Соглашение об обработке данных (DPA) Ultralytics
Ознакомься с Соглашением об обработке данных Ultralytics, охватывающим вопросы обработки персональных данных, меры безопасности и соблюдение законов о защите данных ЕС и Великобритании.
Данное Соглашение об обработке данных ("DPA") является неотъемлемой частью (i) Условий предоставления услуг Ultralytics и/или (ii) любого применимого бланка заказа, корпоративного соглашения или иного письменного договора, ссылающегося на данное DPA (каждое из которых именуется "Соглашение"), заключенного между клиентом ("Клиент", "ты") и Ultralytics, Inc. ("Ultralytics", "Компания", "мы").
Данное DPA отражает договоренности сторон в отношении:
- (A) положений об отношениях "контролер-процессор": обработка компанией Ultralytics персональных данных Клиента в качестве процессора (или субпроцессора, если Клиент является процессором) от имени Клиента в связи с предоставлением Сервисов; и
- (B) положений об отношениях "контролер-контролер": обработка каждой из сторон персональных данных контролера в качестве независимого контролера исключительно в той мере, в какой это описано в Разделе 10.
Данное DPA остается в силе в течение срока действия Соглашения и до тех пор, пока Ultralytics обрабатывает персональные данные Клиента от его имени.
Данное DPA применяется исключительно к обработке персональных данных Клиента компанией Ultralytics в рамках платформы Ultralytics Platform. Во избежание сомнений, данное DPA не распространяется на использование, развертывание или эксплуатацию Клиентом моделей с открытым исходным кодом Ultralytics YOLO вне платформы Ultralytics Platform, что осуществляется под единоличную ответственность Клиента.
Ultralytics может время от времени обновлять данное DPA для отражения изменений в законодательстве, нормативных руководствах или Сервисах, при этом такие изменения вступают в силу с даты публикации, при условии, что обновления не снижают существенно уровень защиты конфиденциальности персональных данных Клиента без согласия Клиента (за исключением случаев, когда это требуется в соответствии с применимым законодательством).
Link to this sectionОпределения#
"Аффилированное лицо" означает любое юридическое лицо, которое прямо или косвенно контролирует сторону, контролируется ею или находится под общим контролем со стороной, где "контроль" означает владение более чем 50% голосующих акций или долей.
"Надлежащие гарантии" означают такие юридически обязательные механизмы для передачи персональных данных, которые могут быть разрешены применимыми законами о защите данных, в частности, но не ограничиваясь статьей 46 GDPR.
"Субпроцессор" означает любого процессора, привлеченного Ultralytics или ее аффилированными лицами для обработки персональных данных Клиента от имени Ultralytics в связи с предоставлением Сервисов.
"Данные учетной записи компании" означают персональные данные, относящиеся к взаимоотношениям Компании с Клиентом, включая имена или контактную информацию лиц, уполномоченных Клиентом на доступ к учетной записи Клиента, и платежную информацию лиц, которых Клиент связал со своей учетной записью. Данные учетной записи компании также включают любые данные, которые Компания может собирать для управления своими отношениями с Клиентом, проверки личности или в иных случаях, требуемых применимыми законами и нормативными актами.
"Данные об использовании сервисов компанией" означают данные об использовании сервисов, собираемые и обрабатываемые Компанией в связи с предоставлением Сервисов, включая, без ограничений, данные, используемые для определения источника и назначения связи, журналы активности, а также данные, используемые для оптимизации и поддержания работоспособности Сервисов, а также для расследования и предотвращения злоупотреблений системой.
"Данные Клиента" означают любые данные, контент, материалы, файлы или информацию (включая наборы данных, изображения, видео, аннотации, метки, метаданные, входные и выходные данные моделей и другой контент), которые Клиент или его уполномоченные пользователи загружают, отправляют, передают или иным образом делают доступными для обработки в связи с предоставлением Сервисов, включая любые данные, созданные для Клиента в ходе использования им Сервисов.
"Нарушение защиты персональных данных Клиента" означает нарушение безопасности, повлекшее за собой случайное или незаконное уничтожение, утрату, изменение, несанкционированное раскрытие или доступ к персональным данным Клиента, обрабатываемым Ultralytics или ее Субпроцессорами в связи с предоставлением Сервисов. Нарушение защиты персональных данных Клиента не включает неудачные попытки или действия, которые не компрометируют персональные данные Клиента (например, неудачные попытки входа в систему, сканирование портов, атаки типа "отказ в обслуживании" или другие атаки на межсетевые экраны или сетевые системы).
"Законы о защите данных" означают все применимые законы, касающиеся конфиденциальности и защиты данных, которые применяются к обработке стороной персональных данных в рамках Соглашения, включая (по мере применимости) GDPR, UK GDPR, Swiss FADP, ePrivacy/PECR, CCPA/CPRA и другие применимые законы штатов США о конфиденциальности.
"GDPR" означает Регламент (ЕС) 2016/679; "UK GDPR" означает GDPR в том виде, в котором он включен в законодательство Великобритании; "Swiss FADP" означает Федеральный закон Швейцарии о защите данных (в новой редакции). "Инструкции" означают документально оформленные указания Клиента компании Ultralytics относительно обработки персональных данных Клиента, как описано в Разделе 2.2.
"SCCs" (Стандартные договорные условия) означают стандартные договорные условия ЕС (Решение 2021/914); "UK Addendum" (Дополнение для Великобритании) означает Дополнение к международной передаче данных ICO. Другие термины с большой буквы имеют значения, данные им в законах о защите данных и/или Соглашении.
"Сервисы" означают услуги и функциональные возможности, предоставляемые Ultralytics Клиенту в соответствии с Соглашением, включая платформу Ultralytics Platform и любую сопутствующую поддержку, администрирование и документацию, как это более подробно описано в Соглашении.
"Ultralytics Platform" означает облачную SaaS-среду (программное обеспечение как услуга) компании Ultralytics, через которую Клиенты могут загружать, управлять, аннотировать и версионировать наборы данных; обучать, оценивать, сравнивать, экспортировать и развертывать модели компьютерного зрения; управлять проектами и пользователями; а также получать доступ к связанным функциям и поддержке, и через которую Ultralytics обрабатывает персональные данные Клиента от имени Клиента в соответствии с данным DPA.
"Модели с открытым исходным кодом Ultralytics YOLO" означают модели компьютерного зрения с открытым исходным кодом и связанный исходный код, предоставляемые Ultralytics по применимым лицензиям с открытым исходным кодом, которые Клиенты могут загружать, развертывать, размещать и использовать независимо в своих собственных средах. Для ясности, если Клиенты развертывают или используют модели с открытым исходным кодом Ultralytics YOLO вне платформы Ultralytics Platform, Ultralytics не обрабатывает персональные данные от имени Клиента в рамках данного DPA.
Link to this sectionОбязанности Клиента#
2.1 Соблюдение законов. Клиент несет ответственность за соблюдение Законов о защите данных в связи с обработкой им персональных данных и использованием Сервисов, включая предоставление необходимых уведомлений и получение любых требуемых согласий и разрешений.
