ESET Services – Зміст

Стандартні положення угоди

ДОДАТОК ДО СТАНДАРТНИХ ДОГОВІРНИХ ПОЛОЖЕНЬ

(МОДУЛЬ ЧОТИРИ: передача даних Оператором Контролеру)

  1. Цей Додаток до Стандартних договірних положень (2021/914/ЄС) (далі – «Додаток») є невіддільною частиною Умов надання професійних послуг і послуг безпеки компанії ESET (далі – «Умови»), відповідно до яких ESET надає Клієнту професійні послуги й послуги безпеки (далі – «Послуги») і у яких є посилання на цей Додаток.
  2. Цей Додаток застосовується у випадку, якщо сторони зобов’язані укласти стандартні договірні положення, прийняті Європейською комісією відповідно до Регламенту (ЄС) 2016/679 Європейського парламенту та Ради від 27 квітня 2016 року про захист фізичних осіб у зв’язку з опрацюванням персональних даних і про вільний рух таких даних, що скасовує Директиву 95/46/ЄС (далі – «GDPR»), і тою мірою, якою буде здійснюватися будь-яка передача або опрацювання персональних даних за межами Європейської економічної зони або країни, визначеної безпечною за рішенням Європейської комісії, як це вимагається в контексті надання Послуг.
  3. Якщо окреме положення цього Додатку не передбачає іншого, значення всіх термінів, що пишуться з великої літери, визначено в Умовах і Додатку А до них – Угоді про обробку даних (надалі – «УОД»).
  4. Компанія ESET може час від часу вносити зміни до цього Додатку в односторонньому порядку, якщо це необхідно у зв’язку зі змінами в чинному законодавстві або рішенням Європейської комісії щодо стандартних договірних положень, зокрема, якщо Європейська комісія ухвалить нові стандартні положення про захист даних відповідно до GDPR. У таких випадках ESET зобов’язана надіслати Клієнту сповіщення електронною поштою не менше ніж за 30 (тридцять) днів до того, як такі зміни до цього Додатку набудуть чинності, а також опублікувати їх на спеціальному вебсайті. Крім того, компанія ESET може в односторонньому порядку змінити цей Додаток на тих самих умовах, які передбачені для односторонньої зміни Умов у відповідних положеннях Умов.
  5. Приймаючи Умови, компанія ESET і Клієнт погоджуються дотримуватися цього Додатку, що інкорпорує Стандартні договірні положення Європейської Комісії (2021/914/ЄС) (далі – «Стандартні договірні положення») до Умов без необхідності їх подальшого підписання. Стандартні договірні положення є невіддільною частиною цього Додатка й застосовуються без необхідності їх подальшого підписання. У разі виникнення будь-яких суперечностей між цим Додатком і Умовами, положення цього Додатку мають переважну силу.
  6. Сторони Умов цим конкретно погоджуються з нижченаведеними пунктами стосовно Стандартних договірних положень.
    1. Положення 11 «Відшкодування» – пункт необов’язковий, не включається.
    2. Положення 17 «Застосовне законодавство» – до Додатку застосовується законодавство Словацької Республіки.
    3. Положення 18 «Вибір суду та юрисдикція» – будь-який спір, що виникає у зв’язку з цим Додатком, підлягає вирішенню в судах Словацької Республіки.

ДОДАТОК

Стандартні положення угоди

РОЗДІЛ І

Положення 1. Призначення й сфера застосування

(a) Ці стандартні договірні положення забезпечують відповідність вимогам Регламенту ЄС 2016/679, затвердженого Європейським парламентом і Радою ЄС 27 квітня 2016 року, про захист фізичних осіб під час опрацювання персональних даних і про вільний обмін такими даними (Загальний регламент про захист даних) (1) під час передачі персональних даних у третю країну.

(b) Сторони:

(i) фізичні або юридичні особи, державні органи, агентства чи інші установи (далі — організації), що передають персональні дані, як зазначено в Додатку I.A (далі кожен окремо — експортер даних), і

(ii) юридичні особи в третій країні, які отримують персональні дані від експортера даних безпосередньо чи опосередковано через іншу організацію, що також є Стороною цих Положень, як зазначено в Додатку I.A (далі кожен окремо — імпортер даних)

погодились із цими стандартними договірними положеннями (далі — Положення).

