ГЛОБАЛЬНЫЕ СТАНДАРТЫ ЛЭЙТАМ ЭНД УОТКИНС ПО СОБЛЮДЕНИЮ КОНФИДЕНЦИАЛЬНОСТИ ДАННЫХ

ВВЕДЕНИЕ

В настоящем документе приводятся стандарты, применимые к обработке Европейских персональных данных (термин определен ниже) в Лэйтам энд Уоткинс (“Стандарты”). Лэйтам энд Уоткинс является международной юридической фирмой, офисы которой расположены в 16 странах по всему миру. Фирма работает без внутренних границ, поэтому передача персональных данных между офисами фирмы жизненно важна для международного характера ее бизнеса.

Лэйтам энд Уоткинс в лице своего Исполнительного комитета обязалась защищать персональные данные, проходящие обработку в фирме. В частности, данные Стандарты предназначены для обеспечения передачи Европейских персональных данных в рамках сети Лэйтам энд Уоткинс в соответствии с Директивой Европейского парламента и Европейского совета 2016/679.

Определения

Применимое законодательство” означает законодательство той юрисдикции, в которой находится какое-либо Юридическое лицо Лэйтам, а также любое иное законодательство, которому обязано подчиняться такое Юридическое лицо Лэйтам;

Орган по надзору за соблюдением законодательства о защите персональных данных” или “Надзорный орган” означает надзорный орган, отвечающий за мониторинг и принудительное исполнение законодательства о защите персональных данных в конкретной стране.

ЕЭЗ” означает Европейскую экономическую зону.

Европейское законодательство о неприкосновенности частной жизни” означает национальное законодательство, вводящее в силу Директиву Европейского парламента и Европейского совета 2016/679, Директиву 2002/58 (включая любое корректирующее или заменяющее законодательство) и сопутствующее европейское законодательство о неприкосновенности частной жизни.

Европейские персональные данные” означает персональные данные о (i) работниках, юристах, партнерах, консультантах, подрядчиках и потенциальных кандидатах на любые из вышеуказанных должностей, собираемые и обрабатываемые в связи с их наймом и учетом в отделе кадров; данные о (ii) клиентах, потенциальных клиентах и бывших сотрудниках, обрабатываемые в связи с оказанием юридических услуг и в маркетинговых и информационных целях; а также данные о (iii) поставщиках, подрядчиках и консультантах, обрабатываемые в контексте их деловых отношений с Лэйтам энд Уоткинс (дополнительная информация о которых приведена в Уведомлении клиентов и третьих лиц о принципах соблюдения конфиденциальности данных) каким-либо Юридическим лицом Лэйтам в качестве оператора персональных данных, подчиняющегося применимому Европейскому законодательству о неприкосновенности частной жизни.

Лэйтам энд Уоткинс” и “фирма”означает юридическую фирму Latham & Watkins, которая действует во всем мире как ограниченный партнер, созданный в соответствии с законодательством штата Делавэр (США) («Партнерство в Делавэре»), в том числе через партнерские партнерские отношения в Великобритании, Франции, Гонконге, Италии и Сингапуре, а также партнерское партнерство в Японии. Закон Латхама и Уоткинса практикуется в Саудовской Аравии с соответствующей юридической фирмой Салмана М. Аль-Судари. В дополнение к вышеупомянутым партнерским отношениям фирма также включает все компании, полностью принадлежащие Партнерству в Делавэре.

Местное законодательство” означает законы, постановления или любые иные нормативно-правовые акты любой страны, которые любое Юридическое лицо Лэйтам обязано соблюдать помимо применимого Европейского законодательства о неприкосновенности частной жизни.

Юридическое лицо Лэйтам” означает любое партнерство с ограниченной ответственностью, партнерство и компанию с ограниченной ответственностью, входящие в состав фирмы.

Типовые статьи” означает стандартные договорные положения о передаче персональных данных обработчикам или операторам данных в третьих странах, информация о которых публикуется и которые периодически утверждаются Европейской комиссией.

