Data transfer agreement что это
Соглашения об обработке и защите персональных данных в GDPR
Высокоуровневый обзор моделей договорных отношений по GDPR. Рассмотрение таких типов соглашений об обработке и защите персональных данных как Data Transfer Agreement, Data Processing Agreement, Data Management Agreement, Binding Corporate Rules, Subject’s Privacy Addendum. Определение применимости, требований к содержанию и практических аспектов подготовки рассматриваемых соглашений.
В России, во многом благодаря сложившейся правоприменительной и судебной практике, центральное место среди правовых оснований для вовлечения оператором в обработку персональных данных иных лиц (обработчиков) традиционно занимает субинститут поручения на обработку персональных данных на основании заключаемого между оператором и обработчиком договора (ч. 3 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»). Такие поручения используются повсеместно и практически по любому случаю передачи персональных данных. При этом операторы, обработчики, надзорные и судебные органы часто не обращают внимания на фактическое содержание и распределение ролей в правоотношениях, складывающихся между участниками процесса обработки персональных данных. В противоположность этому Общий Регламент ЕС по защите персональных данных (GDPR) в гораздо большей степени раскрывает широкий потенциал столь универсального юридического инструмента, как соглашение для урегулирования отношений об обработке и защите персональных данных между участниками обработки персональных данных.
Наиболее распространенными и известными видами соглашений в GDPR являются Data Transfer Agreement (DTA) и Data Pricessing Agreement (DPA). Стороной соглашения с контролером может быть и субъект данных. Подобные отношения обычно не регулируются специальными соглашениями, но существует практика включения в соглашение с субъектом особого раздела о приватности – Subject’s Privacy Addendum (SPA). При этом GDPR фактически устанавливает режим большего разнообразия видов договорных отношений между участниками обработки персональных данных. Примером могут служить соглашения, направленные на структурирование сложных и часто трансграничных процессинговых активностей – Data Management Agreement (DMA) и механизм Binding Corporate Rules (BCR-C/BCR-P).
.jpeg "Data transfer agreement что это. Смотреть фото Data transfer agreement что это. Смотреть картинку Data transfer agreement что это. Картинка про Data transfer agreement что это. Фото Data transfer agreement что это")
С – контролер (Controller)
Р – процессор (Processor)
SP – субпроцессор (Subprocessor)
S – субъект данных (Data Subject)
JC – совместный контролёр (Joint Controller)
EEA – территории в Европейской экономической зоне
Non-EEA – территории вне Европейской экономической зоны
Стрелки – направление движения персональных данных
Требования к взаимодействию между контролерами, процессорами и совместными контролерами описаны с разной степенью подробности. Так, требования к содержанию DPA достаточно подробно регламентированы ст. 28 GDPR, а вот требования к DMA приведены только в общих словах в ст. 26 GDPR. Что касается DTA, действующее законодательство вообще не содержит явных требований по его содержанию.
Ниже мы рассмотрим некоторые особенности ранее названных моделей соглашений, а также коснемся проблематики договорной работы при экспорте персональных данных из Европейской экономической зоны (ЕЭЗ) в другие юрисдикции.
DTA фактически является базовым способом построения отношений между контролерами в ЕЭЗ:
1. Определяет статус сторон как самостоятельных контролеров в отношении получаемых персональных данных.
2. Фиксирует требования об осуществлении передачи персональных данных субъектов на законном основании, о надлежащем уведомлении субъектов при передаче их персональных данных и об обеспечении конфиденциальности и безопасности обработки полученных персональных данных.
3. Закрепляет принцип равноправия сторон при взаимной передаче персональных данных, не дает каких-либо преимуществ и не ущемляет интересы обеих сторон.
4. Является рамочным и бессрочным, то есть требует лишь однократного подписания и регулирует все договорные отношения между сторонами.
5. Защищает права и законные интересы субъектов при передаче их персональных данных.
6. Позволяет сторонам привлекать третьих лиц к обработке полученных персональных данных.
7. Снижает риск предъявления претензий к сторонам от надзорных органов в отношении соблюдения сторонами должной осмотрительности при осуществлении взаимной передачи персональных данных.
