ДОПОЛНЕНИЕ

СОГЛАШЕНИЕ О КОНФИДЕНЦИАЛЬНОСТИ ДАННЫХ

Стороны подтверждают свое согласие в отношении следующего:

  1. ОПРЕДЕЛЕНИЯ ТЕРМИНОВ


    1. Решение о достаточности мер. Решение Европейской комиссии о том, что определенная страна или регион либо определенная категория получателей в этой стране или регионе обеспечивает защиту данных на достаточном уровне.

    2. Аффилированное лицо. Любое юридическое лицо, которое контролирует соответствующую сторону, контролируется ей либо находится с ней под общим контролем.

    3. Нарушение конфиденциальности данных. Случайное или противозаконное уничтожение, потеря, изменение, несанкционированное раскрытие или получение Персональных данных Seagate, несанкционированный доступ к ним, а также другие виды несанкционированной Обработки Персональных данных Seagate.

    4. Законодательство о защите данных. а) Общий регламент по защите данных 2016/679 (GDPR) и все применимые законы и нормы относительно защиты данных в стране, входящей в состав Европейского союза (ЕС) или в Европейскую экономическую зону (ЕЭЗ), либо б) все применимые законы и нормы любой другой юрисдикции, регламентирующие Обработку или защиту Персональных данных.

    5. Субъект данных. Идентифицированное или идентифицируемое физическое лицо, Персональные данные Seagate которого могут быть обработаны согласно настоящему Соглашению о конфиденциальности данных.

    6. Персональные данные Seagate. Любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу, которая была создана или предоставлена компанией Seagate или для нее либо принадлежит ей и к которой у Поставщика есть доступ либо которую он получает, использует, хранит или обрабатывает в рамках каких-либо соглашений между сторонами и/или их Аффилированными лицами.

    7. Обработка данных. Обработка данных (включая термин «обрабатывать») — это (без каких-либо ограничений) операции с Персональными данными Seagate (в том числе автоматизированные), включая сбор, регистрацию, систематизацию, структурирование, изменение, использование, доступ к ним, раскрытие, распространение, копирование, передачу, хранение или удержание иным способом, удаление, согласование, объединение, ограничение доступа к ним, адаптация, извлечение, использование в качестве основы для принятия решений, уничтожение и удаление.

    8. Важная информация — любой из следующих типов Персональных данных Seagate: i) номер социального страхования, идентификационный номер налогоплательщика, номер паспорта, номер водительского удостоверения или другой официальный идентификационный номер; ii) реквизиты банковской карты или номер финансового счета, с кодом или паролем для доступа к этому счету или кредитной истории либо без такого кода и пароля; iii) сведения о расовой, религиозной или этнической принадлежности, сексуальной жизни, пристрастиях или ориентации, медицинская информация или сведения о здоровье, генетические или биометрические данные, биометрические шаблоны, политические или философские воззрения, принадлежность к политическим партиям и профессиональным организациям, результаты проверки биографических данных и судебная информация, такая как сведения о судимостях либо участии в других судебных и административных разбирательствах.

    9. Стандартные условия. Стандартные договорные условия о передаче персональных данных Обработчикам в третьих странах, не обеспечивающих надлежащий уровень защиты данных (Решение Комиссии ЕС 2010/87/EU или его обновленная версия), исключая необязательные условия.

    10. Субобработчик. Любое третье лицо, привлекаемое Поставщиком или другим Субобработчиком, которому предоставляется доступ к каким-либо Персональным данным Seagate и которое их получает или каким-либо образом обрабатывает.

    11. Персонал Поставщика. Любой сотрудник, подрядчик, Субобработчик или агент Поставщика, которого он уполномочивает обрабатывать Персональные данные Seagate.

    12. Термины «Контролер», «Обработчик» и «Надзорный орган» имеют значения, определенные для них в GDPR, и однокоренные с ними термины должны толковаться соответствующим образом.

    13. Слово «включать» означает включение без каких-либо ограничений, и однокоренные с ними термины должны толковаться соответствующим образом.

  2. БЕЗОПАСНОСТЬ И ЗАЩИТА ДАННЫХ


    1. Статус сторон. Настоящим стороны признают и соглашаются, что Seagate является Контролером, а Поставщик — Обработчиком Персональных данных Seagate.

    2. Неразглашение Персональных данных Seagate. Поставщик никоим образом не должен раскрывать Персональные данные Seagate третьим лицам (независимо от целей) без предварительного письменного разрешения компании Seagate, за исключением ситуации, когда персональные данные раскрываются Субобработчикам в соответствии с положениями раздела 2.5 ниже. Без ограничения смысла вышесказанного Поставщик ни при каких условиях не может продавать или иным способом раскрывать Персональные данные Seagate третьим лицам с целью получения коммерческой выгоды им или третьим лицом.

    3. Ограничения в отношении Обработки данных. Поставщик имеет право обрабатывать или разрешать другим лицам обрабатывать Персональные данные Seagate исключительно в целях предоставления услуг компании Seagate в рамках соглашений между сторонами и/или их Аффилированными лицами либо согласно другим письменным указаниям Seagate.

    4. Программа безопасности данных. Поставщик составит в письменном виде, будет поддерживать, контролировать и при необходимости обновлять комплексную программу обеспечения безопасности, предусматривающую надлежащие административные, технические и физические меры защиты Персональных данных Seagate от предполагаемых угроз и рисков для их безопасности, конфиденциальности и целостности (включая несанкционированный доступ, сбор, использование, копирование, изменение, удаление или раскрытие, несанкционированную, противозаконную или случайную потерю, уничтожение, получение или повреждение, а также несанкционированную Обработку в любой другой форме) (далее — Программа информационной безопасности). Программа информационной безопасности должна включать меры, перечисленные в Стандартах безопасности (Приложение 2 к настоящему документу).

