Условия обработки данных YouTube

Дата вступления в силу – 24 ноября 2020 г.. Перейти к предыдущей версии

Настоящие Условия обработки данных YouTube (далее, включая приложения - «Условия обработки данных») распространяются на обработку Персональных данных Клиента. Эти условия являются дополнением к договору между Вами (далее – «Клиент») и Google относительно использования Вами сервиса YouTube (далее – «Договор»). Вышеуказанный Договор может включать Условия пользования сервисом YouTube или лицензионное соглашение на использование контента, применимые к Клиенту. Пожалуйста, найдите время и внимательно прочитайте настоящие Условия обработки данных.

1. Введение

Настоящие Условия обработки данных отражают соглашение сторон об условиях, регулирующих обработку и защиту Персональных данных Клиента в соответствии с Европейским Законодательством о защите данных.

2. Определения и толкование

2.1 В настоящих Условиях обработки данных:

«Аффилированное лицо», если этот термин уже не определен в Договоре, означает юридическое лицо, прямо или косвенно контролирующее какую-либо сторону, находящееся под прямым или косвенным контролем какой-либо стороны или находящееся со стороной под общим контролем другого лица.

«Персональные данные Клиента» означает аудио- или аудиовизуальный контент, загруженный Клиентом на YouTube в соответствии с условиями Договора и обрабатываемый Google от имени Клиента при оказании со стороны Google Услуг по обработке данных.

«Случай нарушения безопасности данных» означает нарушение безопасности Google, которое привело к случайному или незаконному уничтожению, утрате или изменению Персональных данных Клиента или к несанкционированному раскрытию или доступу к ним в системах, управляемых или иным образом контролируемых Google. «Случаи нарушения безопасности данных» не включают неудачные попытки или действия, не приводящие к нарушению конфиденциальности (компрометации) Персональных данных Клиента, включая неудачные попытки входа в аккаунт/систему, ping-запросы, сканирование портов, атаки типа «отказ в обслуживании», а также другие сетевые атаки на системы сетевой защиты (firewalls) или сетевые информационные системы.

«Инструмент субъекта персональных данных» означает инструмент (если таковой имеется), предоставляемый Google субъектам персональных данных, который позволяет Google реагировать напрямую и стандартизованным образом на определенные запросы от субъектов персональных данных в отношении Персональных данных Клиента (например, настройки интернет-рекламы или расширение браузера, отключающее показ рекламы/отменяющее подписку на получение информации).

«ЕЭЗ» означает Европейскую экономическую зону.

«Генеральный регламент ЕС о защите персональных данных (EU GDPR)» означает Регламент (EU) 2016/679 Европейского парламента и Совета ЕС от 27 апреля 2016 г. о защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/EC.

«Европейское законодательство о защите данных» означает, в зависимости от обстоятельств, (а) GDPR; (b) Федеральный закон о защите данных от 19 июня 1992 г. (Швейцария), (с) Генеральный закон Бразилии о защите данных (Закон No. 13709/2018); и/или (d) любые применимые законы или регламенты о защите данных, основанные на Генеральном регламенте о защите персональных данных.

«Европейское или национальное законодательство» означает, в зависимости от обстоятельств: (a) закон ЕС или закон государства-члена ЕС (если в отношении обработки Персональных данных Клиента действует Генеральный регламент ЕС о защите персональных данных (EU GDPR)); и/или (b) закон Великобритании или части Великобритании (если в отношении обработки Персональных данных Клиента действует Генеральный регламент Великобритании о защите персональных данных (UK GDPR))

«Генеральный регламент о защите персональных данных (GDPR)» означает, в зависимости от обстоятельств: (a) Генеральный регламент ЕС о защите персональных данных (EU GDPR); и/или (b) Генеральный регламент Великобритании о защите персональных данных (UK GDPR).

«Google» означает Компанию группы Google, являющуюся стороной Вашего Договора.

«Аффилированные лица Google – Суб-процессоры» имеет значение, указанное в пункте 11.1 (Согласие на привлечение суб-процессоров).

«Компания группы Google» означает Google LLC (прежнее название - Google Inc.), Google Ireland Limited, YouTube, LLC или любое другое Аффилированное лицо Google LLC.

«Сертификация по стандарту ISO 27001» означает сертификаты соответствия стандарту ISO/IEC 27001:2013 или сопоставимые с ними сертификаты в отношении Услуг по обработке данных.

«Электронный адрес для уведомлений» означает электронный адрес (если таковой имеется), указанный Клиентом, посредством интерфейса пользователя Услуг по обработке данных или другим способом, предусмотренным Google, для получения определенных уведомлений от Google в отношении настоящих Условий обработки данных.

«Услуги по обработке данных» означает обработку Персональных данных Клиента в соответствии с настоящими Условиями обработки данных.  

«Документация по безопасности» означает свидетельство, выданное в рамках Сертификации по стандарту ISO 27001 (если таковое имеется), а также любые другие свидетельства на соответствие требованиям информационной безопасности или документацию, которую Google может предоставить в отношении Услуг по обработке данных.

«Меры безопасности» имеет значение, указанное в пункте 7.1.1 (Меры безопасности Google).

«Стандартные договорные положения» означает стандартные договорные положения Европейской комиссии, доступные по адресу https://privacy.google.com/businesses/gdprprocessorterms/sccs/, которые являются стандартными условиями о защите данных для передачи персональных данных процессорам в третьих государствах, которые не обеспечивают соответствующий уровень защиты данных, как указано в статье 46 Генерального регламента ЕС о защите персональных данных.

«Суб-процессоры» означает третьих лиц, которые в соответствии с настоящими Условиями обработки данных имеют право логического доступа к Персональным данным Клиента и их обработки с целью оказания отдельных частей Услуг по обработке данных и любой связанной с ними технической поддержки.

«Надзорный орган» означает, в зависимости от обстоятельств: (a) «надзорный орган» согласно определению в Генеральном регламенте ЕС о защите персональных данных (EU GDPR); и/или (b) «Уполномоченный представитель» согласно определению в Генеральном регламенте Великобритании о защите персональных данных (UK GDPR). 