Британский надзорный орган в сфере персональных данных (ICO) предлагает всем желающим воспользоваться бесплатным конструктором DTA – Controller to controller contract builder.
Аналогичный сервис, но уже в отношении DPA, также был представлен ICO – Controller to processor contract builder. Перед составлением проекта DPA рекомендуется ознакомиться с руководством французского надзорного органа в сфере персональных данных (CNIL) для процессоров, которое содержит образец DPA, а также следует прочесть руководство ирландского надзорного органа в сфере персональных данных (DPC) по подготовке Data Processing Contracts.
Одним из наиболее сложных для подготовки является DMA, который в то же время представляет собой оптимальный способ регулирования оборота персональных данных в холдинге, когда группа лиц (обычно это компании) выполняет роль совместных контролеров и осуществляет деятельность, направленную на:
1. Совместное определение цели в отношении обработки персональных данных.
2. Использование одного и того же набора персональных данных (или базы данных) для достижения общей цели.
3. Совместное определение облика процесса обработки персональных данных, пусть и с разными целями.
4. Наличие общих правил управления персональными данными.
Ниже приведены некоторые преимущества DMA для холдинга:
1. Установление иерархичности сторон и порядка принятия решений.
2. Гибкое распределение ответственности между участниками.
3. Централизованное взаимодействие холдинга с процессорами и субпроцессорами.
4. Использование для экспорта данных из ЕЭЗ в иностранные юрисдикции – посредством включения DMA стандартных договорных условий о защите данных (Standard Contractual Clauses for EU controller to non-EU or EEA controller).
5. Возможность учесть особенности права, применимого к участникам, находящимся вне ЕЭЗ.
6. Отсутствие механизма обязательного согласования с надзорными органами.
В качестве образцов DMA можно рекомендовать воспользоваться проектом Joint Controllers Agreement от одного из немецких надзорных органов в сфере персональных данных (LfDI Baden-Württemberg) и модельным проектом Joint Controllership Agreement от Ассоциации голландских образовательных и исследовательских организаций (SURF).
Отдельно надо остановиться на урегулировании вопросов обработки персональных данных, правовым основанием для которой является договор (контракт) между контролером и субъектом. В декабре 2019 года ирландский надзорный орган DPC опубликовал руководство для контролеров по определению правильной правовой основы для той или иной обработки персональных данных и обязательств, соответствующих этой правовой основе. Страницы 11–13 руководства посвящены анализу базовых требований к обработке персональных данных в контексте преддоговорной и договорной деятельности между контролером и субъектом данных.
.jpeg "Data transfer agreement что это. Смотреть фото Data transfer agreement что это. Смотреть картинку Data transfer agreement что это. Картинка про Data transfer agreement что это. Фото Data transfer agreement что это")
В договоре с субъектом желательно предусмотреть раздел (SPA), который:
1. Определяет статус организации в отношениях с субъектом данных как самостоятельного контролера.
2. Фиксирует цели договорной обработки персональных данных – заключение, исполнение и прекращение сторонами договора, а также осуществление, выполнение и соблюдение Сторонами прав, обязанностей и запретов, предусмотренных применимыми нормами.
3. Вводит в договор необходимый понятийный аппарат.
4. Явно указывает на период постдоговорной обработки данных.
5. Вменяет контролеру в обязанность обеспечивать конфиденциальность и безопасность обработки персональных данных.
6. Защищает права и законные интересы субъекта при обработке персональных данных.
7. Позволяет контролеру привлекать третьих лиц к обработке полученных персональных данных.
8. Обязывает субъекта добросовестно сотрудничать с контролером и оказывать ему необходимое разумное содействие при рассмотрении и урегулировании запросов (жалоб, требований, предписаний, претензий, судебных исков), касающихся обрабатываемых на основании договора персональных данных.
