Трансграничная передача персональных данных

Цель

Компания Smartsheet Inc. (совместно со своими дочерними компаниями именуемая "Smartsheet") обязуется решать проблемы конфиденциальности и безопасности, а также рассматривать требования своих клиентов, связанные с персональными данными. На этой странице дополнительно изложена позиция Smartsheet в отношении трансграничной передачи персональных данных и представлены гарантии в отношении методов обработки данных Smartsheet в совокупности с онлайн-сервисами и приложениями компании, включая любое соответствующее загружаемое программное обеспечение ("Продукты"), веб-сайты, включая www.smartsheet.com ("Сайты") и основную деятельность компании.

Информация, изложенная на этой странице, не является юридической консультацией. Smartsheet рекомендует вам проконсультироваться с юристом, чтобы ознакомиться с законами и правилами, регулирующими вашу конкретную ситуацию. 

Роли Smartsheet в отношении данных

Как и многие приложения, предлагаемые в формате "программное обеспечение как услуга", Smartsheet действует в отношении персональных данных в двух качествах: в качестве контролёра данных и в качестве обработчика данных.

Smartsheet собирает технические, статистические, полученные или другие данные об использовании, а также информацию о платежах, выставлении счетов, профиле или другую информацию об учётной записи, связанную с покупкой и использованием Предложений и Сайтов в качестве контролёра данных. Уведомление о конфиденциальности Smartsheet — это уведомление для пользователей о конкретных способах, которыми Smartsheet собирает, а затем использует, передаёт и иным образом обрабатывает такие персональные данные для своих законных деловых целей.

Smartsheet выступает в качестве обработчика данных, изображений, файлов или другого контента, который вы загружаете или отправляете в продукты Smartsheet ("Контент клиента"). Клиенты, которым требуются отдельно выделенные условия обработки персональных данных, содержащихся в Контенте клиента, могут заключить Дополнительное соглашение об обработке данных ("DPA") с компанией Smartsheet. Вместе с соглашением, регулирующим использование Продуктов клиентом, и применимым законодательством, Соглашение DPA ограничивает способы, с помощью которых Smartsheet может обрабатывать Контент клиента, и является письменным воплощением инструкций Клиента для Smartsheet по обработке данных.
 

Первичная обработка данных

Хотя компания Smartsheet открыла международные представительства и планирует продолжать завоёвывать международный рынок, её деятельность ведётся преимущественно в Соединённых Штатах, где находится штаб-квартира. Соответственно, как контролёр данных Smartsheet может передавать собранные данные об использовании и информацию об учётной записи системам и персоналу в США для своей основной деятельности. Кроме того, как обработчик данных Smartsheet может получать доступ к Контенту клиента, размещённому в любом регионе Smartsheet, находясь в США, для поддержки и обслуживания Продуктов клиентов. 

Основные виды обработки данных, выполняемые Smartsheet в США, включают следующее:

  • в качестве контролёра данных — в рамках своей основной деятельности и других законных деловых целей в отношении данных, собираемых при вашем взаимодействии со Smartsheet или Сайтами (подробнее см. здесь), и в отношении данных, собираемых при использовании вами Продуктов (подробнее см. здесь); а также
  • в качестве обработчика данных — хостинг службы, техническая поддержка, профессиональные сервисы и инжиниринг только в той степени, в которой позволяет ваше соглашение со Smartsheet, регулирующие использование выбранных вами Продуктов. 
Illustration of a lock on top of a world map

Что такое трансграничная передача персональных данных? 

Трансграничная передача персональных данных ("Трансграничная передача данных") происходит, когда такие данные становятся доступными за пределами Европейской экономической зоны ("ЕЭЗ"). Трансграничная передача может включать хранение персональных данных в стране за пределами ЕЭЗ, а также доступ к персональным данным, хранящимся в ЕС, субобработчиков данных, расположенных за пределами ЕЭЗ (например, для служб поддержки). 

Каковы стандартные договорные условия Европейской комиссии?

Стандартные договорные положения Европейской комиссии ("SCC") представляют собой юридические договоры, заключаемые между сторонами, которые передают персональные данные ЕС за пределы ЕС в страны, в которых отсутствует защита данных на должном или эквивалентном уровне. Первоначальные стандартные договорные положения о передаче данных от контролёра к обработчику были разработаны и одобрены Европейской комиссией в 2010 году. После решения Schrems II Европейская комиссия разработала новые стандартные договорные положения, включающие требования GDPR и решения Schrems II.  Новые SCC подлежали согласованию до 10 декабря 2020 года, а их окончательная версия была опубликована 7 июня 2021 года.  Европейская комиссия предоставляет компаниям переходный период в 18 месяцев для внедрения новых SCC в их существующие контракты.  Обновлённое Соглашение DPA компании Smartsheet включает недавно принятые новые SCC.

Тем клиентам, у которых есть более ранние соглашения, которые не содержат ссылки на SCC или включают предыдущую версию SCC, мы рекомендуем просмотреть обновлённое Соглашение DPA. Если вы определили, что вам требуется обновлённое Соглашение DPA со Smartsheet, вы можете отправить форму согласия с условиями DPA здесь.  При отправке формы копия DPA будет направлена через DocuSign уполномоченному подписывающему лицу, указанному в форме. После подписания копия также будет отправлена лицу, отправившему форму, для учёта.

Map with multiple locations highlighted

Какой механизм использует Smartsheet для передачи персональных данных?

В качестве контролёра Как указано в Уведомлении о конфиденциальности, Smartsheet является контролёром персональных данных, собираемых Smartsheet.  В соответствии с GDPR и нашими обязательствами как контролёра данных у нас есть соответствующие межфирменные договорные соглашения, которые включают Стандартные договорные условия ("SCCs") для законной передачи данных между организациями.

