ПРИЛОЖЕНИЕ II. Стандартные договорные условия, утвержденные Европейской комиссией (модуль 4)
Цель этих стандартных договорных положений заключается в обеспечении соблюдения требований регламента GDPR при передаче персональных данных в третью страну.
РАЗДЕЛ I.
Пункт 1
Назначение и область применения
- Назначением данных стандартных пунктов договора является обеспечение соблюдения требований Регламента (ЕС) 2016/679 Европейского парламента и Совета ЕС от 27 апреля 2016 г. по защите физических лиц в части обработки персональных данных и свободного движения таких данных (Генеральный регламент о защите персональных данных ЕС) для передачи персональных данных в третью страну.
- Стороны:
- физические или юридические лица, государственные органы, агентства или другие учреждения (далее именуемые "субъекты"), передающие персональные данные, указанные в Приложении I.A (далее каждый именуется "экспортер данных"), и,
- субъекты в третьей стране, получающие персональные данные от экспортера данных напрямую или косвенно через другое физическое лицо, также являющееся стороной настоящих пунктов согласно указанному в Приложении I.A. (далее каждый именуется "импортер данных"), согласились с настоящими стандартными пунктами договора (далее именуемые "Пункты").
- Данные Пункты применяются к передаче персональных данных, как указано в Дополнении I.B.
- Приложение к настоящим Пунктам, содержащее Дополнения, упомянутые в них, составляет неотъемлемую часть данных Пунктов.
Пункт 2
Действие и неизменность Пунктов
- Данные пункты устанавливают соответствующие меры безопасности, включая обеспеченные возможностью принудительного исполнения права субъектов данных и действительные средства правовой защиты согласно статье 46(1) и статье 46(2)(c) Регламента (ЕС) 2016/679 и, что касается передачи данных от операторов к обработчикам и (или) от обработчиков к обработчикам, стандартные пункты договора согласно статье 28(7) Регламента (ЕС) 2016/679 при условии, что они не модифицированы, кроме выбора соответствующего(-их) Модуля(-ей) или добавления или обновления информации в Приложении. Это не лишает возможности Стороны включать стандартные пункты договора, изложенные в данных Пунктах, в более широкий контракт и (или) добавлять другие пункты или дополнительные меры безопасности при условии, что они не противоречат, прямо или опосредованно, данным Пунктам или не ущемляют фундаментальные права и свободы субъектов данных.
- Данные Пункты не ущемляют обязательств, которые распространяются на экспортера данных согласно Регламенту (ЕС) 2016/679.
Пункт 3
Сторонние выгодоприобретатели
- Субъекты данных могут применять и принудительно применять настоящие Пункты в качестве сторонних выгодоприобретателей в отношении экспортера данных и (или) импортера данных со следующими исключениями:
- Пункты 1, 2, 3, 6 и 7.
- Пункт 8: пункт 8.1, буква b), и пункт 8.3, буква b).
- Пункт 13.
- Параграф (a) не ущемляет права субъектов данных согласно Регламенту (ЕС) 2016/679.
Пункт 4
Толкование
- Если в настоящих Пунктах используются термины, определения которых содержатся в Регламенте (ЕС) 2016/679, эти термины имеют те же значения, что и в данном Регламенте.
- Настоящие Пункты понимаются и толкуются в свете положений Регламента (ЕС) 2016/679.
- Настоящие Пункты не толкуются таким образом, который противоречит правам и обязанностям, предусмотренным Регламентом (ЕС) 2016/679.
Пункт 5
Соподчинение
В случае противоречия между настоящими Пунктами и положениями соответствующих соглашений между Сторонами, существующих на момент согласования или последующего включения настоящих Пунктов, настоящие Пункты имеют преимущественное значение.
Пункт 6
Описание передач(-и)
Подробная информация о передаче(-ах) и, в частности, категориях передаваемых персональных данных и цели(-ях) их передачи указана в Дополнении I.B.
Пункт 7
Стыковочная оговорка
- Субъект, не являющийся Стороной настоящих Пунктов, может, по согласованию со Сторонами, присоединиться к настоящим Пунктам в любое время либо в качестве экспортера данных, либо в качестве импортера данных путем заполнения Приложения и подписания Дополнения I.A.
- После заполнения Приложения и подписания Дополнения I.A. присоединившийся субъект становится Стороной настоящих Пунктов и имеет права и обязанности экспортера данных или импортера данных в соответствии с его статусом, присвоенным в Дополнении I.A.
