Дополнение к обработке данных

Этот Дополнительный документ по обработке данных Shoprocket ("Дополнение") изменяет Условия и положения Shoprocket ("Соглашение"), заключенные между вами ("Вы") и Shoprocket LTD (номер компании 12656598, зарегистрированной в Англии и Уэльсе по адресу: 20-22 Wenlock Road, London, NG 17U). Если у вас есть отдельное Соглашение об уровне обслуживания (SLA) с Shoprocket, ссылки на Соглашение означают это SLA. Это Дополнение подлежит применению и включено в Соглашение. Любой термин с заглавной буквы, не определенный здесь, имеет значение, указанное в Соглашении.

Определения

Настройки аккаунта: Конфигурации вашего аккаунта Shoprocket (включая безопасность), которые позволяют вам управлять тем, как Shoprocket обрабатывает Персональные данные.
Коммерческие цели: Услуги, определенные в Соглашении.
Данные аккаунта клиента: Персональные данные о ваших отношениях с Shoprocket (например, уполномоченные контакты, данные для выставления счетов), а также информация, которую Shoprocket собирает для управления аккаунтом, проверки личности или выполнения юридических требований.
Данные об использовании клиентом: Данные об использовании, обрабатываемые Shoprocket в связи с вашим использованием Услуг (например, журналы, метрики производительности, данные для предотвращения злоупотреблений).
Законодательство о защите данных: Включает CCPA, GDPR ЕС, Федеральный закон Швейцарии о защите данных, GDPR Великобритании, DPA 2018 и PECR 2003, с последующими изменениями. Термины (например, "Контроллер данных", "Обработчик данных") следуют GDPR ЕС.
ЕЭП: Европейская экономическая зона.
EU SCCs: Стандартные контрактные положения согласно Решению Комиссии 2021/914.
Передача вне ЕЭП: Передача Персональных данных (по GDPR ЕС) за пределы ЕЭП без решения о адекватности согласно статье 45 GDPR ЕС.
Передача вне Великобритании: Передача Персональных данных (по GDPR Великобритании) за пределы Великобритании без решения о адекватности со стороны государственного секретаря Великобритании.
Поставщик услуг: Как определено в CCPA.
Услуги: Инструменты Shoprocket для создания/управления интернет-магазинами ("Магазин Shoprocket"), обработки продуктов, платежей, доставки, маркетинга и любых других инструментов или услуг, которые может предложить Shoprocket.
Аккаунт Shoprocket: Ваш аккаунт, предоставляющий доступ к Услугам, включая Настройки аккаунта, по адресу https://www.shoprocket.io.
Политика конфиденциальности Shoprocket: Уведомление по адресу https://shoprocket.io/privacy, с последующими изменениями.
Магазин Shoprocket: Ваш сайт электронной коммерции, размещенный или поддерживаемый Shoprocket.
Данные специальной категории: Как определено в статьях 4(13), 4(14), 4(15) и 9 GDPR ЕС/Великобритании (в зависимости от ситуации).
Стандартные контрактные положения (SCCs): EU SCCs и UK SCCs, в зависимости от актуальности.
UK SCCs: EU SCCs, измененные Дополнением IDTA ICO Великобритании.
Мы/Нас/Наш: Shoprocket LTD (включая "Shoprocket" и "Shoprocket.io").
Вы/Ваш: Договорная сторона, указанная в Соглашении.

Инструкции клиента

Это Дополнение и Соглашение (включая инструкции в ваших Настройках аккаунта) составляют Документированные инструкции о том, как Shoprocket обрабатывает Персональные данные. Shoprocket будет обрабатывать Персональные данные только в соответствии с инструкциями. Дополнительные инструкции за пределами этих условий требуют предварительного письменного согласия (и могут повлечь за собой дополнительные сборы).

Shoprocket может прекратить действие этого Дополнения и Соглашения, если ваши инструкции противоречат Законодательству о защите данных или отклоняются от согласованных инструкций. Учитывая характер обработки, Shoprocket в целом не может судить, нарушают ли ваши инструкции закон; если оно сформирует такое мнение, оно уведомит вас, и вы можете изменить или отозвать инструкции.