(c) Ці Положення стосуються передачі персональних даних, як визначено в Додатку I.B.

(d) Доповнення до цих Положень, що містить згадані в ньому Додатки, є невіддільною частиною цих Положень.

Положення 2. Дія і незмінність Положень

(a) Ці Положення встановлюють відповідні гарантії, зокрема права суб’єкта даних, що підлягають виконанню, і ефективні засоби правового захисту відповідно до Статті 46(1) і Статті 46(2)(c) Регламенту (ЄС) 2016/679, а також, стосовно передачі даних контролерами операторам і/або операторами операторам, стандартні договірні положення відповідно до Статті 28(7) Регламенту (ЄС) 2016/679, за умови, що вони не змінені, за винятком вибору потрібних Модулів або додавання чи оновлення інформації в Доповненні. Це не забороняє Сторонам включати стандартні договірні положення, викладені в цих Положеннях, у ширший договір і/або додавати інші положення чи додаткові гарантії, за умови, що вони не суперечать, прямо чи опосередковано, цим Положенням і не ставлять під сумнів основні права чи свободи суб’єктів даних.

(b) Ці Положення не впливають на зобов’язання, які покладаються на експортера даних відповідно до Регламенту (ЄС) 2016/679.

Положення 3. Сторонні бенефіціари

(a) Суб’єкти даних можуть посилатися на ці Положення й застосовувати їх як сторонні бенефіціари проти експортера та/або імпортера даних із такими винятками:

(i) Положення 1, Положення 2, Положення 3, Положення 6, Положення 7;

(ii) Положення 8 — Модуль один: Положення 8.5(e) і Положення 8.9(b); Модуль два: Положення 8.1(b), 8.9(a), (c), (d) і (e); Модуль три: Положення 8.1(a), (c) і (d), а також Положення 8.9(a), (c), (d), (e), (f) і (g); Модуль чотири: Положення 8.1(b) і Положення 8.3(b);

(iii) Положення 9 — Модуль два: Положення 9(a), (c), (d) і (e); Модуль три: Положення 9(a), (c), (d) і (e);

(iv) Положення 12 — Модуль один: Положення 12(a) і (d); Модулі два й три: Положення 12(a), (d) і (f);

(v) Положення 13;

(vi) Положення 15.1(c), (d) і (e);

(vii) Положення 16(e);

(viii) Положення 18 — Модуль один, два й три: Положення 18(а) і (б); Модуль чотири: Положення 18.

(b) Пункт (a) не обмежує права суб’єктів даних відповідно до Регламенту (ЄС) 2016/679.

Стаття 4. Тлумачення

(a) Якщо в цих Положеннях використовуються терміни, визначені в Регламенті (ЄС) 2016/679, ці терміни мають те саме значення, що й у Регламенті.

(b) Ці Положення слід читати й тлумачити з урахуванням положень Регламенту (ЄС) 2016/679.

(c) Ці пункти не мають тлумачитись у спосіб, що суперечить правам і обов’язкам, передбаченим у Регламенті (ЄС) 2016/679.

Положення 5. Ієрархія

У разі виникнення суперечності між цими Положеннями й положеннями пов’язаних угод між Сторонами, що існують на момент прийняття або укладення цих Положень чи згодом, ці Положення мають переважну силу.

Положення 6. Опис процедури передачі даних

Докладні відомості про процедуру передачі й, зокрема, категорії персональних даних, які передаються, а також цілі, з якими це відбувається, наведено в Додатку I.B.

Положення 7. Необов’язкове положення про додавання нових Сторін до договору

(a) Суб’єкт, що не є Стороною цих Положень, може, за згодою Сторін, приєднатися до цих Положень у будь-який час як експортер чи імпортер даних, заповнивши Доповнення й підписавши Додаток I.A.

(b) Після того як Доповнення буде заповнено, а Додаток I.A — підписано, суб’єкт, що приєднується, стає Стороною цих Положень і має права й обов’язки експортера чи імпортера даних відповідно до визначення, наведеного в Додатку I.A.