персональные данные” означает информацию, касающуюся идентифицированного или идентифицируемого физического лица (“субъект данных”); идентифицируемое лицо это лицо, которое может быть прямо или косвенно идентифицировано, в частности, путем ссылки на какой-либо идентификатор, такой как имя, идентификационный номер, данные о местонахождении, сетевое удостоверение, либо на один или несколько факторов, характерных для его физических, физиологических, генетических, ментальных, экономических, культурных или социальных особенностей. Термин “персональные данные” также включает в себя любую информацию, касающуюся лиц, не являющихся физическими лицами, если того требует применимое Европейское законодательство о неприкосновенности частной жизни.

персонал” означает партнеров, юристов и иных работников Лэйтам энд Уоткинс.

сведения личного характера” означает Европейские персональные данные о расовой или национальной принадлежности, о политических взглядах, религиозных или философских убеждениях, о членстве в профсоюзах, о нарушениях, судимости, здоровье или сексуальной жизни, включая любые иные категории, охватываемые применимым Европейским законодательством о неприкосновенности частной жизни.

Термины “обработка”, “оператор персональных данных” и “обработчик” имеют значение, указанное для них в Директиве Европейского парламента и Европейского совета 2016/679.

ОХВАТ

На данный момент Лэйтам энд Уоткинс осуществляет деятельность в следующих странах (страны, входящие в ЕЭЗ, выделены серым цветом):

Настоящие Стандарты применимы к обработке Европейских персональных данных Юридическими лицами Лэйтам, находящимися в ЕЭЗ.

Стандарты также применимы к экспорту Европейских персональных данных за пределы ЕЭЗ Юридическими лицами Лэйтам, а также к обработке таких экспортированных данных Юридическими лицами Лэйтам (в качестве оператора или обработчика данных), расположенными за пределами ЕЭЗ.

ПРАВИЛА И ПРИНЦИПЫ

1. Принципы обработки данных

Выступая в качестве оператора персональных данных, каждое Юридическое лицо Лэйтам, обрабатывающее персональные данные в соответствии с Уведомлением клиентов и третьих лиц о принципах соблюдения конфиденциальности данных, обязуется соблюдать нижеуказанные принципы

  • Европейские персональные данные будут обрабатываться прозрачно, объективно и законно: субъектам данных будет предоставлена соответствующая информация (если соответствующие субъекты данных не знают или еще не получили информацию об операторе(ах) персональных данных) о целях, для которых их персональные данные могут быть использованы (с учетом любых разрешенных ограничений на предоставление такой информации, например, для целей предотвращения преступности, судопроизводства или налогообложения, или с учетом запрета, налагаемого Применимым законодательством), о правовом основании обработки данных и иная информация, требуемая в соответствии с применимым Европейским законодательством о неприкосновенности частной жизни. Также будет предоставляться информация о правах субъектов данных, которыми они располагают в соответствии с Европейским законодательством о неприкосновенности частной жизни.
  • Европейские персональные данные будут собираться для оговоренных, четко определенных и законных бизнес-целей, и если применимое Европейское законодательство о неприкосновенности частной жизни четко выраженным образом не разрешает иное, далее они не будут обрабатываться каким бы то ни было образом, не совместимым с такими целями.
  • Сведения личного характера будут обрабатываться только в случае абсолютной необходимости этого для законных бизнес-целей фирмы и со всеми мерами предосторожности, предусмотренными применимым Европейским законодательством о неприкосновенности частной жизни.
  • Должные меры будут приниматься к тому, чтобы собранные и обработанные Европейские персональные данные имели адекватный и не излишний объем и чтобы они были релевантны, точны и (по необходимости) актуальны на каждый текущий момент. Также будут приниматься соответствующие меры по своевременному исправлению или удалению персональных данных, если таковые окажутся неточными.
  • Европейские персональные данные будут храниться ровно столько, сколько это будет необходимо для целей их обработки в соответствии с документированной политикой фирмы по их хранению (с учетом нормативных требований и требований применимого Европейского законодательства о неприкосновенности частной жизни).
2. Защита данных