    5. Ограничения в отношении Субобработчиков. Поставщик может по мере необходимости раскрывать Персональные данные Seagate Субобработчикам в целях предоставления ими услуг компании Seagate в соответствии с условиями, изложенными в этом разделе 2.5. Поставщик обязуется вести список Субобработчиков, которым он раскрывает Персональные данные Seagate, и предоставлять этот список по требованию компании Seagate. На момент вступления в силу настоящего Соглашения о конфиденциальности данных Поставщик обязуется предоставить Seagate текущий список своих Субобработчиков. Поставщик должен не позднее чем за 30 рабочих дней до добавления в этот список нового Субобработчика известить об этом компанию Seagate по адресу data.protection.contracts@seagate.com. Если Seagate не выдвинет возражений относительно предложенного Субобработчика в течение 30 рабочих дней после получения такого уведомления, данный Субобработчик считается одобренным. Если компания Seagate возражает против предоставления какому-либо Субобработчику доступа к Персональным данным Seagate, Поставщик не должен раскрывать Персональные данные Seagate такому Субобработчику. Если в какой-либо момент одна из сторон выяснит, что Субобработчик не предоставляет достаточных гарантий безопасности с учетом рисков, связанных с обрабатываемыми Персональными данными Seagate, компания Seagate может на собственное исключительное усмотрение удалить такого Субобработчика из списка. В случае получения от Seagate возражения или требования об удалении Субобработчика Поставщику будет предоставлено достаточное время на его замену. Если Поставщик не в состоянии предоставить Услуги без раскрытия Персональных данных Seagate Субобработчику, против добавления которого в список возразила компания Seagate, то Seagate имеет право расторгнуть соглашения между сторонами и/или их Аффилированными лицами без какого-либо возмещения затрат Поставщику или ответственности перед ним.

    6. Соблюдение требований Субобработчиками и ответственность в случае их нарушения. Использование Поставщиком услуг Субобработчиков не уменьшает его обязательств относительно соблюдения настоящего Соглашения о конфиденциальности данных или применимого Законодательства о защите данных. Поставщик несет ответственность перед Seagate за предоставление услуг, Нарушения конфиденциальности данных, а также нарушения настоящего Соглашения о конфиденциальности данных и применимого Законодательства о защите данных своими Субобработчиками в той же мере, как если бы такие нарушения были допущены самим Поставщиком.

    7. Обязательства, относящиеся к Персоналу Поставщика и его Субобработчикам. Поставщик должен принять меры для того, чтобы все лица и Субобработчики, имеющие доступ к Персональным данным Seagate, заключили письменные соглашения о соблюдении конфиденциальности и защите данных, налагающие ограничения, не уступающие по строгости предусмотренным в настоящем Соглашении о конфиденциальности данных. Поставщик обязан обеспечить соблюдение всех обязательств по обеспечению конфиденциальности и защите данных и после завершения этими лицами действий по Обработке для Seagate. Это обязательство действует бессрочно либо по крайней мере до тех пор, пока Поставщик не засвидетельствует, что все Персональные данные Seagate удалены, уничтожены и не подлежат восстановлению.

    8. Ограничение доступа. Поставщик обязан ограничить круг лиц, имеющих доступ к Персональным данным Seagate, теми представителями Персонала Поставщика и Субобработчиками, которым такой доступ необходим для исполнения Поставщиком своих обязательств по соглашениям между сторонами и/или их Аффилированными лицами либо письменных указаний Seagate, причем такие лица должны а) пройти обучение по требованиям защиты данных и безопасности, а также б) принять обязательство по соблюдению требований к конфиденциальности данных не менее строгих, чем соответствующие требования Seagate, во время и после Обработки в интересах Seagate.

    9. Уведомления о запросах и претензиях. За исключением запрещенных законом случаев, Поставщик должен уведомлять компанию Seagate по адресу data.protection.officer@seagate.com в течение 2 рабочих дней после получения обо всех обращениях и претензиях, относящихся к Обработке Персональных данных Seagate, включая:

      1. запросы от Субъектов данных относительно переносимости данных, запросы на доступ, изменение, удаление, ограничение доступа и т. п.;

      2. претензии и заявления относительно нарушения прав Субъекта данных в результате Обработки.

    10. Действия со стороны Поставщика. Поставщик не должен реагировать на какие-либо запросы или претензии согласно разделу 2.9 без явного разрешения компании Seagate. Поставщик должен взаимодействовать с компанией Seagate по вопросам реагирования на любые запросы и претензии, в том числе на запросы на удаление данных. Поставщик должен стараться обеспечить применение надлежащих процессов (включая меры технического и организационного характера) с целью содействовать компании Seagate в реагировании на запросы и претензии, кроме тех случаев, когда это запрещено законом.

    11. Запросы на раскрытие данных. Если это не запрещено законом, Поставщик должен незамедлительно уведомлять компанию Seagate о получении любых документов, требующих принудительного раскрытия Персональных данных Seagate или подразумевающих его (это могут быть запросы в устной или письменной форме, запросы информации или документов в рамках судопроизводства, судебные запросы о предоставлении документов или явке для дачи показаний, а также аналогичные запросы и судебные вызовы, далее в совокупности — Запросы на раскрытие данных). Если Запрос на раскрытие данных не носит обязательного характера, Поставщик не должен на него реагировать. Если Запрос на раскрытие данных является обязательным к исполнению, Поставщик должен, если только это не запрещено применимым законодательством, уведомить о нем компанию Seagate не позднее, чем за 48 часов до реагирования на него, чтобы компания Seagate могла воспользоваться имеющимися у нее правами для предотвращения или ограничения раскрытия соответствующей информации. Поставщик должен приложить разумные усилия для предотвращения или ограничения любого раскрытия информации и соблюдения конфиденциальности Персональных данных Seagate. Поставщик обязан взаимодействовать с компанией Seagate по всем вопросам, касающимся реагирования на Запросы о раскрытии данных, включая взаимодействие в целях получения соответствующего охранного судебного приказа или другого средства защиты конфиденциальности Персональных данных Seagate.

