1. Введение и область применения
Настоящая Политика защиты персональных данных (далее — «Политика») описывает политику конфиденциальности компании «ТМФ» в отношении Обработки Персональных данных директоров, должностных лиц и сотрудников, а также, в соответствующих случаях, заказчиков Клиента и/или соответствующих Аффилированных лиц Клиента как часть предоставления Услуг «ТМФ» своим Клиентам. Такие Персональные данные могут храниться в системах компании «ТМФ», Клиентских системах или сторонних системах, к которым компании «ТМФ» предоставляется доступ для предоставления Услуг. В случае предоставления услуг компанией «ТМФ» своим Клиентам, компания «ТМФ» выполняет функции Оператора, а Клиент выполняет функции Контролера.
Данная Политика применяется в глобальном масштабе в отношении всех Услуг, которые компания «ТМФ» оказывает своим Клиентам в соответствии с Соглашениями о предоставлении услуг, подписанными на дату вступления в силу данной Политики или после указанной даты.
Компания «ТМФ» Обрабатывает Персональные данные в интересах Клиента в соответствии с Законодательством о защите данных. В случае необходимости, Соглашение о предоставлении услуг будет дополнено Дополнительным соглашением, в котором будут изложены любые дополнительные вопросы, которые являются специфичными для Клиента и не регулируются данной Политикой.
Настоящая Политика не распространяется на сбор Персональных данных, в отношении которых компания «ТМФ» может рассматриваться как Контролер, если такой сбор осуществляется через наш веб-сайт или с помощью файлов cookie. В этой связи мы ссылаемся на отдельное Положение о конфиденциальности веб-сайта и Политику использования файлов cookie.
Указанная политика доступна на веб-сайте «ТМФ Груп» по следующей ссылке: https://www.tmf- group.com/ru-ru/legal/data-protection/. Компания «ТМФ» оставляет за собой право обновлять данную Политику без консультаций с Клиентами или предварительного информирования Клиентов.
2. Определения
Термины, написанные с заглавной буквы, имеют следующие значения в данной Политике:
a. «Клиент» означает контрагента по Соглашению о предоставлении услуг, заключенному с компанией «ТМФ»
b. «Аффилированное лицо Клиента» означает любое юридическое лицо, аффилированное с Клиентом
c. «Субъекты данных клиента» означает бывших и нынешних директоров, должностных лиц, сотрудников, а также заказчиков Клиента и Аффилированных лиц Клиента
d. «Контролер» означает физическое или юридическое лицо, государственный орган, агентство или иной орган, который самостоятельно или совместно с другими лицами определяет цели и средства обработки персональных данных
e. «Законодательство о защите данных» означает, в отношении любых Персональных данных, Обрабатываемых при исполнении Соглашения об оказании услуг, Общий регламент по защите персональных данных (ЕС) 2016/679 («ОРЗПД»), а также все внедряемые законы и любые другие применимые положения о защите данных, законы или правила о соблюдении конфиденциальности
f. «Персональные данные» означает любую информацию, посредством которой Субъект данных Клиента может быть прямо или косвенно идентифицирован
g. «Обработка» означает любую операцию или набор операций, которые выполняются с персональными данными или с наборами персональных данных, независимо от того, выполняются ли они автоматическими средствами, такие как сбор, запись, организация, структурирование, хранение, адаптация или изменение, извлечение, консультация, использование, раскрытие путем передачи, распространения или иного предоставления, выверка или объединение, ограничение, стирание или уничтожение
h. «Оператор» означает сторону, которая обрабатывает Персональные данные в интересах Контролера
i. «Услуги» означает услуги, предоставляемые компанией «ТМФ» Клиенту в соответствии с Соглашением о предоставлении услуг
j. «Соглашение о предоставлении услуг» означает любой письменный договор, любое письменное задание на оказание услуг или любое другое письменное обязывающее соглашение, включая любые дополнения к нему, между компанией «ТМФ» и Клиентом
k. «Лицо, действующее по поручению Оператора персональных данных» — любой оператор данных, назначенный Оператором для обработки персональных данных в интересах Контролера
l. «ТМФ» означает аффилированное лицо компании «ТМФ», являющееся контрагентом по Соглашению о предоставлении услуг
m. «Аффилированное лицо компании «ТМФ» означает в отношении любого указанного физического или юридического лица любое другое физическое или юридическое лицо, прямо или косвенно контролирующее такое указанное физическое или юридическое лицо, или контролируемое им, или находящееся под прямым или косвенным общим контролем с таким указанным физическим или юридическим лицом. В контексте данного определения «контроль», в случае его использования в отношении какого-либо указанного физического или юридического лица, означает полномочия по управлению или оказанию влияния на руководство или политики такого физического или юридического лица, будь то посредством владения голосующими ценными бумагами, на основании контракта или иным образом. Термины «контролирующий» и «контроль» имеют значение, соответствующее вышеизложенному. Из этого определения специально исключены акционерные компании, контролирующие «ТМФ Груп Б.В.».