2.2 Инструкции. Соглашение (включая данное DPA) вместе с конфигурацией и использованием Сервисов Клиентом в соответствии с Соглашением составляют полные Инструкции Клиента компании Ultralytics для обработки персональных данных Клиента. Клиент может предоставлять дополнительные Инструкции в течение срока действия Соглашения, при условии, что они соответствуют Соглашению и Сервисам. Если Ultralytics обоснованно полагает, что дополнительные Инструкции требуют существенных изменений или создают чрезмерное бремя, стороны обсудят это добросовестно.
2.3 Запрещенные данные. Если стороны прямо не договорились об ином в письменной форме (включая соглашение о дополнительных гарантиях, требуемых применимыми Законами о защите данных), Клиент не должен предоставлять, отправлять или иным образом делать доступными для Ultralytics любые Специальные категории персональных данных в соответствии со статьей 9 GDPR (или эквивалентными нормами), а также данные, относящиеся к уголовным приговорам или правонарушениям в соответствии со статьей 10 GDPR.
В качестве иллюстрации и без ограничения, Запрещенные данные включают:
- государственные идентификационные номера (такие как номера паспортов, национальные идентификационные номера или номера социального страхования);
- информацию о состоянии здоровья или медицинскую информацию, включая биометрические идентификаторы, используемые с целью уникальной идентификации физического лица;
- информацию, касающуюся расового или этнического происхождения, политических взглядов, религиозных или философских убеждений индивида или членства в профсоюзах;
- генетические данные или биометрические данные, обрабатываемые с целью уникальной идентификации физического лица;
- персональные данные, относящиеся к детям, в случаях, когда это ограничено применимыми Законами о защите данных;
- и данные, касающиеся уголовных приговоров, предполагаемого преступного поведения или деятельности правоохранительных органов.
Кроме того, Сервисы не предназначены для обработки других данных, требующих повышенной защиты в соответствии с применимыми Законами о защите данных, таких как данные платежных карт, номера банковских счетов или точная геолокация. Клиент несет единоличную ответственность за обеспечение того, чтобы наборы данных, изображения, видео, аннотации, метки, метаданные или другой контент, загружаемый или обрабатываемый через Сервисы, не содержали Запрещенных данных. Любая обработка Запрещенных данных в нарушение настоящего Раздела является существенным нарушением данного DPA.
2.4 Ненадлежащие данные; Возмещение убытков. Клиент несет единоличную ответственность за законность персональных данных Клиента, предоставленных Ultralytics, и за то, чтобы они были уместны для Сервисов. Клиент обязан защищать и ограждать Ultralytics от любых претензий третьих лиц, возникающих в результате предоставления Клиентом персональных данных для Сервисов в нарушение Соглашения, данного DPA или применимых Законов о защите данных.
Link to this sectionОбязательства Ultralytics как процессора#
3.1 Ограничение целей. Ultralytics будет обрабатывать персональные данные Клиента только (a) для предоставления Сервисов в соответствии с Соглашением и Приложением A, (b) в соответствии с Инструкциями Клиента и (c) в соответствии с требованиями применимого законодательства. Ultralytics не будет использовать персональные данные Клиента или Данные Клиента для обучения, улучшения или разработки собственных общих или коммерчески доступных моделей, за исключением случаев, когда Клиент прямо дал такое указание в письменной форме или через Сервисы.
3.2 Конфликт законов. Если Ultralytics становится известно, что она не может обрабатывать персональные данные Клиента в соответствии с Инструкциями из-за юридического требования, Ultralytics (в пределах, разрешенных законом) уведомит Клиента и, при необходимости, приостановит затрагиваемую обработку (за исключением безопасного хранения) до тех пор, пока Клиент не предоставит соответствующие закону Инструкции.
3.3 Конфиденциальность персонала. Ultralytics гарантирует, что лица, уполномоченные на обработку персональных данных Клиента, связаны обязательствами о конфиденциальности. Клиент соглашается с тем, что Ultralytics может раскрывать персональные данные Клиента своим профессиональным консультантам и аудиторам в той мере, в какой это обоснованно необходимо в связи с выполнением Соглашения/DPA, при условии соблюдения обязательств о конфиденциальности.
3.4 Субпроцессинг. Ultralytics может привлекать Субпроцессоров в соответствии с Разделом 5 и остается ответственной за выполнение ими эквивалентных обязательств.
3.5 Удаление / Возврат. По истечении срока действия Сервисов Ultralytics удалит или вернет персональные данные Клиента в соответствии с Соглашением и Приложением A, за исключением случаев, когда их хранение требуется по закону. Сертификат об удалении в рамках SCCs будет предоставлен по запросу Клиента.
Link to this sectionПрава субъекта данных (или потребителя)#
4.1 Запрос субъекта данных (или потребителя). Ultralytics, в пределах, разрешенных законом, уведомит Клиента по основному контактному адресу в учетной записи без неоправданной задержки, если Ultralytics получит запрос от субъекта данных (или потребителя) об осуществлении права субъекта данных (или потребителя) на доступ (или раскрытие), право на исправление, ограничение обработки, стирание (или удаление, или "право на забвение"), переносимость данных, возражение против обработки или право не быть объектом автоматизированного принятия индивидуальных решений ("Запрос субъекта данных (или потребителя)").
4.2 Содействие. Принимая во внимание характер обработки, Ultralytics окажет Клиенту разумное содействие в реагировании на запросы об осуществлении прав субъекта данных в соответствии с Законами о защите данных, в той мере, в какой Клиент не может выполнить запрос с использованием доступных функциональных возможностей Сервисов.
4.3 DPIA; Предварительные консультации. Принимая во внимание характер обработки и информацию, имеющуюся у Ultralytics, Ultralytics окажет Клиенту разумное содействие с (i) оценками воздействия на защиту данных и (ii) консультациями и/или сотрудничеством Клиента с надзорными органами, в каждом случае, когда это требуется Законами о защите данных и когда Клиент не имеет доступа к соответствующей информации. За исключением случаев, когда это требуется Законами о защите данных или в связи с Нарушением защиты персональных данных Клиента, Клиент не должен запрашивать такую помощь чаще одного раза в течение любого двенадцатимесячного (12) периода. Клиент возместит разумные расходы и издержки Ultralytics, понесенные при оказании такой помощи, где это разрешено законом.
Link to this sectionСубпроцессоры#
5.1 Общее разрешение. Клиент предоставляет Ultralytics общее письменное разрешение на привлечение Субпроцессоров для обработки персональных данных Клиента в рамках Сервисов.
5.2 Список и уведомления. Список текущих субпроцессоров доступен по ссылке Ultralytics Sub-Processor List («Список»). Ultralytics предоставит механизм для подписки на уведомления об обновлениях Списка и уведомит о новых субпроцессорах не менее чем за десять (10) дней до разрешения им обрабатывать персональные данные клиента. Ты несешь ответственность за подписку на такие уведомления, если они доступны; если ты не подпишешься, ты признаешь, что можешь не получить предварительное уведомление через этот механизм. В любом случае обновления Списка считаются уведомлением об изменениях субпроцессоров. Ты признаешь, что определенные субпроцессоры необходимы для предоставления Услуг и что возражение против использования субпроцессора может помешать Компании предоставлять Услуги тебе.