С учетом современных технических достижений и стоимости их внедрения, каждое Юридическое лицо Лэйтам будет принимать соответствующие технические и организационные меры для защиты Европейских персональных данных от случайного или незаконного уничтожения или случайной потери, изменения, несанкционированного раскрытия или доступа, в частности, когда обработка предполагает передачу данных по сети, а также от всех прочих незаконных форм обработки. Эти меры позволят обеспечить уровень защиты, соответствующий рискам, сопряженным с обработкой и характером защищаемых Европейских персональных данных, чтобы сведения личного характера и иная строго конфиденциальная информация была обеспечена усиленной защитой. Такие меры, по необходимости, будут включать в себя следующее:

  • псевдонимизацию;
  • шифрование;
  • конфиденциальность, целостность, доступность и устойчивость систем и услуг;
  • средства резервного копирования и аварийного восстановления; и
  • процессы проверки, оценки и анализа эффективности мер безопасности.

Каждое Юридическое лицо Лэйтам обязано незамедлительно уведомить находящегося в Лондоне Главного специалиста фирмы по вопросам конфиденциальности о любом нарушении безопасности, ведущем к случайной или незаконной порче, потере, изменению, несанкционированному раскрытию или доступу к Европейским персональным данным, обрабатываемым таким Юридическим лицом Лэйтам («нарушение безопасности»). Главный специалист фирмы по вопросам конфиденциальности будет вести учет случаев нарушения безопасности, любого потенциального воздействия на субъекты данных и любых мер по исправлению ситуации. Главный специалист фирмы по вопросам конфиденциальности обеспечит уведомление соответствующего Органа по надзору за соблюдением законодательства о защите персональных данных и затронутых субъектов данных, насколько это может требоваться в соответствии с Европейским законодательством о неприкосновенности частной жизни. Главный специалист фирмы по вопросам конфиденциальности предоставит учетные записи о нарушении безопасности Европейских персональных данных, обрабатываемых каким-либо Юридическим лицом Лэйтам в качестве оператора данных в ЕЭЗ, в Орган по надзору за соблюдением законодательства о защите персональных данных в его стране или юрисдикции, которую укажет названный орган.

Каждое Юридическое лицо Лэйтам примет меры к обеспечению надежности персонала, имеющего доступ к Европейским персональным данным или отвечающего за их сбор и обработку, а также к обеспечению обработки Европейских персональных данных в соответствии с инструкциями Лэйтам.

3. Работа с обработчиками данных

Если Юридическое лицо Лэйтам пользуется услугами другого Юридического лица Лэйтам в качестве обработчика Европейских персональных данных от его имени, такой обработчик обязан соблюдать соответствующие требования данных Стандартов, а также, по необходимости, заключать и исполнять условия любых дополнительных соглашений, которые могут потребоваться согласно применимому Европейскому законодательству о неприкосновенности частной жизни.

Если Юридическое лицо Лэйтам пользуется услугами обработчика данных для обработки Европейских персональных данных от его имени, а обработчик данных является третьим лицом, Юридическое лицо Лэйтам обязуется выбирать такого обработчика, который предоставляет надлежащие заверения касательно уровня защиты, который он будет применять к обрабатываемым Европейским персональным данным. Юридическое лицо Лэйтам обеспечивает заключение с третьим лицом-обработчиком данных соглашение, отражающее соответствующие требования применимого Европейского законодательства о неприкосновенности частной жизни.