Особое место в европейской системе регулирования оборота персональных данных занимают Стандартные договорные условия о защите данных (Standard Contractual Clauses for EU controller to non-EU or EEA controller и Standard Contractual Clauses for EU controller to non-EU or EEA processor) и Обязательные корпоративные правила (Binding Corporate Rules и Processor Binding Corporate Rules), призванные обеспечить механизм защиты прав субъектов персональных данных из ЕЭЗ в тех ситуация, когда осуществляется экспорт персональных данных субъектов из ЕЭЗ в иностранные юрисдикции, не обеспечивающие по мнению ЕС адекватную защиту прав субъектов (к таким юрисдикциям относятся, например, США и Россия). В некоторых случаях указанные механизмы защиты прав субъектов при экспорте их данных могут дополняться международными соглашениями, в частности, EU-U.S. Privacy Shield (Соглашение о правилах передачи персональных данных между ЕС и США).
В 2019 году Европейский суд в Люксембурге (Court of Justice of the European Union) начал рассматривать жалобу Максимилиана Шремса против передачи персональных данных социальной сетью Facebook спецслужбам США, которые прибегают к массовой слежке за пользователями. Шремс стал известен в 2015 году после того, как выиграл первый судебный процесс против Facebook. Тогда Европейский суд удовлетворил его жалобу 2013 года и признал незаконным соглашение Safe Harbor между ЕС и США о передаче социальной сетью персональных данных европейских пользователей спецслужбам США. Впоследствии Европейская комиссия была вынуждена отменить действие Safe Harbor и в 2016 году подписала новое соглашение с США о защите персональных данных EU-US Privacy Shield.
И вот 16 июля 2020 года Суд ЕС постановил, что Privacy Shield признается недействительным в связи с недостаточной защищенностью персональных данных от передачи операторами социальных сетей американским спецслужбам. В решении суда говорится, что данное соглашение создает условия для нарушения фундаментальных прав европейских граждан. В нем подчеркивается, что в США доступ государственных структур к подобной информации ограничен в гораздо меньшей степени, чем в странах ЕС. Теперь взамен признанного судом недействительным соглашения Privacy Shield ЕС и США должны создать эффективную систему, гарантирующую, что уровень защиты персональных данных, передаваемых в США, эквивалентен уровню защиты персональных данных в ЕС.
Хотя SCC-P (Standard Contractual Clauses Controller-to-Processor) были признаны в качестве продолжающего действовать правового механизма для экспорта данных из ЕЭЗ, но экспортер и импортер данных должны совместно осуществить предварительную (до заключения SCC) оценку возможности обеспечить надлежащий уровень защиты прав субъектов данных в случае осуществления их предполагаемой передачи. При проведении такой предварительной оценки экспортер (при необходимости с помощью импортера) должен учитывать содержание SCC, специфику передачи данных, а также правовой режим, применимый в иностранной юрисдикции. Проверка последнего должна проводиться с учетом неисчерпывающих факторов, указанных в ст.45(2) GDPR.
При выявлении такой необходимости по результатам предварительной оценки, экспортер данных должен рассмотреть возможность включения в SCC дополнительных положений, направленных на защиту прав субъектов данных, адекватности обеспечения защиты прав субъектов данных. Если положения SCC в части гарантии прав субъектов данных не выполняются или не могут быть фактически выполнены в иностранной юрисдикции, то SCC обязывает экспортера приостановить передачу данных или расторгнуть SCC или проконсультироваться с компетентным надзорным органом ЕЭЗ по сложившейся ситуации, если экспортер намеревается продолжить передачу данных. Надзорные органы ЕЭЗ в сфере персональных данных обязаны приостановить или запретить передачу данных в третью страну на основании SCC между экспортером и импортером данных, если, по мнению регулятора, в юрисдикции третьей страны положения SCC не соблюдаются или не могут быть соблюдены.
Европейских совет по защите данных (European Data Protection Board) опубликовал разъяснения по использованию правовых механизмов для обеспечения правомерной передачи персональных данных из ЕЭЗ в третьи страны с учетом решения Суда ЕС. Кроме того, можно посоветовать использовать типовой проект соглашения о переходе с условий EU-US Privacy Shield на Standard Contractual Clauses (Controller-to-Processor) в тех ситуациях, когда компания – резидент ЕЭЗ ранее полагалась исключительно на EU-US Privacy Shield и не заключала SCC с американскими импортерами персональных данных.