«Сторонние суб-процессоры» имеет значение, указанное в пункте 11.1 (Согласие на привлечение суб-процессоров).

«Генеральный регламент Великобритании о защите персональных данных (UK GDPR)» означает Генеральный регламент ЕС о защите персональных данных (EU GDPR), дополненный и включенный в состав законодательства Великобритании в соответствии с Законом о выходе Великобритании из ЕС от 2018 г. (UK European Union (Withdrawal) Act 2018), если он имеет силу.

2.2 Термины «контроллер», «субъект персональных данных», «персональные данные», «обработка» и «процессор», использующиеся в настоящих Условиях обработки данных, имеют значения, указанные в Генеральном регламенте о защите персональных данных (GDPR), а термины «импортер данных» и «экспортер данных» имеют значения, указанные в Стандартных договорных положениях.

2.3 Любая ссылка на рамочное соглашение, закон или другой правовой акт является ссылкой на такой документ с учетом внесенных в него изменений и изложений в новой редакции.

2.4 Если настоящие Условия обработки данных переведены на какой-либо язык, и между текстом на английском языке и текстом на языке перевода имеются противоречия, применяется текст на английском языке.

3. Срок действия настоящих Условий обработки данных

Срок действия (далее – «Срок действия») настоящих Условий обработки данных, а также срок оказания Google Услуг по обработке данных, начнется 25 мая 2018 г. (или в дату Договора, если Договор будет заключен после 25 мая 2018 г.,) (далее – «Дата вступления в силу условий») и будет продолжаться до удаления Google всех Персональных данных Клиента, как описано в настоящих Условиях обработки данных.

4. Применение настоящих Условий обработки данных

4.1 Применение Европейского законодательства о защите данных. Настоящие Условия обработки данных будут применяться только в той части, в которой Европейское законодательство о защите данных применяется к обработке Персональных данных Клиента, в том числе, если: 

(a) обработка осуществляется в контексте действий/операций, связанных с деятельностью Клиента в ЕЭЗ или Великобритании; и/или

(b) Персональные данные Клиента являются персональными данными, относящимися к субъектам персональных данных, которые находятся в ЕЭЗ или Великобритании, и обработка связана с предложением им товаров или услуг или с отслеживанием их поведения в ЕЭЗ или Великобритании.

5. Обработка данных

5.1 Обязанности и соблюдение нормативно-правовых требований; разрешение на осуществление действий.

5.1.1 Обязанности процессора и контроллера.  

(a) В настоящих Условиях обработки данных описаны предмет и детали обработки Персональных данных Клиента;

(b) Google является процессором Персональных данных Клиента в соответствии с Законодательством о защите данных;

(c) Клиент является контроллером или процессором (в зависимости от обстоятельств) Персональных данных Клиента в соответствии с Законодательством о защите данных; и

(d) каждая сторона будет выполнять обязанности, распространяющиеся на нее в соответствии с Законодательством о защите данных, в отношении обработки Персональных данных Клиента.

5.1.2 Выдача разрешения сторонним контроллером. Если Клиент является процессором, Клиент гарантирует Google, что указания и действия Клиента в отношении Персональных данных Клиента, включая назначение им Google в качестве другого процессора, санкционированы соответствующим контроллером.

5.2 Указания Клиента. Клиент дает указание Google осуществлять обработку Персональных данных Клиента только в соответствии с применимым законодательством и настоящими Условиями обработки данных: (a) оказывать Услуги по обработке данных и любую относящуюся к ним техническую поддержку; (b) как будет определено в дальнейшем путем использования Клиентом Услуг по обработке данных (в том числе посредством установок и других функций Услуг по обработке данных) и получения любой относящейся к этому технической поддержки; а также (c) как зафиксировано в виде Договора, включая настоящие Условия обработки данных.

5.3        Выполнение Google указаний Клиента. Google будет выполнять указания, описанные в пункте 5.2 (Указания Клиента) (в том числе в отношении передачи данных), если Европейское или национальное законодательство, распространяющееся на Google, не потребует от Google другой обработки Персональных данных Клиента, и в этом случае Google проинформирует Клиента об этом (если каким-либо вышеуказанным законодательством не будет запрещено осуществлять такие действия из соображений публичного интереса).

6. Удаление данных

6.1 Удаление данных в течение Срока действия. 

6.1.1 Услуги по обработке данных с функцией удаления данных. Если в течение Срока действия:

(a) функции Услуг по обработке данных включают возможность удаления Клиентом Персональных данных Клиента;

(b) Клиент использует Услуги по обработке данных для удаления определенных Персональных данных Клиента; и

(c) удаленные Персональные данные Клиента не могут быть восстановлены Клиентом (например, из папки «корзина»),

то Google удалит такие Персональные данные Клиента из своих систем в возможно кратчайший срок, за исключением случаев, когда в соответствии с Европейским или национальным законодательством требуется продолжение хранения таких данных.

6.1.2 Услуги по обработке данных без функции удаления данных. Если в течение Срока действия функции Услуг по обработке данных не будут включать опцию, позволяющую Клиенту удалить Персональные данные Клиента, Google выполнит разумный запрос Клиента об оказании содействия в таком удалении, насколько это возможно, учитывая характер и функции Услуг по обработке данных, за исключением случаев, когда в соответствии с Европейским или национальным законодательством требуется продолжение хранения таких данных. Google может взимать комиссию (на основе разумных затрат Google) за любое удаление данных в соответствии с настоящим пунктом 6.1.2 (Услуги по обработке данных без функции удаления данных). Google дополнительно проинформирует Клиента о сумме любой применимой комиссии, включая основания для ее расчета, до любого такого удаления данных.