Для ясности, аффилированные лица Ultralytics, участвующие в предоставлении Сервисов, включая Ultralytics Ltd (Великобритания) и Ultralytics AI Spain, S.L., могут выступать в качестве внутригрупповых Субпроцессоров, если они обрабатывают персональные данные Клиента от имени Ultralytics Inc. в связи с Сервисами.
5.3 Возражение против новых Субпроцессоров. Клиент может в письменной форме возразить против привлечения нового Субпроцессора по обоснованным основаниям, связанным с защитой данных, в соответствии с Разделом 5.2. Если Ultralytics не может обоснованно удовлетворить возражение Клиента, Клиент может прекратить использование соответствующего Сервиса путем письменного уведомления, что не освобождает Клиента от оплаты сборов, начисленных до такого прекращения.
5.4 Передача обязательств. Ultralytics будет привлекать Субпроцессоров только после проведения разумной, основанной на оценке рисков проверки (due diligence), чтобы оценить, способен ли Субпроцессор обеспечить надлежащий уровень защиты персональных данных Клиента в соответствии с применимыми Законами о защите данных, и будет периодически контролировать Субпроцессоров в рамках своей программы управления поставщиками. Ultralytics обеспечит, чтобы ее Субпроцессоры были связаны обязательствами по защите данных, которые являются существенно эквивалентными или более защитными, чем те, что изложены в данном DPA. По запросу Клиента Ultralytics предоставит копии (которые могут быть отредактированы в целях конфиденциальности) соответствующих условий защиты данных Субпроцессоров, как это требуется в рамках SCCs.
Link to this sectionБезопасность#
6.1 Меры. Принимая во внимание уровень технологий, характер, объем, контекст и цели обработки, а также риск различной вероятности и серьезности для прав и свобод физических лиц, Ultralytics должна внедрять и поддерживать надлежащие технические и организационные меры для обеспечения уровня безопасности, соответствующего такому риску, в соответствии с применимыми Законами о защите данных, включая статью 32 GDPR. Эти меры описаны в Приложении C, которое Ultralytics может время от времени обновлять, при условии, что любое такое обновление существенно не снижает общий уровень защиты персональных данных Клиента.
6.2 Обязанности Клиента. Несмотря на вышеизложенное, Клиент признает, что, за исключением случаев, прямо предусмотренных в данном DPA, Клиент несет ответственность за безопасное использование Сервисов, включая защиту учетных данных для аутентификации в своей учетной записи, надлежащую настройку средств контроля доступа и обеспечение того, чтобы его пользователи получали доступ к Сервисам и использовали их способом, соответствующим применимым Законам о защите данных и функциям безопасности, предоставляемым Ultralytics.
Link to this sectionАудиты Клиента и демонстрация соответствия требованиям#
7.1 Документация. По обоснованному запросу Ultralytics предоставит информацию, разумно необходимую для демонстрации соответствия данному DPA (включая текущие аудиторские отчеты третьих сторон или сертификаты, если таковые имеются). Ultralytics будет вести учет, достаточный для демонстрации соответствия данному DPA, и хранить такие записи в течение разумного периода после прекращения действия Соглашения (например, три (3) года), если законодательством не требуется более длительный период.
7.2 Аудит. В случаях, когда того требуют Законы о защите данных, а документации недостаточно, Клиент может, после предварительного письменного уведомления за разумный срок и за свой счет, запросить аудит или проверку соответствующих систем и процессов Ultralytics. Любой такой аудит или проверка проводятся только после взаимного письменного согласия сторон относительно объема, сроков и продолжительности аудита, а также любой разумной ставки возмещения затрат Ultralytics на время и ресурсы, затраченные в связи с аудитом. Любой аудит, проводимый в соответствии с настоящим Разделом, должен:
- (a) проводиться не чаще одного раза в течение двенадцатимесячного (12) периода;
- (b) проходить в рабочее время Ultralytics;
- (c) подлежать разумным мерам контроля конфиденциальности, безопасности и защиты; и
- (d) ограничиваться системами и записями, разумно относящимися к обработке персональных данных Клиента.
Клиент должен незамедлительно уведомить Ultralytics о любом существенном несоответствии, выявленном в ходе аудита, чтобы предоставить Ultralytics разумную возможность устранить такие результаты.
Link to this sectionНарушения защиты персональных данных#
8.1 Уведомление. Ultralytics уведомит Клиента без неоправданной задержки, но не позднее чем через 72 часа после того, как ей стало известно о Нарушении защиты персональных данных Клиента.
8.2 Содействие. Ultralytics окажет разумную помощь для выполнения обязательных уведомлений Клиента регуляторам и затронутым субъектам данных, принимая во внимание информацию, доступную Ultralytics.
8.3 Отсутствие признания вины. Уведомление о нарушении не является признанием вины или ответственности. Обязательство по уведомлению о нарушении не применяется в той степени, в которой Нарушение защиты персональных данных Клиента вызвано действиями или бездействием Клиента или его пользователей.
Link to this sectionПередача данных (ЕС/Великобритания/Швейцария)#
9.1 Международная передача. Клиент признает, что основные операции по обработке данных Ultralytics могут осуществляться в Соединенных Штатах и других местах, необходимых для предоставления Сервисов.
Для ясности, персональные данные Клиента могут также передаваться между Ultralytics Inc. и ее аффилированными лицами (включая Ultralytics Ltd (Великобритания) и Ultralytics AI Spain, S.L.), если такие аффилированные лица выступают в качестве Субпроцессоров в связи с предоставлением Сервисов. Если такая передача квалифицируется как международная передача в соответствии с применимыми Законами о защите данных, она подлежит применению Надлежащих гарантий, включая SCCs (Модуль 3, где применимо) или другие действующие механизмы передачи.
Если требуется передача персональных данных Клиента в страну, которая не была признана обеспечивающей адекватный уровень защиты данных, такая передача будет осуществляться при условии применения Надлежащих гарантий в соответствии с применимыми Законами о защите данных, включая, где применимо, SCCs и Дополнение для Великобритании (UK Addendum), включенные в данное DPA.
9.2 EU SCCs. Для передачи персональных данных Клиента, подпадающих под действие GDPR, в третью страну без уровня адекватности, стороны применяют EU SCCs. Модуль второй (Контролер→Процессор) применяется, если Клиент является контролером; Модуль третий (Процессор→Субпроцессор) применяется, если Клиент является процессором. Приложения к SCC заполняются с использованием Приложения B (Приложение I/III) и Приложения C (Приложение II).
9.3 UK Addendum. Для передачи, подпадающей под действие UK GDPR, стороны применяют Дополнение для Великобритании (UK Addendum), заполненное со ссылкой на Приложение B/C и выбор применимого механизма передачи.
9.4 Швейцария. Для передачи данных из Швейцарии применяются EU SCCs со стандартными швейцарскими модификациями (ссылки на GDPR включают Swiss FADP; FDPIC как компетентный орган и т.д.), заполненные со ссылкой на Приложения.
