ПРИЛОЖЕНИЕ О СУВЕРЕНИТЕТЕ ДАННЫХ¶

Последнее обновление: 01 августа 2025 г.

Настоящее Приложение о суверенитете данных («Приложение») устанавливает комплексные рамки суверенитета данных, локализации и юрисдикционного соответствия, регулирующие платформу Brilio AI. Данное Приложение предоставляет юридически обоснованные механизмы для трансграничной передачи данных, соблюдения нормативных требований в различных юрисдикциях и контроля местонахождения данных, обеспечивая при этом глобальную применимость и защиту прав пользователей.

КРАТКОЕ ИЗЛОЖЕНИЕ¶

Настоящее Приложение составляет неотъемлемую часть договорных отношений между Innovatica Technologies FZ-LLC («Innovatica», «Компания», «мы», «нас» или «наш»), компанией с ограниченной ответственностью свободной зоны, зарегистрированной в Объединенных Арабских Эмиратах (Лицензия №: 47020067), и пользователями платформы Brilio («Клиент», «вы» или «ваш»). Осуществляя доступ к платформе Brilio или используя ее, вы подтверждаете, что прочитали, поняли и согласны соблюдать положения настоящего Приложения и всех включенных условий.

1. ПРАВОВАЯ БАЗА И ИНТЕГРАЦИЯ ДОКУМЕНТОВ¶

1.1 Иерархия и интеграция документов¶

Настоящее Приложение действует как неотъемлемая часть модульной правовой архитектуры Innovatica и должно интерпретироваться в совокупности с:

Основные управляющие документы: - Основные условия обслуживания (управляющий документ) - Политика конфиденциальности (рамки защиты данных) - Соглашение об обработке данных (операционные процедуры) - Политика приемлемого использования (стандарты поведения пользователей)

Вспомогательные рамочные документы: - Общие юридические определения (стандартизированная терминология) - Интеграция правовой базы (архитектура соблюдения требований) - Политика безопасности (технические меры защиты) - Политика интеллектуальной собственности (управление правами)

1.2 Приоритет документов¶

В случае конфликта между настоящим Приложением и другими документами платформы применяется следующий порядок приоритета: 1. Обязательные требования местного законодательства (высший приоритет) 2. Приложение о суверенитете данных (настоящий документ) 3. Основные условия обслуживания 4. Политика конфиденциальности и Соглашение об обработке данных 5. Вспомогательные политики и руководства

2. РАМКИ СУВЕРЕНИТЕТА ДАННЫХ¶

2.1 Всеобъемлющее покрытие¶

Настоящее Приложение охватывает требования к суверенитету данных в основных юрисдикциях, включая, но не ограничиваясь:

Европейский Союз и ЕЭЗ: - Общий регламент по защите данных (GDPR) - Акт об управлении данными (DGA) - Акт о цифровых услугах (DSA) - Акт об ИИ (Регламент ЕС по ИИ) - Директива о конфиденциальности в электронных коммуникациях и национальные имплементации

Соединенные Штаты: - Калифорнийский закон о защите прав потребителей (CCPA) и Калифорнийский закон о правах конфиденциальности (CPRA) - Закон Вирджинии о защите данных потребителей (VCDPA) - Закон Коннектикута о конфиденциальности данных (CTDPA) - Закон Колорадо о конфиденциальности (CPA) - Закон Юты о защите прав потребителей (UCPA) - Закон о Федеральной торговой комиссии и руководящие принципы правоприменения

Азиатско-Тихоокеанский регион: - Закон о защите персональных данных (PDPA) - Сингапур - Закон о конфиденциальности 1988 г. - Австралия - Закон о защите персональной информации (PIPL) - Китай - Закон о защите персональной информации (APPI) - Япония - Закон о защите персональной информации (PIPA) - Южная Корея

Объединенные Арабские Эмираты: - Закон ОАЭ о защите данных (Федеральный декрет-закон № 45 от 2021 г.) - Закон Дубая о данных (Закон № 26 от 2015 г.) - Регламент о защите данных Глобального рынка Абу-Даби

