DEVAR имеет право заключить договор на стандартных условиях Суперсубпроцессора, и в той степени, в которой настоящее Дополнение налагает обязательства и ответственность, которые несовместимы с обязательствами и ответственностью, принятыми Суперсубпроцессором в соответствии со стандартными условиями Суперсубпроцессора, стандартные условия Суперсубпроцессора будут применяться взаимно между DEVAR и Разработчиком за исключением несовместимых условий настоящего Дополнения.
7. ПРАВА СУБЪЕКТА ДАННЫХ
7.1. В соответствии с разделом 3.4, DEVAR будет оказывать Разработчику помощь, необходимую для выполнения обязательств Разработчика по реагированию на запросы об осуществлении прав Субъектов данных. Разработчик несет исключительную ответственность за ответ на такие запросы. DEVAR не будет отвечать на такие запросы без предварительного письменного согласия и письменных инструкций Разработчика.
8. НАРУШЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. DEVAR уведомит Разработчика без неоправданной задержки после того, как ему станет известно о любом нарушении персональных данных, затрагивающем любые персональные данные Разработчика. По запросу Разработчика и с учетом Раздела 3.4, DEVAR незамедлительно предоставит Разработчику всю разумную помощь, необходимую для того, чтобы Разработчик мог уведомить о соответствующих нарушениях безопасности компетентные органы по защите данных и/или затронутые Субъекты данных, если Разработчик обязан сделать это в соответствии с GDPR. Разработчик несет исключительную ответственность за соблюдение требований по уведомлению об инцидентах с данными, применимых к Разработчику, и выполнение любых обязательств по уведомлению третьих сторон, связанных с любыми инцидентами с данными.
9. ОЦЕНКА ВЛИЯНИЯ ЗАЩИТЫ ДАННЫХ; ПРЕДВАРИТЕЛЬНЫЕ КОНСУЛЬТАЦИИ
9.1. В соответствии с разделом 3.4, DEVAR по запросу Разработчика предоставит ему разумную помощь для проведения оценки воздействия на защиту данных и консультаций с органами по защите данных, если Разработчик обязан осуществлять такую деятельность в соответствии с GDPR, и только в той степени, в которой такая помощь необходима и относится к обработке DEVAR Персональных данных Разработчика, с учетом характера обработки и информации, доступной DEVAR.
10. ВОЗВРАТ ИЛИ УДАЛЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ РАЗРАБОТЧИКА
10.1. DEVAR вернет или удалит, по выбору Разработчика, Персональные данные Разработчика после окончания предоставления Услуг, связанных с Обработкой, и удалит существующие копии, если только применимое законодательство Европейского Союза или государства-члена не требует хранения данных. Без ущерба для вышесказанного DEVAR может сохранять анонимизированные данные в соответствии с Соглашением.
11. ИНФОРМАЦИЯ
11.1 DEVAR по запросу Разработчика и при условии, что Разработчик согласится с обязательствами о неразглашении, приемлемыми для DEVAR, и оплатит все сборы DEVAR по текущим ставкам, а также все расходы, предоставит Разработчику всю информацию, необходимую Разработчику для демонстрации соблюдения своих обязательств по DEVAR и позволит проводить аудиты, включая проверки, проводимые Разработчиком или аудитором по поручению Разработчика (при условии, что такой аудитор согласится с обязательствами по конфиденциальности DEVAR). Для ясности, вся информация, предоставленная или полученная Застройщиком в соответствии с настоящим разделом 11.1, будет считаться DEVAR конфиденциальной. DEVAR немедленно уведомит DEVAR, если сочтет, что инструкции Разработчика нарушают закон о защите данных, и при условии, что такие проверки должны проводиться с письменным уведомлением не менее чем за шесть недель в течение обычного рабочего дня во взаимно согласованные дату и время, не чаще одного раза в год. Для ясности, вся информация, предоставленная или полученная Застройщиком в соответствии с настоящим разделом 11.1, будет считаться DEVAR конфиденциальной. DEVAR немедленно уведомит DEVAR, если сочтет, что инструкции Разработчика нарушают законодательство о защите данных. и при условии, что такие проверки будут проводиться с письменным уведомлением не менее чем за шесть недель в течение обычного рабочего дня во взаимно согласованные дату и время, не чаще одного раза в год. Для ясности, вся информация, предоставленная или полученная Застройщиком в соответствии с настоящим разделом 11.1, будет считаться конфиденциальной для DEVAR. DEVAR немедленно уведомит DEVAR, если сочтет, что указание Разработчика нарушает законодательство о защите данных. 1 считается конфиденциальной информацией DEVAR. DEVAR немедленно сообщит разработчику, если посчитает, что инструкции разработчика нарушают законодательство о защите данных. 1 считается конфиденциальной информацией DEVAR. DEVAR немедленно проинформирует разработчика, если сочтет, что инструкции разработчика нарушают законодательство о защите данных.