    12. Взаимодействие.Поставщик должен оказывать помощь компании Seagate в выполнении ею своих обязательств в рамках Законодательства о защите данных, относящихся к: а) регистрации и уведомлению; б) подотчетности; в) обеспечению защиты Персональных данных Seagate; г) оценке результативности мер по обеспечению конфиденциальности и защите данных, а также проведению соответствующих консультаций с Надзорными органами.

    13. Участие в регуляторных расследованиях. Поставщик должен оказывать компании Seagate содействие и поддержку в проведении любых расследований, инициированных Надзорными органами, в той части, в которой такое расследование касается Персональных данных Seagate, обработанных Поставщиком или его Субобработчиком.

    14. Уведомление о возможных нарушениях или о неспособности соблюдать требования. Поставщик должен безотлагательно уведомить компанию Seagate, если:

      1. у Поставщика имеются основания полагать, что какие-либо инструкции компании Seagate по обработке Персональных данных Seagate нарушают применимое законодательство;

      2. у Поставщика имеются основания полагать, что он не в состоянии обеспечить соблюдение каких-либо своих обязательств в соответствии с настоящим Соглашением о конфиденциальности данных или Законодательством о защите данных и не сможет исправить ситуацию с их несоблюдением в разумные сроки;

      3. Поставщику становится известно о каких-либо обстоятельствах или об изменениях в применимом законодательстве, которые, вероятно, помешают ему соблюдать свои обязательства по настоящему Соглашению о конфиденциальности данных.

    15. Приостановка или корректировка Обработки данных в целях соблюдения требований. Seagate может приостановить право Поставщика или его Субобработчиков на Обработку Персональных данных Seagate с целью предотвратить возможные нарушения или несоблюдение применимого законодательства, настоящего Соглашения о конфиденциальности данных и любых применимых соглашений между сторонами и/или их Аффилированными лицами относительно конфиденциальности или защиты данных. Поставщик должен взаимодействовать с компанией Seagate в целях предотвращения возможных нарушений или несоблюдения требований, корректируя соответствующим образом свои процессы Обработки данных. Если принять корректирующие меры не представляется возможным, Seagate имеет право расторгнуть любые применимые соглашения между сторонами и/или их Аффилированными лицами без какого-либо возмещения затрат Поставщику или ответственности перед ним.

  3. ПЕРЕДАЧА ДАННЫХ


    1. Стандартные условия Европейского экономического пространства. В случае передачи Поставщиком полученных в пределах ЕЭЗ Персональных данных получателю за пределами этой территории, в отношении которого не было принято Решение о достаточности мер, Поставщик обязан принять Стандартные условия. Поставщик должен принять меры для того, чтобы все Субобработчики также приняли Стандартные условия, если это применимо.

    2. Положения о других юрисдикциях. Там, где это применимо, Поставщик обязуется соблюдать все требования в отношении определенных юрисдикций, изложенные в Приложении 1.

  4. СООТВЕТСТВИЕ ТРЕБОВАНИЯМ И ПОДОТЧЕТНОСТЬ


    1. Соответствие требованиям. Поставщик обязуется проследить за тем, чтобы Обработка Персональных данных Seagate осуществлялась им и Субобработчиками в соответствии со всеми применимыми законами, механизмами саморегулирования и договорными требованиями, применимыми к Поставщику и Субобработчикам. Поставщик должен проводить ежегодную проверку процессов и процедур Поставщика и Субобработчиков на предмет их соответствия требованиям настоящего Соглашения о конфиденциальности данных и всем применимым законам. Поставщик обязан за свой счет по требованию компании Seagate демонстрировать ей соблюдение им условий по обеспечению безопасности и защите данных в соответствии с этим Соглашением о конфиденциальности данных.

    2. Учет операций по Обработке. Поставщик обязан поддерживать в актуальном состоянии информацию о своем представителе и ответственном лице по защите данных, категориях выполненных операций по Обработке, операциях трансграничной передачи данных, общие сведения о мерах безопасности, принятых в связи с Обрабатываемыми данными, информацию об имени, контактных данных и действиях по Обработке каждого Субобработчика Персональных данных Seagate, а также, если это применимо, представителе и ответственном лице по защите данных Субобработчика. Поставщик обязан по требованию предоставлять компании Seagate актуальную копию и историю этих данных.

    3. Проверка. Поставщик обязан по письменному требованию предоставлять компании Seagate всю необходимую информацию, демонстрирующую соблюдение настоящего Соглашения о конфиденциальности данных, а также предоставлять необходимый доступ и содействовать проведению проверок (в том числе на своей территории) компанией Seagate или независимыми аудиторами по ее поручению в связи с Обработкой Персональных данных Seagate. Любой такой независимый аудитор должен будет заключить со сторонами договор о неразглашении информации. Поставщик должен в разумно обоснованные сроки устранять любые недостатки, связанные с несоблюдением предъявляемых требований. Если устранить нарушения не представляется возможным, Seagate имеет право расторгнуть любые применимые соглашения между сторонами и/или их Аффилированными лицами без какого-либо возмещения затрат Поставщику или ответственности перед ним.