9.5 Запросы от государственных органов на получение доступа. Ultralytics будет обрабатывать юридически обязательные запросы на раскрытие персональных данных Клиента в соответствии с применимым законодательством и SCCs, включая (если это юридически разрешено) уведомление Клиента и разумное сотрудничество.
Link to this sectionПоложения об отношениях "контролер-контролер" (Учетная запись Ultralytics / Использование / Операции безопасности)#
10.1 Область применения. Данный Раздел применяется к обработке персональных данных контролера каждой стороной в качестве независимого контролера (не совместного контролера), включая обработку компанией Ultralytics данных учетной записи компании и данных об использовании сервисов компанией.
10.2 Обязательства независимого контролера. Каждая сторона:
- (a) обрабатывает персональные данные контролера в соответствии с Законами о защите данных;
- (b) внедряет надлежащие меры безопасности; и
- (c) реагирует на обращения регуляторов, касающиеся ее собственной обработки.
10.3 Обработка данных контролером Ultralytics. Ultralytics обрабатывает данные учетной записи компании и данные об использовании сервисов компанией в качестве контролера для: администрирования учетной записи, выставления счетов, мониторинга безопасности и предотвращения злоупотреблений, проверки личности, соблюдения законодательства, аудитов/бухгалтерского учета и операционной деятельности сервисов (включая производительность и надежность). Такая обработка описана в Политике конфиденциальности Ultralytics. Ничто в данном DPA не должно истолковываться как создание отношений совместного контролера между сторонами.
Во избежание сомнений, Ultralytics и ее аффилированные лица могут обрабатывать ограниченные деловые контактные данные (такие как имена, корпоративные адреса электронной почты и профессиональные контактные данные) в контексте коммерческого аутрича, демонстраций, партнерств и деятельности по управлению отношениями с клиентами в качестве независимых контролеров.
Link to this sectionПоложения для Калифорнии (CCPA/CPRA)#
11.1 Поставщик услуг / Процессор. В той мере, в какой применяется CCPA/CPRA и Ultralytics обрабатывает персональные данные Клиента от имени Клиента, Ultralytics выступает в качестве "поставщика услуг" и/или "процессора" и не будет "продавать" или "делиться" такой персональной информацией.
11.2 Ограниченное использование. Ultralytics не будет хранить, использовать или раскрывать персональные данные Клиента вне прямых деловых целей предоставления Сервисов, за исключением случаев, разрешенных CCPA/CPRA.
11.3 Дискриминация. Стороны не должны подвергать дискриминации потребителя за то, что он воспользовался своими правами.
Link to this sectionОбщие положения#
12.1 Ограничение ответственности. Ограничения и исключения, предусмотренные в Соглашении, применяются к данному DPA, за исключением случаев, запрещенных законом или SCCs/UK Addendum.
12.2 Автономность положений. Если какое-либо положение данного DPA окажется недействительным или неисполнимым, остальная часть данного DPA остается действительной и имеющей силу. Недействительное или неисполнимое положение должно быть либо (i) изменено по мере необходимости для обеспечения его действительности и исполнимости при максимально возможном сохранении намерений сторон, либо, если это невозможно, (ii) истолковано таким образом, как будто недействительной или неисполнимой части в нем никогда не содержалось.
12.3 Заключение данного DPA. Данное DPA включено в Соглашение и является его частью. Клиент заключает данное DPA (включая, где применимо, EU SCCs и UK Addendum) посредством:
- (a) принятия или согласия соблюдать Соглашение (включая нажатие "Я согласен" или аналогичного механизма в Условиях предоставления услуг),
- (b) оформления бланка заказа, технического задания или иного письменного соглашения, которое включает или ссылается на Соглашение, или
- (c) использования или продолжения использования Сервисов после того, как данное DPA стало доступно Компанией.
Клиент заверяет и гарантирует, что лицо, принимающее Соглашение и/или использующее Сервисы от имени Клиента, обладает полномочиями на то, чтобы связать обязательствами Клиента и, где применимо, его аффилированных лиц.
12.4 Контакты. Запросы по конфиденциальности: privacy@ultralytics.com; DPO: dpo@ultralytics.com; юридические уведомления: legal@ultralytics.com.
Link to this sectionСтороны; Аффилированные лица#
Клиент заключает данное DPA от своего имени и от имени своих аффилированных лиц, которые являются уполномоченными пользователями Сервисов в рамках Соглашения и являются контролерами/процессорами персональных данных Клиента ("Разрешенные аффилированные лица"). Клиент заверяет, что обладает полномочиями связывать обязательствами Разрешенных аффилированных лиц.
Link to this sectionПриложение A: Детали обработки персональных данных#
Характер: Ultralytics предоставляет облачное программное обеспечение и сопутствующие услуги, которые позволяют Клиентам получать доступ к продуктам и функциям Ultralytics и использовать их, включая обучение моделей, инференс, управление наборами данных, рабочие процессы развертывания, а также соответствующую поддержку и администрирование ("Сервисы"), как описано в Соглашении.
Для ясности, Сервисы включают платформу Ultralytics Platform, через которую Ultralytics обрабатывает персональные данные Клиента от имени Клиента в соответствии с данным DPA. Отдельно Ultralytics также предоставляет модели с открытым исходным кодом Ultralytics YOLO, которые Клиенты могут развертывать и использовать независимо в своих собственных средах. Если Клиенты развертывают или используют модели Ultralytics YOLO вне платформы Ultralytics Platform, Ultralytics не обрабатывает персональные данные от имени Клиента, и Клиенты несут единоличную ответственность за внедрение надлежащих технических и организационных мер, определение целей и средств обработки, а также обеспечение соблюдения применимых Законов о защите данных в связи с таким развертыванием и использованием.
Цель: Ultralytics обрабатывает Персональные данные клиента от имени клиента в следующих целях:
- предоставление, обеспечение работы, защита и поддержка Сервисов в соответствии с Соглашением и документированными инструкциями клиента;
- соблюдение других документированных разумных инструкций, предоставленных клиентом, если такие инструкции соответствуют Соглашению и настоящему DPA;
- ответ на запросы, инициированные клиентом или его авторизованными пользователями в ходе использования Сервисов (включая запросы в службу поддержки);
- мониторинг, предотвращение и выявление инцидентов безопасности, мошенничества, злоупотреблений и неправомерного использования Сервисов; и
- соблюдение применимых юридических обязательств.
Ultralytics не будет использовать Персональные данные клиента для обучения или улучшения общих моделей Ultralytics, за исключением случаев, когда это прямо предусмотрено инструкциями клиента в письменной форме или через Сервисы. Для ясности: Ultralytics может использовать Данные об использовании Компании и агрегированные или деидентифицированные данные (где это разрешено) для работы, защиты и улучшения Сервисов.
Если клиент решает предоставлять наборы данных, модели или другой контент через сообщество или публичные функции Сервисов, такое предоставление является документированной инструкцией клиента. Клиент несет единоличную ответственность за обеспечение наличия всех необходимых прав и законных оснований для предоставления таких данных другим пользователям.