- Присоединившийся субъект не имеет прав и обязанностей, вытекающих из настоящих Пунктов, в период, предшествующий тому, как он стал Стороной.
РАЗДЕЛ II: ОБЯЗАТЕЛЬСТВА СТОРОН
Пункт 8
Гарантии защиты данных
Экспортер данных гарантирует использование разумных усилий, чтобы убедиться в том, что импортер данных может путем внедрения соответствующих технических и организационных мер выполнить свои обязательства по настоящим Пунктам.
8.1. Инструкции.
- Экспортер данных обрабатывает персональные данные исключительно в соответствии с документально оформленными инструкциями от импортера данных, действующего в качестве его контролера.
- Экспортер данных немедленно уведомляет импортера данных в случае, если он не может действовать согласно данным инструкциям, в том числе если такие инструкции нарушают Регламент (ЕС) 2016/679 или иные законы о защите данных ЕС или государства-члена.
- Импортер данных воздерживается от любого действия, которое может помешать экспортеру данных выполнять его обязательства согласно Регламенту (ЕС) 2016/679, в том числе в случае субобработки или в отношении взаимодействия с компетентными надзорными органами.
- После окончания действия положения об услугах обработки экспортер данных, на выбор импортера данных, удаляет все персональные данные, обработанные от имени импортера данных, и подтверждает импортеру данных, что он это сделал, или возвращает импортеру данных все персональные данные, обработанные от его имени, и удаляет существующие копии.
8.2. Безопасность обработки.
- Стороны внедряют соответствующие технические и организационные меры для обеспечения безопасности данных, в том числе во время передачи, и защиты от нарушения безопасности, ведущей к случайному или незаконному разрушению, потере, изменению, несанкционированному раскрытию или доступу (далее — «утечка персональных данных»). При оценке подходящего уровня безопасности они должным образом учитывают современный технический уровень, расходы на внедрение, характер персональных данных, характер, объем, ситуацию и цель(-и) обработки, а также риски для субъектов данных, связанные с обработкой, и, в частности, учитывают наличие ресурсов для шифрования или псевдонимизации, в том числе во время передачи, когда цель обработки может быть выполнена таким образом.
- Экспортер данных оказывает помощь импортеру данных в обеспечении необходимой безопасности данных в соответствии с параграфом (a). В случае утечки персональных данных, связанной с обработкой персональных данных экспортером данных согласно настоящим Пунктам, экспортер данных без неоправданной задержки уведомляет об этом импортера данных, как только ему станет известно об этом, и помогает импортеру данных устранить такую утечку.
- Экспортер данных обеспечивает, чтобы лица, уполномоченные на обработку персональных данных, приняли на себя обязательства по неразглашению или на них распространялось соответствующее законное обязательство о неразглашении.
8.3. Документация и соответствие.
- Стороны должны быть в состоянии доказать соблюдение настоящих Пунктов.
- Экспортер данных предоставляет импортеру данных всю информацию, необходимую для доказательства соблюдения его обязательств по настоящим Пунктам, и обеспечивает возможность проведения аудитов и способствует им.
Пункт 9
Права субъекта данных
Стороны помогают друг другу отвечать на вопросы и запросы, поступающие от субъектов данных, согласно местному законодательству, применимому к импортеру данных или, относительно обработки данных экспортером данных в ЕС, согласно Регламенту (ЕС) 2016/679.
Пункт 10
Рассмотрение жалоб
Импортер данных уведомляет субъектов данных в понятном и доступном формате путем индивидуального уведомления или на своем сайте о контактном лице, уполномоченном на рассмотрение жалоб. Такое лицо оперативно рассматривает любые жалобы, которые оно получает от субъекта данных.
Пункт 11
Ответственность
- Каждая Сторона несет ответственность перед другой(-ими) Стороной(-ами) за любые убытки, которые она причинит другой(-им) Стороне(-ам) вследствие нарушения настоящих Пунктов.
- Каждая Сторона несет ответственность перед субъектом данных, а субъект данных имеет право на получение компенсации за любые материальные или нематериальные убытки, которые такая Сторона причинит субъекту данных в случае нарушения прав стороннего выгодоприобретателя согласно настоящим Пунктам. Это не влияет на ответственность, возлагаемую Регламентом (ЕС) 2016/679 на экспортера данных.
- Если за любой ущерб, причиненный субъекту данных в результате нарушения настоящих Пунктов, несут ответственность две и более Стороны, вся ответственность Сторон является солидарной.