(c) Суб’єкт, що приєднується, не має жодних прав чи зобов’язань, передбачених цими Положеннями, за період до того, як він став Стороною.

РОЗДІЛ II. ЗОБОВ’ЯЗАННЯ СТОРІН

Розділ 8. Гарантії захисту даних

Експортер даних гарантує, що він доклав розумних зусиль, щоб переконатися, що імпортер даних здатний за допомогою відповідних технічних і організаційних заходів виконати свої зобов’язання за цими Положеннями.

8.1 Інструкції

(a) Експортер даних має опрацьовувати персональні дані лише за документально затвердженими інструкціями імпортера даних, який виступає контролером.

(b) Експортер даних має негайно повідомляти імпортера даних, якщо він не може дотримуватися цих інструкцій, зокрема якщо такі інструкції порушують Регламент (ЄС) 2016/679 або інший закон про захист даних, що діє на території Союзу чи країни-члена.

(c) Імпортер даних має втримуватися від будь-яких дій, які можуть перешкоджати експортеру даних виконувати свої зобов’язання за Регламентом (ЄС) 2016/679, зокрема в контексті субопрацювання або співпраці з компетентними наглядовими органами.

(d) Завершивши надання послуг з опрацювання, експортер даних, за вибором імпортера даних, має видалити всі персональні дані, опрацьовані від імені імпортера даних, і підтвердити йому, що він це зробив, або повернути всі персональні дані, опрацьовані від його імені, і видалити наявні копії.

8.2 Безпека опрацювання

(a) Сторони мають уживати відповідних технічних і організаційних заходів для гарантування безпеки даних, зокрема під час їх передачі, і захисту від порушень безпеки, що призводять до випадкового або незаконного знищення, утрати, зміни, несанкціонованого розкриття або доступу (далі — порушення безпеки персональних даних). Під час оцінки прийнятного рівня безпеки вони мають ураховувати наявний стан речей, витрати на реалізацію, характер персональних даних (2), характер, обсяг, контекст і цілі опрацювання, пов’язані з опрацюванням ризики для суб’єктів даних, а також розглядати можливість використовувати шифрування або псевдонімізацію, зокрема під час передачі, якщо ціль опрацювання може бути досягнуто в такий спосіб.

(b) Експортер даних має допомагати імпортеру даних гарантувати належну безпеку даних відповідно до пункту (a). У разі порушення безпеки персональних даних, які опрацьовуються експортером даних відповідно до цих Положень, експортер даних має негайно повідомити про це імпортера даних після того, як йому стало відомо про це, і допомогти усунути порушення безпеки.

(c) Експортер даних має забезпечити, щоб особи, уповноважені опрацьовувати персональні дані, узяли на себе зобов’язання щодо конфіденційності або були зобов’язані дотримуватися відповідних законодавчих вимог щодо конфіденційності.

8.3 Документація і відповідність вимогам

(a) Сторони мають бути в змозі продемонструвати відповідність вимогам цих Положень.

(b) Експортер даних має надавати імпортеру даних усю інформацію, необхідну для демонстрації дотримання ним своїх зобов’язань за цими Положеннями, а також дозволяти проводити аудити й сприяти їх проведенню.

Положення 9. Залучення субоператорів

Не застосовується до відповідного модуля й характеру передачі.

Положення 10. Права суб’єкта даних

Сторони мають допомагати одна одній відповідати на запити й звернення суб’єктів даних відповідно до місцевого законодавства, що застосовується до імпортера даних, або, у разі опрацювання даних експортером даних у ЄС, відповідно до Регламенту (ЄС) 2016/679.

Положення 11. Відшкодування збитків

(a) Імпортер даних має інформувати суб’єктів даних у прозорому й легкодоступному форматі (за допомогою індивідуального повідомлення або на своєму вебсайті) про контактну особу, уповноважену розглядати скарги. Будь-які скарги, отримані від суб’єкта даних, мають розглядатися негайно.

