Часто задаваемые вопросы о политике конфиденциальности
В компании Smartsheet конфиденциальность является ключевым фактором, позволяющим строить и поддерживать доверительные отношения с клиентами. Мы хотим, чтобы при загрузке данных вашей организации в Smartsheet вы знали, что они находятся в безопасности. На данной веб-странице вы найдёте ответы на часто задаваемые вопросы о политике конфиденциальности и использовании продуктов Smartsheet.
Информация на данной странице не представляет собой юридическую консультацию и не заменит консультацию с юридическим отделом вашей организации. Мы настоятельно рекомендуем вам обратиться за соответствующей юридической консультацией в отношении использования продуктов Smartsheet и обязательств вашей организации по защите данных.
Если у вас или вашей организации есть дополнительные вопросы, свяжитесь с отделом по обеспечению конфиденциальности компании Smartsheet по адресу privacy@smartsheet.com.
Разделы
Дополнительное соглашение об обработке данных (DPA)
Общий регламент ЕС по защите данных (GDPR)
Закон Калифорнии о защите персональных данных потребителей (CCPA)
Рамочная программа защиты конфиденциальности данных ЕС — США (DPF)
Общие вопросы
Что такое Контент клиента?
Как указано в разделе 12 Пользовательского соглашения Smartsheet, "Контент клиента" означает любые данные, вложенные файлы, текст, изображения, отчёты, личную информацию или другое содержимое, которое загружается или отправляется в приложение Клиентом или Пользователями и обрабатывается Smartsheet от имени Клиента.
Кто является контролёром Контента клиента?
Клиенты Smartsheet являются контролёрами Контента клиента, загруженного в приложение Smartsheet. Если Smartsheet является обработчиком данных, Клиенты контролируют данные, передаваемые и содержащиеся в Контенте клиента. Обрабатываемые данные будут различаться в зависимости от сценария использования платформы конкретным Клиентом. Клиенты несут ответственность за то, чтобы отправка Персональных данных особых категорий осуществлялась в соответствии с действующим законодательством.
Каких субобработчиков использует Smartsheet для обработки Контента клиента?
Субобработчики приложений Smartsheet описаны на данной веб-странице.
Как можно получить уведомление о том, что Smartsheet добавляет нового субобработчика?
Клиенты, желающие получать уведомления об изменениях в списке субобработчиков Smartsheet, могут заполнить эту веб-форму.
Как Smartsheet обрабатывает Контент клиента?
Как указано в Пользовательском соглашении Smartsheet, компания может обрабатывать Контент клиента только следующим образом: как того требует действующее законодательство; по запросу Клиента в письменной форме или согласно разрешению Клиента, полученного Сервисом при настройке Клиентом параметров управления доступом; или при необходимости для обеспечения функционирования приложения, предоставления поддержки, оптимизации приложения или предотвращения либо устранения технических проблем с приложением или нарушений настоящего Соглашения.
Где размещается Контент клиента?
В настоящее время для хостинга платформы Smartsheet используются серверы, расположенные в США или Европейском союзе (ЕС). Если клиенты выбирают регион ЕС в качестве места размещения, Контент клиента будет обрабатываться в регионе ЕС (Германия в качестве основного центра обработки с резервной копией в Ирландии). Дополнительную информацию о доступе к данным и их передаче в США можно найти в разделе Trust Center на сайте Smartsheet.
Где находится служба поддержки клиентов?
Платформа Smartsheet размещена в Интернете и доступна по всему миру. Чтобы обеспечить своевременную поддержку, Smartsheet может использовать персонал службы поддержки за пределами выбранного клиентом региона размещения. Поддержка может предоставляться из США, Великобритании, с Филиппин, из Коста-Рики или Австралии. Пользователи могут получать доступ к приложению Smartsheet из разных мест, поэтому данные могут обрабатываться за пределами выбранного региона по указанию ваших пользователей. Для получения дополнительной информации обратитесь к разделу Trust Center на сайте Smartsheet.
Как в Smartsheet обеспечивается защита Контента клиента?