Data sharing (or transfer) agreements: What are they and when do I need one?
What is data sharing?
Sending data, receiving data, or both.
Why should I care about data sharing?
Refer to the guideline produced by the University of Toronto which provides a comprehensive overview of the benefits associated with data sharing and the context within which data sharing and data management challenges and obligations typically occur.
What is a data sharing or transfer agreement?
An inter-institutional or intra-institutional agreement to share data according to certain terms and conditions.
Data sharing agreements identify the parameters which govern the collection, transmission, storage, security, analysis, re-use, archiving, and destruction of data.
When should a data sharing or transfer agreement be developed?
In situations where the researcher has legal or ethical obligations, or where a real risk exists if the data is inappropriately accessed or used.
Certain non-academic research activities (e.g., institutional reporting, quality assurance, program evaluation) might also present the possibility of high risks of privacy or security breaches as indicated by the Privacy and Security Assessment.
What needs to be in a data sharing agreement?
The amount of detail to be provided should be commensurate with the nature of the data to be collected, the likelihood of a privacy breach, and the possible magnitude of harm which may occur to participants if their privacy rights were violated.
What things do I need to consider when developing a data sharing agreement?
Gathering anonymous information may require minimum safeguards.
Gathering personally identifying and highly restricted health information should be subject to increased scrutiny and safeguards.
University of Waterloo requirements concerning human participant data security and storage are outlined in the Guideline on Research Participants’ Data Security.
For a data set to be “de-identified”, the University of Waterloo requires that de-identification meet, as a minimum, either the US Safe Harbor standards or expert determination method.
Whenever possible data sharing agreement terms should be contained within a master research agreement (e.g., clinical trial agreement).
When submitting an ethics application, include the portion of the research agreement which describes the data sharing arrangements which have been developed.
This agreement should be developed prior to submitting the ethics application.
Some research protocols involving human participant data submitted for ethics review may require a data management plan.
All ethics applications ask the researcher to describe how participant data will be secured and protected.
Consult the University of Waterloo data security and storage guidelines.
If you have any questions concerning your proposed data management plan, the Privacy Officer should be contacted prior to submitting an ethics application or while you are developing a research agreement to ensure that the proposed data management plan is appropriate to manage these identified risks. The Director of Information Security can also be consulted should you require clarification on the categorization of the data contained in the proposed data set.
Are there times when is a data sharing agreement is absolutely required?
Researchers MUST develop a data sharing agreement or include these items as part of a master research agreement when they are conducting:
A copy of the risk assessment and data sharing agreement (or research agreement which spells out the data sharing agreement) is to accompany the ethics application.
When I should NOT share data even if the situation suggests that a data sharing agreement may be required?
Researchers should not share data when:
Who can I talk to if I have questions?
If the Privacy and Security Assessment suggests that this proposed data exchange or sharing requires a data sharing agreement, the Office of Research can assist you in developing and negotiating a data management or data sharing agreement or incorporating these elements into your master research agreement.
YANDEX.METRICA DATA PROCESSING AGREEMENT (DPA)
By using opt-in check-box you declare that you agree to the following regulations. By proceeding, you confirm that you have a business established in the territory of a member state of the European Economic Area or Switzerland, or that, for other reasons, you are subject to the territorial scope of the national implementations of the Regulation (EU) 2016/679 of 27 April 2016 on the protection of natural persons with regard to the Processing of Personal Data and on the free movement of such data, (General Data Protection Regulation; hereinafter – «GDPR»). You further agree that if the aforementioned is not the case, this DPA between you and Yandex shall be void.
This DPA enters into force on 25 May 2018 if you have agreed to the DPA prior to or on such date, or on the date on which you agreed to the DPA, if such date is after 25 May 2018.
This DPA is an addition to the Terms of Use of Yandex.Metrica (https://yandex.com/legal/metrica_eea_termsofuse) In the event of a contradiction between these clauses and the Terms of Use of Yandex.Metrica, the terms and conditions under this DPA shall prevail.