Положення 12. Відповідальність

(a) Кожна Сторона несе відповідальність перед іншими Сторонами за будь-які збитки, які їм завдає будь-яким порушенням цих Положень.

(b) Кожна Сторона несе відповідальність перед суб’єктом даних, і суб’єкт даних має право отримувати компенсацію за будь-які матеріальні чи нематеріальні збитки, які Сторона завдає йому, порушуючи права третьої сторони — бенефіціара за цими Положеннями. Це не впливає на відповідальність експортера даних згідно з Регламентом (ЄС) 2016/679.

(c) Якщо більше ніж одна Сторона несе відповідальність за будь-яку шкоду, заподіяну суб’єкту даних унаслідок порушення цих Положень, усі відповідальні Сторони несуть солідарну відповідальність, а суб’єкт даних має право подати позов до суду проти будь-якої із цих Сторін.

(d) Сторони погоджуються з тим, що якщо одна Сторона притягується до відповідальності згідно з пунктом (c), вона має право вимагати від інших Сторін повернення частини компенсації за шкоду, за яку вони відповідають.

(e) Імпортер даних не має права посилатися на дії оператора або субоператора, щоб уникнути власної відповідальності.

Положення 13. Нагляд

Не застосовується до відповідного модуля.

РОЗДІЛ III. МІСЦЕВІ ЗАКОНИ Й ОБОВ’ЯЗКИ В РАЗІ ДОСТУПУ ДЕРЖАВНИХ ОРГАНІВ

Положення 14. Місцеві закони й процесуальні норми, що впливають на дотримання цих Положень

МОДУЛЬ ЧОТИРИ. Передача даних оператором контролеру (якщо оператор у ЄС поєднує персональні дані, отримані від контролера з третьої країни, з персональними даними, зібраними оператором у ЄС)

(a) Сторони гарантують, що в них немає підстав вважати, що закони й процесуальні норми в третій країні призначення, що застосовуються до опрацювання персональних даних імпортером даних, включно з будь-якими вимогами щодо розкриття персональних даних або заходами, що дозволяють доступ державних органів, перешкоджають імпортеру даних виконувати свої зобов’язання за цими Положеннями. Це ґрунтується на розумінні того, що закони й процесуальні норми, які поважають суть основних прав і свобод та не перевищують того, що є необхідним і пропорційним у демократичному суспільстві для забезпечення однієї із цілей, перелічених у Статті 23(1) Регламенту (ЄС) 2016/679, не суперечать цим Положенням.

(b) Сторони заявляють, що під час надання гарантії, зазначеної в пункті (a), вони, серед іншого, належним чином урахували:

(i) конкретні обставини передачі, зокрема довжину послідовності опрацювання, кількість залучених учасників і використані канали передачі; передбачувані подальші передачі; тип одержувача; мету опрацювання; категорії і формат переданих персональних даних; економічний сектор, у якому відбувається передача; місце зберігання переданих даних;

(ii) закони й процесуальні норми третьої країни призначення, зокрема ті, що вимагають розкриття даних державним органам або надання доступу таким органам, що є актуальними з огляду на конкретні обставини передачі, а також застосовні обмеження й гарантії (3);

(iii) будь-які відповідні договірні, технічні або організаційні гарантії, запроваджені на додаток до гарантій за цими Положеннями, зокрема заходи, що застосовуються під час передачі й опрацювання персональних даних у країні призначення.

(c) Імпортер даних гарантує, що під час оцінювання відповідно до пункту (b) він доклав усіх зусиль, щоб надати експортеру даних відповідну інформацію, і погоджується з тим, що й надалі співпрацюватиме з експортером даних для забезпечення дотримання цих Положень.

(d) Сторони погоджуються документально оформити оцінювання відповідно до пункту (b), а також надати його компетентному наглядовому органу на вимогу.

(e) Імпортер даних погоджується негайно повідомити експортера даних, якщо після прийняття цих Положень і протягом строку дії договору він має підстави вважати, що він підпадає під дію законів або процесуальних норм, які не відповідають вимогам пункту (a), зокрема після змін у законодавстві третьої країни або після певного заходу (наприклад, запиту на розкриття інформації), що вказують на застосування такого законодавства на практиці, яке не відповідає вимогам, викладеним у пункті (a).

