ДОДАТОК II. Стандартні договірні положення, затверджені Європейською комісією (Модуль 4)
Метою цих стандартних договірних положень є забезпечення дотримання регламенту GDPR під час передавання персональних даних до третіх країн.
РОЗДІЛ I
Положення 1
Мета та сфера дії
- Метою цих стандартних договірних положень є забезпечення відповідності вимогам Регламенту (ЄС) 2016/679 Європейського Парламенту та Ради від 27 квітня 2016 року щодо захисту фізичних осіб у зв'язку з обробкою персональних даних і вільного переміщення таких даних (Загальний регламент про захист даних) з метою передавання персональних даних до третьої країни.
- Сторони:
- фізичні чи юридичні особи, органи державної влади, агентства або інші органи (далі «суб’єкти»), які передають персональні дані, зазначені у Додатку I.A (далі «експортери даних»)
- суб'єкти в іншій країні, що отримують персональні дані від експортера, безпосередньо або через інший суб'єкт, учасник цих умов, зазначений у Додатку I.A. (далі «імпортер даних»), погодилися на ці стандартні договірні положення (далі «Положення»)
- Ці Положення застосовуються до передавання персональних даних, як зазначено в Додатку I.B.
- Додаток до цих Положень, що містить додатки, на які посилаються, є невід'ємною частиною цих Положень.
Положення 2
Ефективність і незмінність Положень
- Ці Положення встановлюють необхідні гарантії, зокрема права суб’єктів даних і ефективні правові засоби відповідно до статей 46(1) і 46(2)(с) Регламенту (ЄС) 2016/679, і для передавання даних від контролерів до процесорів чи між процесорами, стандартні договірні положення відповідно до статті 28(7) Регламенту (ЄС) 2016/679, з можливістю вибору відповідних Модулів. Це не перешкоджає Сторонам включати стандартні договірні положення в ширший контракт та/або додавати інші умови або додаткові гарантії, за умови, що вони не суперечать цим Положенням або не обмежують основні права чи свободи суб'єктів даних.
- Ці Положення не впливають на зобов'язання, що покладені на експортера даних відповідно до Регламенту (ЄС) 2016/679.
Положення 3
Треті сторони-бенефіціари
- Суб'єкти даних можуть заявляти та примусово застосовувати ці Положення, як треті сторони-бенефіціари, проти експортера та/або імпортера даних, за винятком таких із них:
- Положення 1, 2, 3, 6 і 7.
- Положення 8: пункт 8.1, підпункт b), і пункт 8.3, підпункт b).
- Положення 13.
- Положення (a) не порушує прав суб'єктів даних відповідно до Регламенту (ЄС) 2016/679.
Положення 4
Тлумачення
- Терміни, використовувані в цих Положеннях, як визначено в Регламенті (ЄС) 2016/679, мають те ж значення, що і у вказаному Регламенті.
- Ці Положення повинні читатися та тлумачитися в контексті правил Регламенту (ЄС) 2016/679.
- Ці Положення не повинні тлумачитися таким чином, що суперечить правам і зобов'язанням, передбаченим у Регламенті (ЄС) 2016/679.
Положення 5
Ієрархія
У разі суперечності між цими Положеннями та положеннями суміжних угод між Сторонами, існуючих на момент згоди або укладення цих Положень чи після цього, ці Положення переважають.
Положення 6
Опис передавання (передавань)
Деталі передавання (передавань), зокрема категорії персональних даних і мета передавання, зазначені в Додатку I.B.
Положення 7
Приєднувальна умова
- Суб'єкт, що не є стороною цих Положень, може за згодою Сторін приєднатися до цих Положень у будь-який час, або як експортер даних, або як імпортер даних, шляхом заповнення Додатку та підписання Додатку I.A.
- Після заповнення Додатку та підписання Додатку I.A, суб'єкт, що приєднується, стане учасником цих Положень та матиме права та обов'язки експортера або імпортера даних відповідно до його призначення в Додатку I.A.
- Суб'єкт, що приєднується, не має прав чи обов'язків, які виникають на основі цих Положень до того, як стати стороною.
РОЗДІЛ II: ЗОБОВ'ЯЗАННЯ СТОРІН
Положення 8
Гарантії щодо захисту даних
Експортер даних заявляє, що він використав обґрунтовані зусилля, щоб визначити, що імпортер даних здатен, завдяки впровадженню відповідних технічних і організаційних заходів, виконувати свої зобов'язання за цими Положеннями.
