Дополнительное соглашение о конфиденциальности в связи с законами штатов США

Настоящее дополнительное соглашение о конфиденциальности в связи с законами штатов США (далее — Дополнительное соглашение) дополняет условия Основного соглашения о подписке, Условия обслуживания или Условия обслуживания для партнеров по продажам (в зависимости от того, что применимо, далее — Соглашение) и описывает определенные права и обязанности в отношении конфиденциальности данных в связи с конкретными Законами штатов США. Начинающиеся с прописной буквы термины, которые использованы в настоящем документе, но не определены в нем, имеют значение, предусмотренное в Соглашении.

Раздел А. Общие положения. Настоящий раздел A Дополнительного соглашения применяется к предоставлению компанией Zoom и использованию Клиентом Услуг, если Клиент является Компанией или Контролером, а Zoom обрабатывает Персональные данные Клиента в соответствии с CCPA или другими Применимыми законами штата о защите данных.

1. Определения. В рамках настоящего Дополнительного соглашения под термином Клиент подразумевается Компания или Контролер, оформляющий подписку на Услуги Zoom. Начинающиеся с прописной буквы термины, которые использованы в настоящем разделе A, но не определены в нем, имеют значение, предусмотренное в пункте 1 разделов B и C ниже.
2. Аудиты и оценки.
   1. Zoom будет проводить аудиты с помощью сторонних организаций для подтверждения соответствия стандартам ISO 27001 и SOC 2 Type II описанным далее образом.
      1. Zoom ежегодно будет проводить аудит соответствия SOC-2 в отношении безопасности, доступности и конфиденциальности.
      2. Аудиты будут выполняться в соответствии со стандартами и нормами регулирующего или аккредитующего органа для применимого руководящего стандарта или программы.
      3. Аудиты будут выполнять квалифицированные независимые сторонние аудиторы по безопасности, которых компания Zoom выберет на свое усмотрение и исходя из финансового обеспечения.
      4. В результате каждого аудита будет создаваться клиентский отчет об аудите (далее — «Отчет об аудите Zoom»), к которому Zoom будет предоставлять доступ Клиенту по запросу ежегодно. Отчет об аудите Zoom будет считаться Конфиденциальной информацией Zoom.
3. Ограничения в отношении получения информации. Ничто в рамках настоящего Дополнительного соглашения не должно требовать от Zoom разглашать: (a) какие-либо данные или информацию какого бы то ни было другого клиента Zoom либо какой бы то ни было третьей стороны; (b) какую-либо внутреннюю бухгалтерскую или финансовую информацию; (c) какие-либо коммерческие тайны Zoom; (d) какую-либо информацию, которая, по объективному мнению Zoom, может: (i) скомпрометировать безопасность сетей, систем или локальных устройств Zoom; (ii) привести к невыполнению компанией Zoom своих обязательств по безопасности или конфиденциальности перед какой-либо третьей стороной; (iii) раскрыть какую-либо информацию по какой бы то ни было причине, которая не изложена в настоящем Дополнительном соглашении. Перед предоставлением Отчета об аудите Zoom Клиенту компании Zoom может потребоваться согласие Клиента с объективными условиями и положениями Zoom (или стороннего аудитора либо инспектора).
4. Удаление данных. Zoom обязуется (a) согласно требованиям Применимых к Клиенту законов штата о защите данных и по указанию Клиента удалять или возвращать все Персональные данные Клиенту по завершении предоставления Услуг либо (b) согласно требованиям CCPA не хранить, не использовать или не разглашать Персональные данные после прекращения взаимоотношений между Клиентом и компанией Zoom либо истечения их срока действия. Ничто в пункте 4 (Удаление данных) настоящего раздела A не обязывает компанию Zoom (i) удалять или возвращать данные, которые она должна хранить в соответствии с применимыми Законами, или (ii) возвращать, вместо того чтобы уничтожить, Персональные данные, если возврат невозможен по техническим причинам либо же может предусматривать значительные неудобства или траты (либо и то и другое) для Zoom.

Раздел B. Калифорния.  Настоящий раздел B Дополнительного соглашения применяется к предоставлению компанией Zoom и использованию Клиентом Услуг, если Клиент является Компанией или Zoom обрабатывает Персональные данные от имени Клиента в соответствии с CCPA.