Обработка данных

Обработка Shoprocket
- Обработчик данных/Поставщик услуг: За исключением Данных аккаунта клиента и Данных об использовании клиентом, Shoprocket обрабатывает Персональные данные (по GDPR ЕС/Великобритании) или личную информацию (по CCPA) от вашего имени.
- Независимый контроллер данных: Shoprocket является Контроллером данных для Персональных данных, собранных непосредственно от клиентов Магазина и для Данных аккаунта клиента или Данных об использовании клиентом.
Хранение
- Персональные данные хранятся на:
  1. Серверах AWS в Ирландии (или других регионах ЕЭП),
  2. Серверах Hetzner в Нюрнберге/Фалькенштейне (Германия).
Объем и цель
- Shoprocket обрабатывает Персональные данные только в той мере, в какой это необходимо для Коммерческих целей, указанных вами (в соответствии с приобретенными Услугами), и в соответствии с Законодательством о защите данных.
- Если это требуется по закону обрабатывать иначе, Shoprocket уведомит вас, если это не запрещено законом.
- Shoprocket быстро выполняет ваши письменные инструкции по изменению, передаче или удалению Персональных данных или останавливает несанкционированную обработку.
- Shoprocket сохраняет конфиденциальность Персональных данных, если раскрытие не авторизовано или юридически требуется.
- Shoprocket помогает вам выполнять ваши обязательства по соблюдению (например, запросы субъектов данных, DPIA) без дополнительных затрат.
- Shoprocket уведомляет вас о правовых изменениях, которые могут повлиять на Соглашение или это Дополнение.
Shoprocket как независимый контроллер данных
- Что касается Данных аккаунта клиента и Данных об использовании клиентом, Shoprocket не является совместным контроллером, но обрабатывает эти данные для управления своими отношениями с вами, предотвращения мошенничества/инцидентов безопасности, выполнения юридических обязательств и т.д., в соответствии с Политикой конфиденциальности Shoprocket.
CCPA
- За исключением Данных аккаунта клиента и Данных об использовании клиентом, Shoprocket является вашим Поставщиком услуг в соответствии с CCPA; он не будет "продавать" такую личную информацию и использует ее только для выполнения Услуг или в соответствии с разрешениями закона.
Дополнения
- Вы можете интегрировать сторонние дополнения ("Дополнения") на отдельных EULA с каждым издателем. Shoprocket передает необходимые Персональные данные Издателю Дополнения, но не несет ответственность за их обработку. Текущие Дополнения, рекламируемые Shoprocket, включают:
  - Amazon, eBay, Facebook Marketplace, Google Shopping, Instagram Shopping: Мультиканальное выполнение и синхронизация.
  - Affirm, Afterpay, Alipay, Apple Pay, Click to Pay, GrabPay, GooglePay, iDEAL, Klarna, Microsoft Pay, PayPal, P24, Sofort, Stripe, WeChat Pay: Интеграции платежей, поддерживающие различные методы/валюты.
  - Zapier: Автоматизирует передачу данных/рабочие процессы между Shoprocket и другими приложениями.
- Если у Shoprocket и у вас есть SCCs, ваша инструкция по интеграции Дополнений считается согласием на передачу Персональных данных этим Издателям Дополнений, если это требуется SCCs.
Ваши обязанности
- Вы являетесь Контролером данных для любых Персональных данных, собранных или обработанных Shoprocket от вашего имени.
- Вы несете ответственность за выполнение требований уведомлений/согласий и обеспечение соблюдения Законодательства о защите данных.