- Стороны соглашаются, что если одна Сторона несет ответственность согласно параграфу (с), она имеет право потребовать обратно у другой Стороны/Сторон такую часть компенсации, которая соответствует ее/их доли ответственности за ущерб.
- Импортер данных не может сослаться на действие обработчика или субобработчика, чтобы избежать своей собственной ответственности.
РАЗДЕЛ III: МЕСТНЫЕ ЗАКОНЫ И ОБЯЗАННОСТИ В СЛУЧАЕ САНКЦИОНИРОВАНИЯ ДОСТУПА ГОСУДАРСТВЕННЫМИ ОРГАНАМИ
Пункт 12
Местные законы и практики, влияющие на соблюдение данных Пунктов
- Стороны гарантируют, что у них нет основания считать, что законы и практики в третьей стране назначения, применимые к обработке персональных данных импортером данных, включая любые требования о раскрытии персональных данных или меры, разрешающие доступ государственным органам, мешают импортеру данных выполнять его обязательства по настоящим Пунктам. Это основано на понимании, что законы и практики, которые уважают суть основных прав и свобод и не превышают того, что необходимо и соизмеримо в демократическом обществе для достижения одной из целей, указанных в статье 23(1) Регламента (ЕС) 2016/679, не противоречат настоящим Пунктам.
- Стороны заявляют, что для предоставления гарантии в параграфе (а) они должным образом учли, в частности, следующие элементы:
- конкретные условия передачи, в том числе длину цепочки обработки, количество привлеченных участников и используемые каналы передачи; предполагаемые передачи данных; тип получателя; цель обработки; категории и формат переданных персональных данных; экономический сектор, в котором осуществляется передача; место хранения передаваемых данных;
- законы и практики третьей страны назначения – включая те, которые требуют раскрытия данных государственным органам или санкционирующие доступ для таких органов, – релевантные в свете конкретных обстоятельств передачи, и применимые ограничения и меры безопасности;
- любые соответствующие договорные, технические или организационные меры безопасности, установленные с целью дополнения мер безопасности по настоящим Пунктам, включая меры, применяемые во время передачи и для обработки персональных данных в стране назначения.
- Импортер данных гарантирует, что при осуществлении оценки согласно параграфу (b) он приложил максимальные усилия для предоставления экспортеру данных соответствующей информации и соглашается, что продолжит взаимодействовать с экспортером данных для обеспечения соблюдения настоящих Пунктов.
- Стороны соглашаются документально оформлять оценку согласно параграфу (b) и предоставлять ее компетентному надзорному органу по запросу.
- Импортер данных соглашается незамедлительно уведомлять экспортера данных, если после соглашения с настоящими Пунктами и в течение срока действия контракта у него есть основания полагать, что он не соответствует или стал не соответствовать требованиям параграфа (а) согласно законам и практикам, в том числе после изменения законов третьей страны или меры (такой как запрос на раскрытие), определяющей применение таких законов на практике, которая не соответствует требованиям параграфа (а).
- После уведомления согласно параграфу (e) или если экспортер данных иным образом имеет основание полагать, что импортер данных больше не может выполнять свои обязательства по настоящим Пунктам, экспортер данных незамедлительно определяет соответствующие меры (например, технические или организационные меры по обеспечению безопасности и конфиденциальности), которые должны быть приняты экспортером данных и (или) импортером данных для разрешения данной ситуации. Экспортер данных приостанавливает передачу данных, если считает, что никакие подходящие меры безопасности для такой передачи не могут быть обеспечены или если получил указания от компетентного надзорного органа на это. В этом случае экспортер данных имеет право расторгнуть контракт в части, касающейся обработки персональных данных по настоящим Пунктам. Если контракт включает более двух Сторон, экспортер данных может использовать это право на расторжение только в отношении соответствующей Стороны, если Стороны не договорятся об ином. Если контракт расторгается согласно настоящему Пункту, применяется Пункт 16(d) и (e).
Пункт 13
Обязанности импортера данных в случае доступа государственных органов
13.1. Уведомление.
- Импортер данных соглашается незамедлительно уведомлять экспортера данных и, по возможности, субъекта данных (если необходимо, с помощью экспортера данных), если:
- он получает юридически обязывающий запрос от государственного органа, включая судебные органы, согласно законам страны назначения на раскрытие персональных данных, передаваемых согласно настоящим Пунктам; такое уведомление включает информацию о запрошенных персональных данных, запрашивающем органе, правовом основании запроса и предоставленном ответе; или
- ему становится известно о любом прямом доступе государственных органов к персональным данным, передаваемым согласно настоящим Пунктам в соответствии с законами страны назначения; такое уведомление включает всю информацию, доступную импортеру.