Срок обработки: Ultralytics будет обрабатывать Персональные данные клиента в течение срока действия Соглашения и до тех пор, пока это необходимо для предоставления Сервисов в соответствии с инструкциями клиента. После расторжения или истечения срока действия Соглашения Ultralytics удалит или вернет Персональные данные клиента в соответствии с Соглашением и настоящим DPA, если дальнейшее хранение не требуется по применимому законодательству. Для ясности: в случаях, когда Ultralytics обрабатывает Персональные данные Контролера (включая Данные учетной записи Компании и Данные об использовании Компании) в качестве независимого Контролера согласно Разделу 10, такая обработка будет осуществляться в периоды, установленные в Политике конфиденциальности Ultralytics.
Категории субъектов данных: Персональные данные клиента могут относиться к следующим категориям субъектов данных, определяемым и контролируемым клиентом:
- сотрудники, подрядчики, агенты и представители клиента;
- авторизованные пользователи и администраторы клиента;
- а также конечные пользователи, клиенты или другие лица, чьи Персональные данные клиент решает предоставить для использования в Сервисах.
Категории персональных данных: Персональные данные клиента могут включать следующие категории персональных данных в той мере, в которой они были предоставлены или иным образом стали доступны через Сервисы клиентом или от его имени:
- Данные об учетной записи и идентификации пользователя, такие как имя, адрес электронной почты, имя пользователя/идентификатор пользователя, название организации и роль/разрешения пользователя (например, администратор/пользователь).
- Данные об использовании и технические/устройственные данные, такие как IP-адрес, идентификаторы устройств и атрибуты системы (например, тип устройства, операционная система, тип браузера), файлы журналов, временные метки, события аутентификации, история доступа и (где применимо) установленные приложения или сведения о конфигурации, собранные в рамках корпоративных рабочих процессов управления устройствами или безопасности.
- Контент и входные данные, предоставленные клиентом, такие как созданные пользователем подсказки (промпты), комментарии, аннотации, метаданные или метки наборов данных, а также любой другой контент, который клиент загружает или отправляет через Сервисы (включая изображения/видео/аудио или другие файлы), но только в той мере, в которой такой контент содержит Персональные данные.
- Данные поддержки и коммуникации, такие как переписка со службой поддержки клиентов, отчеты о проблемах, информация для устранения неполадок и административные контактные данные.
Категории обрабатываемых персональных данных могут дополнительно включать данные, описанные в Политике конфиденциальности Ultralytics.
Конфиденциальные данные или особые категории данных: Сервисы не спроектированы и не предназначены для обработки Особых категорий персональных данных (как определено в Статье 9 GDPR или эквивалентных нормах применимых законов о защите данных) или Персональных данных, касающихся уголовных приговоров и правонарушений (Статья 10 GDPR), и клиенту запрещено предоставлять такие данные, если иное прямо не согласовано в письменной форме с Ultralytics и не подлежит дополнительным мерам защиты.
Link to this sectionПриложение B: Информация согласно Приложению I и Приложению III (Стандартные договорные условия ЕС и Дополнение для Великобритании)#
Ниже приведена информация, требуемая Приложением I и Приложением III Стандартных договорных условий ЕС, а также Таблицей 1, Приложением 1A и Приложением 1B Дополнения для Великобритании.
1. Стороны
Экспортер данных:
- Название: Юридическое наименование клиента
- Коммерческое наименование (если отличается): [Необязательно]
- Адрес: Зарегистрированный адрес клиента
- Официальный регистрационный номер (если есть): [Необязательно]
- Имя контактного лица, должность и контактные данные: Имя, Должность, Электронная почта
- Деятельность, относящаяся к данным, передаваемым в соответствии с настоящими Условиями: Использование Сервисов в рамках Соглашения, включая передачу Персональных данных клиента компании Ultralytics для обработки в связи с Сервисами, как описано в Соглашении, настоящем DPA и Приложении A.
- Подпись и дата: При выполнении/принятии Соглашения/DPA
- Роль (контролер/обработчик): Контролер
Импортер данных:
- Название: Ultralytics Inc.
- Коммерческое наименование (если отличается): Н/Д
- Адрес и контактная информация: 5001 Judicial Way, Frederick, MD, 21703, United States; privacy@ultralytics.com
- Официальный регистрационный номер (если есть): 6755919
- Деятельность, относящаяся к данным, передаваемым в соответствии с настоящими Условиями: Обработка Персональных данных клиента от имени клиента для предоставления, обеспечения работы, защиты, обслуживания и поддержки Сервисов, а также в иных случаях, описанных в Соглашении, настоящем DPA и Приложении A.
- Подпись и дата: При выполнении/принятии Соглашения/DPA
- Роль (контролер/обработчик): Как описано в Разделе 3 настоящего DPA.
2. Описание передачи
| Поле | Детали |
|---|---|
| Субъекты данных | Как описано в Приложении A к настоящему DPA |
| Категории персональных данных | Как описано в Приложении A к настоящему DPA |
| Особые категории персональных данных (если применимо) | Как описано в Приложении A к настоящему DPA |
| Характер обработки | Как описано в Приложении A к настоящему DPA |
| Цели обработки | Как описано в Приложении A к настоящему DPA |
| Продолжительность обработки и хранения (или критерии определения такого периода) | Как описано в Приложении A к настоящему DPA |
| Частота передачи | По мере необходимости для предоставления и выполнения всех обязательств и прав в отношении Персональных данных, предусмотренных Соглашением или DPA |
| Получатели Персональных данных, передаваемых Импортеру данных | Компания будет поддерживать список субпроцессоров по адресу: Ultralytics Sub-Processor List |
Внутригрупповые субпроцессоры:
Ultralytics Ltd (Великобритания) – инженерная поддержка, поддержка клиентов, помощь в адаптации и коммерческие взаимодействия (включая демонстрации и партнерства)
Ultralytics AI Spain, S.L. (Испания) – инженерная поддержка, коммерческие взаимодействия и деятельность по работе с клиентами, включающая ограниченную обработку контактных данных компаний
3. Компетентный надзорный орган
Надзорным органом является надзорный орган Экспортера данных, определяемый в соответствии с Пунктом 13 Стандартных договорных условий ЕС. Надзорным органом для целей Дополнения для Великобритании является Управление комиссара по информации Великобритании (UK Information Commissioner's Office).