6.2 Удаление данных после истечения срока действия Договора. После истечения или прекращения срока действия Договора Клиент дает указание Google удалить все Персональные данные Клиента (включая существующие копии) из систем Google в соответствии с применимым законодательством. Google выполнит это указание в возможно кратчайший срок, за исключением случаев: (i) если в соответствии с Европейским или национальным законодательством требуется продолжить хранение данных; или (ii) если вместо Договора будет заключен новый договор или будут установлены новые условия в отношении использования Клиентом сервиса YouTube и Клиент подтвердит, что Персональные данные Клиента (включая существующие копии, загруженные в сервис YouTube) должны по-прежнему обрабатываться в соответствии с Условиями обработки данных.

7. Безопасность данных

7.1 Меры безопасности Google и оказание содействия.

7.1.1 Меры безопасности Google. Google внедрит и будет применять на постоянной основе технические и организационные меры по защите Персональных данных Клиента от случайного или незаконного уничтожения, потери, изменения, несанкционированного раскрытия или доступа, как описано в Приложении 2 (далее – «Меры безопасности»). Google может периодически изменять или совершенствовать Меры безопасности, при условии, что такое изменение и совершенствование не приведет к снижению общего уровня безопасности Услуг по обработке данных.  

7.1.2 Соблюдение требований безопасности персоналом Google. Google обеспечит, чтобы все лица, уполномоченные обрабатывать Персональные данные Клиента, приняли на себя договорные обязательства в отношении соблюдения конфиденциальности или чтобы обработка производилась лицами, в отношении которых такие обязанности соблюдения конфиденциальности установлены законом.

7.1.3 Оказание со стороны Google содействия в соблюдении требований безопасности. Google будет (учитывая характер обработки Персональных данных Клиента и информацию, имеющуюся в распоряжении Google) оказывать содействие Клиенту в выполнении любых обязанностей Клиента в отношении обеспечения безопасности персональных данных и требований в части недопущения компрометации персональных данных, включая (если применимо) обязанности Клиента, предусмотренные Статьями 32 - 34 (включительно) GDPR, путем:

(a) внедрения и применения Мер безопасности в соответствии с пунктом 7.1.1 (Меры безопасности Google);

(b) выполнения условий пункта 7.2 (Случаи нарушения безопасности данных); и

(c) предоставления Клиенту Документации по безопасности в соответствии с пунктом 7.5.1 (Изучение Документации по безопасности) и информации, содержащейся в настоящих Условиях обработки данных.

7.2 Случаи нарушения безопасности данных.

7.2.1 Уведомление об инциденте. Если Google узнает о каком-либо Случае нарушения безопасности данных, Google: (a) уведомит Клиента о Случае нарушения безопасности данных незамедлительно и без необоснованной задержки; и (b) незамедлительно примет разумные меры для сведения к минимуму ущерба и обеспечения безопасности Персональных данных Клиента.

7.2.2 Подробные сведения о Случае нарушения безопасности данных. В уведомлениях, направляемых в соответствии с пунктом 7.2.1 (Уведомление о случае нарушения), должны быть, насколько это возможно, указаны подробные сведения о Случае нарушения безопасности данных, включая принятые меры по снижению потенциальных рисков и меры по устранению Случая нарушения безопасности данных, рекомендуемые Google Клиенту.

7.2.3 Отправка уведомления. Google направит свое уведомление о любом Случае нарушения безопасности данных по Электронному адресу для уведомлений или другим способом непосредственного оповещения (например, по телефону или при личной встрече). Клиент примет разумные меры для предоставления Электронного адреса для уведомлений и обеспечит его актуальность и действительность.

7.2.4 Уведомления третьих лиц. Клиент несет исключительную ответственность за соблюдение законодательства об уведомлении о случаях нарушения безопасности данных, распространяющегося на Клиента, и за выполнение любых обязательств в отношении уведомления третьих лиц в связи с любым Случаем нарушения безопасности данных.

7.2.5 Непризнание вины со стороны Google. Уведомление Google о Случае нарушения безопасности данных и реакция Google на Случай нарушения безопасности данных в соответствии с настоящим пунктом 7.2 (Случаи нарушения безопасности данных) не могут быть истолкованы как признание Google любой вины или ответственности за возникновение Случая нарушения безопасности данных.

7.3        Ответственность Клиента за обеспечение безопасности и оценка.

7.3.1 Ответственность Клиента за обеспечение безопасности. Без ущерба для обязательств Google, предусмотренных пунктами 7.1 (Меры безопасности Google и оказание содействия) и 7.2 (Случаи нарушения безопасности данных):

(a) Клиент несет ответственность за использование им Услуг по обработке данных, включая:

(i) надлежащее использование Услуг по обработке данных с целью обеспечения уровня безопасности, соразмерного риску, связанному с Персональными данными Клиента; и

(ii) обеспечение безопасности учетных записей, систем и устройств, использующихся Клиентом для доступа к Услугам по обработке данных; и

(b) Google не несет обязательства в отношении защиты Персональных данных Клиента, которые Клиент решил хранить или передать за пределы систем Google и Суб-процессоров Google.

7.3.2 Оценка Клиентом мер безопасности. Клиент подтверждает и соглашается с тем, что (учитывая уровень технологий, затраты на внедрение, характер, объем, контекст и цели обработки Персональных данных Клиента, а также риски для физических лиц) Меры безопасности, внедренные и применяемые Google в соответствии с пунктом 7.1.1 (Меры безопасности Google), предоставляют уровень безопасности, соразмерный риску, связанному с Персональными данными Клиента.

7.4 Сертификат соответствия требованиям информационной безопасности. Для оценки и обеспечения постоянной эффективности Мер безопасности Google может время от времени проходить Сертификацию по стандарту ISO 27001.

7.5 Изучение и проверка соответствия требованиям.

7.5.1 Изучение Документации по безопасности. Чтобы продемонстрировать выполнение Google своих обязательств в соответствии с настоящими Условиями обработки данных, Google предоставит Документацию по безопасности для ознакомления Клиенту.

7.5.2 Право Клиента проводить проверки.