12. ОТВЕТСТВЕННОСТЬ
12.1. Ответственность каждой стороны перед другой стороной по настоящему Дополнению или в связи с ним будет ограничена в соответствии с положениями Соглашения.
12.2. Разработчик признает, что DEVAR зависит от Разработчика в отношении указаний относительно того, в какой степени DEVAR имеет право обрабатывать Персональные данные Разработчика от имени Разработчика при выполнении Услуг. Следовательно, DEVAR не будет нести ответственность по Соглашению за любой иск, поданный Субъектом данных, возникший в результате любого действия или бездействия DEVAR, которое является результатом указаний Разработчика или несоблюдения Разработчиком своих обязательств в соответствии с применимым законодательством о защите данных.
13. ОБЩИЕ ПОЛОЖЕНИЯ
13.1. В отношении предмета настоящего Дополнения, в случае несоответствия между положениями настоящего Дополнения и Соглашения, положения настоящего Дополнения имеют преимущественную силу.
ПРИЛОЖЕНИЕ 1
Решение Комиссии C (2010)593
Стандартные договорные положения (процессоры)
Для целей Статьи 26(2) Директивы 95/46/EC в отношении передачи персональных данных обработчикам, учрежденным в третьих странах, которые не обеспечивают адекватный уровень защиты данных
Название организации, экспортирующей данные: организация, указанная в качестве Разработчика в Дополнении (экспортер данных)
И
Название организации, импортирующей данные: DEVAR (импортер данных)
каждая «сторона»; вместе «стороны»,
СОГЛАСОВАЛИ следующие Договорные положения (Положения) с целью обеспечения адекватных гарантий в отношении защиты частной жизни, основных прав и свобод физических лиц при передаче экспортером данных импортеру данных персональных данных, указанных в Приложении 1.
Пункт 1
Определения
Для целей настоящих положений:
(a) «персональные данные», «специальные категории данных», «обработка/обработка», «контроллер», «процессор», «субъект данных» и «контролирующий орган» имеют то же значение, что и в Директиве 95/46/EC Европейского парламента и Совета от 24 октября 1995 года о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных;
(b) «экспортер данных» означает контролера, который передает персональные данные;
(c) «импортер данных» означает обработчик, который соглашается получить от экспортера данных персональные данные, предназначенные для обработки от его имени после передачи в соответствии с его инструкциями и условиями Положений и который не подпадает под действие системы третьей страны, обеспечивающей адекватную защиту в значении Статьи 25(1) Директивы 95/46/EC;
(d) «субпроцессор» означает любой процессор, нанятый импортером данных или любым другим субпроцессором импортера данных, который соглашается получать от импортера данных или любого другого субпроцессора импортера данных персональные данные, предназначенные исключительно для деятельности по обработке, которая будет осуществляться от имени экспортера данных после передачи в соответствии с его инструкциями, условиями Положений и условиями письменного субконтракта;
(e) «применимое законодательство о защите данных» означает законодательство, защищающее основные права и свободы физических лиц и, в частности, их право на неприкосновенность частной жизни в отношении обработки персональных данных, применимое к контроллеру данных в государстве-члене ЕС, в котором учрежден экспортер данных;
(f) «технические и организационные меры безопасности» означает меры, направленные на защиту персональных данных от случайного или незаконного уничтожения или случайной потери, изменения, несанкционированного раскрытия или доступа, в частности, если обработка включает передачу данных по сети, а также от всех других незаконных форм обработки.