3. Персональные данные, обрабатываемые группой компаний «ТМФ Груп»
Сведения о Персональных данных, которые будут обрабатываться компанией «ТМФ» в интересах Клиента, включая продолжительность, цель, типы и категории Персональных данных, а также Лиц, действующих по поручению Оператора персональных данных, если таковые имеются, будут изложены в (Дополнении к) Соглашении(-ю) о предоставлении услуг.
4. Использование персональных данных
Компания «ТМФ» не имеет права обрабатывать, передавать, изменять, исправлять или модифицировать Персональные данные, а также раскрывать или разрешать раскрытие Персональных данных третьим лицам, за исключением случаев:
- необходимости обрабатывать Персональные данные для предоставления Услуг и/или иным образом в соответствии с документально оформленными распоряжениями Клиента, или
- когда это требуется в соответствии с Законодательством о защите данных или другими законами, которыми руководствуется компания «ТМФ», и в этом случае компания «ТМФ» (в случаях, разрешенных законом) информирует Клиента о таком правовом требовании до начала обработки Персональных данных.
Кроме того, компании «ТМФ» разрешается использовать агрегированные данные (в тех случаях, когда они больше не могут рассматриваться в качестве Персональных данных) для целей анализа, для веб-сайта и для внутренних операций, включая устранение неполадок, анализ данных, тестирование, исследования, в статистических целях и для улучшения качества своих Услуг.
5. Действия по поручению Оператора персональных данных
От компании «ТМФ» может потребоваться назначение определенных третьих лиц для предоставления части Услуг Клиенту или оказания помощи в предоставлении технической поддержки, например, поставщиков ИТ-услуг или других поставщиков услуг. Подписывая Соглашение о предоставлении услуг, Клиент уполномочивает компанию «ТМФ» заключать договоры субподряда на обработку персональных данных с Лицами, действующими по поручению Оператора персональных данных. На Лиц, действующих по поручению Оператора персональных данных, в каждом случае распространяются условия, действующие между компанией «ТМФ» и Лицом, действующим по поручению Оператора персональных данных, которые обеспечивают безопасность данных в не меньшей степени, чем предусмотрено настоящей Политикой и Соглашением о предоставлении услуг. Компания «ТМФ» предоставит Клиенту подробную информацию о таком Лице(ах), действующем(их) по поручению Оператора персональных данных, по письменному запросу Клиента. Компания «ТМФ» проинформирует Клиента заранее о любых предполагаемых изменениях относительно добавления или замены Лиц, действующих по поручению Оператора персональных данных, и тем самым предоставит Клиенту возможность представить возражения против таких изменений. Если Клиент не заявит возражения в письменной форме в течение 5 (пяти) дней с момента получения уведомления, считается, что Клиент принял новое лицо, действующее по поручению Оператора персональных данных. Если Клиент заявит возражения в письменной форме в течение 5 (пяти) дней с момента получения уведомления, компания «ТМФ» и Клиент обсудят возможные пути разрешения этого вопроса.