8.1. Інструкції.
- Експортер даних буде обробляти персональні дані лише за наявності документованих інструкцій від імпортера даних, який діє в ролі контролера.
- Експортер даних негайно повідомить імпортера даних, якщо не зможе виконувати ці інструкції, включно з випадками, коли такі інструкції порушують Регламент (ЄС) 2016/679 або інші закони щодо захисту даних Союзу або держав-членів.
- Імпортер даних повинен утримуватися від будь-яких дій, які можуть завадити експортеру даних виконувати свої зобов'язання відповідно до з Регламентом (ЄС) 2016/679, зокрема в разі субобробки чи співпраці з компетентними наглядовими органами.
- Після закінчення надання послуг з обробки експортер даних повинен, за вибором імпортера даних, видалити всі персональні дані, що були оброблені від імені імпортера даних, та підтвердити імпортеру, що це зроблено, або персональні дані, що були оброблені від імені імпортера даних і видалити існуючі копії.
8.2. Безпека обробки.
- Сторони зобов'язуються впровадити відповідні технічні та організаційні заходи для гарантування безпеки даних, зокрема під час передавання, та захищати їх від порушення безпеки, що може призвести до випадкового або незаконного знищення, втрати, зміни, розкриття або несанкціонованого доступу (далі — «порушення персональних даних»). Оцінюючи відповідний рівень безпеки, вони повинні приділяти належну увагу розвитку технологій, витратам на їх впровадження, характеру персональних даних, характеру, обсягу, контексту та меті (метах) обробки, а також ризикам, пов'язаним з обробкою для суб'єктів даних, зокрема, за можливості, вдаватися до шифрування чи псевдонімізації, зокрема під час передавання, якщо мету обробки можна реалізувати таким чином.
- Експортер даних повинен допомагати імпортеру даних у забезпеченні належної безпеки даних відповідно до пункту (a). У разі порушення захисту персональних даних, що стосується персональних даних, оброблених експортером даних за цими Положеннями, експортер даних повинен повідомити імпортера даних без невиправданої затримки після того, як дізнався про це, та надати імпортеру допомогу в реагуванні на порушення.
- Експортер даних повинен забезпечити, щоб особи, які отримали повноваження на обробку персональних даних, надали зобов'язання щодо конфіденційності або перебували під відповідним правовим обов'язком конфіденційності.
8.3. Документація та відповідність.
- Сторони повинні бути здатні продемонструвати відповідність цим умовам.
- Експортер даних повинен надати імпортеру даних всю необхідну інформацію, щоб продемонструвати відповідність його зобов'язанням за цими Положеннями та сприяти перевіркам.
Положення 9
Права суб'єктів даних
Сторони повинні сприяти одна одній у реагуванні на звернення та запити, зроблені суб'єктами даних за місцевим законом, що застосовується до імпортера даних, або, для обробки даних у ЄС, відповідно до Регламенту (ЄС) 2016/679.
Положення 10
Засоби захисту прав
Імпортер даних повинен інформувати суб'єктів даних у прозорому та легко доступному форматі за допомогою індивідуального повідомлення або на своєму вебсайті про контактну особу, уповноважену на розгляд скарг. Він повинен оперативно розглядати кожну скаргу, отриману від суб'єкта даних.
Положення 11
Відповідальність
- Кожна сторона несе відповідальність перед іншою стороною за будь-які збитки, завдані іншій стороні через порушення цих умов.
- Кожна сторона буде відповідальною перед суб'єктом даних, і суб'єкт даних матиме право на компенсацію за будь-які матеріальні або нематеріальні збитки, завдані суб’єкту даних унаслідок порушення прав третьої сторони-бенефіціара за цими Положеннями. Це не впливає на відповідальність, покладену на експортера даних Регламентом (ЄС) 2016/679.
- Якщо більше ніж одна сторона несе відповідальність за будь-які збитки, завдані суб'єкту даних унаслідок порушення цих Положень, усі відповідальні сторони будуть нести відповідальність спільно та солідарно.
- Сторони згодні, що якщо одна зі сторін відповідає за збитки відповідно до з підпунктом (c), вона матиме право вимагати від іншої сторони таку частку компенсації, яка є пропорційною до її відповідальності за завдані збитки.