(a) Google предоставит Клиенту или независимому аудитору, назначенному Клиентом, право проводить аудиторские проверки (включая инспекторские проверки) для подтверждения выполнения Google обязательств, предусмотренных настоящими Условиями обработки данных, в соответствии с пунктом 7.5.3 (Дополнительные коммерческие условия проведения аудиторских проверок). Google будет способствовать проведению таких аудиторских проверок, как описано в пункте 7.4 (Сертификат соответствия требованиям информационной безопасности) и в настоящем пункте 7.5 (Изучение и проверка соответствия требованиям).

(b) Если Стандартные договорные положения применяются в соответствии с пунктом 10.2 (Передача данных), Google позволит Клиенту или аудитору, являющемуся третьим лицом, назначенным Клиентом, проводить аудиторские проверки как указано в Стандартных договорных положениях и в соответствии с пунктом 7.5.3 (Дополнительные коммерческие условия проведения аудиторских проверок).

(с) Клиент также может проводить проверку с целью подтверждения выполнения Google ее обязательств в соответствии с настоящими Условиями обработки данных путем изучения сертификата соответствия, выданного в рамках Сертификации по стандарту ISO 27001 (который отражает результаты аудиторской проверки, проведенной независимым аудитором), если такой сертификат имеется в наличии на момент направления запроса Клиентом.

7.5.3 Дополнительные коммерческие условия проведения аудиторских проверок.

(a) Клиент направит Google любой запрос на проведение аудиторской проверки в соответствии с пунктом 7.5.2(a) или 7.5.2(b), как описано в пункте 12.1 (Контакты с Google).

(b) После получения Google запроса в соответствии с пунктом 7.5.3(a), Google и Клиент предварительно обсудят и согласуют разумную дату начала, объем и сроки проведения любой аудиторской проверки в соответствии с пунктом 7.5.2(a) или 7.5.2(b), а также меры по обеспечению безопасности и конфиденциальности такой аудиторской проверки.

(c) Google может установить комиссионное вознаграждение (на основе разумных затрат Google) за проведение любой аудиторской проверки в соответствии с пунктом 7.5.2(a) или 7.5.2(b). Google дополнительно проинформирует Клиента о сумме любого применимого комиссионного вознаграждения, включая основания для его расчета, до проведения любой такой аудиторской проверки. Клиент несет ответственность за выплату любого комиссионного вознаграждения, установленного любым независимым аудитором, назначенным Клиентом для проведения любой такой аудиторской проверки.

(d) Google может выдвинуть возражение против любого независимого аудитора, назначенного Клиентом для проведения аудиторской проверки в соответствии с пунктом 7.5.2(a) или 7.5.2(b), если аудитор, по обоснованному мнению Google, не обладает надлежащей квалификацией или не является независимым, является конкурентом Google или по иным соображениям является заведомо неприемлемым для проведения аудиторской проверки. Любое такое возражение Google потребует от Клиента назначить другого аудитора или провести аудиторскую проверку самостоятельно.

(e) Никакие положения настоящих Условий обработки данных не потребуют от Google раскрытия Клиенту или назначенному им независимому аудитору следующей информации или предоставления Клиенту или назначенному им независимому аудитору доступа к ней:

(i) каких-либо данных любого другого клиента Компании группы Google;

(ii) внутренней учетной или финансовой информации какой-либо Компании группы Google;

(iii) любой коммерческой тайны какой-либо Компании группы Google;

(iv) какой-либо информации, которая, по обоснованному мнению Google, могла бы: (A) нанести ущерб безопасности системам или помещениям какой-либо Компании группы Google; или (B) привести к нарушению какой-либо Компанией группы Google ее обязанностей в соответствии с Законодательством о защите данных или ее обязательств в отношении обеспечения безопасности и/или конфиденциальности перед Клиентом или какой-либо третьей стороной; или

(v) какой-либо информации, к которой Клиент или назначенный им независимый аудитор хочет получить доступ по какой-либо причине, не связанной с добросовестным исполнением обязанностей Клиента в соответствии с Законодательством о защите данных.

7.5.4 Отсутствие изменений Стандартных договорных положений. Если Стандартные договорные положения применяются в соответствии с пунктом 10.2 (Передача данных), ничто в настоящем пункте 7.5 (Изучение и проверка соответствия требованиям) не меняет и не изменяет какие-либо права или обязательства Клиента или Компании группы Google согласно Стандартным договорным положениям.

8. Оценка эффективности мероприятий по защите данных и проведение консультаций

Google будет (учитывая характер обработки данных и имеющуюся в ее распоряжении информацию) оказывать содействие Клиенту в выполнении любых обязательств Клиента в отношении оценки эффективности мероприятий по защите данных и проведения предварительных консультаций, включая (если применимо) обязательства Клиента, предусмотренные Статьями 35 и 36 GDPR, путем:

(a) предоставления Документации по безопасности в соответствии с пунктом 7.5.1 (Изучение Документации по безопасности);

(b) предоставления информации, содержащейся в настоящих Условиях обработки данных; и

(c) предоставления или иной передачи в соответствии с обычной практикой Google других материалов, касающихся характера Услуг по обработке данных и обработки Персональных данных Клиента (например, материалов справочного центра).

9. Права субъектов персональных данных

9.1 Ответы на запросы субъектов персональных данных. Если Google получит запрос от субъекта персональных данных в отношении Персональных данных Клиента, Google должна:

(a) если запрос направлен через Инструмент субъекта персональных данных, непосредственно ответить на запрос субъекта персональных данных, используя стандартные функции Инструмента субъекта персональных данных; или

(b) если запрос не направлен через Инструмент субъекта персональных данных, предложить субъекту персональных данных направить его (ее) запрос Клиенту, и Клиент несет ответственность за подготовку ответа на такой запрос.