Пункт 2
Детали передачи
Детали передачи и, в частности, специальные категории персональных данных, где это применимо, указаны в Приложении 1, которое является неотъемлемой частью настоящих Условий.
Пункт 3
Положение о третьей стороне-бенефициаре
1. Субъект данных может применить к экспортеру данных данный пункт, пункты 4 (b) – (i), пункты 5 (a) – (e) и (g) – (j), пункты 6 (1) и (2), пункт 7, пункт 8 (2) и пункты 9 – 12 в качестве третьей стороны-бенефициара.
2. Субъект данных может применить к импортеру данных настоящий пункт, пункты 5 (a) – (e) и (g), пункт 6, пункт 7, пункт 8 (2) и пункты 9-12 в случаях, когда экспортер данных фактически исчез или прекратил свое существование в силу закона, если только какой-либо правопреемник не принял на себя все юридические обязательства экспортера данных по договору или в силу закона, в результате чего он принимает на себя права и обязательства экспортера данных, и в этом случае субъект данных может применить их к такому субъекту.
3. Субъект данных может применить к субпроцессору настоящий пункт, пункты 5 (a) – (e) и (g), пункт 6, пункт 7, пункт 8 (2) и пункты 9 – 12 в случаях, когда экспортер и импортер данных фактически исчезли или прекратили свое существование в силу закона или стали неплатежеспособными, если только какой-либо правопреемник не принял на себя все юридические обязательства экспортера данных по договору или в силу закона, в результате чего он принимает на себя права и обязательства экспортера данных, и в этом случае субъект данных может принудительно исполнить их в отношении такого субъекта. Такая ответственность субпроцессора перед третьими сторонами ограничивается его собственными операциями по обработке в соответствии с пп.
4. Стороны не возражают против того, чтобы субъект данных был представлен ассоциацией или другим органом, если субъект данных этого явно желает и если это разрешено национальным законодательством.
Пункт 4
Обязательства экспортера данных
Экспортер данных соглашается и гарантирует:
(a) что обработка, включая саму передачу, персональных данных осуществлялась и будет осуществляться в соответствии с соответствующими положениями применимого законодательства о защите данных (и, если применимо, был уведомлен соответствующими органами государства-члена, в котором учрежден экспортер данных) и не нарушает соответствующие положения этого государства;
(b) что он поручил и в течение всего срока оказания услуг по обработке персональных данных будет поручать импортеру данных обрабатывать передаваемые персональные данные только от имени экспортера данных и в соответствии с применимым законодательством о защите данных и положениями настоящих Условий;
(c) что импортер данных предоставит достаточные гарантии в отношении технических и организационных мер безопасности, указанных в Приложении 2 к настоящему договору;
(d) что после оценки требований применимого законодательства о защите данных, меры безопасности являются надлежащими для защиты персональных данных от случайного или незаконного уничтожения или случайной потери, изменения, несанкционированного раскрытия или доступа, в частности, если обработка включает передачу данных по сети, и от всех других незаконных форм обработки, и что эти меры обеспечивают уровень безопасности, соответствующий рискам, связанным с обработкой и характером данных, подлежащих защите, с учетом уровня техники и стоимости их реализации;
(e) что он обеспечит соблюдение мер безопасности;
(f) что, если передача касается специальных категорий данных, субъект данных был проинформирован или будет проинформирован до или как можно скорее после передачи, что его данные могут быть переданы в третью страну, не обеспечивающую адекватную защиту в соответствии с Директивой 95/46/EC;
(g) направить любое уведомление, полученное от импортера данных или любого субпроцессора в соответствии с пунктом 5(b) и пунктом 8(3), в орган по надзору за защитой данных, если экспортер данных решит продолжить передачу или отменить приостановку;
(h) предоставлять субъектам данных по запросу копию Положений, за исключением Приложения 2, и краткое описание мер безопасности, а также копию любого договора на услуги по субобработке, который должен быть заключен в соответствии с Положениями, если только Положения или договор не содержат коммерческую информацию, в этом случае он может удалить такую коммерческую информацию;
(i) что в случае суб-обработки, деятельность по обработке осуществляется в соответствии с пунктом 11 суб-процессором, обеспечивающим, по крайней мере, такой же уровень защиты персональных данных и прав субъекта данных, как и импортер данных в соответствии с положениями; и
(j) что он обеспечит соблюдение пунктов 4(a)-(i).