Link to this sectionПриложение C: Технические и организационные меры безопасности#
Ниже приведена информация, требуемая Приложением II Стандартных договорных условий ЕС и Приложением II Дополнения для Великобритании.
| Техническая и организационная мера безопасности | Детали |
|---|---|
| Меры по псевдонимизации и шифрованию персональных данных | Персональные данные клиента защищены посредством шифрования при передаче с использованием стандартных для отрасли защищенных соединений (TLS) между компонентами платформы и внешними конечными точками. Данные, хранящиеся в облачных сервисах, защищены шифрованием данных в состоянии покоя, управляемым облачным провайдером, и надежными средствами управления ключами. |
| Меры по обеспечению постоянной конфиденциальности, целостности, доступности и устойчивости систем и сервисов обработки | Ultralytics поддерживает обязательства по обеспечению безопасности, конфиденциальности и доступности своих Сервисов, включая конфигурацию системы, предназначенную для ограничения несанкционированного доступа, обнаружения вторжений и мониторинга, сканирования уязвимостей и тестирования на проникновение, шифрования при передаче и в состоянии покоя, а также контроля хранения/удаления данных. Платформа Ultralytics работает с использованием управляемых облачных сервисов с поддержкой доступности. Наши провайдеры инфраструктуры как услуги (IaaS) обеспечивают отказоустойчивость баз данных посредством репликации и высокой доступности. Ultralytics также обеспечивает, чтобы технические и организационные меры (TOM) нижестоящих субпроцессоров соответствовали или превосходили стандарты, установленные в этом соглашении. |
| Меры по обеспечению возможности своевременного восстановления доступности и доступа к персональным данным в случае физического или технического инцидента | Данные клиента внутри платформы Ultralytics резервируются с использованием собственных сервисов облачных провайдеров. Резервные копии отслеживаются, а исключения расследуются и устраняются. Резервные данные зашифрованы в состоянии покоя и при передаче, доступ к ним ограничен авторизованным персоналом. Планирование непрерывности бизнеса и аварийного восстановления включает целевые показатели времени восстановления (RTO), целевые точки восстановления (RPO), а также определенные роли и обязанности. |
| Процессы регулярного тестирования, оценки и проверки эффективности технических и организационных мер для обеспечения безопасности обработки | Ultralytics проводит регулярное сканирование системы и сети на уязвимости, а также тесты на проникновение в производственную среду. Управление уязвимостями включает сканирование зависимостей и методы безопасной разработки, интегрированные в конвейеры CI/CD, а выявленные уязвимости приоритизируются и устраняются исходя из их серьезности и риска. Кроме того, Ultralytics ежегодно проводит оценку рисков и управленческий анализ в рамках стандартной практики ISMS. |
| Меры по идентификации и авторизации пользователей | Платформа Ultralytics использует провайдера аутентификации и идентификации, поддерживающего аутентификацию пользователей и управление сессиями. Доступ к инженерным системам (включая репозитории исходного кода) ограничен авторизованным персоналом и регулируется разрешениями на основе ролей, защитой веток и обязательными проверками. Внутренний доступ осуществляется по модели наименьших привилегий и контролю доступа на основе ролей. |
| Меры по защите данных при передаче | Сетевой вход на платформу Ultralytics ограничен безопасными соединениями HTTPS (TLS) через назначенные фронтенд-конечные точки. Внутренние коммуникации между компонентами платформы и сервисами хранения зашифрованы при передаче с использованием TLS. |
| Меры по защите данных при хранении | Для платформы Ultralytics данные клиента хранятся в зашифрованных управляемых облачных сервисах с поддержкой избыточности и резервного копирования. Управляемые облачные сервисы обеспечивают встроенное шифрование, автоматическое резервное копирование, избыточное хранение и высокую доступность. Шифрование, управляемое облачным провайдером, применяется к данным в состоянии покоя. |
| Меры по обеспечению физической безопасности мест, где обрабатываются персональные данные | Платформа Ultralytics размещается с использованием сторонних провайдеров облачных сервисов. Физические и экологические средства защиты дата-центров, где размещаются данные, эксплуатируются соответствующими организациями-субпроцессорами. Ultralytics изучает отчеты об аттестации организаций-субпроцессоров и проводит анализ рисков не реже одного раза в год. |
| Меры по обеспечению ведения журналов событий | Ultralytics использует облачные журналы для мониторинга, устранения неполадок и расследования инцидентов. Оповещения о доступности платформы и безопасности передаются внутренне через внутренние каналы связи и электронную почту, а внешне — через размещенную страницу статуса. Кроме того, Ultralytics регулярно проверяет доступ к приложениям, инструментам и ресурсам, которые обрабатывают или хранят данные клиента. |
| Меры по обеспечению конфигурации системы, включая конфигурацию по умолчанию | Ultralytics придерживается документированных процессов управления изменениями, регулирующих внесение изменений в платформу Ultralytics и кодовую базу моделей Ultralytics YOLO, включая инициирование изменений, документацию, стандарты разработки, тестирование, проверку и утверждение перед выпуском или развертыванием. Изменения отслеживаются в системе контроля версий с проверкой коллегами и валидацией в конвейере CI/CD. |
| Меры по внутреннему управлению ИТ и ИТ-безопасностью | Ultralytics поддерживает политики безопасности и процедуры, соответствующие обязательствам по обслуживанию и внутренним требованиям соответствия, с ежегодным пересмотром ключевых политик и процедур. Сотрудники должны подтверждать ознакомление с политиками через специальный инструмент управления рисками и соответствием (GRC) и обязаны проходить ежегодный тренинг по осведомленности о безопасности и обучению конфиденциальности, с тренингом по безопасному программированию для инженерных ролей. Риски документируются в централизованном реестре рисков и официально пересматриваются не реже одного раза в год. |
| Меры по сертификации/гарантии процессов и продуктов | Ultralytics полагается на управляемые сторонние сервисы (включая организации, предоставляющие субсервисы) и ежегодно изучает их отчеты SOC 2 в рамках мониторинга средств контроля. Должная осмотрительность в отношении поставщиков основана на рисках, а поставщики классифицируются по уровням (Критический/Высокий/Средний/Низкий) с договорными мерами защиты и периодическими переоценками. |
| Меры по обеспечению минимизации данных | Ultralytics обрабатывает данные клиента в соответствии с клиентскими соглашениями и применимыми требованиями к защите данных, ограничивая обработку тем, что необходимо для доставки и поддержки Сервисов (включая управление наборами данных, аннотирование, обучение моделей, оценку и связанные функциональные возможности платформы). Использование Ultralytics YOLO с открытым исходным кодом управляется клиентом, и Ultralytics не обрабатывает рабочие нагрузки вывода (inference) для клиентов в этом контексте. |
| Меры по обеспечению качества данных | Ultralytics использует контролируемые методы разработки и развертывания, предназначенные для обеспечения целостности и надежности, включая проверку коллегами, автоматизированное тестирование, рабочие процессы CI/CD и контролируемое управление изменениями для Платформы и релизов кода с открытым исходным кодом. |
| Меры по обеспечению ограниченного хранения данных | Ultralytics применяет обязательства по хранению и удалению данных в рамках своих сервисных обязательств. Данные клиента для платформы резервируются с использованием управляемых сервисов, а удаление/возврат данных обрабатывается в соответствии с клиентскими соглашениями и применимым законодательством. |