- Імпортер даних не може посилатися на дії обробника або субпідрядника, щоб уникнути власної відповідальності.
РОЗДІЛ III: МІСЦЕВІ ЗАКОНИ ТА ЗОБОВ'ЯЗАННЯ В РАЗІ ДОСТУПУ З БОКУ ДЕРЖАВНИХ ОРГАНІВ
Положення 12
Місцеві закони та практика, що впливають на відповідність Положенням
- Сторони заявляють про те, що у них немає підстав вважати, що закони та практика у третій країні призначення, що застосовуються до обробки персональних даних імпортером даних, зокрема будь-які вимоги розголошення персональних даних або заходи, що дозволяють доступ державних органів, можуть завадити імпортеру даних виконувати свої зобов'язання за цими Положеннями. Це базується на розумінні того, що закони та практика, які поважають суть основних прав і свобод і не перевищують меж того, що необхідно та пропорційно в демократичному суспільстві для захисту однієї з цілей, перелічених у статті 23(1) Регламенту (ЄС) 2016/679, не суперечать цим Положенням.
- Сторони заявляють, що при наданні гарантії у підпункті (a), вони взяли до уваги такі елементи:
- специфічні обставини передавання, включаючи тривалість ланцюга обробки, кількість учасників та використовувані канали передавання; заплановані наступні передавання; тип отримувача; мета обробки; категорії та формат переданих персональних даних; економічний сектор, в якому здійснюється передання; місце зберігання переданих даних;
- законодавство й практика країни призначення, включаючи вимоги до розкриття даних державним органам або надання доступу таким органам — з урахуванням специфічних обставин передачі, обмежень та гарантій, що застосовуються;
- будь-які відповідні договірні, технічні або організаційні гарантії, запроваджені для доповнення гарантій за цими Положеннями, зокрема заходи, що застосовуються під час передавання та обробки персональних даних у країні призначення.
- Імпортер даних гарантує, що в процесі оцінки за пунктом (b), він доклав усіх зусиль для надання експортеру відповідної інформації та погоджується співпрацювати з експортером для дотримання цих Положень.
- Сторони погоджуються документувати оцінку за пунктом (b) та надавати її компетентному наглядовому органу на запит.
- Імпортер даних погоджується невідкладно повідомити експортера даних, якщо після погодження з цими Положеннями та протягом строку дії договору він матиме підстави вважати, що на нього поширюються або почали поширюватися закони чи практики, які не відповідають вимогам пункту (a), зокрема внаслідок змін у законодавстві третьої країни або заходу (наприклад, запиту про розкриття інформації), що свідчить про практичне застосування таких законів у спосіб, який не відповідає вимогам пункту (a).
- Після повідомлення відповідно до з підпунктом (e), або якщо у експортера даних є підстави вважати, що імпортер даних більше не може виконувати свої зобов'язання за цими Положеннями, експортер даних повинен негайно виявити відповідні заходи (наприклад, технічні або організаційні заходи для забезпечення безпеки та конфіденційності), які слід вжити експортером даних і/або імпортером даних для вирішення ситуації. Експортер даних повинен призупинити передачу даних, якщо вважає, що неможливо забезпечити належні гарантії для такого передавання, або за вказівкою компетентного наглядового органу зробити це. У такому випадку експортер даних має право розірвати договір, якщо він стосується обробки персональних даних за цими Положеннями. Якщо договір стосується більше ніж двох сторін, експортер даних може скористатися правом на припинення його дії тільки стосовно відповідної сторони, якщо сторони не домовились про інше. У разі розірвання договору відповідно до з цим Положеннями, застосовуються пункти 16(d) та (e).
Положення 13
Зобов'язання імпортера даних у разі доступу з боку державних органів
13.1. Повідомлення.
- Імпортер даних погоджується оперативно повідомити експортера даних і, якщо можливо, суб'єкта даних (за потреби за допомогою експортера даних), якщо він:
- отримає юридично зобов’язальний запит від державного органу, включаючи судові органи, відповідно до законодавства країни призначення на розкриття персональних даних, переданих згідно з цими Положеннями; таке повідомлення повинно включати інформацію про запитувані персональні дані, орган, що робить запит, юридичну підставу запиту та надану відповідь; або
- дізнається про будь-який прямий доступ державних органів до персональних даних, переданих згідно з цими Положеннями, відповідно до законодавства країни призначення; таке повідомлення повинно містити всю доступну імпортеру інформацію.