Дополнительные юрисдикции: - UK GDPR и Закон о защите данных 2018 г. - Закон о защите персональной информации и электронных документах (PIPEDA) - Канада - Общий закон о защите данных (LGPD) - Бразилия - Закон о защите персональной информации (POPIA) - Южная Африка

2.2 Резидентность и локализация данных¶

2.2.1 Резидентность данных по умолчанию Если не указано иное в письменной форме или не требуется применимым законодательством, данные пользователей обрабатываются и хранятся в: - Основное местоположение: центры обработки данных Microsoft Azure в Европе (Нидерланды, Ирландия) - Вторичные местоположения: центры обработки данных Microsoft Azure в Северной Америке (Соединенные Штаты) - Резервные местоположения: центры обработки данных Microsoft Azure в Азиатско-Тихоокеанском регионе (Сингапур, Австралия)

2.2.2 Региональные требования локализации данных

Для пользователей, подпадающих под конкретные требования локализации данных:

Пользователи Европейского Союза/ЕЭЗ: - Основная обработка: только центры обработки данных ЕС/ЕЭЗ - Трансграничные передачи: только в страны с решением об адекватности или с соответствующими мерами защиты - Локализация данных: доступна по запросу за дополнительную плату

Пользователи ОАЭ: - Основная обработка: центры обработки данных ОАЭ или ССЗ при наличии - Трансграничные передачи: в соответствии с требованиями Закона ОАЭ о защите данных - Государственные данные: обрабатываются в пределах границ ОАЭ в соответствии с требованиями законодательства

Пользователи Китая: - Персональная информация: обрабатывается в границах Китая - Трансграничные передачи: в соответствии с требованиями PIPL и оценками безопасности - Критическая информационная инфраструктура: применяются дополнительные ограничения

Пользователи России: - Персональные данные граждан России: обрабатываются в пределах Российской Федерации - Локализация баз данных: требуется для персональных данных граждан России - Трансграничные передачи: в соответствии с требованиями федерального законодательства России

2.3 Механизмы трансграничной передачи данных¶

2.3.1 Правовые основания для передачи

Мы передаем персональные данные на международном уровне на основании:

Решения ЕС об адекватности: - Передача в страны с решениями об адекватности (Великобритания, Швейцария и т.д.) - Автоматическое соблюдение требований GDPR к передаче - Регулярный мониторинг статуса решений об адекватности

Стандартные договорные оговорки (СДО): - Имплементация СДО, утвержденных Европейской комиссией - Дополнительные меры защиты для передачи в страны без адекватности - Регулярный пересмотр и обновления для поддержания соответствия

Обязывающие корпоративные правила (ОКП): - Внутренние механизмы передачи данных для многонациональной обработки - Комплексная защита для внутригрупповых передач - Регулирующее одобрение и постоянный мониторинг соблюдения

Отступления для конкретных ситуаций: - Явное согласие на международные передачи - Необходимость исполнения договора - Установление, осуществление или защита правовых требований - Защита жизненно важных интересов

2.3.2 Оценка влияния передачи (ОВП)

Для передачи в страны без решений об адекватности: - Комплексная оценка законодательства страны назначения - Оценка потенциального доступа правительства к данным - Внедрение дополнительных технических и организационных мер - Регулярный пересмотр и переоценка условий передачи

2.4 Доступ правительства и раскрытие информации¶

2.4.1 Требования к юридическим процедурам

Мы раскрываем данные пользователей государственным органам только когда: - Юридически обязаны действительной правовой процедурой - Требуется для соблюдения применимого законодательства - Необходимо для защиты прав, собственности или безопасности

2.4.2 Ограничения раскрытия и меры защиты

Узконаправленные ответы: - Оспаривание чрезмерно широких или недействительных запросов - Предоставление только данных, специально требуемых правовой процедурой - Внедрение оценок пропорциональности и необходимости

Уведомление пользователя: - Предварительное уведомление о правовой процедуре, когда это разрешено законом - Отчетность о прозрачности запросов данных от правительства - Процедуры апелляции и возражения для пользователей