Если Юридическое лицо Лэйтам учреждено в ЕЭЗ и привлекает какое-либо третье лицо, учрежденное за пределами ЕЭЗ, к обработке Европейских персональных данных от его имени, такое Юридическое лицо Лэйтам либо:

  • обеспечивает заключение контракта с обработчиком данных по форме Типовых статей или с включением Типовых статей, предназначенных для обработчиков данных (с учетом любых изменений, разрешенных Применимым Европейским законодательством о неприкосновенности частной жизни); либо
  • обеспечивает наличие иных виды защиты в соответствии с Применимым Европейским законодательством о неприкосновенности частной жизни, предназначенных для охраны Европейских персональных данных.

Если какое-либо Юридическое лицо Лэйтам (действующее в качестве оператора персональных данных) передает Европейские персональные данные какому-либо оператору-третьему лицу, находящемуся за пределами фирмы, Юридическое лицо Лэйтам обеспечивает передачу таких данных в соответствии с требованиями применимого Европейского законодательства о неприкосновенности частной жизни. Если это требуется применимым Европейским законодательством о неприкосновенности частной жизни, либо если применимое Европейское законодательство о неприкосновенности частной жизни разрешает иное и такое иное считается надлежащим, Юридическое лицо Лэйтам вводит меры защиты, предназначенные для защиты Европейских персональных данных и прав физических лиц. Такие меры защиты могут принимать форму соглашения, Типовых статей, применимых к осуществляемым оператором передачам, либо иные формы, обеспечивающие адекватный уровень защиты.

4. Инструктирование персонала

Лэйтам энд Уоткинс поддерживает программу защиты неприкосновенности персональных данных, предусматривающую ознакомление персонала, юристов и помощников юристов с политикой и практикой фирмы по соблюдению конфиденциальности получаемой информации. Информация о конфиденциальности и безопасности данных будет распространяться через разные каналы связи. На выделенных интранет-сайтах, доступных для всего персонала, будут размещаться инструкции и справочная информация по передовой практике соблюдения конфиденциальности персональных данных, обеспечения их защиты и безопасности.
Каждое Юридическое лицо Лэйтам также обеспечивает, чтобы персонал, имеющий доступ к персональным данным или отвечающий за такой доступ, получал соответствующие инструкции и проходил обучение.

5. Противоречие применимому Местному законодательству

Если применимое Местное законодательство требует более высокого уровня защиты Европейских персональных данных, чем уровень, предусмотренный данными Стандартами, преимуществом обладает применимое Местное законодательство.

6. Взаимопомощь и сотрудничество с органами по надзору за соблюдением Законодательства о защите персональных данных

Каждое Юридическое лицо Лэйтам обязуется соблюдать инструкции Надзорного органа в своей стране или юрисдикции, насколько таковые применимы к данным Стандартам или к обработке Европейских персональных данных в целом, а также принимать в расчет любые консультации Надзорного органа по толкованию данных Стандартов.

Юридические лица Лэйтам будут оказывать друг другу помощь в подготовке ответов на любые запросы или расспросы Надзорного органа, касающиеся данных Стандартов.

Юридические лица Лэйтам также будут оказывать друг другу помощь в подготовке ответа на любые запросы или жалобы субъектов данных в отношении настоящих Стандартов или обработки их Европейских персональных данных.

ПРИМЕНЕНИЕ И СОБЛЮДЕНИЕ ПРАВИЛ НА ПРАКТИКЕ

7. Обязанность по соблюдению Стандартов

Весь персонал Лэйтам энд Уоткинс должен соблюдать данные Стандарты и ежегодно подтверждать их принятие вместе с обновленной Политикой надлежащего использования коммуникационных систем фирмы.

Фирма подписала договор, обязывающий всех Юридических лиц Лэйтам, обрабатывающих Европейские персональные данные, соблюдать настоящие Стандарты (“Договор о соблюдении корпоративных правил Лэйтам”). Фирма назначила Лэйтам энд Уоткинс (Лондон), ЛЛП (“Лондонский офис Лэйтам”) Юридическим лицом Лэйтам, отвечающим за обеспечение защиты данных ЕЭЗ. Главный специалист лондонского офиса Лэйтам по вопросам неприкосновенности частной жизни является контактным лицом, к которому следует обращаться с запросами и жалобами, свя��анными с соблюдением Стандартов. Лондонский офис Лэйтам обязуется принимать меры по устранению каждого случая нарушения Стандартов, которые он может применять в качестве меры судебной защиты на основании Договора о соблюдении корпоративных правил Лэйтам.