В Smartsheet применяются технические, организационные и административные средства защиты обрабатываемых данных. Многие из них были проверены независимыми сторонними аудиторами и признаны соответствующими стандартам SOC 2, ISO 27001:2013, ISO 27018:2019 и ISO 27701:2019. Для получения дополнительной информации обратитесь к разделу Trust Center на сайте Smartsheet.
Что произойдёт в случае инцидента, связанного с нарушением безопасности Контента клиента?
Компания Smartsheet обрабатывает инциденты в области безопасности и сообщает о них в соответствии с задокументированными методами обеспечения безопасности, изложенными в Пользовательском соглашении Smartsheet или в подписанном соглашении между клиентом и Smartsheet.
Что произойдёт с Контентом клиента, если прекратить сотрудничество со Smartsheet?
Как указано в Пользовательском соглашении Smartsheet, в течение ста восьмидесяти (180) дней после прекращения или истечения любого Срока действия компания Smartsheet удалит Контент клиента, сделает его не подлежащим восстановлению и по письменному запросу Клиента подтвердит вышеуказанные действия в письменной форме. Несмотря на вышесказанное, Smartsheet может сохранять копии Контента клиента как часть записей, документов или более широких наборов данных в соответствии с юридическими и финансовыми обязательствами компании по соблюдению нормативных требований при условии, что она продолжает соблюдать все требования Соглашения в отношении любого такого сохранённого Контента клиента.
Как Smartsheet обрабатывает запросы правоохранительных органов относительно Контента клиента?
Компания Smartsheet располагается в США и может быть обязана раскрыть определённые данные, если получит правомочное решение компетентного органа. Обратите внимание, что в отношении такого обязательного раскрытия информации на Smartsheet распространяется действие раздела 6.3 Пользовательского соглашения: "Получающая сторона может раскрывать Конфиденциальную информацию в той степени, в которой это требуется законом или судебным процессом, при условии, однако, что Получающая сторона обязуется (если это не запрещено законом или судебным процессом): (a) направить Раскрывающей стороне предварительное письменное уведомление о таком раскрытии информации, чтобы в разумных пределах дать Раскрывающей стороне возможность явиться, возразить и получить охранный судебный приказ или другое соответствующее средство правовой защиты в отношении такого раскрытия; (б) приложить все усилия, чтобы ограничить раскрытие информации только в той степени, какая требуется по закону; и (в) в разумных пределах и за счёт Раскрывающей стороны сотрудничать с Раскрывающей стороной, когда она будет пытаться получить охранный судебный приказ или другие доступные средства правовой защиты".
Дополнительное соглашение об обработке данных (DPA)
Подписывает ли Smartsheet дополнительные соглашения об обработке данных (DPA) с клиентами?
Smartsheet предлагает заключить Дополнительное соглашение об обработке данных ("DPA") клиентам, которым требуются особые условия обработки Контента клиента, включающего личную информацию. Соглашение DPA компании Smartsheet включает Стандартные договорные условия ("SCC") и составлено таким образом, чтобы учитывать уникальные эксплуатационные и технические средства контроля, доступные в рамках нашей подписки, а также чтобы соблюдать применимые обязательства по обеспечению конфиденциальности и юридическую ответственность обеих сторон, особенно в отношении GDPR и CCPA.
Если вы решили, что вам требуется соглашение DPA для сотрудничества с компанией Smartsheet, вы можете заполнить данную веб-форму, и копия нашего соглашения DPA будет направлена через DocuSign уполномоченному подписывающему лицу, указанному в форме. После подписания копия также будет отправлена лицу, отправившему форму.
Какова сфера действия соглашения DPA?
Какие законы учитываются в соглашении DPA компании Smartsheet?
Соглашение DPA компании Smartsheet было разработано с учётом юридической ответственности обеих сторон, особенно в отношении GDPR и CCPA, чтобы даже клиенты, на которых распространяются строгие законы о конфиденциальности, могли принять соглашение без проведения переговоров. Все основные юридические и коммерческие условия уже зафиксированы в пользовательском соглашении Smartsheet между сторонами и составлены с учётом технических и эксплуатационных особенностей Smartsheet как поставщика SaaS.