Типы Персональных данных и цели обработки

Объект: Персональные данные, которые вы загружаете в Услуги, включая ваш аккаунт Shoprocket или Магазин.
Срок: Определяется вами (до тех пор, пока вы не приостановите/расторгнете подписку на Shoprocket или соответствующие интеграции).
Цель: Предоставление Услуг по вашей инструкции (например, управление вашим Магазином/Аккаунтом Shoprocket).
Природа обработки: Платформа электронной коммерции Shoprocket (и любые субподрядчики/Издатели Дополнений) могут хранить или обрабатывать Персональные данные.
Типы Персональных данных: Данные, которые вы загружаете (например, контактная информация, данные клиентов, записи транзакций).
Субъекты данных: Вы, ваши клиенты, сотрудники, подрядчики, агенты, поставщики или торговые партнёры.

Безопасность обработки данных

Shoprocket будет поддерживать соответствующие технические и организационные меры для защиты Персональных данных от несанкционированной или незаконной обработки, случайной потери или уничтожения в соответствии с статьей 32 GDPR ЕС/Великобритании. Меры включают (по мере необходимости):

Псевдонимизация/шифрование данных;
Обеспечение конфиденциальности, целостности, доступности и устойчивости систем;
Восстановление доступности данных в кратчайшие сроки после инцидентов;
Регулярное тестирование, оценка и оценка этих мер.

Сотрудники Shoprocket

Shoprocket обеспечивает, чтобы сотрудники, подрядчики и агенты, обрабатывающие Персональные данные, были обучены, связаны конфиденциальностью и полностью осведомлены о своих обязательствах по защите данных.

Безопасность (переписано)

Shoprocket постоянно обновляет технические/организационные меры защиты, чтобы предотвратить несанкционированную обработку, включая шифрование, устойчивость систем, восстановимость и тестирование эффективности.

Нарушение Персональных данных

Уведомление
- Shoprocket уведомляет вас в течение 72 часов (и без ненужной задержки), если он узнает о:
  1. Потере/ущербе Персональных данных;
  2. Любой случайной, несанкционированной или незаконной обработке;
  3. Нарушении Персональных данных.
Информация
- Shoprocket предоставляет описание инцидента, затронутые категории/число данных и меры, принятые или предложенные для смягчения последствий.
Сотрудничество
- Shoprocket координирует с вами расследование и не будет информировать третьи стороны без вашего письменного согласия, если это не требуется законом.
Расходы
- Shoprocket покрывает разумные расходы по этим обязательствам, если инцидент возник из-за ваших инструкций, неосторожности или нарушения, в этом случае вы покрываете разумные расходы Shoprocket (включая профессиональных консультантов).

Субподрядчики

Shoprocket в настоящее время использует следующих Субподрядчиков для хостинга/обработки данных, инфраструктурных/сетевых услуг или других сервисных функций:

Название	Описание	Местоположение
200OK LLC (Profitwell)	Отчеты/анализ по подписке.	MA, США
Amazon Web Services EMEA SARL	Облачный хостинг, вычисления, хранение.	Люксембург, ЕС
Automattic, Inc. (Gravatar)	Позволяет пользователям загружать изображения профиля в аккаунты Shoprocket.	CA, США
Cloudflare, Inc.	Сетевая безопасность и связь.	CA, США
Crisp IM SAS	Приложение для живого чата и сообщений клиентов для поддержки пользователей.	Франция, ЕС
Facebook Technologies Ireland	Facebook Pixels для конверсий, оптимизации рекламы, создания аудитории.	Ирландия, ЕС
Google Ireland Limited	Google Analytics (аналитика поведения), Adwords (размещение/монетизация рекламы).	Ирландия, ЕС
GmbH	Облачный хостинг, вычисления и хранение.	Германия, ЕС
TPS Unlimited, Inc. (Taxjar)	Автоматизация налогов для НДС ЕС и налога с продаж США на магазинах Shoprocket.	CA, США
Twilio, Inc. (Sendgrid)	Мультиканальные сообщения (email, SMS, WhatsApp).	Ирландия, ЕС
Twitter, Inc.	Twitter Pixel для отслеживания конверсий и метрик производительности рекламы.	CA, США

Вы уполномочиваете Shoprocket использовать вышеуказанных Субподрядчиков и даете общее разрешение для Shoprocket добавлять других ("Уполномоченные Субподрядчики"). Shoprocket предоставит не менее 30 дней уведомления (путем размещения на сайте, по электронной почте или уведомлениями в аккаунте) перед использованием нового Субподрядчика. Вы можете возразить в течение 10 дней с момента уведомления в письменной форме по разумным причинам защиты данных. Если участвует необходимый Субподрядчик и не найден альтернативный в течение 90 дней, вы можете прекратить или расторгнуть соответствующие Услуги (по-прежнему выплачивая любые причитающиеся сборы).