9.2 Оказание Google содействия в подготовке ответов на запросы субъектов персональных данных. Google будет (учитывая характер обработки Персональных данных Клиента и, если применимо, Статью 11 GDPR) оказывать содействие Клиенту в выполнении его обязанностей в отношении подготовки ответов на запросы субъектов персональных данных, включая (если применимо) обязанность Клиента в отношении подготовки ответов на запросы об осуществлении прав субъектов персональных данных, изложенных в Главе III GDPR, путем:

(a) предоставления функций Услуг по обработке данных;

(b) выполнения обязательств, изложенных в пункте 9.1 (Ответы на запросы субъектов персональных данных); и

(c) если это применимо к Услугам по обработке данных, предоставления Инструментов субъекта персональных данных.

10. Передача данных

10.1 Хранение данных и средства обработки данных. Google может, с учетом положений пункта 10.2 (Передача данных), осуществлять хранение и обработку Персональных данных Клиента в Соединенных Штатах Америки или в любой другой стране, в которой у Google или каких-либо ее Суб-процессоров имеются средства обработки данных.

10.2 Передача данных.  Если хранение и/или обработка Персональных данных Клиента включает передачу Персональных данных Клиента за пределы ЕЭЗ, Швейцарии или Великобритании в любое государство, в отношении которого  не применяется решение о соответствии уровня защиты в соответствии с Европейским Законодательством о защите данных:

(а) Клиент (как экспортер данных) считается заключившим Стандартные договорные положения с Google LLC (в качестве импортера данных);

(b) передача регулируется Стандартными договорными положениями; и

(с) Google будет обеспечивать соблюдение обязательств в рамках Стандартных договорных положений в отношении такой передачи со стороны Google LLC.

10.3 Информация о центрах обработки данных. Информацию о местонахождении центров обработки данных Google можно получить на сайте: www.google.com/about/datacenters/inside/locations/index.html.  

11. Суб-процессоры

11.1 Согласие на привлечение суб-процессоров. Клиент дает конкретное согласие на привлечение Аффилированных лиц Google в качестве Суб-процессоров (далее – «Аффилированные лица Google – Суб-процессоры»). Кроме того, Клиент дает общее согласие на привлечение любых других третьих лиц в качестве Суб-процессоров (далее – «Сторонние суб-процессоры»). Если Стандартные договорные положения применяются в соответствии с пунктом 10.2 (Передача данных), вышеуказанные разрешения являются предварительным письменным согласием Клиента на привлечение Google LLC третьих лиц для обработки Персональных данных Клиента.

11.2 Информация о Суб-процессорах. С информацией о Суб-процессорах можно ознакомиться на сайте privacy.google.com/businesses/subprocessors.

11.3 Требования в отношении привлечения Суб-процессоров. Привлекая любого Суб-процессора, Google:

(a) обеспечит посредством заключения письменного договора, чтобы:

(i) Суб-процессор имел доступ к Персональным данным Клиента и использовал их в том объеме, который необходим для выполнения его обязательств в качестве субподрядчика перед Google и делал это в соответствии с Договором (включая настоящие Условия обработки данных) и, если применимо согласно пункту 10.2 (Передача данных), в соответствии со Стандартными договорными положениями; и

(ii) обязанности в отношении защиты данных, содержащиеся в Статье 28(3) GDPR, были возложены на Суб-процессора, если GDPR применяется к обработке Персональных данных Клиента; и

(b) продолжает нести полную ответственность за исполнение всех обязанностей, возложенных на Суб-процессора, а также за любые его действия или бездействие.

12. Контакты с Google; учетная документация, касающаяся обработки данных

12.1 Контакты с Google. Клиент может осуществлять контакты с Google по вопросам осуществления его прав в соответствии с настоящими Условиями обработки данных, используя способы, описанные на сайте https://support.google.com/youtube/answer/2801895, или другие способы, которые могут периодически устанавливаться Google.  

12.2 Учетная документация Google, касающаяся обработки данных. Клиент подтверждает, что Google обязана в соответствии с GDPR: (a) получать и вести учет определенной информации, включая имя и контактные данные каждого процессора и/или контроллера, от имени которого действует Google, а также (если применимо) местного представителя такого процессора и/или контроллера и должностного лица, ответственного за защиту данных; и (b) предоставлять такую информацию любому Надзорному органу. Соответственно, Клиент при получении запроса (и если это применимо к Клиенту) предоставит такую информацию Google, используя пользовательский интерфейс Услуг по обработке данных или иные способы, которые могут быть предусмотрены Google, и будет использовать вышеуказанный пользовательский интерфейс или другие способы для обеспечения достоверности и актуальности всей предоставленной информации.

13. Ответственность

13.1 Предельная сумма ответственности. Несмотря на любые другие положения Договора, общий размер ответственности  любой стороны перед другой стороной в соответствии или в связи с настоящими Условиями обработки данных ограничивается максимальной денежной суммой или суммой выплаты, которой ответственность такой стороны ограничена по Договору (во избежание сомнений, любое исключение требований в отношении конфиденциальности или выплаты возмещения из ограничения ответственности в Договоре не распространяется на требования по Договору, относящиеся к Европейскому законодательству о защите данных). Никакие положения настоящего пункта 13 (Ответственность) не могут исключить или ограничить ответственность любой стороны в случае: (a) смерти или увечья, вызванных ее халатностью или халатностью ее работников или агентов; (b) мошенничества или намеренного введения в заблуждение; или (c) совершения действий, в отношении которых в соответствии с применимым законодательством не может быть исключена или ограничена ответственность.

13.2 Ответственность в случае применения Стандартных договорных положений. Если Стандартные договорные положения подлежат применению в соответствии с пунктом 10.2 (Передача данных), к общей совокупной ответственности каждой стороны и ее Аффилированных лиц перед другой стороной и ее Аффилированными лицами по Договору и Стандартным договорным положениям или в связи с ними применяется пункт 13.1 (Предельная сумма ответственности).

14. Третьи стороны-бенефициары.