- Если импортеру данных запрещается уведомлять экспортера данных и (или) субъекта данных согласно законам страны назначения, импортер данных соглашается приложить все усилия для получения отказа от запрета, чтобы сообщить как можно больше информации как можно скорее. Импортер данных соглашается документально оформить свои усилия, чтобы иметь возможность продемонстрировать их на запрос экспортера данных.
- Если разрешается законами страны назначения, импортер данных соглашается предоставлять экспортеру данных через регулярные промежутки времени в течение срока действия контракта максимально много соответствующей информации на полученные запросы (в частности, количество запросов, тип запрашиваемых данных, запрашивающий(-е) орган(-ы), случаи оспаривания запросов и результаты таких оспариваний и т.д.).
- Импортер данных соглашается хранить информацию согласно параграфам (а)–(с) в течение срока действия контракта и предоставлять ее компетентному надзорному органу на запрос.
- Параграфы (a)–(c) не ущемляют обязанности импортера данных согласно Пункту 14(e) и Пункту 16 незамедлительно сообщать экспортеру данных случаи, где он не может соблюдать эти Пункты.
13.2. Проверка законности и минимизация данных.
- Импортер данных соглашается проверять законность запроса на раскрытие, в частности, находится ли он в рамках полномочий, предоставленных запрашивающему государственному органу, и оспаривать запрос, если после тщательной оценки, он придет к заключению о существовании достаточных оснований считать, что данный запрос является незаконным по законам страны назначения, применимым обязательствам согласно международному законодательству и принципам международной вежливости. Импортер данных при тех же условиях ищет возможность подачи апелляции. При оспаривании запроса импортер данных добивается обеспечительных мер с целью приостановки действия запроса, пока компетентный судебный орган не примет решение по существу. Он не раскрывает запрашиваемые персональные данные, пока от него это не потребуется согласно применимым процессуальным нормам. Эти требования не ущемляют обязанности импортера данных согласно Пункту 14(е).
- Импортер данных соглашается документально оформить свою правовую оценку и любое оспаривание запроса на раскрытие и, в случае, предусмотренном законодательством страны назначения, предоставить данную документацию экспортеру данных. Он также предоставляет ее компетентному надзорному органу на запрос.
- Импортер данных соглашается предоставлять минимальное количество разрешенной информации при ответе на запрос на раскрытие, исходя из разумной интерпретации запроса.
РАЗДЕЛ IV: ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
Пункт 14
Несоблюдение Пунктов и расторжение
- Импортер данных незамедлительно уведомляет экспортера данных, если не может соблюдать настоящие Пункты по какой-либо причине.
- В случае если импортер данных нарушает настоящие Пункты или не может соблюдать настоящие Пункты, экспортер данных приостанавливает передачу персональных данных импортеру данных до тех пор, пока соблюдение не будет вновь обеспечено или контракт расторгнут. Это не ограничивает применение Пункта 14(f).
- Экспортер данных имеет право расторгнуть контракт в части, касающейся обработки персональных данных по настоящим Пунктам, если:
- экспортер данных приостановил передачу персональных данных импортеру данных согласно параграфу (b) и соблюдение настоящих Пунктов не восстановлено в течение разумного промежутка времени, и в любом случае в течение одного месяца после приостановки;
- импортер данных существенным образом или систематически нарушает настоящие Пункты; или
- импортер данных не соблюдает обязательное решение компетентного суда или надзорного органа, касающееся его обязанностей по настоящим Пунктам.
В этих случаях он уведомляет компетентный надзорный орган о таком несоблюдении. Если контракт включает более двух Сторон, экспортер данных может использовать это право на расторжение только в отношении соответствующей Стороны, если Стороны не договорятся об ином.
- Персональные данные, собранные экспортером данных в ЕС, которые были переданы до расторжения контракта согласно параграфу (с), немедленно удаляются в полном объеме, включая любые их копии.] Импортер данных подтверждает удаление данных экспортеру данных. До тех пор пока эти данные не будут удалены или возвращены, импортер данных продолжает обеспечивать соблюдение этих Пунктов. В случае если местные законы, применимые к импортеру данных, запрещают возвращать или удалять переданные персональные данные, импортер данных гарантирует, что он продолжит обеспечивать соблюдение настоящих Пунктов и будет обрабатывать эти данные исключительно в объеме и в течение времени, согласно требованиям данного местного законодательства.