6. Конфиденциальность и безопасность
Компания «ТМФ» соблюдает конфиденциальность Персональных данных и обязуется обеспечить выполнение обязательства по соблюдению конфиденциальности указанных данных своими сотрудниками и Лицами, действующими по поручению Оператора персональных данных. Компания «ТМФ» применяет надлежащие технические и организационные меры для обеспечения уровня безопасности Персональных данных, соответствующего риску, который требуется в соответствии с применимым Законодательством о защите данных, и, в тех случаях, когда Обработка касается персональных данных резидентов ЕС, обязуется принять все меры, требуемые согласно статье 32 ОРЗПД. При оценке соответствующего уровня безопасности компания «ТМФ» должна учитывать, в частности, риски, возникающие при Обработке, в особенности, в результате случайного или незаконного уничтожения, утраты, изменения, несанкционированного раскрытия или доступа к Персональным данным, переданным, хранящимся или проходящим иную обработку. Меры безопасности дополнительно описаны и указаны в документе «Заявление о преемственности», опубликованном на сайте компании «ТМФ» (https://www.tmf-group.com/ru-ru/legal/data-protection/), который является неотъемлемой частью настоящей Политики.
7. Работа с запросами клиентов
Компания «ТМФ» обязуется по запросу и в установленных действующим Законодательством о защите данных случаях обрабатывать запросы Клиента, касающиеся Обработки Персональных данных. В частности, компания «ТМФ» обязуется обрабатывать запросы, которые относятся к правам Субъекта данных клиента, Оценкам воздействия на защиту данных и правам на осуществление аудита, описанным ниже.
Права Субъектов данных Клиента: Компания «ТМФ» действует в соответствии с запросом Клиента, предоставляя последнему возможность соблюдать права Субъекта данных Клиента в отношении Персональных данных и выполнять процедуры оценки, запросов, уведомлений или расследований в соответствии с Законодательством о защите данных. При условии что в каждом отдельном случае Клиент возмещает компании «ТМФ» все расходы в полном объеме (в том числе расходы на внутренние ресурсы и любые расходы третьих лиц), обоснованно понесенные компанией «ТМФ» при выполнении собственных обязательств по данному разделу.
Оценка воздействия на защиту данных: Компания «ТМФ» предоставляет разумную помощь Клиенту в связи со всеми оценками воздействия на защиту данных, необходимыми в соответствии со статьей 35 ОРЗПД, а также в связи с предварительными консультациями с Надзорными органами Клиента, которые требуются согласно Статье 36 ОРЗПД, в каждом отдельном случае в отношении Обработки Персональных данных компанией «ТМФ» в интересах Клиента и с учетом характера обработки и информации, находящейся в распоряжении компании «ТМФ».
Права на проведение аудита: По обоснованному требованию и после соответствующего уведомления компания «ТМФ» оказывает содействие при проведении проверки или аудита, обоснованно необходимых для демонстрации выполнения компанией «ТМФ» обязательств обработчика персональных данных, изложенных в Законодательстве о защите персональных данных и настоящей Политике, в связи с данным Соглашением о предоставлении услуг, при условии, что это требование не будет обязывать компанию «ТМФ» предоставлять доступ к информации, касающейся (i) внутренней информации о ценовой политике компании «ТМФ», (ii) информации, касающейся других Клиентов компании «ТМФ», (iii) любых закрытых внешних отчетов компании «ТМФ», или (iv) любых внутренних отчетов, подготовленных отделом внутреннего аудита компании «ТМФ». Клиент должен не допускать причинения ущерба, нанесения травм или повреждений оборудованию, персоналу и бизнесу компании «ТМФ» при проведении такой проверки или аудита. В соответствии с данным разделом, максимум одна проверка или аудит выполнения Законодательства о защите данных может быть инициирован в течение двенадцати (12) месяцев, если только такой аудит не проводится после утечки Персональных данных, имевшей место по вине компании «ТМФ» в том же периоде. Любые дополнительные аудиторские проверки выполнения Законодательства о защите данных проводятся за счет Клиента.
Запросы Клиента, представленные в разделе 7, будут выполняться в тесном взаимодействии с и под надзором Руководителя по информационной безопасности компании «ТМФ», Руководителя службы обеспечения конфиденциальности информации компании «ТМФ», или аналогичного должностного лица местного органа управления компании «ТМФ».