1. Определения. В рамках настоящего раздела B Дополнительного соглашения: (a) термин CCPA подразумевает Закон штата Калифорния «О защите конфиденциальности потребителей» 2018 года, дополненный Законом штата Калифорния «О правах на конфиденциальность» 2020 года, и все указанные в них правовые нормы; (b) термины Компания, Бизнес-цель, Коммерческая цель, Потребитель, Обработка, Продажа, Поставщик услуг и Предоставление используются в значении, изложенном в CCPA; (c) термин Персональные данные подразумевает «персональные данные», описанные в CCPA, но только в случаях, когда имеет место сбор, получение, использование, раскрытие или иная обработка персональных данных либо доступ к ним со стороны Zoom вследствие предоставления компанией Zoom Услуг Клиенту как Компании в соответствующем объеме во исполнение Соглашения.
2. Уведомления и обязанности. Компания Zoom (a) подтверждает, что Персональные данные раскрываются только Клиентом для ограниченного ряда указанных целей предоставления Услуг, описанных в Форме заказа и для целей, описанных в Соглашении; (b) должна выполнять обязанности, которые стоят перед Поставщиками услуг в соответствии с CCPA, и должна обеспечивать требуемый CCPA уровень защиты конфиденциальности Персональных данных, в том числе соответствующую защиту конфиденциальности, которую должны обеспечивать Компании; (c) соглашается с тем, что Клиент может предпринимать обоснованные и надлежащие меры в соответствии с пунктом 2 раздела A настоящего документа, чтобы обеспечить соответствие использования компанией Zoom Персональных данных обязательствам Клиента, изложенным в CCPA; (d) должна оперативно уведомлять Клиента о каких-либо решениях, принятых Zoom, в результате которых она больше не может исполнять свои обязательства в соответствии с CCPA; (e) соглашается с тем, что Клиент с предварительным уведомлением может принимать обоснованные и надлежащие меры, чтобы прекратить несанкционированное использование Персональных данных или устранить последствия такого использования в соответствии с применимыми нормативно-правовыми актами, запросив обосновано необходимую документацию у Zoom, которая подтверждает, что Zoom больше не хранит или не использует Персональные данные при наличии действительного запроса на удаление.
3. Ограничения. Zoom не имеет права (a) продавать или предоставлять Персональные данные; (b) хранить, использовать или раскрывать какие бы то ни было Персональные данные с какой-либо целью, кроме целей, описанных в подпункте a пункта 2 раздела B выше или иным способом, разрешенным в рамках CCPA, в том числе хранить, использовать или раскрывать Персональные данные в Коммерческих целях, отличных от таких целей, или для обслуживания других Компаний; (c) хранить, использовать или раскрывать Персональные данные за рамками прямых деловых отношений между Zoom и Клиентом, за исключением случаев, предусмотренных в CCPA; (d) объединять Персональные данные, полученные в рамках Соглашения, с Персональными данными, полученными от другого лица или при прямом взаимодействии Zoom с Потребителем, которому принадлежат Персональные данные, за исключением случаев, когда это разрешено Поставщику услуг в соответствии с CCPA. Настоящим Zoom подтверждает, что понимает свои обязанности в рамках настоящего Дополнительного соглашения и будет исполнять их.
4. Аудиты, проверки и оценки. Клиент, на которого распространяются обоснованные требования и письменные соглашения, которые необходимы для Zoom и соответствуют CCPA, а также за собственный счет Клиента может осуществлять аудит, проверку или доступ к Zoom не чаще чем раз в 12 месяцев согласно пункту 2 (Аудиты и оценки) раздела A выше.
5. Запросы клиентов. Клиент будет оперативно уведомлять компанию Zoom и предоставлять ей всю необходимую информацию после получения и проверки ею запроса Потребителя. В свою очередь, компания Zoom должна оперативно принять соответствующие меры и предоставить такую информацию, которую Клиент может запросить по объективным причинам в связи с Персональными данными Клиента, чтобы помочь Клиенту выполнить запросы лиц в отношении использования их прав в рамках CCPA, в том числе среди прочего запросы на доступ, изменение, удаление информации, связанной с их Персональными данными, или отзыв согласия на их Продажу или Предоставление либо получение такой информации. Если Zoom получит какой-либо запрос непосредственно от Потребителей Клиента, Zoom вправе (i) рекомендовать Потребителям обратиться с данным запросом к Клиенту напрямую или же (ii) обратиться к Клиенту с просьбой ответить Потребителю напрямую.