Если вы не возражаете в течение 10 дней, новый Субподрядчик считается одобренным. Когда Shoprocket привлекает Субподрядчика, он:

Ограничивает доступ только к тому, что необходимо для предоставления или улучшения Услуг;
Налагает на них те же обязательства по защите данных;
Остается ответственным за их соблюдение.

Если применимы SCCs, ваше разрешение расценивается как предварительное письменное согласие в соответствии с пунктом 9(c) или соответствующими пунктами UK SCC.

Shoprocket может удалить несущественные коммерческие детали перед тем, как поделиться контрактами на субобработку с вами.

Передача Персональных данных

Shoprocket может передавать Персональные данные за пределы ЕЭП, Великобритании или Швейцарии для предоставления Услуг (например, некоторые Издатели Дополнений/Субподрядчики в США). Если не применяется решение о адекватности, Shoprocket обеспечит соответствующие гарантии в соответствии с Законодательством о защите данных.

Передачи вне ЕЭП: Подлежат ЕС SCCs (Модуль Первый для Shoprocket как Контролера, Модуль Второй для Shoprocket как Обработчика). Некоторые положения (например, докинг пункта 7) не применяются; споры подчиняются ирландскому праву/судам.
Передачи вне Великобритании: Подлежат Дополнению IDTA.
Передачи из Швейцарии: Аналогично ЕС SCCs, с модификациями для Швейцарского FADP.
Дополнительные меры:
- На момент даты этого Дополнения нет официальных запросов правительства на доступ к данным.
- Если требуется раскрытие ваших данных, Shoprocket уведомит вас (если это не запрещено) и поможет вам принять защитные меры.
- Shoprocket и вы будете регулярно обсуждать, предоставляют ли законы в стране-импортере эквивалентную защиту или требуют дополнительных мер.
- Если какой-либо механизм передачи перестает быть действительным или надзорный орган приостанавливает его, Shoprocket может внедрить альтернативные меры или приостановить передачи.

Когда вы утверждаете Субподрядчика/Дополнение за пределами ЕЭП, вы также уполномочиваете Shoprocket подписывать SCCs от вашего имени.

Жалобы, Запросы субъектов данных и права третьих сторон

Shoprocket немедленно предоставит вам любую информацию или помощь, которую вам необходимо:

Для выполнения прав субъектов данных (доступ, исправление, удаление, перенос, возражения и т.д.).
Для реагирования или соблюдения уведомлений/оценок от регулирующих органов.

Shoprocket уведомляет вас незамедлительно, если получает жалобы или сообщения о обработке, и в течение 14 дней, если получает запрос субъекта данных. Shoprocket помогает в ответах и не будет раскрывать Персональные данные третьим лицам, если этого не требует закон или ваши инструкции.

Срок действия и расторжение

Это Дополнение остается в силе, пока в силе Соглашение, или пока Shoprocket сохраняет любые связанные Персональные данные. Положения, которые должны сохраняться для защиты данных, остаются в силе. Любое существенное нарушение этого DPA является существенным нарушением Соглашения, дающим вам право немедленно расторгнуть без дальнейшей ответственности.

Если изменения в Законодательстве о защите данных мешают одной из сторон выполнять свои обязательства, стороны могут приостановить обработку до достижения соблюдения. Если вопрос не будет разрешен в течение 90 дней, любая сторона может расторгнуть с немедленным вступлением в силу на уведомление.