- Якщо імпортеру даних заборонено повідомляти експортера даних і/або суб’єкта даних відповідно до законодавства країни призначення, імпортер даних погоджується докласти всіх можливих зусиль для отримання дозволу на скасування такої заборони з метою повідомити якомога більше інформації якомога швидше. Імпортер даних погоджується задокументувати свої максимальні зусилля для можливості їх демонстрації за запитом експортера даних.
- Якщо це дозволено законодавством країни призначення, імпортер даних погоджується протягом строку дії договору регулярно надавати експортеру даних якомога більше релевантної інформації про отримані запити (зокрема кількість запитів, тип запитуваних даних, орган(и), що надіслали запит, інформацію про те, чи були такі запити оскаржені, та результати такого оскарження тощо).
- Імпортер даних погоджується зберігати інформацію відповідно до з пунктами (a)–(c) протягом строку дії договору та надавати її компетентному наглядовому органу на запит.
- Положення (a)–(c) не порушують зобов'язання імпортера даних відповідно до з Пунктом 14(e) та Пунктом 16 щодо оперативного повідомлення експортера даних, коли імпортер даних неспроможний виконати ці Положення.
13.2. Огляд законності та мінімізація даних.
- Імпортер даних погоджується перевіряти законність запиту про розкриття інформації, зокрема те, чи не виходить він за межі повноважень, наданих державному органу, який звернувся із запитом, а також оскаржувати такий запит, якщо після ретельної оцінки дійде висновку, що існують обґрунтовані підстави вважати його незаконним відповідно до законодавства країни призначення, включно із застосовними зобов’язаннями за міжнародним правом та принципами міжнародної ввічливості. Імпортер даних повинен за тих самих умов використовувати можливості оскарження рішення. При оскарженні запиту імпортер даних повинен стежити за вжиттям тимчасових заходів для призупинення дії запиту, доки компетентний судовий орган не винесе рішення по його суті. Імпортер даних не повинен розголошувати запитувані персональні дані до того моменту, поки його не зобов'язують це зробити, відповідно до з відповідними процесуальними нормами. Ці вимоги не порушують зобов'язань імпортера даних за Пунктом 14(e).
- Імпортер даних погоджується задокументувати юридичну оцінку та будь-яке оскарження запиту на розкриття, і, наскільки дозволяється законами країни призначення, надавати цю документацію експортеру даних. Також імпортер даних повинен надавати її компетентному наглядовому органу на запит.
- Імпортер даних погоджується надавати мінімальну кількість інформації, дозволену для відповіді на запит про розкриття, базуючись на розумній інтерпретації запиту.
РОЗДІЛ IV: ЗАКЛЮЧНІ ПОЛОЖЕННЯ
Положення 14
Невиконання Положень та припинення
- Імпортер даних повинен оперативно повідомити експортера даних, якщо не зможе виконати ці Положення з будь-якої причини.
- У випадку порушення імпортером даних цих Положень або його нездатності їх виконати, експортер даних повинен призупинити передачу персональних даних імпортеру даних до відновлення відповідності умовам або припинення дії договору. Це не порушує Положення 14(f).
- Експортер даних має право припинити дію договору, якщо він стосується обробки персональних даних за цими Положеннями, коли:
- експортер даних призупинив передачу персональних даних імпортеру даних відповідно до пункту (b) та відповідність цим Положенням не відновлено в розумний строк, але не пізніше, ніж через один місяць з моменту призупинення;
- імпортер даних здійснює суттєве або постійне порушення цих Положень; або
- імпортер даних не виконує обов’язкове рішення компетентного суду чи контрольного органу щодо його зобов’язань за цими Положеннями.
У таких випадках він повинен повідомити про такі невідповідності компетентний наглядовий орган. Якщо дія договору включає більше ніж дві сторони, експортер даних може скористатися правом на припинення дії договору лише відносно відповідної сторони, якщо сторони не домовилися інакше.
- Персональні дані, зібрані експортером у ЄС, які були передані до припинення дії договору відповідно до з підпунктом (c), мають бути негайно видалені в повному обсязі, включаючи копії. Імпортер даних повинен підтвердити експортеру видалення даних. До видалення чи повернення даних імпортер даних повинен продовжувати забезпечувати дотримання цих Положень. У разі застосування місцевих законів, що забороняють повернення чи видалення переданих персональних даних, імпортер даних гарантує, що продовжить забезпечувати відповідність цим Положенням і обробляти дані лише тією мірою та стільки часу, скільки вимагається відповідно до місцевого законодавства.