| Меры по обеспечению подотчетности | Ultralytics поддерживает план реагирования на инциденты и документированные процедуры для выявления, сообщения, управления и отслеживания инцидентов безопасности и конфиденциальности, включая обмен информацией для внешних отчетов об уязвимостях через security@ultralytics.com. Инциденты документируются и обрабатываются с участием инженерного, юридического отделов и исполнительного руководства в зависимости от степени серьезности. |
| Меры по обеспечению переносимости данных и обеспечению удаления | Персональные данные клиента, предоставленные платформе Ultralytics, могут быть удалены клиентом и/или по запросу клиента в соответствии с Соглашением и настоящим DPA. Там, где требуется удаление, Ultralytics будет действовать в соответствии с инструкциями клиента и применимыми юридическими требованиями. (Переносимость поддерживается в той мере, в какой клиент может экспортировать или получить свои данные клиента из Сервисов, если применимо.) Модели Ultralytics YOLO с открытым исходным кодом развертываются клиентом в их собственной выделенной среде, обеспечивающей полный контроль управления данными. |
| Технические и организационные меры субпроцессоров | Ultralytics использует программу управления поставщиками на основе оценки рисков для привлечения и мониторинга сторонних поставщиков услуг, включая проверку аттестаций соответствия и договорных требований по безопасности и защите данных. Ultralytics также отслеживает организации, предоставляющие субсервисы, и ежегодно изучает их отчеты SOC 2. Ultralytics также заключает Соглашения об обработке данных со своими субпроцессорами с обязательствами по защите данных, существенно аналогичными тем, что содержатся в настоящем DPA. |
Link to this sectionПриложение D: Дополнение для Великобритании#
Дополнение к Стандартным договорным условиям Европейской комиссии о международной передаче данных
Link to this sectionЧасть 1: Таблицы#
Таблица 1: Стороны
| Поле | Экспортер | Импортер |
|---|---|---|
| Дата начала | Настоящее Дополнение для Великобритании (UK Addendum) вступает в силу с той же даты, что и DPA | Настоящее Дополнение для Великобритании (UK Addendum) вступает в силу с той же даты, что и DPA |
| Реквизиты сторон | Клиент | Компания |
| Контактное лицо | См. Приложение B к настоящему DPA | См. Приложение B к настоящему DPA |
Таблица 2: Выбранные SCC, модули и пункты
| Поле | Детали |
|---|---|
| EU SCC | Версия одобренных EU SCC, к которой прилагается настоящее Дополнение для Великобритании, как определено в DPA и дополнено разделами 6.2 и 6.3 DPA. |
Таблица 3: Информация приложения
"Информация приложения" означает информацию, которая должна быть предоставлена для выбранных модулей, как указано в Приложении к одобренным EU SCC (помимо Сторон), и которая для настоящего Дополнения для Великобритании изложена в:
| Приложение | Ссылка |
|---|---|
| Приложение 1A: Список сторон | Согласно таблице 1 выше |
| Приложение 2B: Описание передачи | См. Приложение B к настоящему DPA |
| Приложение II: Технические и организационные меры, включая технические и организационные меры для обеспечения безопасности данных | См. Приложение C к настоящему DPA |
| Приложение III: Список субобработчиков (только модули 2 и 3) | См. Приложение B к настоящему DPA |
Таблица 4: Расторжение настоящего Дополнения для Великобритании при изменении одобренного Дополнения для Великобритании
Примечание: Это положение позволяет выбранной стороне (если таковая имеется) расторгнуть Дополнение для Великобритании, если ICO изменит одобренное Дополнение для Великобритании, что напрямую приведет к существенному, несоразмерному и доказуемому увеличению (a) ее прямых расходов на выполнение обязательств по Дополнению для Великобритании или (b) ее рисков по Дополнению для Великобритании.
| Поле | Выбор |
|---|---|
| Расторжение настоящего Дополнения для Великобритании при изменении одобренного Дополнения для Великобритании | x Импортер x Экспортер ☐ Ни одна из сторон |
Link to this sectionЗаключение настоящего Дополнения для Великобритании#
Каждая сторона соглашается соблюдать условия, изложенные в настоящем Дополнении для Великобритании, в обмен на то, что другая сторона также соглашается соблюдать настоящее Дополнение для Великобритании.
Хотя Приложение 1A и пункт 7 одобренных EU SCC требуют подписания сторонами, для целей осуществления передач из Великобритании стороны могут заключить настоящее Дополнение для Великобритании любым способом, который делает его юридически обязательным для сторон и позволяет субъектам данных защищать свои права, как указано в настоящем Дополнении для Великобритании. Заключение настоящего Дополнения для Великобритании будет иметь тот же эффект, что и подписание одобренных EU SCC и любой их части.
Link to this sectionТолкование настоящего Дополнения для Великобритании#
Если в настоящем Дополнении для Великобритании используются термины, определенные в одобренных EU SCC, эти термины имеют то же значение, что и в одобренных EU SCC. Кроме того, следующие термины имеют следующие значения:
| Термин | Определение |
|---|---|
| Дополнение для Великобритании | означает настоящее Дополнение о международной передаче данных, включающее EU SCC, прилагаемое к DPA в качестве Приложения D. |
| EU SCC | означает версию(и) одобренных EU SCC, к которой прилагается настоящее Дополнение для Великобритании, как указано в Таблице 2, включая Информацию приложения |
| Информация приложения | должна соответствовать указанному в Таблице 3 |
| Надлежащие меры защиты | означает стандарт защиты персональных данных и прав субъектов данных, требуемый законами Великобритании о защите данных при осуществлении передачи из Великобритании в соответствии со стандартными договорными условиями по статье 46(2)(d) UK GDPR. |
| Одобренное Дополнение для Великобритании | означает шаблон Дополнения, выпущенный ICO и представленный Парламенту в соответствии с разделом 119A Закона о защите данных 2018 года 2 февраля 2022 года, с учетом возможных пересмотров в соответствии с разделом 18 Дополнения для Великобритании. |
| Одобренные EU SCC | означают стандартные договорные условия, одобренные Европейской комиссией в Решении Комиссии 2021/914 от 4 июня 2021 года для передачи персональных данных в страны, не признанные Европейской комиссией как обеспечивающие адекватный уровень защиты персональных данных (с учетом поправок и обновлений). |
| ICO | означает Управление комиссара по информации (Information Commissioner's Office). |
| передача из Великобритании | имеет то же определение, что изложено в DPA. |
| Великобритания | означает Соединенное Королевство Великобритании и Северной Ирландии |
| Законы Великобритании о защите данных | означают все законы, касающиеся защиты данных, обработки персональных данных, конфиденциальности и/или электронной связи, действующие в Великобритании, включая UK GDPR и Закон о защите данных 2018 года. |
| UK GDPR | имеет определение, изложенное в DPA. |
Дополнение для Великобритании должно всегда толковаться в соответствии с законами Великобритании о защите данных и таким образом, чтобы выполнять обязательство сторон по обеспечению надлежащих мер защиты.
Если положения, включенные в Дополнение для Великобритании, изменяют одобренные EU SCC каким-либо образом, не разрешенным одобренными EU SCC или одобренным Дополнением для Великобритании, такая поправка(и) не будет включена в Дополнение для Великобритании, и вместо нее будет применяться эквивалентное положение одобренных EU SCC.
В случае противоречий или конфликтов между законами Великобритании о защите данных и Дополнением для Великобритании применяются законы Великобритании о защите данных.
Если смысл Дополнения для Великобритании неясен или допускает несколько толкований, применяется то значение, которое наиболее тесно соответствует законам Великобритании о защите данных.
Любые ссылки на законодательство (или конкретные положения законодательства) означают это законодательство (или конкретное положение) с учетом изменений с течением времени. Это включает случаи, когда такое законодательство (или конкретное положение) было консолидировано, повторно принято и/или заменено после заключения Дополнения для Великобритании.