8. Удаление или возврат персональных данных клиента
Компания «ТМФ» должна по выбору Клиента удалить или вернуть Персональные данные в конце предоставления Услуг применительно к Обработке, за исключением случаев, когда (i) Законодательство о защите данных, (ii) какой-либо закон, регламент, приказ, норма, правило, требование, практика и руководящие положения какого-либо правительства, регламентирующего органа или саморегулируемой организации, которые применяются к Услугам в стране, где предоставляются данные Услуги, или (iii) компетентный суд, наблюдательный или регулятивный орган требуют сохранения таких Персональных данных компанией «ТМФ».
9. Контроль инцидентов
После получения информации об утечке Персональных данных компания «ТМФ» незамедлительно уведомляет Клиента, предоставляя тому достаточную информацию, которая дает Клиенту возможность исполнить любые обязательства относительно извещения об утечке Персональных данных в соответствии с Законодательством о защите данных. По требованию Клиента компания «ТМФ» полноценно сотрудничает с Клиентом и предпринимает обоснованные меры, запрошенные Клиентом, чтобы помочь в расследовании, минимизации последствий и устранении каждого отдельного случая утечки Персональных данных, с тем чтобы Клиент смог (i) провести тщательное расследование утечки Персональных данных и предоставить данные об инциденте в соответствии с требованиями Законодательства о защите данных, например, Статьи 33 (3) ОРЗПД (ii) проработать план ответных действий и (iii) предпринять соответствующие дальнейшие шаги в отношении утечки Персональных данных, чтобы удовлетворить любые требования в соответствии с Законодательством о защите данных («Меры по ликвидации последствий»). В случае если и в объеме, в котором расходы, понесенные компанией «ТМФ» в рамках Мер по ликвидации последствий в соответствии с указаниями Клиента, связаны с утечкой Персональных данных по вине Клиента, Клиент компенсирует расходы на Меры по ликвидации последствий, понесенные компанией «ТМФ». Меры по ликвидации последствий должны быть: (i) начаты без излишнего промедления, (ii) завершены в течение разумного периода времени после установления компанией «ТМФ» факта утечки Персональных данных, и (iii) проведены в течение обычного рабочего времени в местном представительстве, в котором требуется выполнить Меры по ликвидации последствий.
10. Международная передача персональных данных клиента
Всегда с учетом положений раздела 4 данной Политики и если для оказания Услуг требуется международная передача Персональных данных между компанией «ТМФ», ее Аффилированным(ыми) лицом(ами) и/или Лицом(ами), действующим(ими) по поручению Оператора персональных данных., применяются следующие положения (в случае их релевантности):
a. Передача персональных данных Аффилированным лицам компании «ТМФ» в ЕС или из ЕС Персональные данные могут быть переданы (i) одному или нескольким Аффилированным лицам компании «ТМФ» в одном или нескольких Государствах-членах Европейской экономической зоны («ЕЭЗ») или в Швейцарии на основе Законодательства о защите данных или (ii) одному или нескольким Аффилированным лицам компании «ТМФ» в одной или нескольких третьих странах на основе Обязательных корпоративных правил, опубликованных на веб-сайте «ТМФ Груп» (https://www.tmf-group.com/ru-ru/legal/data-protection/). Клиент или соответствующее Аффилированное лицо компании «ТМФ» предоставляет Субъекту данных Клиента по требованию последнего копию таких Обязательных корпоративных правил и настоящей Политики (исключая конфиденциальную информацию коммерческого и иного характера). В тех случаях, когда это разрешено Законодательством о защите данных, компания «ТМФ» получает всю соответствующую разрешительную документацию на такую передачу Персональных данных на основании указанных Обязательных корпоративных правил. Когда Законодательство о защите данных не позволяет компании «ТМФ» получать такую разрешительную документацию для ней самой, Клиент должен своевременно выдать необходимое разрешение соответствующему Аффилированному лицу компании «ТМФ».