- Кожна сторона може скасувати свою згоду на виконання цих Положень, якщо (i) Європейська Комісія ухвалює рішення відповідно до зі статтею 45(3) Регламенту (ЄС) 2016/679, що охоплює передачу персональних даних, до яких стосуються ці Положення; або (ii) Регламент (ЄС) 2016/679 стає частиною правового середовища країни, до якої передаються персональні дані. Це не порушує інші зобов'язання, що застосовуються до обробки, про яку йдеться, відповідно до з Регламентом (ЄС) 2016/679.
Положення 15
Закон, що регулює угоду
Ці Положення регулюються законодавством країни, яке передбачає права третіх осіб як вигодонабувачів. Сторони погоджуються, що таким буде законодавство Іспанії.
Положення 16
Вибір форуму та юрисдикції
Будь-яка суперечка, що виникає з цих Положень, буде вирішуватися судами Іспанії.
ДОДАТОК I
СПИСОК СТОРІН
Експортер(и) даних:
- Назва: ILOVEPDF, S.L.
- Адреса: Calle Sabino de Arana, 60, 08028 Барселона
- Ім'я контактної особи, посада та контактні дані: Хуан Оріоль (Juan Oriol), Директор з юридичних питань (legal@ilovepdf.com).
- Дії, що відносяться до передавання даних відповідно до з цими Положеннями: надання послуг імпортеру персональних даних, оскільки надання цих послуг передбачає міжнародне передавання персональних даних від iLovePDF (експортера даних) клієнту (імпортеру даних).
- Роль: обробник даних.
Імпортер(и) даних: [Ідентифікація та контактні дані імпортера даних, включаючи будь-яку контактну особу, відповідальну за захист даних.]
- Назва: [...] (якщо не заповнено, розуміється, що застосовується ім'я або назва Клієнта).
- Адреса: [...] (якщо не заповнено, застосовується адреса Клієнта).
- Ім'я контактної особи, посада та деталі: [...] (якщо не заповнено, застосовуються дані представника Клієнта у контракту чи послугах).
- Дії, що стосуються передавання даних відповідно до з цими Положеннями: надання послуг експортером персональних даних, наскільки це надання передбачає міжнародне передавання персональних даних від iLovePDF (експортера даних) клієнту (імпортеру даних).
- Підпис і дата: [...] (якщо не заповнено, слід розуміти так, що це дата першої операції клієнта у службі).
- Роль: контролер даних.
ОПИС ПЕРЕДАВАННЯ
Категорії суб'єктів даних, особисті дані яких передаються
Ті категорії суб'єктів даних, чиї дані знаходяться у файлах, які імпортер завантажує, використовуючи послуги, надані iLovePDF (наприклад, працівники, клієнти, постачальники тощо).
Категорії переданих персональних даних
Ті категорії персональних даних, які містяться у файлах, що імпортер завантажує через послуги, надані iLovePDF.
Передані конфіденційні дані (якщо застосовно) та застосовані обмеження чи запобіжні заходи, що повністю враховують природу даних і пов'язані ризики, такі як обмеження цілей, обмеження доступу (зокрема доступ лише для співробітників, що пройшли спеціалізоване навчання), ведення запису доступу до даних, обмеження подальших передач або додаткові заходи безпеки.
Спеціальні категорії даних будуть оброблятися тією мірою, в якій файли, які завантажує імпортер, використовуючи послуги, надані iLovePDF, містять такі спеціальні категорії персональних даних.
Частота передачі (тобто чи дані передаються час від часу, чи безперервно)
Коли використання ILOVEPDF включає міжнародне передавання даних від iLovePDF до імпортера.
Природа обробки
Повідомлення персональних даних імпортеру в межах необхідних для послуг iLovePDF.
Мета (-и) передачі й обробки даних
Надання послуг від імені iLovePDF.
Строк, протягом якого будуть зберігатися персональні дані, або, якщо це неможливо, критерії, які використовуються для визначення такого строку
У рамках, суворо необхідних для надання послуг, а потім у рамках, які передбачені законодавством та необхідні для висування, здійснення або захисту вимог, пов'язаних з обробкою персональних даних.
Контроль версій: четвер, 19 лютого 2026 р.