Возврат и уничтожение данных

По запросу, Shoprocket предоставляет вам (или третьей стороне, которую вы назначаете письменно) копии или доступ к Персональным данным в формате, который вы указываете (по возможности).
При расторжении, Shoprocket возвращает или удаляет Персональные данные, если продолжение хранения юридически не требуется. Если удаление невозможно или незаконно, Shoprocket блокирует дальнейшую обработку и продолжает защищать данные.
сертификация SCC: Если применимы SCCs, Shoprocket сертифицирует удаление в соответствии с пунктом 8.1(d) ЕС SCCs (или UK SCCs) по вашему письменному запросу.
Если любой закон/нормативный акт требует от Shoprocket хранить определенные данные, он уведомит вас о причинах, сроках, а затем удалит, когда данные больше не потребуется.
Shoprocket сертифицирует удаление в пределах 30 дней после его завершения.

Записи

Shoprocket хранит подробные, точные, актуальные записи всех процессов обработки Персональных данных (например, меры безопасности, субподрядчики, цели обработки, любые международные передачи). Эти записи должны позволить вам проверить соответствие Shoprocket. Копии предоставляются по запросу.

Гарантии

Shoprocket гарантирует, что:

Его сотрудники, подрядчики или агенты, имеющие доступ к Персональным данным, надежны, заслуживают доверия и должным образом обучены.
Он будет обрабатывать Персональные данные в полном соответствии с Законодательством о защите данных и сопутствующими законами.
У него нет оснований полагать, что закон предотвращает предоставление согласованных Услуг.
Учитывая технологии и затраты, он примет соответствующие меры для предотвращения несанкционированной обработки или случайного ущерба/потери, обеспечивая безопасность, пропорциональную риску и чувствительности данных.

Исполнение и изменения

30 days' written notice if needed for legal or regulatory reasons. If you object and no mutual solution is reached, you may terminate the affected Services by written notice within that period (owing any fees incurred). No further claims arise from such termination.

Приложение A

Стандарты безопасности Shoprocket

(Термины с заглавной буквы, не определенные здесь, имеют значения, указанные в Дополнении.)

Это Приложение описывает технические и организационные меры Shoprocket для:

Защита Персональных данных от случайных или незаконных потерь, доступа или раскрытия;
Идентификация предсказуемых рисков для безопасности и предотвращение несанкционированного доступа к Услугам (включая ваш аккаунт Shoprocket);
Снижение рисков безопасности через оценку рисков и тестирование.

Shoprocket назначает одного или нескольких сотрудников для контроля за этими практиками информационной безопасности и реагирования на связанные запросы.

1. Модель совместной ответственности

Shoprocket является облачным, SaaS приложением, размещенным:

Amazon Web Services (AWS) в регионе eu-west-1 (Ирландия)
Hetzner Online в Фалькенштейне, Германия

AWS управляет основной платформой Shoprocket, инфраструктурой и хостингом данных. Hetzner Online предоставляет дополнительное выделенное серверное пространство для изображений, цифровых загрузок, журналов и счетов. В соответствии с этой моделью:

Shoprocket управляет безопасностью на уровне приложений (например, доступом пользователей, патчами приложения).
AWS / Hetzner управляют физической безопасностью и основной облачной средой.

Для получения более подробной информации о безопасности AWS и Hetzner, пожалуйста, смотрите их соответствующую документацию.

2. Сервера AWS и Hetzner Online

AWS

Shoprocket выбрала AWS после тщательной проверки в соответствии со статьями 28(3)(c) и 32 GDPR Великобритании. AWS сертифицирован по многочисленным стандартам (например, SOC 1/2/3, ISO 27001/27017/27018, PCI DSS, FedRAMP, HITRUST) и предоставляет обширную документацию по соблюдению. Shoprocket настраивает AWS для хранения Персональных данных только в ЕС/ЕЭП.

Hetzner Online

Hetzner Online, сертифицированный по DIN ISO/IEC 27001, предоставляет выделенное серверное пространство для некоторых резервных копий данных и журналов. Центры обработки данных Hetzner Online в Нюрнберге и Фалькенштейне проходят аудиты и сертификации трети, реализующие систему управления информационной безопасностью (ISMS).