Если Аффилированное лицо стороны является стороной Стандартных договорных положений, подлежащих применению в соответствии с пунктом 10.2 (Передача данных), то такое Аффилированное лицо будет являться третьей стороной-бенефициаром в отношении пунктов 6.2 (Удаление данных после истечения срока действия Договора), 7.5 (Изучение и проверка соответствия требованиям), 9.1 (Ответы на запросы субъектов персональных данных), 10.2 (Передача данных), 11.1 (Согласие на привлечение суб-процессоров) и 13.2 (Ответственность в случае применения Стандартных договорных положений). В том объеме, в котором настоящий пункт 14 (Третьи стороны-бенефициары) противоречит или не соответствует любому другому положению Договора, применяется настоящий пункт 14 (Третьи стороны-бенефициары).

15. Действие настоящих Условий обработки данных

В случае какого-либо противоречия или несоответствия между Стандартными договорными положениями, условиями настоящих Условий обработки данных и остальными положениями Договора применяется следующий порядок приоритетности:

(а) Стандартные договорные положения;

(b) остальные условия настоящих Условий обработки данных;

(с) остальные условия Договора.

С учетом изменений в настоящие Условия обработки данных, Договор полностью сохраняет свою юридическую силу и действие.

16. Внесение изменений в настоящие Условия обработки данных

16.1 Внесение изменений в Услуги по обработке данных. Google может вносить изменения только в перечень потенциальных Услуг по обработке данных:

(a) отражающие изменение названия услуги;

(b) добавляющие новую услугу; или

(c) исключающие услугу, если: (i) прекращены все договоры об оказании такой услуги; или (ii) Google получила согласие Клиента.

16.2 Внесение изменений в Условия обработки данных. Google может вносить изменения в настоящие Условия обработки данных, если такие изменения:

(a) прямо предусмотрены настоящими Условиями обработки данных, в том числе, описаны в пункте 16.1 (Внесение изменений в Услуги по обработке данных);

(b) отражают изменение наименования или организационно-правовой формы юридического лица;

(c) необходимы для соблюдения применимого законодательства, применимых подзаконных актов, судебного решения или указания регулирующего государственного органа; или

(d) (i) не приводят к снижению общего уровня безопасности Услуг по обработке данных; (ii) не увеличивают объем полномочий Google в отношении обработки Персональных данных Клиента и не отменяют любые ограничения в отношении обработки со стороны Google Персональных данных Клиента, как описано в пункте 5.3 (Выполнение Google указаний Клиента); и (iii) не затрагивают, по обоснованному мнению Google, существенным и неблагоприятным образом права Клиента в соответствии с настоящими Условиями обработки данных.

16.3 Изменения Стандартных договорных положений. Google может вносить изменения в Стандартные договорные положения только в соответствии с пунктами 16.2(b) - 16.2(d) (Внесение изменений в Условия обработки данных) или инкорпорировать любую другую версию Стандартных договорных положений, которая может быть принята в соответствии с Европейским законодательством о защите данных, в каждом случае таким способом, который не затрагивает действительность Стандартных договорных положений согласно Европейскому законодательству о защите данных.

Приложение 1: Предмет и детали обработки данных

Предмет

Оказание Google Услуг по обработке данных и любой связанной с ними технической поддержки Клиенту.

Продолжительность обработки данных

Срок действия плюс период с даты окончания Срока действия до удаления со стороны Google всех Персональных данных Клиента в соответствии с настоящими Условиями обработки данных.

Характер и цель обработки данных

Google будет осуществлять обработку (в том числе, в рамках Услуг по обработке данных и в соответствии с указаниями, описанными в пункте 5.2 (указания Клиента), сбор, запись, систематизацию, структуризацию, хранение, изменение, извлечение, использование, раскрытие, объединение, удаление и уничтожение) Персональных данных Клиента в целях оказания Услуг по обработке данных и любой связанной с ними технической поддержки Клиенту в соответствии с настоящими Условиями обработки данных.

Виды персональных данных

Виды персональных данных, представляющих собой Персональные данные Клиента, являются аудио- и аудиовизуальным контентом, загруженным Клиентом на YouTube в соответствии с условиями Договора и обрабатываемым Google от имени Клиента при оказании со стороны Google Услуг по обработке данных.

Приложение 2: Меры безопасности

Начиная с Даты вступления в силу условий, Google внедрит и будет применять на постоянной основе Меры безопасности, указанные в настоящем Приложении 2. Google может периодически изменять или совершенствовать такие Меры безопасности, при условии, что такое изменение и совершенствование не приведет к снижению общего уровня безопасности Услуг по обработке данных.

1.         Безопасность центров обработки данных и сети

(a) Центры обработки данных.

Инфраструктура. Google поддерживает расположенные в различных географических регионах центры обработки данных. Google хранит все производственные данные в физически защищенных центрах обработки данных.

Резервирование. Инфраструктурные системы были разработаны таким образом, чтобы устранить отдельно взятые точки отказа и минимизировать последствия предполагаемых экологических рисков. Такое взаиморезервирование обеспечивают спаренные схемы, коммутационные и прочие необходимые устройства. Услуги по обработке спроектированы таким образом, что позволяют Google осуществлять определенное профилактическое и ремонтное обслуживание без перерывов. На все оборудование и устройства контроля параметров окружающей среды имеются документы, содержащие правила проведения профилактического обслуживания, в которых указаны порядок и периодичность его проведения в соответствии со спецификациями производителя или внутренними спецификациями. Планирование профилактического и ремонтного обслуживания оборудования центра обработки данных осуществляется в обычном порядке, определенном в документации.

Энергоснабжение. Системы электроснабжения центров обработки данных проектируются как взаиморезервируемые и их обслуживание не влияет на возможность непрерывной круглосуточной работы 7 дней в неделю. В большинстве случаев для важнейших компонентов инфраструктуры в центре обработки данных предусмотрены основной и альтернативный источники питания, имеющие одинаковую мощность. Резервное питание обеспечивается различными механизмами, такими как аккумуляторы для источника бесперебойного питания (UPS), которые предоставляют стабильную надежную защиту по питанию при частичном и полном нарушении энергоснабжения, перенапряжении, пониженном напряжении и выходе частоты за пределы допуска. В случае перебоя в работе энергосистем общего пользования используется резервное питание для временного энергоснабжения центра обработки данных на полную мощность в течение до 10 минут до подключения дизель-генераторной установки. Дизель-генераторы могут запускаться автоматически в течение нескольких секунд для аварийной подачи электроэнергии, достаточной для работы центра обработки данных на полной мощности обычно в течение нескольких дней.