8. Программа проверки соблюдения Стандартов

Лэйтам энд Уоткинс обязуется применять меры по оценке и проверке соблюдения данных Стандартов и применимого законодательства о защите данных.

9. Обновление

Комитет по защите неприкосновенности частной жизни будет обновлять данные Стандарты на регулярной основе и обязуется информировать Юридических лиц Лэйтам о соответствующих обновлениях. Комитет по защите неприкосновенности частной жизни обеспечит, чтобы любые изменения в структуре фирмы отражались в данных Стандартах и чтобы любые новые Юридические лица Лэйтам принимали условия данных Стандартов и соблюдали их.

Неконфиденциальные положения данных Стандартов (включая содержание Приложения 1 (Применяемый Лэйтам энд Уоткинс порядок рассмотрения жалоб о нарушении конфиденциальности данных)) будет размещен как на внешнем, так и на внутреннем интернет-сайте Лэйтам энд Уоткинс. По требованию будет предоставляться полный текст Стандартов (на условиях соглашения о конфиденциальности) любому субъекту данных, желающему воспользоваться правами на возмещение ущерба, описанными в Применяемом Лэйтам энд Уоткинс порядке рассмотрения жалоб о нарушении конфиденциальности данных, приведенном в Приложении 1.

ПРАВА СУБЪЕКТОВ ДАННЫХ

10. Права на доступ и корректировку данных и возражение против их использования (в том числе в целях маркетинга)

Каждое Юридическое лицо Лэйтам признает, что субъекты данных имеют следующие права по отношению к Юридическому лицу Лэйтам, действующему в качестве оператора Европейских персональных данных:

  • право на получение сведений о способе обработки их персональных данных соответствующим Юридическим лицом Лэйтам, действующим в качестве оператора Европейских персональных данных, в том числе копии данных Стандартов и Применяемого Лэйтам энд Уоткинс порядка рассмотрения жалоб о нарушении конфиденциальности данных;
  • право на получение копий своих Европейских персональных данных, находящихся у Юридического лица Лэйтам (в том числе сведения о цели и способе их обработки) – в сроки и с периодичностью, предусмотренной Применимым Европейским законодательством о неприкосновенности частной жизни, при условии уплаты любого сбора, который разрешено взимать Юридическому лицу Лэйтам согласно применимому Европейскому законодательству о неприкосновенности частной жизни, и с учетом любого права на полный или частичный отказ в исполнении такого запроса, которое может быть предоставлено Юридическому лицу Лэйтам в соответствии с применимым Европейским законодательством о неприкосновенности частной жизни;
  • право на обновление, корректировку или удаление Европейских персональных данных, в частности, по причине их неполного или неточного характера, с учетом положений применимого Европейского законодательства о неприкосновенности частной жизни;
  • с учетом применимого Европейского законодательства о неприкосновенности частной жизни – право на удаление Европейских персональных данных;
  • с учетом применимого Европейского законодательства о неприкосновенности частной жизни – право на ограничение обработки их Европейских персональных данных;
  • с учетом применимого Европейского законодательства о неприкосновенности частной жизни – право на получение Европейских персональных данных, которые субъект данных предоставил Юридическому лицу Лэйтам как оператору Европейских персональных данных, в структурированном, распространенном машиночитаемом формате, а также на передачу таких персональных данных иному оператору данных;
  • если это требуется положениями применимого Европейского законодательства о неприкосновенности частной жизни – право не получать адресные маркетинговые материалы без предварительного письменного согласия на их получение, и, во всех случаях, право на возражение, в любое время, против обработки их персональных данных в целях прямого маркетинга;
  • с учетом применимого Европейского законодательства о неприкосновенности частной жизни – право на возражение, в любое время, против принуждения к обработке их Европейских персональных данных на законных основаниях; и
  • право на возражение против решений, предусматривающих загрузку их Европейских персональных данных в автоматические средства обработки, если такие решения означают оценку их личных характеристик и создание юридических последствий, существенно их затрагивающих или влияющих на них (кроме как в степени, разрешенной применимым Европейским законодательством о неприкосновенности частной жизни и с учетом предусматриваемых им мер защиты).
11. Нарушение данных стандартов