3. Проектирование, целостность и доступность приложения Shoprocket

Архитектура: Построена с использованием JavaScript фрейма, приложение Shoprocket основывается на Службе реляционных баз данных Amazon (Amazon RDS) для MySQL.
Высокая производительность и резервирование: AWS автоматически управляет балансировкой нагрузки, а Shoprocket поддерживает ежедневные резервные копии на Amazon S3. Резервные копии хранятся в разных регионах AWS для устойчивости. Кроме того, резервные копии хранятся на выделенных серверах Hetzner Online (с системами дисков RAID-1).
Безопасность по проекту: Shoprocket регулярно проверяет известные уязвимости веб-уязвимостей (например, OWASP Топ-10) и реализует защиту от XSS и очистку. Специальная третья сторона ежегодно тестирует код и инфраструктуру на наличие уязвимостей, дополнительно поддерживаемая службой сканирования уязвимостей третьей стороны.

4. Шифрование

В покое: Персональные данные на AWS/Hetzner шифруются с использованием AES-256 или выше.
Управление ключами: Служба управления ключами AWS (KMS) обеспечивает, чтобы никто (включая сотрудников AWS) не мог получить доступ к открытым ключам; ключи обновляются ежегодно. Hetzner реализует шифрование всего диска AES-256 плюс обязательная аутентификация.
В процессе передачи: Все внешние передачи данных используют TLS 1.2+. API и веб-интерфейсы требуют HTTPS (без нешифрованных соединений).

5. Ограничение местоположения серверов до ЕЭП/ЕС

Shoprocket хранит данные исключительно в ЕЭП (AWS в Ирландии, Hetzner в Германии), минимизируя риски, связанные с передачами данных за пределами ЕЭП (например, соблюдение решения Шремса II).

6. Зоны доступности

Передние/задние системы Shoprocket избыточно распределены по нескольким зонам доступности (как AWS, так и Hetzner). Каждая зона имеет несколько провайдеров интернет-услуг, источников питания и высокоскоростных соединений, обеспечивая высокую доступность и оптимальную производительность.

7. Обнаружение вторжений

Shoprocket использует Систему обнаружения вторжений (IDS) для мониторинга:

Журналов на необычные записи,
Изменений целостности файлов,
Сетевого трафика (подделка, известные эксплойты, руткиты),
Изменений портов, и
Событий аккаунта AWS (например, изменения в конфигурации).

Критические аномалии вызывают автоматические профилактические меры. IDS также соответствует требованиям PCI DSS 3.0.

8. Журналирование / Аудит

Shoprocket ведет журналы:

Системных событий,
Ошибок,
Деятельности пользователей,
Входов/запросов в базу данных,
Других событий, связанных с безопасностью.

Используя AWS CloudTrail, Shoprocket записывает все события в своих облачных средах для прозрачности и криминалистики.

9. Мониторинг

Shoprocket использует несколько инструментов мониторинга для обеспечения доступности и производительности, отслеживая:

Доступность: Доступность приложения, здоровье бэкенда/системы;
Ресурсы: Процессор, сетевые интерфейсы, использование хранилища;
Производительность: Время отклика приложения/базы данных;
Безопасность: Статус IDS, обновления систем, журналы ошибок/доступа.

Сотрудники Shoprocket также следят за обновлениями безопасности, отчетами о уязвимостях и соответствующими блогами о безопасности (такими как OWASP).

10. Аудиты безопасности и тестирование на проникновение

Shoprocket периодически проводит внутренние и внешние тесты безопасности. Внешние поставщики проверяют наличие уязвимостей, в то время как внутренние аудиты оценивают технические и организационные меры на эффективность.

11. Управление изменениями

Shoprocket поддерживает контролируемые по версиям репозитории для изменений в коде, с окружением тестирования, которое дублирует производственное. Изменения проверяются перед развертыванием, обеспечивая отслеживаемость времени/содержания.