b. Передача персональных данных в ЕС или из ЕС Лицам, действующим по поручению Оператора персональных данных Персональные данные могут (i) быть переданы одному или более Лицам, действующим по поручению Оператора персональных данных, (не являющимся аффилированными лицами компании «ТМФ») в одном или нескольких государствах-участниках ЕЭЗ или Швейцарии на основании Законодательства о защите данных, в соответствии с разрешением Клиента из раздела 5 настоящей Политики, либо (ii) одному или нескольким таким Лицам, действующим по поручению Оператора персональных данных, в одной или нескольких третьих странах на основании исключения согласно Законодательству о защите данных или (iii) на основании соответствующих защитных мер, предпринятых компанией «ТМФ» в пределах, разрешенных Законодательством о защите данных, или Клиентом в случаях, когда компания «ТМФ» должна сотрудничать с Клиентом при поиске соответствующих оснований для трансграничной передачи Персональных данных такому Лицу, действующему по поручению Оператора персональных данных. По запросу Клиента, компания «ТМФ» должна его информировать о применимом основании для трансграничной передачи Персональных данных.
c. Прочая передача данных. Если к Персональным данным применяется законодательство о защите данных или конфиденциальности любой страны вне ЕЭЗ или Швейцарии, Клиент дает гарантии, что любая трансграничная передача Персональных данных от компании «ТМФ» в адрес Лица, действующего по поручению Оператора персональных данных, должна быть разрешена с применением дополнительных мер защиты на основании Законодательства о защите данных или на иных основаниях, допустимых Законодательством о защите данных.
11. Ответственность
Клиент гарантирует, что все Персональные данные, обрабатываемые компанией «ТМФ» в интересах Клиента, обрабатываются и будут обрабатываться Клиентом в соответствии с Законодательством о защите данных, включая, среди прочего: (а) обеспечение того, чтобы все уведомления регулирующих органов и разрешения от них, необходимые в соответствии с Законодательством о защите данных, создавались и хранились Клиентом; и (b) обеспечение того, чтобы все Персональные данные обрабатывались добросовестно и правомерно, являлись точными и актуальными, и чтобы Субъектам данных Клиента предоставлялось понятное уведомление, описывающее процесс обработки, выполняемый «ТМФ» в соответствии с Услугами, согласованными в Соглашении о предоставлении услуг.
Компания «ТМФ» несет ответственность за ущерб, причиненный вследствие Обработки, только в тех случаях, если она не выполнила обязательства по Законодательству о защите данных, в частности, по отношению к операторам персональных данных, или если она осуществляла деятельность в нарушение законных распоряжений Клиента, как указано в Соглашении о предоставлении услуг. Клиент несет ответственность за ущерб, причиненный вследствие Обработки Клиентом, в случае нарушения Законодательства о защите данных в процессе такой Обработки. Клиент или Оператор освобождается от ответственности в соответствии с данным разделом 11, если докажет, что он не несет ответственность за событие, повлекшее ущерб.
Если в процессе обработки данных принимают участие несколько Контролеров или Операторов, или и Контролер, и Оператор, и если в соответствии с Соглашением о предоставлении услуг они несут ответственность за ущерб, причиненный Субъекту данных клиента вследствие Обработки, каждый Контролер или Оператор признаются ответственными за ущерб в полном объеме, чтобы обеспечить выплату эффективной компенсации Субъекту(ам) данных клиента. В случае выплаты Контролером или Оператором полной суммы компенсации за причиненный ущерб, такой Контролер или Оператор имеет право требовать от другого(их) Контролера(ов) или Оператора(ов), участвующих в том же процессе Обработки данных, возврата части компенсации, соответствующей их части ответственности за ущерб, в соответствии с условиями, указанными в предыдущем пункте.
За исключением третьего пункта данного раздела 11, гарантии возмещения убытков, обязательства и исключения или ограничения таковых, как указано в Соглашении о предоставлении услуг, также применяются и к обязательствам сторон по данной Политике и Соглашению о предоставлении услуг, а в случае любых противоречий имеют преимущественную силу.
Политика группы компаний «ТМФ Груп» по защите Персональных данных — редакция по состоянию на апрель 2019 г.
Политика группы компаний «ТМФ Груп» по защите Персональных данных — редакция по состоянию на 29.03.2018