(f) Отримавши сповіщення відповідно до пункту (e) або маючи підстави вважати, що імпортер даних більше не може виконувати свої зобов’язання за цими Положеннями, експортер даних має негайно визначити відповідні заходи (наприклад, технічні або організаційні заходи для гарантування безпеки й конфіденційності), яких має вжити експортер і/або імпортер даних, щоб вирішити ситуацію. Експортер даних має призупинити передачу даних, якщо він вважає, що не можна надати належні гарантії безпеки для такої передачі, або якщо він отримав указівку від компетентного наглядового органу зробити це. У такому разі експортер даних має право розірвати договір, якщо це стосується опрацювання персональних даних відповідно до цих Положень. Якщо в договорі беруть участь більше ніж дві Сторони, експортер даних може скористатися цим правом на розірвання лише щодо відповідної Сторони, якщо Сторони не домовилися про інше. У разі розірвання договору відповідно до цього Положення застосовуються пункти 16(d) і (e).

Положення 15. Обов’язки імпортера даних у разі доступу державних органів

МОДУЛЬ ЧОТИРИ. Передача даних оператором контролеру (якщо оператор у ЄС поєднує персональні дані, отримані від третьої країни-контролера, з персональними даними, зібраними оператором у ЄС)

15.1 Сповіщення

(a) Імпортер даних погоджується негайно сповіщати експортера даних і, якщо можливо, суб’єкта даних (за необхідності за допомогою експортера даних), якщо він:

(i) отримує запит, що має обов’язкову юридичну силу, від державного органу, включно з органами судової влади, відповідно до законодавства країни призначення про розкриття персональних даних, переданих відповідно до цих Положень; таке сповіщення має містити інформацію про персональні дані, щодо яких надійшов запит, орган, що надіслав запит, правові підстави для запиту й надану відповідь; або

(ii) дізнається про отримання державними органами будь-якого прямого доступу до персональних даних, переданих відповідно до цих Положень згідно із законодавством країни призначення; таке сповіщення має містити всю інформацію, якою володіє імпортер.

(b) Якщо імпортеру даних заборонено сповіщати експортера та/або суб’єкта даних згідно із законодавством країни призначення, він погоджується докласти всіх зусиль, щоб якнайшвидше отримати звільнення від заборони й надати якомога більше інформації. Імпортер даних погоджується документувати всі свої зусилля, щоб мати змогу продемонструвати їх на вимогу експортера даних.

(c) Якщо це дозволено законодавством країни призначення, імпортер даних погоджується регулярно протягом строку дії договору надавати експортеру даних якомога більше релевантної інформації про отримані запити (зокрема кількість запитів, тип запитуваних даних, органи, які подали запит, чи були оскаржені запити й результати таких оскаржень тощо).

(d) Імпортер даних погоджується зберігати інформацію відповідно до пунктів (a)–(c) протягом строку дії договору й надавати її компетентному наглядовому органу за запитом.

(e) Пункти (a)–(c) не обмежують зобов’язання імпортера даних відповідно до Положення 14(e) і Положення 16 негайно інформувати експортера даних, якщо він не може дотримуватися цих Положень.

15.2 Перевірка законності запитів і мінімізація даних

(a) Імпортер даних погоджується перевіряти законність запитів про розкриття інформації, зокрема переконуватися, що вони не виходять за межі повноважень, наданих державному органу, який їх надсилає, і оскаржувати запити, якщо внаслідок ретельного аналізу з’являться обґрунтовані підстави вважати, що запит є незаконним згідно із законодавством країни призначення, відповідними зобов’язаннями за міжнародним правом і принципами міжнародної ввічливості. Імпортер даних має, на тих самих умовах, скористатися можливостями оскарження. Оскаржуючи запит, імпортер даних має вжити тимчасових заходів із метою призупинення дії запиту, доки компетентний судовий орган не прийме рішення щодо його обґрунтованості. Він не має розголошувати запитувані персональні дані, доки це не буде вимагатися відповідно до чинних процесуальних норм. Ці вимоги не обмежують зобов’язання імпортера даних, викладені в Положенні 14(e).