12. Управление доступом

Принцип необходимости знать: Доступ получают только сотрудники, чьи роли требуют системного доступа.
Системы IAM: Контроль доступа использует управление идентичностью AWS/Hetzner.
Безопасность: Бэкэнд-системы доступны только через защищенные, аутентифицированные соединения. Очень ограниченное количество сотрудников имеет прямой доступ к данным в диагностику; такой доступ ведется в журналах и находится под контролем.

Приложение B

Трансакции через границы

ЧАСТЬ 1 - трансакции вне ЕЭП

Приложение I.A Стандартных контрактных положений (SCCs)
- Экспортёр данных: Вы (в соответствии с Соглашением).
  - Контактные данные: Как в Соглашении.
  - Роль: Контроллер данных.
  - Модуль Первый: Импортер данных является Контроллером данных (для Данных аккаунта клиента и Данных об использовании клиентом).
  - Модуль Второй: Импортер данных является Обработчиком данных (для всех других Персональных данных).
  - Подпись/Дата: При вступлении в Соглашение и DPA экспортёр считается подписавшим SCCs с даты вступления в силу.
- Импортер данных: Shoprocket.
  - Контактные данные: Как в Соглашении.
  - Подпись/Дата: При вступлении в Соглашение и DPA импортер считается подписавшим SCCs с даты вступления в силу.
Приложение I.B SCCs
- Субъекты данных: Описаны в пункте 4.6 Дополнения.
- Категории Персональных данных: Описаны в пункте 4.5 Дополнения.
- Нет данных специальной категории, предназначенных для передачи.
- Частота: Непрерывная основа на протяжении срока действия Соглашения.
- Природа: См. пункт 4.4 Дополнения.
- Цель: См. пункт 4.3 Дополнения.
- Сохранение: Длительность Соглашения, если не указано иное.
- Передачи субподрядчиков: Объект, природа и длительность по пункту 9 Дополнения.
Приложение I.C SCCs
- Компетентный надзорный орган: Как в пункте 10(e) Дополнения.
- Стандарты безопасности Shoprocket (Приложение A) соответствуют требованиям Приложения II SCC.
Конфликт
- Если возникнет любой конфликт между SCCs и DPA или Соглашением, то преимущество имеют SCCs.

ЧАСТЬ 2 - трансакции вне Великобритании

Дополнение IDTA применяется к трансакциям вне Великобритании, начиная с 21 марта 2022 года.
Термины, не определенные в Соглашении или DPA, следуют смыслу в Части 2 Приложения 2 (Обязательные положения).

Часть 1: Таблицы

Таблица 1 Дополнения IDTA

Таблица 1
- Экспортёр данных: Вы (в соответствии с Соглашением).
  - Контактные данные: Как в Соглашении.
  - Подпись/Дата: При вступлении в Соглашение и Дополнение экспортёр считается подписавшим Дополнение IDTA с даты вступления в силу.
- Импортер данных: Shoprocket.
  - Контактные данные: Как в Соглашении.
  - Подпись/Дата: При вступлении в Соглашение и DPA импортер считается подписавшим Дополнение IDTA с даты вступления в силу.

Таблица 2 Дополнения IDTA

Таблица 2
- Утвержденные EU SCCs: Положения/модули из Утвержденных EU SCCs, которые действуют для этого Дополнения.
- Используемые модули/положения:
  - Модуль 1 и Модуль 2, Пункт 7 и Пункт 11 (опция) не применяются, Пункт 9a – это Общее разрешение с уведомительным сроком в 30 дней (пункт 9.2 Дополнения).
  - Нет комбинирования Персональных данных из Импортера с данными Экспортера.

Таблица 3 Дополнения IDTA

Приложение I.A
- Экспортёр данных: Вы (контроллер).
- Импортер данных: Shoprocket (контроллер для Данных аккаунта/Данных об использовании клиента; обработчик для других Персональных данных).
- Подпись/Дата: Считается подписанным при вступлении в Соглашение и DPA.
Приложение I.B
- Субъекты данных, категории данных, отсутствие Данных специальной категории, непрерывные передачи, природа/цель обработки и сохранения соответствуют пунктам 4.4, 4.3, 4.5, 4.6 Дополнения.
- Информация о субподрядчиках согласно пункту 9 Дополнения.
- Приложение III (список Субподрядчиков) не применяется, поскольку Shoprocket использует общее разрешение.