  5. ОБЯЗАННОСТИ ПОСТАВЩИКА В СЛУЧАЕ НАРУШЕНИЯ КОНФИДЕНЦИАЛЬНОСТИ ДАННЫХ


    1. Уведомление о Нарушении конфиденциальности данных. Поставщик обязуется незамедлительно и в любом случае в течение 24 часов после того, как ему стало известно о предполагаемом Нарушении конфиденциальности данных, в письменной форме уведомить об этом компанию Seagate. При этом он обязуется безотлагательно:

      1. отправить уведомление о Нарушении конфиденциальности данных компании Seagate по адресу data.protection.officer@seagate.com;

      2. расследовать происшествие или оказать в этом необходимое содействие;

      3. предоставить Seagate подробную информацию о Нарушении конфиденциальности данных, в том числе, помимо прочего, о категориях, местоположении и примерном количестве затронутых Нарушением Субъектов данных, а также категориях, местоположении и примерном количестве записей Персональных данных Seagate, а также в дальнейшем оперативно предоставлять компании Seagate дополнительную информацию о Нарушении конфиденциальности данных по мере ее поступления;

      4. принять все коммерчески оправданные меры для устранения последствий происшествия или помочь Seagate в этом;

      5. реализовать коррекционный план, утвержденный Seagate, и контролировать устранение брешей и уязвимостей, связанных с защитой Персональных данных, чтобы обеспечить своевременное принятие должных мер.

    2. Меры по локализации, коррекции и устранению последствий. Поставщик обязан незамедлительно принять меры по локализации, коррекции и устранению последствий Нарушения конфиденциальности данных и предотвращению дальнейших таких нарушений, а также все необходимые меры для обеспечения соблюдения применимого Законодательства о защите данных и отраслевых стандартов с целью локализации, коррекции и устранения последствий Нарушения конфиденциальности данных.

    3. Сообщения и публикации.Поставщик никоим образом не должен приводить в своих сообщениях и публикациях, связанных с Нарушением конфиденциальности данных, информацию, идентифицирующую компанию Seagate или с обоснованной вероятностью могущую ее идентифицировать, не получив на это предварительного согласия Seagate.

    4. Сохранение доказательств. У Поставщика должен быть план реагирования на происшествия. При обнаружении Нарушения конфиденциальности данных Поставщик должен обеспечить сохранность доказательств такого Нарушения и четкое соблюдение порядка субординации в соответствии со своим планом реагирования на происшествия.

    5. Взаимодействие. Поставщик должен взаимодействовать с компанией Seagate в рамках любых судебных процессов, расследований и других действий, необходимых для защиты прав Seagate в связи с использованием, раскрытием, защитой и хранением Персональных данных Seagate. Поставщик также обязуется оказывать разумную помощь и содействие по требованию компании Seagate и/или назначенных ею представителей в дальнейшей локализации, устранении и расследовании любого Нарушения конфиденциальности данных и/или в нейтрализации любого потенциального ущерба, включая уведомление по решению Seagate затронутых Нарушением Субъектов данных, регуляторов и третьих лиц и/или предоставление затронутым Субъектам данных услуг по информированию на усмотрение Seagate. Поставщик несет ответственность по возмещению компании Seagate обоснованных расходов в связи с Нарушением конфиденциальности данных со стороны Поставщика, в том числе, помимо прочего, на расследование, устранение последствий и уведомление.

  6. ВОЗВРАТ И БЕЗВОЗВРАТНОЕ УДАЛЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ SEAGATE


    1. Целостность данных. Поставщик обязуется соблюдать все инструкции компании Seagate по сохранению целостности данных, включая: а) удаление Персональных данных Seagate, которые хранятся у Поставщика, но для предоставления Услуг более не требуются; б) принятие необходимых мер для того, чтобы все Персональные данные Seagate, создаваемые Поставщиком в интересах компании Seagate, были точными и своевременно обновлялись; в) предоставление компании Seagate по ее требованию доступа ко всем Персональным данным Seagate. Все указанные действия должны производиться в соответствии с применимым законодательством.

    2. Возврат и удаление Персональных данных Seagate. Поставщик обязуется в соответствии с указаниями Seagate а) по требованию Seagate или, если это произойдет раньше, б) по истечении срока действия либо расторжения соглашений между сторонами и/или их Аффилированными лицами в отношении Обработки Персональных данных Seagate экспортировать (и дать инструкции экспортировать своим Субобработчикам) Персональные данные Seagate либо предоставить компании Seagate или назначенному ею представителю возможность экспортировать все Персональные данные Seagate в машиночитаемом и функционально совместимом формате, определенном Seagate. Поставщик обязан хранить Персональные данные Seagate в течение периода разумно необходимого, на усмотрение компании Seagate, для полного доступа к Персональным данным Seagate и их экспорта, без каких-либо издержек для Seagate. Каждая из сторон должна указать контактное лицо, отвечающее за перенос Персональных данных Seagate, и действовать оперативно, усердно и добросовестно для обеспечения своевременной передачи данных. В течение 90 дней после того, как Seagate а) подтвердит получение и корректность переноса Персональных данных Seagate или б) уведомит Поставщика о решении не переносить их, Поставщик и Субобработчики обязуются уничтожить все Персональные данные Seagate, удалить их связи с идентификаторами рабочих областей Seagate, а также перезаписать с использованием новой информации либо уничтожить Персональные данные Seagate иным образом с применением утвержденного метода очистки.