Лэйтам энд Уоткинс признает, что субъекты данных, в качестве выгодоприобретателей-третьих лиц, имеют право принудительно исполнять против Фирмы следующие права в отношении Европейских персональных данных:

  • право на получение информации (с учетом любых исключений или освобождений, предусмотренных применимым Европейским законодательством о неприкосновенности частной жизни) о том, что сведения личного характера передаются в страну, находящуюся за пределами ЕЭЗ и не применяющую адекватных мер защиты данных;
  • право на получении копии данных Стандартов по требованию (с учетом любых обязательств о сохранении конфиденциальности, принятие которых обоснованно запрашивается фирмой или Юридическим лицом Лэйтам, получившим такое требование);
  • право на получение в течение разумного срока и не позже, чем через 1 месяц после получения соответствующего вопроса, ответа на любой вопрос об обработке Европейских персональных данных соответствующего субъекта данных за пределами ЕЭЗ; и
  • право на подачу жалобы и требования о компенсации ущерба, понесенного вследствие нарушения данных Стандартов каким-либо Юридическим лицом Лэйтам (за исключением нарушения положений, касающихся инструктирования персонала, исполнения Лэйтам энд Уоткинс функций по введению политики и процедур конфиденциальности, программы проверок и обновления данных Стандартов);
  • право подавать жалобу в Орган по защите данных Европейской экономической зоны в стране места жительства или места работы субъекта данных или места предполагаемого нарушения данных Стандартов; а также
  • право требовать применения эффективного средства судебной защиты в соответствующем суде Европейской экономической зоны, который может находиться в юрисдикции, в которой учреждено соответствующее Юридическое лицо Лэйтам или в котором проживает субъект данных.
12. Судебная защита прав субъектов данных

Процесс реализации прав, перечисленных в разделе 11, более подробно описан в Приложении 1 к настоящим Стандартам (Применяемый Лэйтам энд Уоткинс порядок рассмотрения жалоб о нарушении конфиденциальности данных).

Субъект данных, желающий защитить свои права в суде, может подать жалобу Главному специалисту фирмы по вопросам неприкосновенности частной жизни по адресу: DataPrivacy@lw.com, либо в Надзорный орган или суд, расположенный по месту нахождения соответствующего Юридического лица Лэйтам.

Любой субъект данных, желающий исполнить свои права по данным Стандартам через суд, должен будет предъявить достаточно серьезные доказательства нарушения.

Стандарты действуют с сентября 2016 г.

Стандарты были обновлены в январе 2018 г. 

Приложение 1

Применяемый Лэйтам энд Уоткинс порядок рассмотрения жалоб о нарушении конфиденциальности данных

Примечание: Мы рады, что Вы заинтересовались услугами Лэйтам энд Уоткинс. Если Ваш запрос касается каких-либо юридических вопросов, но Вы пока не являетесь клиентом нашей фирмы, пожалуйста, не направляйте нам конфиденциальную информацию. До принятия на себя обязательства о предоставлении Вам услуг мы должны определить, сможем ли мы помочь Вам, и договориться с Вами о сроках и условиях оказания услуг со стороны нашей фирмы. Пока мы не завершим указанные процедуры, взаимоотношения юриста и клиента не будут считаться установленными, и мы не будем нести обязанность по сохранению конфиденциальности информации, полученной от Вас. Спасибо за понимание.