В качестве обработчика данных После решения Schrems II компания Smartsheet обновила своё Соглашение DPA, включив SCC в качестве законного механизма передачи. Как упоминалось выше, Smartsheet недавно обновила своё Соглашение DPA, включив в него последнюю версию SCC. Если вы определили, что вам требуется Соглашение DPA со Smartsheet, вы можете отправить форму согласия с условиями DPA здесь.  При отправке формы копия DPA будет направлена через DocuSign уполномоченному подписывающему лицу, указанному в форме. После подписания копия также будет отправлена лицу, отправившему форму, для учёта. 

Где размещаются Продукты? 

Клиенты имеют возможность выбирать место, где будет размещаться их Контент клиента. Дополнительную информацию можно найти в разделе Trust Center или на странице "Региональные различия". Smartsheet продолжает изучать варианты дополнительных мест размещения данных. Вы можете отправить  запрос на усовершенствование продукта Smartsheet, если вы хотели бы видеть в будущем какой-то конкретный регион или страну в вариантах. 

Передача персональных данных — в соответствии с требованиями закона

Как отмечено в Уведомлении о конфиденциальности Smartsheet, Smartsheet может передавать персональные данные, как того требует закон, в соответствии с действующим юридическим процессом, например повесткой в суд или процедурой банкротства.

При получении запроса на доступ к персональным данным или на их сохранение, в том числе запросов служб национальной безопасности или других правоохранительных органов, Smartsheet в пределах, разрешённых законом, возражает против такого запроса и уведомляет клиента, к которому относятся данные. Однако в некоторых случаях компания Smartsheet может быть обязана по закону предоставлять такие персональные данные в соответствии с правомочным решением компетентного органа и без уведомления клиента о таком запросе. В любом случае такая передача будет осуществлена в соответствии с нашими обязательствами по конфиденциальности, изложенными в соглашении, регулирующем использование Продуктов клиентом (т. е. секцией "Обязательное раскрытие информации" Пользовательского соглашения). 

 

Передача персональных данных: сторонние поставщики услуг и инфраструктуры 

Как указано в Уведомлении о конфиденциальности Smartsheet, компания может передавать персональные данные поставщикам услуг и инфраструктуры. Smartsheet привлекает только тех сторонних поставщиков, которые придерживаются тех же или более высоких стандартов в обеспечении защиты персональных данных клиентов, что и Smartsheet, как исходит из ожиданий от поставщиков в отношении конфиденциальности и обработки данных. Кроме того, относительно тех поставщиков, которые квалифицируются как "субобработчики" в соответствии с GDPR, компания Smartsheet обеспечила наличие соответствующих гарантий и договорных обязательств для защиты персональных данных и выполнения своих обязательств по закону. Список текущих субобработчиков Smartsheet доступен здесь.

Во всех случаях, когда Smartsheet передаёт персональные данные стороннему поставщику, это происходит на основании действующего контракта, который включает соответствующие обязательства по защите данных, а в случае передачи данных за пределы ЕЭЗ — SCC. 

 

Доступ государственных учреждений — только в случаях, предусмотренных законом

Компания Smartsheet может получать запросы от государственных или правоохранительных органов на доступ к контенту, принадлежащему клиенту. Когда мы получаем такой запрос, наша цель — защитить своих клиентов, соблюдая при этом применимое законодательство. Мы уведомим клиента, которого это касается, если закон не запрещает нам этого напрямую. Там, где это возможно, мы направляем запрашивающее государственное учреждение взаимодействовать напрямую с клиентом, чьих данных касается запрос. Smartsheet не является контролёром Контента клиента, и мы твёрдо убеждены, что любое государственное учреждение, желающее получить доступ к такому контенту, должно по возможности обращаться со своим запросом непосредственно к клиенту.

Мы не предоставляем прямой доступ к Контенту клиентов и не раскрываем его государственным учреждениям, за исключением случаев, предусмотренных законом, а также оспариваем незаконные запросы. Мы рассматриваем каждый запрос правительства в каждом конкретном случае и выполняем его только в том случае и в той степени, в которой считаем запрос законным. При проверке законности запроса правительства мы принимаем во внимание все применимые законы, включая законы других юрисдикций, где это применимо. Мы требуем, чтобы государственные учреждения соблюдали необходимые юридические процедуры в соответствии с действующим законодательством, например направляли запрос через повестку в суд, постановление суда или ордер на обыск. Если мы считаем, что запрос правительства на предоставление Контента клиента недействителен или незаконен, мы пытаемся оспорить его.

Что касается правительственных учреждений США, SCC требуют, чтобы Smartsheet (как импортёр данных) незамедлительно уведомлял экспортёра данных о любом юридически обязательном запросе на раскрытие персональных данных со стороны правоохранительных органов, если это не запрещено. За всю свою историю компания Smartsheet не получала ордера FISA или аналогичного запроса на данные, обрабатываемые Smartsheet, которые нарушали бы её обязательства по SCC. 

Аффилированные лица Smartsheet

Чтобы облегчить глобальную деятельность Smartsheet, Smartsheet Inc. может передавать персональные данные по всему миру и предоставлять доступ к таким персональным данным аффилированным лицам, расположенным в международных юрисдикциях. При обмене персональными данными между аффилированными лицами Smartsheet компания Smartsheet Inc. применяет SCC для защиты персональных данных и обеспечения соблюдения соответствующих обязательств по защите данных между аффилированными лицами Smartsheet. Дополнительную информацию об аффилированных лицах Smartsheet можно найти здесь.

Дополнительная информация и ресурсы

Начните сегодня.

Обратитесь к своему представителю за дополнительной информацией.

Свяжитесь с нами