    3. Уничтожение Персональных данных Seagate. При утилизации каких-либо Персональных данных Seagate в печатной, электронной или иной форме Поставщик обязуется принять все разумные меры (с учетом важности Персональных данных Seagate) для их уничтожения путем а) измельчения, б) удаления и очистки без возможности восстановления, в) размагничивания или г) изменения на соответствующих носителях иным образом так, чтобы исключить возможность последующего считывания, реконструкции и расшифровки Персональных данных Seagate. Если Поставщик списывает или каким-либо иным образом выводит из эксплуатации жесткий диск, на котором находится копия Персональных данных Seagate, Поставщик обязан сделать Персональные данные Seagate нечитаемыми посредством физического дробления или уничтожения жесткого диска без возможности его восстановления в соответствии с требованиями NIST 800-88 (редакция 1). Поставщик должен письменно подтвердить, что жесткий диск был физически раздроблен или уничтожен и что Персональные данные Seagate не могут быть прочитаны, извлечены или восстановлены каким-либо иным образом.

    4. Уведомление о продлении срока сохранения данных. Если у Поставщика имеются какие-либо юридические обязательства, требующие продления срока хранения Персональных данных Seagate, который допускается настоящим Соглашением о конфиденциальности данных, Поставщик обязуется в письменной форме уведомить компанию Seagate о своих обязательствах. Поставщик может только хранить Персональные данные Seagate, если того требуют его юридические обязательства, но не обрабатывать их, и обязуется вернуть либо уничтожить Персональные данные Seagate в максимально короткий срок по истечении предписанного законодательством периода их сохранения. Настоящее Соглашение о конфиденциальности данных остается в силе до тех пор, пока Поставщик сохраняет возможность распоряжаться Персональными данными Seagate, контроль над ними или доступ к ним.

    5. Документирование. Поставщик обязуется документировать продление срока хранения Персональных данных Seagate или их удаление в соответствии с настоящим Соглашением о конфиденциальности данных. По требованию Seagate Поставщик обязан предоставить документы о хранении данных, а также письменное подтверждение факта надежного уничтожения Персональных данных Seagate в соответствии с настоящим Соглашением о конфиденциальности данных.

  7. ПРОЧИЕ ПОЛОЖЕНИЯ


    1. Срок действия соглашения. Настоящее Соглашение о конфиденциальности данных остается в силе, пока i) между сторонами нет других действующих соглашений и ii) Поставщик сохраняет возможность распоряжаться Персональными данными Seagate, контроль над ними или доступ к ним.

    2. Порядок приоритетности. В случае каких-либо противоречий между настоящим Соглашением о конфиденциальности данных и какими-либо другими соглашениями между сторонами и/или их Аффилированными лицами приоритет имеют положения Соглашения о конфиденциальности данных за исключением любых расхождений, связанных с Приложением 2 («Стандарты безопасности»), в каковом случае приоритет имеют указанные другие соглашения. Настоящее Соглашение о конфиденциальности данных никак не ограничивает действие Стандартных условий, но служит дополнением к ним.

    3. Обновления. Стороны будут взаимодействовать в разумном объеме для обновления настоящего Соглашения о конфиденциальности данных путем заключения договоров в письменном виде с целью обеспечить соответствие применимым законам и нормативным предписаниям.

    4. Сторонние бенефициары. Аффилированные лица компании Seagate являются предполагаемыми сторонними бенефициарами по отношению к настоящему Соглашению о конфиденциальности данных, как если бы каждый из них являлся подписавшей настоящее Соглашение стороной. Компания Seagate также может требовать в судебном порядке принудительного исполнения положений настоящего Соглашения о конфиденциальности данных от имени своих аффилированных лиц (вместо того, чтобы ее Аффилированные лица вчиняли иски Поставщику по отдельности).

    5. Раскрытие Соглашения о конфиденциальности данных Надзорному органу. Seagate может предоставить краткое изложение или копию настоящего Соглашения о конфиденциальности данных любому Надзорному органу.

    6. Делимость. В случае если какое-либо положение Соглашения о конфиденциальности данных будет признано недействительным или ничтожным, это никак не повлияет на остальные его положения. Стороны обязуются заменить недействительное или ничтожное положение законным и действительным, отражающим исходные намерения замененного положения. В случае отсутствия необходимого положения стороны обязуются, действуя добросовестным образом, добавить соответствующие условия.

    7. Экземпляры документа.Настоящее Соглашение о защите конфиденциальности может быть заверено электронной подписью, и такая подпись считается эквивалентной оригиналу, в том числе в доказательных целях. Настоящее Соглашение о защите конфиденциальности может быть подписано в двух или нескольких экземплярах, ни один из которых не обязан содержать подписи обеих сторон и каждый из которых считается оригиналом, а все такие экземпляры вместе представляют один и тот же документ.

    8. Толкование. Заголовки Соглашения о конфиденциальности данных приведены исключительно для ссылки и не влияют на его толкование.

ПРИЛОЖЕНИЕ 1

ТРЕБОВАНИЯ ПО ЗАЩИТЕ ДАННЫХ В ОПРЕДЕЛЕННЫХ ЮРИСДИКЦИЯХ

Ниже изложены требования для различных юрисдикций.

  1. АВСТРАЛИЯ


    1. Применимость. Положения настоящего раздела 1 действуют в отношении а) получения Поставщиком Персональных данных Seagate от Аффилированного лица, расположенного в Австралии, или доступа к таким данным, а также б) уведомления компанией Seagate Поставщика о том, что в отношении Персональных данных Seagate действуют такие требования.

    2. Членство в профессиональном или профсоюзном объединении. Термин «Конфиденциальная информация» также включает Персональные данные, связанные с членством лица в профессиональном или профсоюзном объединении.

