Часто задаваемые вопросы о политике конфиденциальности
В компании Smartsheet конфиденциальность является ключевым фактором, позволяющим строить и поддерживать доверительные отношения с клиентами. Мы хотим, чтобы при загрузке данных вашей организации в Smartsheet вы знали, что они находятся в безопасности. На данной веб-странице вы найдёте ответы на часто задаваемые вопросы о политике конфиденциальности и использовании продуктов Smartsheet.
Информация на данной странице не представляет собой юридическую консультацию и не заменит консультацию с юридическим отделом вашей организации. Мы настоятельно рекомендуем вам обратиться за соответствующей юридической консультацией в отношении использования продуктов Smartsheet и обязательств вашей организации по защите данных.
Если у вас или вашей организации есть дополнительные вопросы, свяжитесь с отделом по обеспечению конфиденциальности компании Smartsheet по адресу privacy@smartsheet.com.
Разделы
Дополнительное соглашение об обработке данных (DPA)
Общий регламент ЕС по защите данных (GDPR)
Рамочная программа защиты конфиденциальности данных ЕС — США (DPF)
Закон Калифорнии о защите персональных данных потребителей (CCPA)
Общие вопросы
Выступает ли Smartsheet обработчиком или контроллером данных?
Обработчик — это организация, которая обрабатывает, использует, хранит, передаёт персональные данные и другими способами управляет ими исключительно в соответствии с инструкциями контроллера.
В свою очередь контроллер — это организация, определяющая цели и способы обработки данных. Иными словами, контроллер решает, зачем и каким образом обрабатывать персональные данные.
К решениям, принимаемым исключительно контроллером, относятся решения относительно целей использования персональных данных, их раскрытия (и возможной передачи третьим лицам), а также срока хранения.
Организация может выполнять роль и контроллера, и обработчика в отношении разных типов данных. Например, поставщик услуг облачного хостинга может быть обработчиком данных, которые размещает для своих клиентов, и являться контроллером данных своих сотрудников, а также некоторых видов данных учётных записей своих клиентов.
Как это применяется к Smartsheet?
Указанные выше роли применяются и к Smartsheet. Будучи поставщиком SaaS, Smartsheet выступает в роли как обработчика, так и контроллера.
Почему Smartsheet является контроллером данных об использовании?
Smartsheet обрабатывает данные об использовании сервиса, чтобы надлежащим образом выставлять счета клиентам за пользование услугами, устранять неполадки, возникающие в сети, предотвращать мошенничество и злоупотребления, платить налоги и соблюдать требования законодательства. Мы используем такие данные для обеспечения функционирования компании, безопасности услуг, а также совершенствования продуктов.
Smartsheet выступает контроллером, поскольку определяет цели и способы обработки данных об использовании. Однако это не означает, что Smartsheet может распоряжаться вашими данными на своё усмотрение: мы ограничены требованиями законодательства и условиями нашего с вами договора. Smartsheet, например, запрещается продавать ваши данные конечного пользователя, а обрабатывать их разрешено исключительно для целей обеспечения работы сервиса.
Smartsheet также определяет сроки хранения данных об использовании: при отсутствии необходимости далее обрабатывать данные в указанных выше целях мы безопасным образом утилизируем их в соответствии с внутренними рекомендациями по хранению. Таким образом Smartsheet является контроллером данных об использовании в рамках определённых целей и в течение ограниченного времени.
Что такое Контент клиента?
Как указано в разделе 12 Пользовательского соглашения Smartsheet, "Контент клиента" означает любые данные, вложенные файлы, текст, изображения, отчёты, личную информацию или другое содержимое, которое загружается или отправляется в приложение Клиентом или Пользователями и обрабатывается Smartsheet от имени Клиента.
Кто является контроллером Контента клиента?
Клиенты Smartsheet являются контроллерами Контента клиента, загруженного в приложение Smartsheet. Если Smartsheet является обработчиком данных, Клиенты контролируют данные, передаваемые и содержащиеся в Контенте клиента. Обрабатываемые данные будут различаться в зависимости от сценария использования платформы конкретным Клиентом. Клиенты несут ответственность за то, чтобы отправка Персональных данных особых категорий осуществлялась в соответствии с действующим законодательством.
Smartsheet использует загруженные в приложение данные для маркетинга или продаж?
Нет. Данные, введённые или загруженные в приложение нашими клиентами, называются Контентом клиента. Smartsheet использует Контент клиента только в соответствии с условиями раздела 2.2 Пользовательского соглашения Smartsheet. В поисках ответа на данный вопрос клиенты иногда ссылаются на Уведомление о конфиденциальности Smartsheet. Однако наше Уведомление о конфиденциальности не распространяется на Контент клиента, поэтому любые упоминания маркетинговых мероприятий или продаж в Уведомлении о конфиденциальности не относятся к данным, введённым или загруженным в Smartsheet.
Каких субобработчиков использует Smartsheet для обработки Контента клиента?
Субобработчики приложений Smartsheet описаны на данной веб-странице.
Как можно получить уведомление о том, что Smartsheet добавляет нового субобработчика?
Клиенты, желающие получать уведомления об изменениях в списке субобработчиков Smartsheet, могут заполнить эту веб-форму.
Как Smartsheet обрабатывает Контент клиента?
Как указано в Пользовательском соглашении Smartsheet, компания может обрабатывать Контент клиента только в следующих случаях: согласно требованиям действующего законодательства; по запросу Клиента в письменной форме или согласно разрешению Клиента, полученному Сервисом при настройке Клиентом параметров управления доступом; при необходимости для обеспечения функционирования приложения, предоставления поддержки, оптимизации приложения или предотвращения либо устранения технических проблем с приложением или нарушений настоящего Соглашения.