Подпишет ли Smartsheet соглашение DPA, подготовленное моей организацией?
Соглашение DPA компании Smartsheet было разработано с учётом технических и эксплуатационных особенностей Smartsheet как поставщика SaaS, а также с учётом юридических обязательств обеих сторон, особенно в отношении GDPR и CCPA, чтобы даже клиенты, на которых распространяются строгие законы о конфиденциальности, могли принять соглашение без проведения переговоров. Если вы хотите, чтобы компания Smartsheet рассмотрела соглашение DPA, подготовленное вашей организацией, обратитесь к своему торговому представителю.
Общий регламент ЕС по защите данных (GDPR)
Что такое GDPR?
Общий регламент ЕС по защите данных (GDPR) — это европейский нормативно-правовой акт, вступивший в силу 25 мая 2018 г. и устанавливающий стандарты защиты и обработки персональных данных. Подробнее о Smartsheet и GDPR, в том числе о том, как запросить Соглашение об обработке данных (DPA) со Smartsheet в качестве обработчика данных.
Как положения GDPR применяются к Smartsheet?
Smartsheet — глобальная компания, которая очень серьёзно относится к конфиденциальности своих клиентов. Компания Smartsheet и её аффилированные лица обеспечивают гарантии конфиденциальности мирового класса, соответствующие действующему законодательству о защите конфиденциальности данных, например GDPR. Компания Smartsheet является инвариантной к типам данных SaaS-компанией и вместе с другими поставщиками SaaS использует модель разделяемой ответственности между Клиентом и Smartsheet. Таким образом, залог соблюдения норм GDPR — партнёрство между клиентом и поставщиком услуг.
Мы стремимся к тому, чтобы удовлетворить все потребности клиентов, в том числе помогая им в соблюдении норм GDPR. Многие наши клиенты определили, что Smartsheet отвечает их требованиям соответствия нормам GDPR. Мы надеемся на успешное сотрудничество и с вами.
Информацию о Smartsheet и GDPR можно найти в данном техническом документе.
Есть ли в Smartsheet ответственный сотрудник по защите данных (DPO)?
Да, компания Smartsheet назначила ответственного сотрудника по защите данных (DPO). Контактная информация отдела по вопросам конфиденциальности компании Smartsheet доступна в Уведомлении о конфиденциальности Smartsheet.
Будет ли Smartsheet как обработчик данных помогать моей организации в выполнении запросов субъектов данных?
Как указано в Дополнительном соглашении об обработке данных компании Smartsheet, компания будет оказывать Клиенту разумную помощь в отношении оценки влияния на защиту данных и консультаций с надзорными органами, принимая во внимание характер обработки персональных данных клиента Smartsheet и информацию, доступную Smartsheet.
Выполняет ли Smartsheet как контролёр данных запросы субъектов данных?
Да, Smartsheet выполнит все законные и разумные запросы, связанные с правами на конфиденциальность. Заполните данную веб-форму, чтобы отправить запрос в отдел по вопросам конфиденциальности Smartsheet.
Что такое стандартные договорные условия?
Стандартные договорные условия ("SCC") представляют собой набор договорных обязательств, установленных Европейской комиссией для обеспечения законной трансграничной передачи персональных данных. Они предназначены для стандартизации методов обеспечения безопасности и конфиденциальности организаций, передающих персональные данные физических лиц, находящихся на территории Европейского союза ("ЕС"), за пределы ЕС. Smartsheet применяет SCC в работе со всеми поставщиками услуг и клиентами, которым требуется механизм передачи данных.
10 июля 2023 г. Европейская комиссия вынесла решение о достаточности мер Рамочной программы защиты конфиденциальности данных ЕС — США. В настоящее время компания Smartsheet намерена работать в соответствии с действующими SCC, разрешёнными для передачи как новых, так и устаревших данных. При этом Smartsheet будет пересматривать свою политику и методы в отношении трансграничной передачи данных, а затем вносить любые разумно необходимые обновления, пока не поступит дальнейших указаний от Европейской комиссии.