    3. Австралийские принципы обеспечения конфиденциальности. При работе с Персональными данными Seagate и предоставлении услуг по настоящему Соглашению о конфиденциальности данных Поставщик обязуется соблюдать все применимые обязательства по Закону о конфиденциальности данных (Privacy Act) от 1988 г. (Cth), включая Австралийские принципы обеспечения конфиденциальности.

    4. Уведомление об использовании или раскрытии данных в правоприменительных целях.В случае если Поставщик использует или раскрывает Персональные данные в рамках правоприменительных действий, проводимых правоохранительными или правоприменительными органами либо в интересах последних, Поставщик должен вести документальный учет использования и раскрытия таких данных, оперативно представляя копию этих сведений компании Seagate, если это не запрещено законодательством.

    5. Идентификационные данные, используемые государственными органами Австралии. В случаях когда Персональные данные включают официальные идентификационные данные, применяемые госорганами Австралии, Поставщик: а) не должен заимствовать такой официальный идентификатор в качестве собственного для обозначения какого-либо лица, если на это нет прямого указания компании Seagate; б) не должен использовать или раскрывать официальный идентификатор госорганов Австралии, за исключением случаев, когда это разумно необходимо для удостоверения личности какого-либо лица, а также тогда, когда это делается по указанию компании Seagate.

    6. Сбор Персональных данных. В ситуации, когда в соответствии с указаниями Seagate Поставщик обязан вести сбор персональных данных от имени Seagate, Поставщик а) должен обратиться к Seagate за указаниями относительно i) любой информации, которая должна быть предоставлена Субъекту данных в связи со сбором его персональных данных, а также ii) любого согласия, необходимого в целях прямого маркетинга, и б) не имеет права вести сбор Важной информации либо собирать ее без согласия Субъекта данных.

    7. Соглашения Поставщика с государственными органами Австралии. Если Seagate выступает в качестве поставщика услуг по договору с государственным органом Австралии на федеральном уровне, уровне штата или территории, то в той степени, в какой компания Seagate обязана соблюдать дополнительные обязательства по защите данных в рамках соглашения с соответствующим госорганом, она наложит эквивалентные обязательства на Поставщика согласно требованиям применимых законов Австралии. Seagate и Поставщик обязуются при необходимости заключать дополнительные соглашения, отражающие такие обязательства.

  2. ЯПОНИЯ


    1. Применимость. Положения раздела 2 относятся к Персональным данным Seagate, которые Поставщик получает от расположенного в Японии Аффилированного лица Seagate или к которым он осуществляет доступ по разрешению такого лица.

    2. Персонал Поставщика. Поставщик отвечает за соблюдение своим Персоналом положений Соглашения о конфиденциальности данных.

    3. Меры по управлению трудоустройством. Поставщик обязан обеспечить защиту Персональных данных Seagate, относящихся к трудоустройству, в соответствии с требованиями директивы по управлению трудоустройством Министерства здравоохранения, труда и социального обеспечения.

    4. Ознакомление с Персональными данными в процессе выполнения рабочих обязанностей. Поставщик должен проследить за тем, чтобы его работники не раскрывали и не присваивали неправомерно Персональные данные Seagate, которые стали известны им при выполнении ими своих рабочих обязанностей.

    5. Согласие на передачу или разглашение данных. Поставщик должен получать предварительное письменное согласие компании Seagate на раскрытие или передачу номеров социального страхования и налоговых идентификаторов любому третьему лицу (в том числе любому Аффилированному лицу), не являющемуся одной из сторон данного Соглашения о конфиденциальности данных, включая всех Субобработчиков.

    6. Возвращение или уничтожение данных после достижения поставленной цели. Поставщик должен прекратить Обработку и вернуть либо уничтожить имеющиеся у него Персональные данные Seagate после достижения им цели, поставленной при сборе этих данных.

    7. Цели резервного копирования.Поставщик не имеет права копировать или воспроизводить Персональные данные Seagate, за исключением случаев, когда это делается в целях резервного копирования.

  3. РЕСПУБЛИКА КОРЕЯ


    1. Применимость. Положения раздела 3 относятся к Персональным данным Seagate, которые Поставщик получает от расположенного в Республике Корея Аффилированного лица Seagate или к которым он осуществляет доступ по разрешению такого лица.

    2. Ограничение доступа.Поставщик обязан ограничить круг лиц, имеющих доступ к Персональным данным, теми работниками Поставщика, которым такой доступ обоснованно необходим для Обработки этих данных.

    3. Требуемые меры по обеспечению защиты.Поставщик должен разработать, внедрить и контролировать защитные меры, в том числе:

      1. внутренние процедуры, обеспечивающие защиту операций с Персональными данными;

      2. технические средства защиты, такие как брандмауэры, антивирусное и антивредоносное программное обеспечение;

      3. средства ограничения физического доступа, такие как замки;

      4. меры для предотвращения изменений и фальсификации данных в журнале регистрации доступа и регистрационных записях Обработки данных;

      5. меры обеспечения безопасного хранения и передачи Персональных данных, такие как шифрование Персональных данных в соответствии с требованиями Закона о защите персональных данных (PIPA), нормативными положениями, обеспечивающими его выполнение, Закона о поощрении использования информационно-коммуникационной сети и защите информации (PICNU), нормативными положениями, обеспечивающими его выполнение, Закона об использовании и защите кредитной информации (UPCIA) или других законов Республики Корея в зависимости от ситуации.