1. DEFINITIONS
“Customer Data” shall mean any kind of data provided by or in connection with the customer. Customer Data can possibly contain personal data.
“Personal Customer Data» shall mean any kind of Customer Data which is personal data and which is processed by Yandex as part of the DPA. «Persoeenal Data» shall have the meaning as defined in Art. 4 Sec. 1 of the GDPR.
«Processing» shall have the meaning as defined in Art. 4 (2) of GDPR, i.e. any operation or set of operations which is performed on Personal Data or on sets of Personal Data, whether or not by automated means, such as collection, recording, organization, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction.
«Data Controller» shall have the meaning as defined in Art. 4 (7) GDPR, i.e. the natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the Processing of Personal Data; where the purposes and means of such Processing are determined by Union or Member State law, the controller or the specific criteria for its nomination may be provided for by Union or Member State law;
«Processor» shall have the meaning as defined in Art. 4 (8) of GDPR, i.e. a natural or legal person, public authority, agency or other body which processes Personal Data on behalf of the controller.
«Instruction» shall mean all documented instructions you give to Yandex and that request Yandex to carry out a certain action in connection with Personal Customer Data.
«IP Anonymization» shall mean the functionality by means of which you can instruct Yandex to delete the last octet of the IP addresses of your website of mobile app users.
2. GENERAL
2.1 Subject matter of the Agreement: Yandex shall provide you with the service as described in this DPA and the Terms of Use of Yandex.Metrica and shall process Customer Data as part of the performance of services pursuant to this DPA and the Terms of Use of Yandex.Metrica.
2.2 Subject matter, nature and purpose of the Data Processing: The service shall serve the purpose of analysing the use of your website or mobile app by its users. For this purpose, Yandex will collect Customer Data concerning technical properties and the activities of your website or mobile app users on the basis of page views or mobile app use. Customer Data will be evaluated by the Processing software to create reports including, among other things, information on the time spent on the website or in the mobile app, approximate geographical origin, origin of the user traffic, exit pages and a course of use.
2.3 Group of affected persons: users of your website or mobile app.
2.4 Type of data: Data collected on the basis of page views or mobile app use concerning technical properties and the activities of your website or mobile app users. This, particularly, includes information on the time spent on the website or in mobile app and the interaction with your website or mobile app as well as the IP address of website or mobile app users and cookies information.
2.5 Duration and data deletion: The duration of the Processing is described in the Terms of Use of Yandex.Metrica. This DPA is valid until you stop using the service using the delete function in the service interface as stated under: https://yandex.com/support/metrica/general/my-counters.html#delete-counter. The rights, benefits and obligations of this DPA shall commence with the initiation of the service and shall terminate with termination of the agreed services under the Terms of Use of Yandex.Metrica.
2.6 With respect to the Processing of Personal Customer Data as part of this DPA, you are the Controller (or Processor) and Yandex is the Processor (or sub-Processsor) within the meaning of GDPR. You are responsible for the compliance with GDPR.
2.7 Yandex performs the contractually agreed Processing of Personal Customer Data on servers in Member States of the European Union or other signatories to the agreement on the European Economic Area or by Subcontractors for which Yandex ensures a reasonable level of protection of Personal Data including through the conclusion of standard contractual clauses for processors adopted by the Commission of the European Union.
2.8 Yandex will Process Personal Customer Data on your behalf and on your Instructions as follows: (a) insofar as required with respect to the scope and type for the purpose of providing the services and for meeting the obligations from this DPA or Terms of Use of Yandex.Metrica, (b) pursuant to your following Instructions, (c) insofar as required by Union or Member State Law.
3. YOUR RIGHTS AND OBLIGATIONS AND THE SCOPE OF THE AUTHORITY TO GIVE INSTRUCTIONS
3.1 You shall be responsible for the permissibility of the Processing of Personal Customer Data as well as the protection of the rights of the data subject.