Может ли Smartsheet подписать стандартные договорные условия (SCC) или типовые положения?
После решения Schrems II и признания программы Privacy Shield недействительной компания Smartsheet обновила соглашение DPA, включив в него Стандартные договорные условия ("SCC") в качестве законного механизма передачи, юридическую силу которого в явной форме поддержал Европейский суд.
Наша текущая версия соглашения DPA включает обновлённые SCC, опубликованные Европейской комиссией 7 июня 2021 г. В данный момент компания Smartsheet намерена работать в соответствии с предыдущими SCC, разрешёнными для передачи устаревших данных. В течение разрешённого переходного периода мы будем вносить изменения в соглашения при продлении и особых запросах. Любые изменения, необходимые для того, чтобы компания Smartsheet или её клиенты могли соблюдать свои обязательства в соответствии с действующими законами о защите данных, будут представлены клиентам как поправки к существующим соглашениям. Если у вас есть вопросы, свяжитесь с нами по адресу privacy@smartsheet.com.
10 июля 2023 г. Европейская комиссия вынесла решение о достаточности мер Рамочной программы защиты конфиденциальности данных ЕС — США. В настоящее время компания Smartsheet намерена работать в соответствии с действующими SCC, разрешёнными для передачи как новых, так и устаревших данных. При этом Smartsheet будет пересматривать свою политику и методы в отношении трансграничной передачи данных, а затем вносить любые разумно необходимые обновления, пока не поступит дальнейших указаний от Европейской комиссии.
Если вы решили, что вам требуется соглашение DPA для сотрудничества с компанией Smartsheet, вы можете заполнить данную веб-форму, и копия нашего соглашения DPA будет направлена через DocuSign уполномоченному подписывающему лицу, указанному в форме. После подписания копия также будет отправлена лицу, отправившему форму.
Предлагает ли Smartsheet усиленную защиту персональных данных из ЕС, передаваемых в США?
В Smartsheet применяются технические, организационные и административные средства защиты обрабатываемых данных. Многие из них были проверены независимыми сторонними аудиторами и признаны соответствующими стандартам SOC 2, ISO 27001:2013, ISO 27018:2019 и ISO 27701:2019. Для получения дополнительной информации обратитесь к разделу Trust Center на сайте Smartsheet.
Закон Калифорнии о защите персональных данных потребителей (CCPA)
Что такое Закон Калифорнии о защите персональных данных потребителей (CCPA)?
Закон Калифорнии о защите персональных данных потребителей — это первый всеобъемлющий закон о конфиденциальности данных, принятый штатом. CCPA вступил в силу в январе 2020 г. Закон определяет приемлемые способы сбора, использования и хранения личной информации. CCPA также излагает требования к прозрачности для организаций, продающих личную информацию.
Как положения CCPA применяются к Smartsheet?
Дополнительную информацию о методах защиты конфиденциальности компании Smartsheet можно найти в данном техническом документе.
Продаёт ли Smartsheet личную информацию?
Нет, Smartsheet не продаёт личную информацию.
Рамочная программа защиты конфиденциальности данных ЕС — США (DPF)
Что такое Рамочная программа защиты конфиденциальности данных (DPF)?
10 июля 2023 г. Европейская комиссия вынесла решение о достаточности мер Рамочной программы защиты конфиденциальности данных ЕС — США. В решении делается вывод, что Соединённые Штаты обеспечивают адекватный, сравнимый с гарантируемым в Европейском союзе, уровень защиты персональных данных, передаваемых из ЕС компаниям США в рамках новой программы. Решение о достаточности мер даёт нашим клиентам большую уверенность в том, что персональные данные из ЕС могут законным образом передаваться в Соединённые Штаты.
Как программа DPF применяется к Smartsheet?