Таблица 4 Дополнения IDTA

Импортер может прекратить це Дополнение IDTA в соответствии с пунктом 26 этого Дополнения IDTA.

Часть 2: Обязательные Положения

Каждая Сторона связана условиями этого Дополнения IDTA в обмен на соглашение другой Стороны, позволяя субъектам данных реализовывать права, согласно заявленным.
Вступление в это Дополнение IDTA равно подписанию Утвержденных SCCs ЕС (включая любые требуемые подписи согласно Приложению 1A/Пункт 7).

Толкование

Термины из Утвержденных SCCs ЕС имеют здесь такой же смысл; дополнительные релевантные термины (например, "Дополнения EU SCCs," "Утвержденное Дополнение," "Законы о защите данных Великобритании") определены в этом Дополнении IDTA.
Это Дополнение IDTA должно быть истолковано в соответствии с законами о защите данных Великобритании и должно соответствовать "Соответствующим гарантии."
Любое изменение в Утвержденных SCCs ЕС, не допускаемое в их рамках или Утвержденном Дополнении, является недействительным. Противоречащие положения возвращаются к неизменённым условиям SCC.
Если возникает конфликт с законами о защите данных Великобритании, применяются последние.
Любая неопределённость разрешается наилучшим образом в соответствии с законами о защите данных Великобритании.
Ссылки на законодательство включают любые пересмотренные или консолидированные версии.

Иерархия

Пункт 5 Утвержденных SCCs ЕС гласит, что они преобладают над другими соглашениями, но для Ограниченных передач применяется иерархия в разделе 17 ниже.
Если несоответствующие или конфликтующие Утвержденные SCCs, Утвержденное Дополнение преобладает, за исключением случаев, если SCCs предоставляют большее защиту субъектам данных, в этом случае преобладают условия SCC.
Ничто из этого не влияет на любые SCCs, которые стороны используют для соблюдения GDPR ЕС.

Инкорпорация и изменения в SCCs ЕС

Дополнение IDTA включает Утвержденные SCCs ЕС с необходимыми изменениями, чтобы они функционировали для передач, связанных с Великобританией, отменяли иерархию в пункте 5 и обеспечивали их действие в соответствии с английским правом/судами (если не выбрано иное для Шотландии или Северной Ирландии).
Если не согласовано конкретное альтернативное положение, применяется Раздел 22.
Не допускаются дальнейшие изменения в Утвержденные SCCs ЕС, кроме необходимых в Разделе 19.
Поправки к Дополнению EU SCCs включают пояснения по ссылкам на Законы о защите данных Великобритании, замену ссылок на Регламент (ЕС) 2016/679 на "Законы о защите данных Великобритании," удаление ссылок на Регламент (ЕС) 2018/1725, корректировку Пунктов 17/18 на английское право/суды и т.д. Сноски не входят в состав IDTA, исключая сноски 8, 9, 10, 11.

Поправки к этому IDTA

Стороны могут изменить Пункты 17 или 18, чтобы ссылаться на шотландские или североирландские суды.
Стороны также могут скорректировать формат таблицы по взаимному письменному соглашению, обеспечивая сохранение того же уровня защиты.
ICO может время от времени выпускать измененное Утвержденное Дополнение, которое автоматически изменяет это Дополнение IDTA с его даты вступления в силу, возможно, требующее пересмотра со стороны сторон.
Если изменения ICO существенно и непропорционально увеличивают затраты или риски одной стороны, и не предусмотрено уменьшение этих затрат/рисков, эта сторона может прекратить это IDTA с разумным уведомлением другой стороне до вступления в силу Дополнения.
Согласие третьей стороны не требуется для изменений, но модификации должны соответствовать условиям этого Дополнения IDTA.