- Каждая Сторона может отменить свое согласие быть связанной настоящими Пунктами, если (i) Европейская комиссия примет решение согласно статье 45(3) Регламента (ЕС) 2016/679, которое распространяется на передачу персональных данных, к которой применяются настоящие Пункты; или (ii) Регламент (ЕС) 2016/679 станет частью правового поля страны, в которую передаются эти персональные данные. При этом иные обязательства, применяемые к указанной обработке согласно Регламенту (ЕС) 2016/679, не затрагиваются.
Пункт 15
Регулирующее законодательство
Настоящие Пункты регулируются законодательством страны, обеспечивающей права стороннего выгодоприобретателя. Стороны согласились, что это будет законодательство Испании.
Пункт 16
Выбор места урегулирования спора и юрисдикции
Любой спор, возникающий из настоящих Пунктов, разрешается судами Испании.
ДОПОЛНЕНИЕ I
ПЕРЕЧЕНЬ СТОРОН
Экспортер(-ы) данных:
- Название: ILOVEPDF, S.L.
- Адрес: Calle Sabino de Arana, 60, 08028 Барселона
- Имя, должность и контактные данные контактного лица: Хуан Ориоль, Директор по правовым вопросам (legal@ilovepdf.com).
- Действия, касающиеся данных, переданных согласно настоящим Пунктам: предоставление услуг импортеру персональных данных, в той части, в которой предоставление этих услуг включает международную передачу персональных данных от ILOVEPDF (экспортер данных) клиенту (импортер данных).
- Функция: обработчик данных.
[Идентификационные и контактные данные импортера(-ов) данных, включая любое контактное лицо, в обязанности которого входит защита данных]
- Имя: [...] (если это поле не заполнено, подразумевается, что используется имя Клиента).
- Адрес: [...] (если это поле не заполнено, подразумевается, что используется адрес Клиента).
- Имя, должность и контактные данные контактного лица: [...] (если это поле не заполнено, подразумевается, что используются данные лица, представляющего Клиента при заключении контракта или пользовании услугой).
- Действия, касающиеся данных, переданных согласно настоящим Пунктам: предоставление услуг экспортером персональных данных в том объеме, в котором предоставление этих услуг включает международную передачу персональных данных от ILOVEPDF (экспортер данных) клиенту (импортер данных).
- Подпись и дата: [...] (если это поле не заполнено, то это будет считаться датой первого использования услуги Клиентом).
- Функция: оператор персональных данных.
ОПИСАНИЕ ПЕРЕДАЧИ
Категории субъектов данных, чьи персональные данные передаются
Категории субъектов данных, чьи данные содержатся в файлах, которые импортер загружает при использовании сервисов, предоставляемых ILOVEPDF (например, сотрудники, клиенты, поставщики и т. д.).
Категории передаваемых персональных данныхКатегории персональных данных, включенные в файлы, которые импортер загружает при использовании сервисов, предоставляемых ILOVEPDF.
Передаваемые конфиденциальные данные (если применимо) и применимые ограничения или меры безопасности, которые в полном объеме учитывают характер данных и связанные риски, такие как, например, строгое целевое ограничение, ограничение доступа (включая доступ только для персонала, прошедшего специальное обучение), ведение протоколов доступа к данным, ограничения передачи данных или дополнительные меры безопасности.
Специальные категории данных будут обрабатываться в той части, в которой файлы, загружаемые импортером при использовании сервисов ILOVEPDF, содержат такие специальные категории персональных данных.
Частота передач (например, передаются ли данные однократно или на постоянной основе)Когда использование сервисов, предоставляемых ILOVEPDF, включает международную передачу данных от ILOVEPDF к импортеру данных.
Характер обработкиПередача персональных данных импортеру в объеме, необходимом для предоставления компанией ILOVEPDF своих услуг.
Цель(-и) передачи данных и дальнейшей обработкиПредоставление услуг от имени ILOVEPDF.
Период времени, в течение которого будут храниться персональные данные, или, если это невозможно, критерии, используемые для определения такого периодаВ той мере, в какой это строго необходимо для предоставления услуг, а затем в той мере, в какой это требуется действующим законодательством и необходимо для предъявления или оспаривания исковых требований, связанных с обработкой персональных данных.
Контроль версии: четверг, 19 февраля 2026 г.