Пункт 5
Обязательства импортера данных
Импортер данных соглашается и гарантирует:
(a) обрабатывать персональные данные только по поручению экспортера данных и в соответствии с его инструкциями и положениями; если он не может обеспечить такое соответствие по каким-либо причинам, он соглашается незамедлительно информировать экспортера данных о своей неспособности соответствовать требованиям, и в этом случае экспортер данных имеет право приостановить передачу данных и/или расторгнуть контракт;
(b) что у него нет оснований полагать, что применимое к нему законодательство препятствует выполнению им инструкций, полученных от экспортера данных, и своих обязательств по договору, и что в случае изменения этого законодательства, которое может оказать существенное негативное влияние на гарантии и обязательства, предусмотренные положениями, он незамедлительно уведомит экспортера данных об этом изменении, как только ему станет известно, и в этом случае экспортер данных имеет право приостановить передачу данных и/или прекратить действие договора;
(c) что перед обработкой переданных персональных данных он принял технические и организационные меры безопасности, указанные в Приложении 2;
(d) что он незамедлительно уведомит экспортера данных о:
(i) любом юридически обязывающем запросе на раскрытие персональных данных со стороны правоохранительных органов, если не запрещено иное, например, запрет в соответствии с уголовным законодательством для сохранения конфиденциальности правоохранительного расследования,
(ii) любой случайный или несанкционированный доступ, и
(iii) любой запрос, полученный непосредственно от субъектов данных, не отвечая на этот запрос, если на это не было получено иное разрешение;
(e) оперативно и надлежащим образом отвечать на все запросы экспортера данных, касающиеся обработки им персональных данных, подлежащих передаче, и выполнять рекомендации контролирующего органа в отношении обработки переданных данных;
(f) по просьбе экспортера данных предоставлять свои объекты обработки данных для аудита деятельности по обработке, предусмотренной положениями, который должен проводиться экспортером данных или инспекционным органом, состоящим из независимых членов и обладающих необходимой профессиональной квалификацией, связанных обязательством сохранения конфиденциальности, выбранным экспортером данных, если это применимо, по согласованию с контролирующим органом;
(g) предоставлять субъекту данных по запросу копию Положений или любого существующего контракта на субобработку, если только Положения или контракт не содержат коммерческую информацию, в этом случае он может удалить такую коммерческую информацию, за исключением Приложения 2, которое должно быть заменено кратким описанием мер безопасности в тех случаях, когда субъект данных не может получить копию у экспортера данных;
(h) что в случае суб-обработки он предварительно проинформировал экспортера данных и получил его предварительное письменное согласие;
(i) что услуги по обработке данных субпроцессором будут осуществляться в соответствии с пунктом 11;
(j) незамедлительно направлять экспортеру данных копию любого соглашения о субпроцессоре, которое он заключает в соответствии с настоящими положениями.
Пункт 6
Ответственность
1. Стороны соглашаются, что любой субъект данных, понесший ущерб в результате любого нарушения обязательств, указанных в пункте 3 или в пункте 11, любой стороной или субпроцессором, имеет право на получение компенсации от экспортера данных за понесенный ущерб.