Link to this sectionИерархия#
Хотя пункт 5 одобренных EU SCC устанавливает, что одобренные EU SCC имеют преимущественную силу над всеми связанными соглашениями между сторонами, стороны соглашаются, что для передач из Великобритании иерархия, указанная в разделе 10 ниже, имеет преимущественную силу.
В случае противоречий или конфликтов между одобренным Дополнением для Великобритании и EU SCC (в зависимости от применимости), одобренное Дополнение для Великобритании имеет приоритет над EU SCC, за исключением случаев (и в той мере), когда противоречащие или конфликтующие условия EU SCC обеспечивают большую защиту субъектов данных, и в этом случае эти условия имеют приоритет над одобренным Дополнением для Великобритании.
Если настоящее Дополнение для Великобритании включает EU SCC, заключенные для защиты передач из ЕС, подпадающих под действие GDPR, стороны признают, что ничто в Дополнении для Великобритании не затрагивает эти EU SCC.
Link to this sectionВключение и изменения в EU SCC#
Настоящее Дополнение для Великобритании включает EU SCC, которые изменены в той степени, в которой это необходимо для того, чтобы:
- вместе они действовали для передачи данных, осуществляемой экспортером данных импортеру данных, в той мере, в какой законы Великобритании о защите данных применяются к обработке экспортером данных при осуществлении этой передачи, и они обеспечивают надлежащие меры защиты для таких передач данных;
- разделы 9–11 выше имели приоритет над пунктом 5 (Иерархия) EU SCC; и
- Дополнение для Великобритании (включая включенные в него EU SCC) (1) регулировалось законами Англии и Уэльса, и (2) любой спор, вытекающий из него, разрешался судами Англии и Уэльса.
Если стороны не согласовали альтернативные поправки, соответствующие требованиям раздела 12 настоящего Дополнения для Великобритании, применяются положения раздела 15 настоящего Дополнения для Великобритании.
Никакие поправки к одобренным EU SCC, кроме тех, что соответствуют требованиям раздела 12 настоящего Дополнения для Великобритании, не допускаются.
Вносятся следующие поправки в EU SCC (для целей раздела 12 настоящего Дополнения для Великобритании):
- Ссылки на "Пункты" означают настоящее Дополнение для Великобритании, включающее EU SCC;
- В пункте 2 удалить слова: "и в отношении передачи данных от контролеров к обработчикам и/или от обработчиков к обработчикам, стандартные договорные условия в соответствии со статьей 28(7) Регламента (ЕС) 2016/679";
- Пункт 6 (Описание передачи(ч)) заменяется на: "Подробности передачи(ч) и, в частности, категории передаваемых персональных данных и цель(и), для которой они передаются, указаны в Приложении I.B, если законы Великобритании о защите данных применяются к обработке экспортером данных при осуществлении этой передачи.";
- Пункт 8.7(i) Модуля 1 заменяется на: "передача осуществляется в страну, пользующуюся преимуществами правил адекватности в соответствии с разделом 17A UK GDPR, которые охватывают дальнейшую передачу";
- Пункт 8.8(i) Модулей 2 и 3 заменяется на: "дальнейшая передача осуществляется в страну, пользующуюся преимуществами правил адекватности в соответствии с разделом 17A UK GDPR, которые охватывают дальнейшую передачу;"
- Ссылки на "Регламент (ЕС) 2016/679", "Регламент (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 года о защите физических лиц при обработке персональных данных и о свободном обращении таких данных (Общий регламент по защите данных)" и "этот Регламент" заменяются на "Законы Великобритании о защите данных". Ссылки на конкретную статью(и) "Регламента (ЕС) 2016/679" заменяются на эквивалентную статью или раздел Законов Великобритании о защите данных;
- Ссылки на Регламент (ЕС) 2018/1725 удаляются;
- Ссылки на "Европейский союз", "Союз", "ЕС", "государство-член ЕС", "государство-член" и "ЕС или государство-член" заменяются на "Великобритания";
- Ссылка на "Пункт 12(c)(i)" в пункте 10(b)(i) Модуля один заменяется на "Пункт 11(c)(i)";
- Пункт 13(a) и Часть C Приложения I не используются;
- "Компетентный надзорный орган" и "надзорный орган" заменяются на "Комиссар по информации";
- В пункте 16(e) подраздел (i) заменяется на: "Госсекретарь издает правила в соответствии с разделом 17A Закона о защите данных 2018 года, которые охватывают передачу персональных данных, к которым применяются настоящие пункты;";
- Пункт 17 заменяется на: "Настоящие Пункты регулируются законами Англии и Уэльса";
- Пункт 18 заменяется на: "Любой спор, вытекающий из настоящих Пунктов, должен быть разрешен судами Англии и Уэльса." Субъект данных также может возбудить судебное разбирательство против экспортера данных и/или импортера данных в судах любой страны Великобритании. Стороны соглашаются подчиняться юрисдикции таких судов."; и
- Сноски к одобренным EU SCC не являются частью Дополнения для Великобритании, за исключением сносок 8, 9, 10 и 11.
Link to this sectionПоправки к Дополнению для Великобритании#
Стороны могут договориться об изменении пунктов 17 и/или 18 EU SCC, чтобы сослаться на законы и/или суды Шотландии или Северной Ирландии.
Если стороны желают изменить формат информации, включенной в Часть 1: Таблицы одобренного Дополнения для Великобритании, они могут сделать это, письменно согласовав изменение, при условии, что изменение не уменьшает надлежащие меры защиты.
Время от времени ICO может выпускать пересмотренное одобренное Дополнение для Великобритании, которое:
- вносит разумные и соразмерные изменения в одобренное Дополнение для Великобритании, включая исправление ошибок в одобренном Дополнении для Великобритании; и/или
- отражает изменения в законах Великобритании о защите данных.
Пересмотренное одобренное Дополнение для Великобритании будет указывать дату начала, с которой изменения в одобренном Дополнении для Великобритании вступают в силу, и должны ли стороны пересматривать настоящее Дополнение для Великобритании, включая Информацию приложения. Настоящее Дополнение для Великобритании автоматически изменяется, как изложено в пересмотренном одобренном Дополнении для Великобритании, с указанной даты начала.
Если ICO выпускает пересмотренное одобренное Дополнение для Великобритании в соответствии с разделом 18 настоящего Дополнения для Великобритании, если сторона в результате изменений в одобренном Дополнении для Великобритании столкнется с существенным, несоразмерным и доказуемым увеличением:
- своих прямых расходов на выполнение обязательств по Дополнению для Великобритании; и/или
- своих рисков по Дополнению для Великобритании,
и в любом случае она сначала предприняла разумные шаги для снижения таких расходов или рисков, чтобы они не были существенными и несоразмерными, тогда такая сторона может расторгнуть настоящее Дополнение для Великобритании по истечении разумного периода уведомления, предоставив письменное уведомление об этом другой стороне до даты начала действия пересмотренного одобренного Дополнения для Великобритании.
Сторонам не требуется согласие какой-либо третьей стороны для внесения изменений в настоящее Дополнение для Великобритании, но любые изменения должны быть внесены в соответствии с его условиями.