Компанией Smartsheet была пройдена сертификация Privacy Shield с расчётом на то, что будет достигнуто соглашение о новой системе. Соответствие стандартам программы Privacy Shield позволяет нам быстро перейти на DPF. Новые гарантии правительства США распространяются на все случаи передачи персональных данных в соответствии с GDPR организациям в США, в том числе использующим стандартные договорные условия, даже если речь идёт о компаниях, которые не используют новую программу DPF в качестве механизма передачи данных. В течение этого переходного периода Smartsheet будет пересматривать свою политику и методы в отношении трансграничной передачи данных, а затем вносить любые разумно необходимые обновления, пока не поступит дальнейших указаний от Европейской комиссии.
Интеграция и формы
Почему в нижний колонтитул форм Smartsheet включено Уведомление о конфиденциальности Smartsheet?
Приложение Smartsheet включает функцию, которая позволяет клиентам публиковать онлайн-формы, с помощью которых пользователи могут отправлять данные в приложение Smartsheet. Данные, собранные через форму и предоставленные пользователем, считаются Контентом клиента. Когда пользователи отправляют формы, Smartsheet может собирать данные об использовании платформы (например, IP-адрес, дату и время отправки, тип браузера и т. д.), которые могут применяться для аналитики и внедрения улучшений, для защиты законных прав и предотвращения неправомерного использования Smartsheet и для соблюдения юридических обязательств, как указано в Уведомлении о конфиденциальности Smartsheet.
Почему при интеграции Smartsheet и Microsoft запрашивается разрешение на передачу данных сторонней службе?
Соединители и интеграции можно использовать для извлечения и/или отправки информации из приложения Smartsheet или в приложение, а также для того, чтобы нужная третья сторона могла получать уведомления, такие как обновления таблиц, из приложения. Например, когда клиенты настраивают интеграцию с продуктами Microsoft (например, Outlook или Teams), Microsoft предложит им разрешить обмен данными со сторонней службой (см. справочную статью). В этом контексте Smartsheet является сторонней службой, и Microsoft запрашивает разрешение на обмен данными. Кроме того, любая информация, которую вы разрешаете передавать из приложения партнёру по интеграции, регулируется заявлением о конфиденциальности третьей стороны. Мы рекомендуем вам внимательно прочитывать заявление о конфиденциальности любой третьей стороны, которой вы разрешаете получать информацию из приложения Smartsheet.
Аудит и сертификация
Есть ли у Smartsheet сертификация GDPR?
Компания Smartsheet прошла сертификацию по двум международным стандартам обеспечения конфиденциальности, которые соответствуют многим требованиям GDPR: ISO 27018:2019 и ISO 27701:2019. Для получения дополнительной информации обратитесь к разделу Trust Center на сайте Smartsheet.
Может ли моя организация выполнить аудит методов обеспечения конфиденциальности Smartsheet?
Компания Smartsheet обслуживает миллионы пользователей по всему миру. Мы считаем нецелесообразным подвергать аудиту принимаемые в Smartsheet методы обеспечения конфиденциальности по требованию каждого клиента. Именно поэтому мы прошли сертификацию по международным стандартам обеспечения конфиденциальности: ISO 27018:2019 и ISO 27701:2019. Для получения дополнительной информации обратитесь к разделу Trust Center на сайте Smartsheet.
Какие сертификаты в области обеспечения конфиденциальности есть у Smartsheet?
Компания Smartsheet сертифицирована по двум международным стандартам обеспечения конфиденциальности: ISO 27018:2019 и ISO 27701:2019. Для получения дополнительной информации обратитесь к разделу Trust Center на сайте Smartsheet.
Что известно о программе Privacy Shield?
10 июля 2023 г. Европейская комиссия вынесла решение о достаточности мер Рамочной программы защиты конфиденциальности данных ЕС — США (DPF). Компания Smartsheet продлила свою сертификацию Privacy Shield, поскольку мы продолжаем выполнять обязательства, которые взяли на себя перед FTC и нашими клиентами в отношении обработки персональных данных в соответствии с принципами Privacy Shield. Соответствие стандартам программы Privacy Shield позволяет нам быстро перейти на DPF. Мы будем следить за новостями Европейской комиссии в отношении требований по соблюдению новой Рамочной программы, при этом продолжая придерживаться уже действующих методов обеспечения конфиденциальности и защиты данных.