2. Если субъект данных не может предъявить иск о компенсации в соответствии с пунктом 1 к экспортеру данных, возникший в результате нарушения импортером данных или его субпроцессором любого из их обязательств, указанных в пункте 3 или в пункте 11, по причине того, что экспортер данных фактически исчез, прекратил свое существование в соответствии с законом или стал неплатежеспособным, импортер данных соглашается с тем, что субъект данных может предъявить претензии импортеру данных, как если бы он был экспортером данных, если только какой-либо правопреемник не принял на себя все юридические обязательства экспортера данных по договору или в силу закона, и в этом случае субъект данных может осуществить свои права в отношении такого субъекта.
Импортер данных не может ссылаться на нарушение субпроцессором своих обязательств для того, чтобы избежать своих собственных обязательств.
3. Если субъект данных не может предъявить иск к экспортеру или импортеру данных, упомянутым в пунктах 1 и 2, в связи с нарушением субпроцессором любого из своих обязательств, упомянутых в пункте 3 или в пункте 11, поскольку и экспортер, и импортер данных фактически исчезли или прекратили свое существование по закону или стали неплатежеспособными, субпроцессор соглашается с тем, что субъект данных может предъявить претензии субпроцессору данных в отношении его собственных операций обработки в соответствии с положениями Статей, как если бы он был экспортером или импортером данных, если только какое-либо правопреемственное лицо не приняло на себя все юридические обязательства экспортера или импортера данных по договору или в силу закона, и в этом случае субъект данных может осуществить свои права в отношении такого лица. Ответственность субпроцессора ограничивается его собственными операциями по обработке в соответствии с настоящими положениями.
Пункт 7
Посредничество и юрисдикция
1. Импортер данных соглашается с тем, что в случае, если субъект данных прибегнет к своим правам бенефициара третьей стороны и/или потребует возмещения ущерба в соответствии с положениями Статей, импортер данных согласится с решением субъекта данных:
(a) передать спор на посредничество независимого лица или, если применимо, контролирующего органа;
(b) передать спор в суд государства-члена ЕС, в котором зарегистрирован экспортер данных.
2. Стороны соглашаются, что выбор, сделанный субъектом данных, не наносит ущерба его материальным или процессуальным правам на получение средств правовой защиты в соответствии с другими положениями национального или международного права.
Пункт 8
Сотрудничество с надзорными органами
1. Экспортер данных соглашается передать копию настоящего договора на хранение в надзорный орган, если он этого потребует или если такое хранение требуется в соответствии с действующим законодательством о защите данных.
2. Стороны соглашаются, что надзорный орган имеет право проводить аудит импортера данных и любого субпроцессора, который имеет тот же объем и подчиняется тем же условиям, которые применяются к аудиту экспортера данных в соответствии с действующим законодательством о защите данных.
3. Импортер данных должен незамедлительно проинформировать экспортера данных о существовании законодательства, применимого к нему или любому субпроцессору, препятствующего проведению аудита импортера данных или любого субпроцессора в соответствии с пунктом 2. В этом случае экспортер данных имеет право принять меры, предусмотренные в пункте 5 (b).
Пункт 9
Регулирующее законодательство
Положения регулируются законодательством государства-члена ЕС, в котором учрежден экспортер данных.
Пункт 10
Изменение договора
Стороны обязуются не изменять и не модифицировать положения. Это не препятствует сторонам при необходимости добавлять положения по вопросам, связанным с бизнесом, если они не противоречат положениям.