Юрисдикционные конфликты: - Правовая база для разрешения конфликтующих правовых требований - Процедуры обработки блокирующих статутов и суверенного иммунитета - Механизмы эскалации для сложных юрисдикционных вопросов

3. ТЕХНИЧЕСКИЕ И ОРГАНИЗАЦИОННЫЕ МЕРЫ¶

3.1 Защита данных по дизайну и по умолчанию¶

3.1.1 Технические меры - Сквозное шифрование для данных при передаче и в состоянии покоя - Архитектура с нулевым знанием, где технически осуществимо - Продвинутые средства контроля доступа и управления идентификацией - Регулярные аудиты безопасности и тесты на проникновение - Автоматизированные процедуры классификации и обработки данных

3.1.2 Организационные меры - Комплексное обучение персонала требованиям суверенитета данных - Регулярные аудиты и оценки соблюдения требований - Оценки влияния на защиту данных для новых видов обработки - Процедуры реагирования на инциденты нарушения суверенитета данных - Процедуры управления поставщиками и должной проверки

3.2 Минимизация данных и ограничение целей¶

Минимизация сбора данных: - Сбор ограничен необходимыми целями - Регулярный пересмотр и удаление ненужных данных - Автоматизированное управление жизненным циклом данных - Пользовательские настройки для предпочтений сбора данных

Ограничения цели обработки: - Четкая документация всех целей обработки - Запрет на несовместимое использование персональных данных - Регулярные аудиты деятельности по обработке - Уведомление пользователей о существенных изменениях целей

3.3 Реализация прав субъектов данных¶

Комплексная система прав: - Права на доступ, исправление, удаление и переносимость - Права на ограничение и возражение - Защита от автоматизированного принятия решений - Механизмы трансграничного применения прав

Процедуры осуществления прав: - Удобные интерфейсы для осуществления прав - Автоматизированные системы верификации и ответов - Процедуры апелляции при отказе в правах - Регулярное обучение персонала, отвечающего за права

4. МОНИТОРИНГ СОБЛЮДЕНИЯ И ОБЕСПЕЧЕНИЕ ИСПОЛНЕНИЯ¶

4.1 Постоянная оценка соблюдения¶

Регулярные проверки соблюдения: - Квартальная оценка соблюдения суверенитета данных - Ежегодные комплексные аудиты соблюдения - Постоянный мониторинг нормативных изменений - Обратная связь от заинтересованных сторон и процессы улучшения

Ключевые показатели эффективности: - Показатели соблюдения резидентности данных - Метрики соблюдения трансграничной передачи - Время ответа на правительственные запросы - Показатели выполнения прав пользователей

4.2 Реагирование на нарушения и исправление¶

Процедуры реагирования на инциденты: - Немедленная оценка и меры сдерживания - Процедуры уведомления регулирующих органов - Планы коммуникации с пользователями и исправления - Анализ первопричин и меры предотвращения

Рамки корректирующих действий: - Систематический подход к нарушениям соблюдения - Требования к срокам исправления - Процедуры эскалации для постоянных проблем - Требования к документированию и отчетности

5. ОБЯЗАННОСТИ И ОБЯЗАТЕЛЬСТВА ПОЛЬЗОВАТЕЛЕЙ¶

5.1 Обязанности контролера данных¶

При использовании Платформы в качестве контролера данных вы должны: - Внедрять соответствующие технические и организационные меры - Проводить оценки влияния на защиту данных при необходимости - Вести учет деятельности по обработке - Обеспечивать законное основание для всей обработки данных

5.2 Соблюдение трансграничной передачи¶

Передачи, инициированные пользователем: - Соблюдение применимых ограничений на передачу - Внедрение соответствующих мер защиты - Документирование правового основания передачи - Регулярный пересмотр соблюдения передачи

Соблюдение интеграции третьих сторон: - Должная проверка практик обработки данных третьими сторонами - Договорная защита для интегрированных сервисов - Регулярный мониторинг соблюдения третьими сторонами - Процедуры координации реагирования на инциденты