    4. Особые случаи шифрования идентификационных данных.Поставщик должен шифровать гражданский идентификационный номер, номер водительского удостоверения и номер паспорта в следующих случаях:

      1. при передаче этих данных через информационную или коммуникационную сеть;

      2. при их хранении на портативном носителе или внешнем периферийном устройстве;

      3. при их хранении во внешней компьютерной сети или в демилитаризованной зоне либо на каком-либо персональном компьютере или мобильном устройстве;

      4. при их хранении во внутренней сети Поставщика, если системы Поставщика не соответствуют критериям риска, принятым в компании Seagate.

    5. Шифрование паролей и биометрических данных. Поставщик должен шифровать все пароли и биометрические данные, хранимые в любой форме.

    6. Предварительное информирование перед раскрытием данных. Поставщик должен заблаговременно информировать компанию Seagate о раскрытии или передаче Персональных данных Seagate стороннему обработчику данных. По запросу компании Seagate Поставщик предоставляет следующую информацию: а) список операций по Обработке данных, которые будут производиться на субподрядной основе; б) идентификационные данные стороннего обработчика данных; в) список изменений, касающихся пунктов а) и б).

    7. Обучение. Поставщик будет участвовать во всех учебных мероприятиях, проводимых для него компанией Seagate, с целью надлежащей защиты Персональных данных Seagate от кражи, утечки, изменения или повреждения в ходе их Обработки.

  4. ТАЙВАНЬ


    1. Применимость. Положения раздела 4 относятся к Персональным данным Seagate, которые Поставщик получает от расположенного на Тайване Аффилированного лица Seagate или к которым он осуществляет доступ по разрешению такого лица.

    2. Субобработчики. Невзирая на положения раздела 2.4 Соглашения о конфиденциальности данных, Поставщик не будет раскрывать или передавать Персональные данные Seagate какому-либо Субобработчику без предварительного особого разрешения Seagate, а также предоставлять такому Субобработчику доступ к подобным данным.

    3. Ограниченное время Обработки данных.Период Обработки Персональных данных Seagate Поставщиком должен ограничиваться периодом, необходимым для достижения целей такой Обработки, если только стороны не договорились об иной его продолжительности.

    4. Сохранение данных регистрации доступа. Поставщик должен сохранять данные регистрации доступа так долго, как это необходимо для обеспечения их периодической проверки на предмет выявления случаев несанкционированного доступа.

ПРИЛОЖЕНИЕ 2

СТАНДАРТЫ БЕЗОПАСНОСТИ

Это Приложение содержит минимальные меры безопасности, которые должен принимать Поставщик. Если какие-либо соглашения между сторонами требуют от Поставщика принятия более серьезных или обширных мер, он обязан следовать этим требованиям. Поставщик обязан поддерживать в действии и применять различные политики, стандарты и процессы, направленные на защиту Персональных данных Seagate и другой информации согласно отраслевым стандартам, таким как Программа обеспечения кибербезопасности NIST и спецификации ISO 27001 или 27002, с каковыми стандартами должны быть ознакомлены сотрудники Поставщика.

  1. Политики и стандарты информационной безопасности. Поставщик обязан установить требования к персоналу и всем своим субподрядчикам, поставщикам и агентам, имеющим доступ к Персональным данным Seagate, для достижения перечисленных ниже целей.

    1. Предотвращение несанкционированного доступа к системам обработки Персональных данных Seagate (физический контроль доступа).

    2. Предотвращение несанкционированного использования систем обработки Персональных данных Seagate (логический контроль доступа).

    3. Обеспечение для лиц, имеющих право на использование систем обработки Персональных данных Seagate, доступа лишь к тем Персональным данным Seagate, которые должны быть предоставлены им в соответствии с назначенными им правами, а также обеспечение невозможности для таких лиц считывать, копировать, изменять и удалять Персональные данные Seagate в ходе их обработки или использования либо после завершения периода их хранения без соответствующего разрешения (контроль доступа к данным).

    4. Защита Персональных данных Seagate от считывания, копирования, изменения и удаления без соответствующего разрешения во время их передачи, пересылки и хранения в электронном виде, а также обеспечение возможности установить и верифицировать целевых получателей любой операции передачи Персональных данных Seagate, осуществляемой с помощью соответствующих средств передачи данных (контроль передачи данных).

    5. Создание журнала аудита для документирования доступа к Персональным данным Seagate, их изменения, передачи и изъятия из процессов обработки с регистрацией лиц, осуществляющих подобные действия (контроль записей).

    6. Обеспечение неукоснительного соблюдения инструкций по обработке Персональных данных Seagate (контроль соблюдения инструкций).

    7. Защита Персональных данных Seagate от случайного уничтожения или потери (контроль доступности).

    8. Обеспечение раздельной обработки Персональных данных Seagate, собранных с разными целями (контроль разделения).

    9. Поставщик обязан проводить периодическую оценку и проверку рисков, а также по мере необходимости пересматривать свои принципы информационной безопасности не реже раза в год либо в случае внесения в бизнес-процессы Поставщика существенных изменений, обоснованно могущих повлиять на безопасность, конфиденциальность или целостность Персональных данных Seagate, при условии, что Поставщик не имеет права вносить в свои принципы информационной безопасности какие-либо изменения, способные ослабить или поставить под угрозу конфиденциальность, доступность или целостность Персональных данных Seagate.

  2. Обеспечение физической безопасности. Поставщик обязан обеспечивать работоспособность коммерчески обоснованных систем безопасности на всех своих объектах, где расположены информационные системы, используемые для обработки или хранения Персональных данных Seagate. Поставщик обязан обоснованно ограничить доступ к таким Персональным данным Seagate надлежащим образом.

  3. Организационная безопасность.