Раздел C. Виргиния, Колорадо, Юта и другие штаты. Настоящий раздел C Дополнительного соглашения применяется к предоставлению компанией Zoom и использованию Клиентом Услуг, если Клиент является Контролером Персональных данных, а Zoom обрабатывает Персональные данные Клиента в соответствии с Применимыми законами штата о защите данных.

1. Определения. Далее приведены определения используемых в настоящем разделе C Дополнительного соглашения терминов. (a) Термин Применимые законы штата о защите данных подразумевает (i) Закон штата Колорадо «О конфиденциальности» 2021 года, Закон штата Виргиния «О защите конфиденциальности потребителей» 2021 года или Закон штата Юта «О защите конфиденциальности потребителей» 2022 года с поправками либо (ii) какой-либо другой применимый закон штата США, принятый с целью защиты Персональных данных, при условии, что Клиент является Контролером, а Zoom — обработчиком, а также что условия и положения настоящего Дополнительного соглашения соответствуют требованиям таких Законов штата; (b) под терминами Контролер, Персональные данные, Обработка и Обработчик следует понимать соответствующие понятия, описываемые в Применимых законах штата о защите данных; (c) Значение термина Инструкции приведено ниже.
2. Обработка Персональных данных: роли, сфера действия и ответственность.
   1. Стороны подтверждают и принимают следующее: Клиент является Контролером Персональных данных Клиента. Zoom является Обработчиком Персональных данных Клиента.
   2. Только в необходимой и соизмеримой степени Клиент как Контролер инструктирует Zoom по поводу того, как осуществлять указанные ниже мероприятия в качестве Обработчика от имени Клиента (далее собирательно — Инструкции).
      1. Предоставлять и обновлять Услуги в соответствии с лицензированием, конфигурацией и использованием их Клиентом и его пользователями, в том числе использование Клиентом настроек, элементов управления администратора и других функциональных возможностей Услуги Zoom.
      2. Безопасный мониторинг Услуг в режиме реального времени.
      3. Устранение проблем, дефектов и ошибок.
      4. Предоставление запрашиваемой Клиентом поддержки, в том числе применение сведений, полученных из запросов поддержки отдельных клиентов на пользу всех клиентов Zoom, но при условии, что такие сведения будут анонимизированы.
      5. Обрабатывать Персональные данные Клиента описанным в Соглашении образом (в том числе в настоящем Дополнительном соглашении и приложении A к нему), а также в соответствии с любыми другими задокументированными инструкциями, которые предоставлены Клиентом и признаны компанией Zoom как утвержденные.
   3. При условии, что Zoom действует как Обработчик Персональных данных Клиента, компания Zoom должна обрабатывать Персональные данные Клиента строго в соответствии с Инструкциями Клиента. Клиент отвечает за то, чтобы его Инструкции для Zoom соответствовали всем Законам, нормам и нормативно-правовым актам, применимым к Персональным данным Клиента, и чтобы Обработка Персональных данных Клиента по Инструкциям Клиента не приводила к нарушению Применимых законов штата о защите данных со стороны Zoom. Клиент несет единоличную ответственность за обеспечение точности, качества и законности (i) Персональных данных Клиента, предоставленных компании Zoom самим Клиентом или от его имени; (ii) получения Клиентом каких-либо Персональных данных Клиента; (iii) Инструкций, которые Клиент предоставляет Zoom в отношении Обработки таких Персональных данных Клиента. Клиент не должен предоставлять компании Zoom какие-либо Персональные данные Клиента или давать ей к ним доступ в нарушение Соглашения или настоящего Дополнительного соглашения.
   4. Клиент предоставляет разрешение компании Zoom на проведение сканирования и составление отчетов по Персональным данным в ограниченном ряде обстоятельств (например: чтобы распознать Материалы, содержащие сексуальное насилие над детьми, и сообщить о таком нарушении; чтобы обеспечить соответствие с другими применимыми Законами; чтобы обеспечить соответствие требованиям Руководства в отношении допустимого использования Zoom).
3. Правомочные лица. Компания Zoom отвечает за то, чтобы все лица, которые имеют право Обрабатывать Персональные данные Клиента, были осведомлены о том, что эти данные носят конфиденциальный характер и что эти лица обязаны сохранять их конфиденциальность.