(b) Імпортер даних погоджується документувати свою юридичну експертизу й будь-які заперечення щодо запиту на розголошення, а також надавати доступ до такої документації експортеру даних в обсязі, дозволеному законодавством країни призначення. Він також повинен надавати її компетентному наглядовому органу за запитом.

(c) Імпортер даних погоджується надавати мінімальний обсяг інформації, дозволений для відповіді на запит про розкриття, на основі обґрунтованого тлумачення запиту.

РОЗДІЛ IV. ПРИКІНЦЕВІ ПОЛОЖЕННЯ

Положення 16. Недотримання Положень і розірвання договору

(a) Імпортер даних має негайно повідомити експортера даних, якщо він із будь-якої причини не може дотримуватися цих Положень.

(b) Якщо імпортер даних порушує ці Положення або не може їх дотримуватися, експортер даних має призупинити передачу персональних даних імпортеру даних, доки не буде знову забезпечено дотримання вимог або доки договір не буде розірвано. Це не впливає на Положення 14(f).

(c) Експортер даних має право розірвати договір, якщо це стосується опрацювання персональних даних відповідно до цих Положень, у таких випадках:

(i) експортер даних призупинив передачу персональних даних імпортеру відповідно до пункту (b), і дотримання цих Положень не відновлюється протягом розумного періоду й у будь-якому разі протягом одного місяця після призупинення;

(ii) імпортер даних суттєво або постійно порушує ці Положення; або

(iii) імпортер даних не виконує обов’язкове рішення компетентного суду чи наглядового органу щодо своїх зобов’язань за цими Положеннями.

У таких випадках він має інформувати компетентний наглядовий орган про таке невиконання. Коли в договорі беруть участь більше ніж дві Сторони, експортер даних може скористатися цим правом на розірвання лише щодо відповідної Сторони, якщо Сторони не домовилися про інше.

(d) Персональні дані, зібрані експортером даних у ЄС, які були передані до розірвання договору відповідно до пункту (c), мають бути негайно видалені в повному обсязі, включно з усіма їх копіями. Імпортер даних має засвідчити видалення даних експортеру. Доки дані не буде видалено або повернуто, імпортер даних має продовжувати забезпечувати дотримання цих Положень. Якщо до імпортера даних застосовуються місцеві закони, які забороняють повернення або видалення переданих персональних даних, імпортер гарантує, що він продовжуватиме забезпечувати дотримання цих Положень і опрацьовуватиме дані лише в тому обсязі й протягом того часу, який вимагається місцевим законодавством.

(e) Будь-яка Сторона може відкликати свою згоду на дотримання цих Положень, якщо (i) Європейська комісія приймає рішення відповідно до Статті 45(3) Регламенту (ЄС) 2016/679, що стосується передачі персональних даних, до якої застосовуються ці Положення; або (ii) Регламент (ЄС) 2016/679 стає частиною правової бази країни, до якої передаються персональні дані. Це не обмежує інші зобов’язання, що застосовуються до опрацювання персональних даних відповідно до Регламенту (ЄС) 2016/679.

Положення 17. Застосовне законодавство

Ці Положення регулюються законодавством країни, що допускає права третіх осіб — бенефіціарів. Сторони погоджуються, що це буде законодавство Словацької Республіки.

Положення 18. Вибір місця розгляду спорів і юрисдикції

Будь-які спори, що виникають із цих Положень, вирішуються судами Словацької Республіки.

ДОПОВНЕННЯ

ДОДАТОК I

A. Список Сторін

Постачальник даних – постачальником даних є компанія ESET, як зазначено в Умовах.

Імпортер даних – імпортером даних є Клієнт (і його афілійовані особи, якщо такі є), як зазначено в Умовах.