3.2 You can give Instructions obligating Yandex to perform a certain action with respect to the Personal Customer Data. You will be able to give such Instructions through the user interface of the service. This particularly includes the functionality of the IP Anonymization by means of which you instruct Yandex to delete the last octet of the IP addresses of your website users or mobile app users. In case an Instruction is not possible through the user interface of Yandex.Metrica service and exceeds the Instructions agreed upon in the DPA («Individual Instruction»), Yandex will notify you of the costs incurring for the performance of the Individual Instruction. Insofar as you will maintain the Instruction after such notification, you shall reimburse the costs related to such performance to Yandex. Yandex shall immediately inform you if, an Instruction infringes the GDPR or other Union or Member State data protection provisions and may raise an objection against the Individual Instruction within 30 days of the receipt («Objection») when Yandex has reasonable doubts on the lawfulness of the instruction (e.g. on consistency with the applicable data protection law). The Objection has the effect that Yandex does not have to execute the respective Individual Instruction. In such case, you are entitled to extraordinarily and without notice terminate the DPA in accordance with the provisions of the DPA.
3.3 You declare that you exclusively Process Personal Customer Data (if existing) for the purpose of tracking of a course the users use your website or mobile app and to create reports on the website activity.
4. OBLIGATIONS OF YANDEX
4.1 Deletion, correction and blocking of data, deletion after termination of the order: After your Instruction Yandex shall anonymize Personal Customer Data including by erasing the last octet of the IP-addresses of the users of your website or mobile app. This obliteration shall be completed before further analysing the IP-addresses as a part of the services.
4.2 At your choice, Yandex shall delete or return all Personal Customer Data to you based on your instruction, and latest after the end of the provision of services relating to Processing, and deletes existing copies unless Union or Member State law requires a continued storage of the Personal Customer Data.
4.3 Technical and organizational measures: Yandex shall implement all technical and organizational security measures as required under Art. 32 GDPR. As a part of the DPA you shall not provide Yandex with data carriers for data storage.
4.4 Yandex may (a) develop the technical and organizational measures as at its sole dutiful discretion and in accordance with the technical process to raise security, provided that the standard as required under Art. 32 GDPR is met, and that (b) copies of Customer Data, in particular backup copies, aggregated data and cached copies are required after the completed IP Anonymization to provide the service. Yandex is permitted to implement other appropriate measures. By doing so, the security level in total must not fall below the security level of the measures determined. Yandex will document significant changes.
4.5 Data confidentiality: Yandex shall only entrust personnel with the Processing of Personal Customer Data, which has committed themselves to confidentiality or are under an appropriate statutory obligation of confidentiality.
4.6 Other obligations: In addition to the general compliance with the provisions under this DPA, Yandex has the following obligations:
4.7 Yandex shall immediately inform you of any relevant violations of any data protection regulations or the provisions determined in this DPA by Yandex or any person working for Yandex insofar as the violation is connected to the Processing of Personal Customer Data pursuant to this DPA.
4.8 Assistance: Taking into account the nature of the Processing, Yandex shall assist you with appropriate technical and organizational measures, insofar as this is possible, for the fulfilment of your obligation to respond to requests for exercising the data subject’s rights laid down in Chapter III GDPR. Yandex shall assist you in ensuring compliance with the obligations pursuant to Art. 32 through 36 GDPR taking into account the nature of Processing and the information available to Yandex.
5. CONTROL RIGHTS AND REVIEW OF TECHNICAL AND ORGANIZATIONAL MEASURES
5.1.Yandex shall make available to you all information necessary to demonstrate compliance with the obligations laid down by the GDPR and allow for and contribute to audits, including inspections, conducted by you or another auditor mandated by you. The following requirements apply to any audit: (i) you must give a minimum thirty (30) days’ notice of your intention to audit; (ii) you may exercise the right to audit no more than once in any calendar year; (iii) commencement of the audit shall be subject to an agreement with Yandex of a scope of work for the audit at least ten (10) days in advance; (iv) Yandex may restrict access to certain parts of its facilities and certain records where such restriction is necessary for commercial confidentiality; (v) the audit shall not include penetration testing, vulnerability scanning, or other security tests; (vi) the right to audit includes the right to inspect but not copy or otherwise remove any records, other than those that relate specifically and exclusively to you; (vii) any independent auditor will be required to sign such non-disclosure agreement as is reasonably required by Yandex prior to the audit; and (viii) You shall compensate Yandex for its reasonable costs (including for the time of its personnel, other than your relationship manager) incurred in supporting any audit.