6. СПЕЦИФИЧЕСКИЕ ЮРИСДИКЦИОННЫЕ ПОЛОЖЕНИЯ¶

6.1 Специфические условия для Европейского Союза¶

Меры соблюдения GDPR: - Документирование и управление законным основанием - Процедуры управления согласием и его отзыва - Внедрение защиты данных по дизайну и по умолчанию - Процедуры консультации с сотрудником по защите данных

Права по GDPR: - Расширенные права на доступ и переносимость - Защита от автоматизированного принятия решений - Право на исправление и удаление - Права на ограничение и возражение

6.2 Специфические условия для Соединенных Штатов¶

Соблюдение законов штатов о конфиденциальности: - Соблюдение законов Калифорнии, Вирджинии, Коннектикута, Колорадо и Юты - Внедрение и процедуры ответа на права потребителей - Механизмы отказа от продажи данных и таргетированной рекламы - Меры защиты конфиденциальной персональной информации

Федеральное соблюдение: - Соблюдение Закона FTC и меры защиты потребителей - Соблюдение отраслевых законов (HIPAA, FERPA, GLBA при применимости) - Защита конфиденциальности детей (соблюдение COPPA) - Соблюдение доступности (ADA, Section 508)

6.3 Специфические условия для ОАЭ¶

Соблюдение Закона ОАЭ о защите данных: - Внедрение принципов обработки персональных данных - Требования к согласию и процедуры управления - Процедуры уведомления о нарушении данных и реагирования - Требования к сотрудничеству с органом защиты данных

Требования к трансграничной передаче: - Процедуры оценки адекватности - Внедрение стандартных договорных оговорок - Процедуры получения одобрения правительства при необходимости - Меры соблюдения локализации данных

7. ОБНОВЛЕНИЯ И ИЗМЕНЕНИЯ¶

7.1 Управление нормативными изменениями¶

Проактивный мониторинг: - Постоянный мониторинг нормативных изменений - Оценка влияния новых законов и нормативных актов - Консультации с заинтересованными сторонами по существенным изменениям - Разработка и коммуникация графика внедрения

Процедуры внесения поправок: - Требования к уведомлению о существенных изменениях - Процедуры консультации с пользователями и обратной связи - Управление датами вступления в силу и переходами - Управление обязательствами по соблюдению устаревших требований

7.2 Адаптация к эволюции технологий¶

Соблюдение требований к новым технологиям: - Специфические требования к ИИ и машинному обучению - Последствия квантовых вычислений и шифрования - Соображения по блокчейну и распределенным реестрам - Соблюдение требований к Интернету вещей (IoT) и граничным вычислениям

8. КОНТАКТНАЯ ИНФОРМАЦИЯ И РАЗРЕШЕНИЕ СПОРОВ¶

8.1 Контакты по вопросам суверенитета данных¶

Основной контакт: Сотрудник по защите данных
Email: dpo@innovatica.ai
Адрес: Innovatica Technologies FZ-LLC, Дубай, ОАЭ

Региональные представители: - Представитель в ЕС: [Будет назначен при необходимости] - Представитель в Великобритании: [Будет назначен при необходимости] - Представитель в Бразилии: [Будет назначен при необходимости]

8.2 Процедуры разрешения споров¶

Внутреннее разрешение: - Первоначальная проверка сотрудником по защите данных - Эскалация главному юридическому директору - Проверка и разрешение исполнительным руководством - Процедуры документирования и извлечения уроков

Внешнее разрешение: - Сотрудничество с регулирующими органами и обработка жалоб - Процедуры альтернативного разрешения споров - Судебные разбирательства и сотрудничество в правоприменении - Процедуры международного арбитража при применимости

9. ОПРЕДЕЛЕНИЯ¶

См. Общие юридические определения для полного перечня определений терминов, используемых в настоящем Приложении.

Настоящее Приложение о суверенитете данных обеспечивает комплексную защиту трансграничной обработки данных при одновременном соблюдении развивающихся международных требований по защите данных. Регулярные обновления обеспечивают продолжающееся соответствие новым нормативным базам.