Серверные операционные системы. Серверы Google являются защищенными операционными системами, оптимизированными для конкретных серверных потребностей предприятия. Хранение данных осуществляется путем использования собственных алгоритмов повышения уровня защиты данных и взаимного резервирования. Google использует процесс проверки кода с целью повышения степени безопасности кода, использующегося для оказания Услуг по обработке данных и повышения эффективности технических средств обеспечения безопасности в производстве.

Непрерывность бизнес-процессов. Google осуществляет репликацию данных в несколько систем для обеспечения защиты от случайного уничтожения или потери данных. Google разработала и планирует на постоянной основе мероприятия по обеспечению непрерывности бизнеса и осуществляет тестирование программ обеспечения непрерывности бизнеса/программ аварийного восстановления.

(b) Сети и передача данных.

Передача данных. Центры обработки данных обычно связаны посредством высокоскоростных выделенных каналов, обеспечивающих безопасную и быструю передачу данных между центрами обработки данных. Целью этого является предотвращение несанкционированного считывания, копирования, изменения или удаления данных в процессе электронной или иной передачи или в процессе записи на устройства хранения данных. Google осуществляет передачу данных через стандартные интернет-протоколы.

Внешняя поверхность атаки. Google использует несколько уровней сетевых устройств и средств обнаружения вторжений для защиты ее внешней поверхности атаки. Google рассматривает возможные направления атак и инкорпорирует соответствующие специализированные технологии в системы защиты периметра сети.

Обнаружение атаки. Целью обнаружения атаки является обнаружение ведущихся действий, связанных с атакой, и предоставление достаточной информации для реагирования на инциденты. Действия Google по обнаружению атаки включают:

1. Жесткий контроль за размером и составными элементами поверхности атаки Google путем осуществления профилактических мер;

2. Использование интеллектуальных средств контроля в пунктах ввода данных; и

3. Использование технологий, автоматически устраняющих определенные опасные ситуации.

Реагирование на инциденты. Google осуществляет мониторинг различных каналов связи на предмет выявления инцидентов информационной безопасности, и сотрудники службы безопасности Google незамедлительно реагируют на известные им инциденты.

Технологии шифрования. Google предоставляет возможность шифрования по протоколу HTTPS (также известного под названием «SSL-соединение» или «TLS-соединение»). Серверы Google поддерживают алгоритм обмена криптографическими ключами Диффи-Хеллма на эллиптических кривых, при котором сообщения подписываются с использованием шифров RSA и ECDSA. Эти способы, предусматривающие полную безопасность пересылки (PFS), обеспечивают защиту трафика и сводят к минимуму последствия несанкционированного доступа к ключу или взлома криптографических алгоритмов.

2.         Контроль за доступом к данным и за территорией центров обработки данных

(a) Контроль за территорией центров обработки данных.

Меры безопасности на территории центров обработки данных. Центры обработки данных Google осуществляют меры безопасности на территории центра, обеспечивая круглосуточную охрану 7 дней в неделю. Персонал службы безопасности центра осуществляет мониторинг камер замкнутой телевизионной системы («ЗТВС») и всех систем охранной сигнализации. Персонал службы безопасности центра регулярно осуществляет внутреннее и внешнее патрулирование центра обработки данных.

Порядок доступа в центры обработки данных. Google установила официальный порядок предоставления доступа, разрешающий физический доступ в центры обработки данных. Центры обработки данных расположены на территории объектов, доступ к которым осуществляется при помощи электронных ключ-карт, с выводом сигнализации на пульт службы безопасности объекта. Все посетители центра обработки данных должны идентифицировать себя, а также предъявить удостоверяющие личность документы/информацию службе безопасности объекта. Только уполномоченным сотрудникам, подрядчикам и посетителям разрешен вход на территорию центров обработки данных. Только уполномоченным сотрудникам и подрядчикам разрешено запрашивать доступ на эти объекты при помощи электронных ключ-карт. Запросы о предоставлении доступа в центры обработки данных при помощи электронных ключ-карт должны направляться заблаговременно в письменном виде и должны быть одобрены руководителем запрашивающего лица и директором центра обработки данных. Все прочие посетители, подавшие запросы о предоставлении временного доступа в центр обработки данных, должны: (i) заблаговременно получить согласие менеджеров центра обработки данных на посещение конкретного центра обработки данных и внутренних территорий; (ii) расписаться в журнале сотрудников службы безопасности центра; и (iii) ссылаться на запись в журнале доступа в центр обработки данных, в которой указано, что посетитель одобрен.

Защитные устройства, использующиеся на территории центров обработки данных. Центры обработки данных Google используют электронные ключ-карты и биометрическую систему контроля доступа, связанную с системой сигнализации. Система контроля доступа отслеживает и регистрирует электронную ключ-карту каждого лица и его приближение к расположенным по периметру дверям, местам отгрузки и получения товаров и другим важным зонам. Несанкционированная деятельность и неудачные попытки проникновения регистрируются системой контроля доступа и в дальнейшем расследуются соответствующим образом. Санкционированный доступ к операционной деятельности и центрам обработки данных ограничен в зависимости от зон и должностных обязанностей работника. Противопожарные двери центров обработки данных оснащены тревожной сигнализацией. Внутри и снаружи центров обработки данных работают камеры ЗТВС. Расположение камер позволяет охватить стратегически важные зоны, включая, среди прочего, периметр, двери в здание центра обработки данных и места отгрузки и получения товаров. Персонал службы безопасности центра управляет оборудованием для мониторинга при помощи камер ЗТВС, записывающим оборудованием и оборудованием контроля. Кабели безопасности, расположенные на территории центров обработки данных, соединяют оборудование ЗТВС. Камеры ведут запись на территории центра на цифровые регистраторы круглосуточно 7 дней в неделю. Записи видеонаблюдения хранятся в течение как минимум 7 дней в зависимости от деятельности.