Пункт 11
Суб-обработка
1. Импортер данных не должен передавать субподрядчику какие-либо операции по обработке, выполняемые от имени экспортера данных в соответствии с Положениями, без предварительного письменного согласия экспортера данных. Если импортер данных передает свои обязательства по Клаузулам с согласия экспортера данных, он должен делать это только на основании письменного соглашения с субпроцессором, которое налагает на субпроцессор те же обязательства, которые налагаются на импортера данных в соответствии с Клаузулами. Если субпроцессор не выполняет свои обязательства по защите данных в соответствии с таким письменным соглашением, импортер данных остается полностью ответственным перед экспортером данных за выполнение субпроцессором своих обязательств по такому соглашению.
2. Предварительный письменный договор между импортером данных и субпроцессором должен также предусматривать положение о бенефициаре третьей стороны, как указано в пункте 3, для случаев, когда субъект данных не может предъявить иск о компенсации, указанный в пункте 1 пункта 6, к экспортеру данных или импортеру данных, поскольку они фактически исчезли, прекратили свое существование в силу закона или стали неплатежеспособными, и ни один правопреемник не принял на себя все юридические обязательства экспортера данных или импортера данных по договору или в силу закона. Такая ответственность субпроцессора перед третьими сторонами ограничивается его собственными операциями по обработке данных в соответствии с пп.
3. Положения, касающиеся аспектов защиты данных при субобработке по договору, указанному в пункте 1, регулируются законодательством государства-члена, в котором учрежден экспортер данных.
4. Экспортер данных должен вести список договоров на субобработку, заключенных в соответствии с положениями и уведомленных импортером данных в соответствии с пунктом 5 (j), который должен обновляться не реже одного раза в год. Этот список должен быть доступен органу надзора за защитой данных экспортера данных.
Пункт 12
Обязанность после прекращения оказания услуг по обработке персональных данных
1. Стороны соглашаются, что по окончании оказания услуг по обработке данных импортер данных и субпроцессор по выбору экспортера данных возвращают все переданные персональные данные и их копии экспортеру данных или уничтожают все персональные данные и подтверждают экспортеру данных, что они это сделали, если только законодательство, налагаемое на импортера данных, не препятствует ему возвратить или уничтожить все или часть переданных персональных данных. В этом случае импортер данных гарантирует, что он гарантирует конфиденциальность переданных персональных данных и не будет больше активно обрабатывать переданные персональные данные.
2. Импортер данных и субпроцессор гарантируют, что по требованию экспортера данных и/или контролирующего органа они предоставят свои средства обработки данных для проверки мер, указанных в пункте 1.
ПРИЛОЖЕНИЕ 1 К СТАНДАРТНЫМ ДОГОВОРНЫМ ПОЛОЖЕНИЯМ
Данное Приложение является частью Оговорок и должно быть заполнено и подписано сторонами.
Экспортер данных. Экспортером данных является организация, указанная в Дополнении как «Разработчик».
Импортер данных. Импортером данных является организация, обозначенная в Дополнении как «DEVAR».
Субъекты данных. Передаваемые персональные данные касаются следующих категорий субъектов данных (пожалуйста, укажите):
Субъекты данных определены в разделе 2.1 Дополнения.
Категории данных. Передаваемые персональные данные относятся к следующим категориям данных (просьба указать):
Категории персональных данных определены в разделе 2.2 Дополнения.
Специальные категории данных (при необходимости). Передаваемые персональные данные относятся к следующим специальным категориям данных (пожалуйста, укажите):
Не применимо.
Операции по обработке. Передаваемые персональные данные будут подвергаться следующим основным операциям обработки (пожалуйста, укажите):
Операции по обработке, определенные в разделе 2 настоящего Дополнения и в Договоре.
ПРИЛОЖЕНИЕ 2 К СТАНДАРТНЫМ ДОГОВОРНЫМ ПОЛОЖЕНИЯМ
Данное Приложение является частью Оговорок и должно быть заполнено и подписано сторонами.
Описание технических и организационных мер безопасности, применяемых импортером данных в соответствии с пунктами 4(d) и 5(c) (или прилагаемый документ/законодательство):
Технические и организационные меры безопасности, применяемые импортером данных, описаны на сайте https://mywebar.com/ru/documents/tom.