4. Субподрядчики и субобработчики. При условии, что Zoom является Обработчиком, настоящим Клиент в общем смысле предоставляет компании Zoom право привлекать субподрядчиков и субобработчиков в соответствии с пунктом 4 настоящего раздела C.
   1. Клиент разрешает компании Zoom привлекать поставщиков, указанных на странице https://explore.zoom.us/docs/ru/subprocessors.html, с целью Обработки Персональных данных Клиента.
   2. Zoom может отстранять, заменять или назначать дополнительных поставщиков. Если Клиент подписывается на обновления страницы https://explore.zoom.us/ru/subprocessors/, компания Zoom должна уведомлять Клиента обо всех изменениях в этих взаимодействиях с поставщиком. Если того требуют Применимые законы штата о защите данных, компания Zoom также должна предоставить Клиенту возможность возражения против такого взаимодействия в соответствии с подпунктами d и e пункта 4 раздела C настоящего документа.
   3. В экстренных случаях, связанных с доступностью или безопасностью Услуг, компания Zoom не обязана заблаговременно уведомлять Клиента об отстранении, замене или назначении субподрядчиков, но она все равно должна уведомить Клиента в течение 7 (семи) рабочих дней после смены субподрячика.
   4. В любом случае Клиент может подать в письменном виде возражение против такого взаимодействия с субподрядчиком в течение 15 (пятнадцати) рабочих дней с момента получения вышеуказанного уведомления Zoom.
   5. Если Клиент возражает против взаимодействия с новым субподрядчиком, у компании Zoom есть право устранить возражение одним из описанных далее способов (которые компания Zoom выберет по своему усмотрению).
      1. Zoom может передумать привлекать субподрядчика в связи с Персональными данными Клиента.
      2. Zoom может принять корректирующие меры, которые запросит Клиент со своей целью (из-за чего возражение Клиента будет устранено), и продолжить пользоваться услугами субподрядчика в связи с Персональными данными Клиента.
      3. Zoom может прекратить предоставление, или же Клиент может отказаться от использования (временно или на постоянной основе) определенной части Услуги, которая предусматривает использование услуг субподрядчика в связи с Персональными данными Клиента. Компания Zoom должна предоставить Клиенту письменное описание коммерчески оправданных альтернатив такого взаимодействия, если таковые имеются, в том числе среди прочего изменение Услуг. Если Zoom по собственному усмотрению не может предоставить такие альтернативы или если Клиент не согласен использовать такие альтернативы в случае, если они предоставлены, Zoom и Клиент могут расторгнуть Соглашение, включая настоящее Дополнительное соглашение, предварительно уведомив об этом письменно за 60 (шестьдесят) дней до расторжения. Расторжение не освобождает Клиента от уплаты каких-либо сборов или комиссий, причитающихся Zoom за Услуги, предоставленные вплоть до даты вступления в силу расторжения в рамках Соглашения.
      4. Если же Клиент не подаст возражение против взаимодействия с новым субподрядчиком в течение 15 рабочих дней с момента публикации уведомления Zoom, этот новый субподрядчик будет считаться утвержденным.
   6. Zoom обязуется привлекать субподрядчиков, которые обрабатывают Персональные данные Клиента, только в соответствии с письменным договором и требует от субподрядчика выполнения всех обязательств Zoom, которые предусматривает субподрядный договор в отношении таких Персональных данных. Zoom по-прежнему несет ответственность перед Клиентом, если субподрядчик не выполняет свои обязательства в части защиты данных для выполнения обязательств этого субподрядчика, в той же степени, в какой компания Zoom будет самостоятельно нести ответственность в рамках настоящего Дополнительного соглашения в случае совершения ею таких действий или ее бездействия.
5. Информационная безопасность. В контексте Обработки компания Zoom обязуется принимать соответствующие технические и организационные меры в отношении Персональных данных Клиента, чтобы обеспечить должный уровень безопасности в разрезе риска в соответствии с настоящим Дополнительным соглашением и другими четко изложенными требованиями Соглашения.
6. Информация о соблюдении требований. По обоснованному запросу Клиента компания Zoom должна предоставить Клиенту доступ к хранимой у нее необходимой объективной информации, соответствующей применимым Законам, чтобы продемонстрировать соблюдение Zoom обязательств в рамках настоящего Дополнительного соглашения.