(b) Контроль за доступом.

Персонал службы безопасности инфраструктуры. Google имеет и поддерживает в силе политику безопасности в отношении ее персонала и требует проведения обучения по вопросам безопасности в рамках программы обучения ее персонала. Персонал службы безопасности инфраструктуры Google отвечает за постоянный мониторинг инфраструктуры безопасности Google, проверку Услуг по обработке данных и реагирование на инциденты в системе безопасности.

Контроль за доступом и управление привилегиями. Администраторы и пользователи Клиента должны аутентифицироваться через центральную систему аутентификации или через систему единого входа для использования Услуг по обработке данных.

Внутренние процедуры и правила в отношении доступа к данным – политика доступа. Цель внутренних процедур и правил Google в отношении доступа к данным заключается в том, чтобы воспрепятствовать доступу несанкционированных лиц и/или систем к системам, использующимся для обработки персональных данных. Google стремится проектировать свои системы таким образом, чтобы: (i) разрешить доступ уполномоченных лиц только к данным, к которым они имеют право доступа; а также (ii) обеспечить невозможность несанкционированного считывания, копирования, изменения или удаления данных в процессе обработки, использования или последующей записи. Системы способны обнаружить любой ненадлежащий доступ. Google использует централизованную систему управления доступом для осуществления контроля за доступом персонала к рабочим серверам и предоставляет доступ только ограниченному уполномоченному персоналу. Протоколы LDAP, Kerberos и собственная система, использующая сертификаты SSH, предоставляют Google механизмы безопасного и гибкого доступа. Эти механизмы направлены на предоставление только одобренных прав доступа к серверам, журналам, данным и конфигурационной информации. Google требует использования уникальных идентификаторов пользователя, надежных паролей, двухфакторной аутентификации и тщательно контролируемых списков пользователей с правом доступа, чтобы свести к минимуму возможность несанкционированного использования учетной записи. Предоставление или изменение прав доступа основывается на должностных обязанностях уполномоченного персонала; должностных обязанностях и требованиях, необходимых для выполнения разрешенных задач; а также на принципе служебной необходимости. Предоставление или изменение прав доступа также должно осуществляться в соответствии с внутренней политикой Google в отношении доступа к данным и обучения. Предусмотрено получение одобрений путем использования программ управления рабочими процессами, регистрирующими документы по проверке всех изменений. Регистрируется доступ к системам для создания контрольного журнала в целях отчетности. В случае применения паролей для аутентификации (например, при подключении к рабочему месту) используется политика паролей, применяемая как минимум в соответствии с обычной отраслевой практикой. Эти стандарты включают ограничения на повторное использование пароля и достаточную надежность пароля.

3.         Данные

(a) Хранение данных, изоляция и аутентификация данных.

Google хранит данные в мультитенантной среде на принадлежащих Google серверах. Данные, база данных Услуг по обработке данных и архитектура системы файлов реплицируются между несколькими географически рассредоточенными центрами обработки данных. Google логически изолирует данные каждого клиента. Центральная система аутентификации используется во всех Услугах по обработке данных с целью обеспечения единого уровня защиты данных.

(b) Списанные диски и руководства по уничтожению дисков.

Некоторые диски, содержащие данные, могут иметь проблемы в работе или ошибки или могут привести к аппаратным сбоям, в результате чего они подлежит списанию (далее – «Списанный диск»). Каждый Списанный диск проходит ряд процедур по уничтожению данных (далее – «Руководства по уничтожению данных») перед его удалением из помещений Google для повторного использования или уничтожения. Информация на Списанных дисках стирается путем многоступенчатого процесса, завершенность которого проверяется как минимум двумя независимыми проверяющими. Результаты стирания данных регистрируются по серийному номеру Списанного диска для отслеживания. После этого Списанный диск с удаленными данными подлежит инвентарному учету для повторного использования или установки. Если в результате аппаратного сбоя удаление информации на Списанном диске окажется невозможным, он хранится в безопасном месте до момента его уничтожения. Каждое предприятие регулярно проверяется на предмет соблюдения им Руководств по уничтожению данных.

4.         Безопасность персонала

Персонал Google должен вести себя таким образом, который соответствует политике компании в отношении конфиденциальности, деловой этики, надлежащего использования и соблюдения профессиональных стандартов. Google осуществляет разумно обоснованные проверки анкетных данных в той мере, в которой это разрешено законом и в соответствии с применимыми трудовым законодательством и нормативно-правовыми актами.

Персонал должен подписать соглашение о конфиденциальности и должен подтвердить получение им документов с описанием политики Google в отношении соблюдения конфиденциальности и защиты персональных данных, а также выполнение им требований вышеуказанной политики. Персонал проходит обучение по вопросам безопасности. Персонал, в распоряжении которого находятся Персональные данные Клиента, должен выполнить дополнительные требования, соответствующие его роли. Персонал Google не будет без разрешения обрабатывать Персональные данные Клиента.

5.         Безопасность Суб-процессоров

До привлечения Суб-процессоров Google проверяет осуществление ими мероприятий по обеспечению безопасности и конфиденциальности, чтобы убедиться в том, что уровень таких мероприятий по обеспечению безопасности и конфиденциальности является достаточным для предоставления им доступа к данным и что они могут оказывать такой объем услуг, для которого они привлекаются. После оценки Google рисков, связанных с конкретным Суб-процессором, с обязательным учетом требований, содержащихся в пункте 11.3 (Требования в отношении привлечения Суб-процессоров), Суб-процессор должен взять на себя соответствующие договорные обязательства по обеспечению безопасности, конфиденциальности и защиты данных.