6. SUBCONTRACTOR
6.1 Subject to the following provisions, Yandex may not commission third parties with the Processing of Personal Customer Data without your consent («Order Data Sub-Processor») except as provided in clause 6.2.
6.2 Yandex may contract a subcontractor for the data Processing if the subcontractor is an affiliated enterprise («Affiliated Order Data Sub-Processors») and if a data processing agreement pursuant to the requirements outlined in this paragraph are met. A legally separate enterprise that with respect to Yandex is a subsidiary and parent enterprise, controlled or controlling enterprise, member of a group, enterprises with cross-shareholdings, or party to an enterprise agreement shall constitute affiliated enterprises. A data Sub-Processor agreement requires that Yandex (a) ensures that the Affiliated Order Data Sub-Processors fulfil Yandex’ duties and (b) assumes liability towards the customers for actions and/or absence of actions of the Affiliated Order Data Sub-Processors concerned as if these actions were taken by Yandex itself. In this context, affiliated subcontractors may also have their seat outside the area of Member States of the European Union or other parties to the Agreement on the European Economic Area, if Yandex enters into appropriate guarantees as required by Art. 46 GDPR and passes down its own Processing obligations under this Agreement to any such sub-processor.
6.3 If the Order Data Sub-Processor provides the agreed performances outside the area of Member States of the European Union or other parties to the agreement on the European Economic Area, Yandex shall enter into appropriate guarantees as required by Art. 46 GDPR and passes down its own Processing obligations under this DPA to any such sub-processor.
6.4 Where Yandex engages Data Sub-Processor for carrying out specific processing activities on behalf of you, the same data protection obligations as set out in such contract shall be imposed by Yandex on that Data Sub-Processer by way of a Data Sub-Processor agreement, which in particular provides for sufficient guarantees to implement appropriate technical and organizational measures in such a manner that the processing will meet the requirements of the GDPR. Where Order Data Sub-Processor fails to fulfil its data protection obligations, Yandex shall remain fully liable to you for the performance of Order Data Sub-Processor’s obligations.
6.5 Insofar as companies providing ancillary performances for Yandex in connection with the provision of services do not constitute Order Data Sub-Processors, Yandex will make reasonable efforts to establish an adequate contractual protection vis-à-vis such providers of ancillary performances in regard to the data security. In general, this applies to the provision of lines for telecommunication, electricity, cooling, maintenance, cleaning, review or rental of real estate. Section 6.4. shall apply accordingly.
7. STANDARD CONTRACTUAL CLAUSES
7.1. With respect to the transfer of Personal Customer Data to a third country or international organization, any processing operation as described in this DPA shall also be subject to the EU Standard Contractual Clauses pursuant to European Commission Decision (“SCC”) which shall prevail over any conflicting clauses in this DPA.
8. CHANGES TO DPA
8.1. Yandex may change the DPA at any moment in case: (a) changes are required to comply with the applicable law, applicable regulation, a court order or guidance issued by a regulator or agency; or (b) changes do not: (i) result in a degradation of the security of Customer Personal Data; (ii) expand the scope of, or remove any restrictions on, Yandex Processing of Customer Personal Data; and (iii) otherwise have a material adverse impact on your rights under the DPA, as reasonably determined by Yandex. Before changes will take effect Yandex informs you at least 30 days in advance (or shorter period as may be required to comply with the applicable law, applicable regulation, a court order or guidance issued by a regulator or agency) by either: (a) email; or (b) alerting you via the service interface. If you object to any such change, you must terminate the DPA and stop using the service as described in clause 2.5. of this DPA. Yandex shall be entitled not to notify you about editorial changes.