    1. Должны соблюдаться процедуры утилизации или повторного использования носителей, которые исключали бы последующее восстановление Персональных данных Seagate, хранившихся на этих носителях до их списания. При перемещении носителей за пределы территории, на которой расположены файлы, в ходе работ по техническому обслуживанию должны соблюдаться процедуры, исключающие несанкционированный доступ к хранящимся на таких носителях Персональным данным Seagate.

    2. Поставщик обязан внедрить политики и процедуры безопасности для классификации объектов Важной информации, разъяснения обязанностей в области безопасности и повышения информированности сотрудников по этим вопросам.

    3. Все происшествия в области безопасности с Персональными данными Seagate должны разрешаться в соответствии с надлежащими процедурами реагирования.

    4. Поставщик обязан шифровать всю Важную информацию на этапах передачи и хранения с применением стандартных для отрасли инструментов.

  4. Защита сети. Поставщик обязан обеспечить безопасность сети с применением коммерчески доступного оборудования и стандартных для отрасли технологий, включая брандмауэры, системы обнаружения и предотвращения проникновения, списки контроля доступа и протоколы маршрутизации.

  5. Контроль доступа.


    1. Поставщик обязан применять надлежащие средства контроля доступа, включая, помимо прочего, ограничение доступа к Персональным данным Seagate до минимального круга лиц из состава Персонала Поставщика, которым необходим такой доступ.

      1. Предоставлять, изменять и отзывать права доступа к информационным системам, используемым для обработки и хранения Персональных данных Seagate, должны только уполномоченные сотрудники. Поставщик обязуется вести надлежащий учет доступа и по требованию предоставлять соответствующие данные компании Seagate.

      2. Должны быть установлены процедуры администрирования пользователей, определяющие их роли и права доступа, порядок предоставления, изменения и отзыва таких прав, регламентирующие разделение обязанностей, а также определяющие требования к журналированию и мониторингу вместе с соответствующими механизмами.

      3. Всем сотрудникам Поставщика должны быть присвоены уникальные идентификаторы.

      4. Права доступа должны назначаться в соответствии с принципом минимальных необходимых разрешений.

      5. Поставщик обязан принять коммерчески обоснованные физические и электронные меры безопасности для создания и защиты паролей.

  6. Нейтрализация вирусов и вредоносных программ. Поставщик должен установить и обновлять в своей системе последние версии программного обеспечения для борьбы с вирусами и вредоносными программами, а также регулярно проводить проверку и сканирование системы на предмет таких программ с целью защиты Персональных данных Seagate от возможных угроз и рисков, несанкционированного доступа и использования.

  7. Персонал. Прежде чем предоставлять доступ к Персональным данным Seagate Персоналу Поставщика, Поставщик должен обязать свой Персонал соблюдать требования своей Программы информационной безопасности. Поставщик должен внедрить программу информирования по вопросам безопасности, в рамках которой он должен обучать свой персонал исполнению своих обязательств в области безопасности. Такая программа должна предусматривать обучение по вопросам, связанным с обязательствами по классификации данных, средствами физического контроля, правилами безопасности и информированием о происшествиях. У Поставщика должны быть установлены четкие роли и обязанности для сотрудников. Перед приемом на работу сотрудник должен проходить надлежащую проверку в соответствии с положениями и условиями трудоустройства. Сотрудники Поставщика обязаны неукоснительно следовать установленным политикам и процедурам безопасности. В случае Нарушения конфиденциальности данных со стороны сотрудников должны применяться соответствующие процедуры дисциплинарного воздействия.

  8. Непрерывность бизнес-процессов. Поставщик обязан внедрить надлежащие планы резервирования и восстановления после сбоев, а также обеспечения непрерывности бизнес-процессов. Поставщик обязан регулярно пересматривать план обеспечения непрерывности бизнеса и проводить переоценку рисков. Планы обеспечения непрерывности должны периодически тестироваться и обновляться с целью гарантировать их актуальность и эффективность.

  9. Основное ответственное лицо по вопросам безопасности. Поставщик должен предоставить компании Seagate информацию о назначенном им основном ответственном лице по вопросам безопасности. Это лицо будет отвечать за контроль и координацию исполнения Поставщиком обязательств, изложенных в Программе информационной безопасности Поставщика и в настоящем Соглашении о конфиденциальности данных.

  10. Проверка. Компания Seagate имеет право проверять соблюдение Поставщиком обязательств, изложенных в этом Приложении 2, в соответствии с разделом 4.4 «Проверка» настоящего Соглашения о конфиденциальности данных.

  11. Нарушение. Если выяснится, что Поставщик нарушил настоящее Соглашение о конфиденциальности данных, он обязуется устранить такое нарушение без необоснованной задержки и в любом случае в течение 30 календарных дней. Принципы действий в случае обнаружения или подозрения относительно Нарушения конфиденциальности данных изложены в разделе 5 «Обязанности поставщика в случае Нарушения конфиденциальности данных» настоящего Соглашения о конфиденциальности данных.

Соглашение о конфиденциальности данных вступает в силу с 11 августа 2020 года.

Информацию о соглашениях, заключенных с 20 ноября 2019 года по 10 августа 2020 года, см. в следующем PDF-файле: Соглашение о конфиденциальности данных от 10 августа 2020 г.

Информацию о соглашениях, заключенных с 31 марта 2019 года по 19 ноября 2019 года, см. в следующем PDF-файле: Требования к защите данных от 20 ноября 2019 г.

Информацию о соглашениях, заключенных до 31 марта 2019 года, см. в следующем PDF-файле: Требования к защите данных от 31 марта 2019 г.