B. Опис передавання

Категорії суб’єктів даних

Імпортер даних, як Контролер на підставі DPA, може на власний розсуд передавати на опрацювання персональні дані будь-якого суб’єкта даних у контексті роботи Послуг. Ці персональні дані можуть переважно стосуватись авторизованих користувачів пристроїв імпортера даних і/або працівників чи підрядників імпортера даних (а також його афілійованих осіб, якщо такі є). Крім того, це можуть бути будь-які особи, чиї дані опрацьовуються імпортером даних або на його пристроях і надаються або стають доступними постачальнику даних під час надання Послуг.

Категорії переданих персональних даних

Персональні дані, що опрацьовуються в контексті надання Послуг, можуть включати будь-які дані, які було надано або зроблено доступними імпортером даних під час надання Послуг, зокрема будь-які персональні дані, надані в запитах на Послуги чи в процесі розгляду будь-яких запитів на Послуги, або будь-які персональні дані, які можуть бути доступними або доступні експортеру даних, якщо імпортер даних надав тимчасовий чи постійний доступ до своїх Продуктів або пристроїв під час надання Послуг.

Спеціальні категорії даних

Імпортер даних як Контролер на підставі DPA може передавати певні категорії даних у контексті надання Послуг. Їх обсяг визначає і контролює імпортер даних на власний розсуд.

Частота передавання: на постійній основі.

Характер опрацювання: автоматизований.

Мета передавання й подальшого опрацювання даних: надання Послуги, як визначено в доповненнях до цих Умов.

Період часу, протягом якого зберігатимуться персональні дані: як визначено в DPA.

Посилання:

(1) Якщо експортер даних є оператором, на якого поширюються вимоги Регламенту (ЄС) 2016/679, і діє від імені установи або органу Союзу як контролер, посилання на ці Положення під час залучення іншого оператора (субоператора), що не підпадає під дію Регламенту (ЄС) 2016/679, забезпечує дотримання Статті 29(4) Регламенту (ЄС) 2018/1725 Європейського парламенту й Ради від 23 жовтня 2018 року про захист фізичних осіб у зв’язку з обробкою персональних даних установами, органами, відомствами й агентствами Союзу та вільний рух таких даних, а також про скасування Регламенту (ЄС) 45/2001 і Рішення 1247/2002/ЄС (офіційний журнал, законодавча серія, номер 295, 21.11.2018, с. 39) тою мірою, у якій ці Положення й зобов’язання щодо захисту даних, викладені в договорі або іншому правовому акті між контролером і обробником відповідно до Статті 29(3) Регламенту (ЄС) 2018/1725, узгоджені. Зокрема, це стосується випадків, коли контролер і обробник покладаються на стандартні договірні положення, включені до Рішення 2021/915.

(2) Ураховується те, чи передача й подальша обробка стосуються персональних даних, що розкривають расове або етнічне походження, політичні погляди, релігійні чи філософські переконання або членство в профспілках, генетичні дані або біометричні дані з метою однозначної ідентифікації фізичної особи, дані про здоров’я, статеве життя чи сексуальну орієнтацію особи або дані, що стосуються судимостей чи правопорушень.

(3) Стосовно впливу таких законів і процесуальних норм на дотримання цих Положень у межах загальної оцінки можуть бути розглянуті різні елементи. Такі елементи можуть включати відповідний і задокументований практичний досвід, пов’язаний із попередніми запитами на розкриття інформації від державних органів, або відсутність таких запитів за достатньо репрезентативний проміжок часу. Це стосується, зокрема, внутрішніх записів або іншої документації, що складається на постійній основі відповідно до принципів належної ретельності й засвідчується на рівні вищого керівництва, за умови, що ця інформація може бути законно передана третім особам. Якщо для отримання висновку про те, що імпортер даних не матиме перешкод у дотриманні цих Положень, спираються на цей практичний досвід, він має бути підкріплений іншими відповідними об’єктивними елементами, і Сторони повинні перевірити, чи мають ці елементи в сукупності достатню вагу з погляду їх надійності й репрезентативності, щоб підтвердити висновок. Зокрема, Сторони повинні враховувати, чи підтверджений їхній практичний досвід і чи не суперечить йому загальнодоступна або в інший спосіб доступна надійна інформація про наявність або відсутність запитів у тому самому секторі та/або застосування закону на практиці, як-от судова практика й звіти незалежних наглядових органів.