Как работают ИИ-инструменты Smartsheet?
ИИ-инструмент Smartsheet использует большие языковые модели и данные Smartsheet. На их основе были созданы мощные функции, учитывающие контекст работы пользователя и требования к конфиденциальности данных.
Подробные сведения содержатся в техническом документе, посвящённом ИИ-инструментам, и в соответствующей справочной статье.
Используются ли мои данные для обучения публичных моделей ИИ?
Мы не владеем вашими данными, обрабатываемыми ИИ, и не используем их для обучения публичных моделей.
Подробные сведения содержатся в техническом документе, посвящённом нашим ИИ-инструментам.
Где размещается Контент клиента?
В настоящее время для хостинга платформы Smartsheet используются серверы, расположенные в США или Европейском союзе (ЕС). Если клиенты выбирают регион ЕС в качестве места размещения, Контент клиента будет обрабатываться в регионе ЕС (Германия в качестве основного центра обработки с резервной копией в Ирландии). Дополнительную информацию о доступе к данным и их передаче в США можно найти в разделе Trust Center на сайте Smartsheet.
Где находится служба поддержки клиентов?
Платформа Smartsheet размещена в Интернете и доступна по всему миру. Чтобы обеспечить своевременную поддержку, Smartsheet может использовать персонал службы поддержки за пределами выбранного клиентом региона размещения. Поддержка может предоставляться из США, Великобритании, с Филиппин, из Коста-Рики или Австралии. Пользователи могут получать доступ к приложению Smartsheet из разных мест, поэтому данные могут обрабатываться за пределами выбранного региона по указанию ваших пользователей. Для получения дополнительной информации обратитесь к разделу Trust Center на сайте Smartsheet.
Как в Smartsheet обеспечивается защита Контента клиента?
В Smartsheet применяются технические, организационные и административные средства защиты обрабатываемых данных. Многие из них были проверены независимыми сторонними аудиторами и признаны соответствующими стандартам SOC 2, ISO 27001:2013, ISO 27018:2019 и ISO 27701:2019. Для получения дополнительной информации обратитесь к разделу Trust Center на сайте Smartsheet.
Что произойдёт в случае инцидента, связанного с нарушением безопасности Контента клиента?
Компания Smartsheet обрабатывает инциденты в области безопасности и сообщает о них в соответствии с методами обеспечения безопасности, изложенными в документе Средства обеспечения безопасности Smartsheet или в подписанном соглашении между клиентом и Smartsheet.
Что произойдёт с Контентом клиента, если прекратить сотрудничество со Smartsheet?
Как указано в Пользовательском соглашении Smartsheet, в течение ста восьмидесяти (180) дней после прекращения или истечения любого Срока действия компания Smartsheet удалит Контент клиента, сделает его не подлежащим восстановлению и по письменному запросу Клиента подтвердит вышеуказанные действия в письменной форме. Несмотря на вышесказанное, Smartsheet может сохранять копии Контента клиента как часть записей, документов или более широких наборов данных в соответствии с юридическими и финансовыми обязательствами компании по соблюдению нормативных требований при условии, что она продолжает соблюдать все требования Соглашения в отношении любого такого сохранённого Контента клиента.
Как Smartsheet обрабатывает запросы правоохранительных органов относительно Контента клиента?
Компания Smartsheet располагается в США и может быть обязана раскрыть определённые данные, если получит правомочное решение компетентного органа. Однако обращаем ваше внимание, что в отношении такого раскрытия информации на Smartsheet распространяется действие условий раздела 6.3 Пользовательского соглашения Smartsheet.
Может ли моя организация отписаться от рекламной и маркетинговой рассылки?
Да. Smartsheet может отменить подписку учётной записи клиента на рекламную и маркетинговую рассылку. Обратитесь к системному администратору вашей учётной записи с просьбой отправить запрос на отказ от рассылки с помощью этой формы.
Дополнительное соглашение об обработке данных (DPA)
Подписывает ли Smartsheet дополнительные соглашения об обработке данных (DPA) с клиентами?
Smartsheet предлагает заключить Дополнительное соглашение об обработке данных ("DPA") клиентам, которым требуются особые условия обработки Контента клиента, включающего личную информацию. Соглашение DPA компании Smartsheet включает Стандартные договорные условия ("SCC"), принятые в ЕС и Великобритании, и составлено таким образом, чтобы учитывать уникальные эксплуатационные и технические средства контроля, доступные в рамках нашей подписки, а также соблюдать применимые обязательства по обеспечению конфиденциальности и юридическую ответственность обеих сторон, особенно в отношении GDPR и действующего законодательства США о защите данных, например, CCPA.
10 июля 2023 г. Европейская комиссия вынесла решение о достаточности мер Рамочной программы защиты конфиденциальности данных ЕС — США (DPF). В настоящее время компания Smartsheet намерена и далее предлагать заключение DPA в соответствии с действующими SCC, разрешёнными для передачи как новых, так и устаревших данных. Smartsheet будет и далее следить за изменениями, связанными с трансграничной передачей данных, и будет вносить любые обоснованно необходимые правки до получения дальнейших указаний от Европейской комиссии.
Если вы решили, что вам требуется соглашение DPA для сотрудничества с компанией Smartsheet, можете заполнить данную веб-форму, и копия нашего соглашения DPA будет направлена через DocuSign уполномоченному подписанту, указанному в форме. После подписания копия также будет отправлена лицу, отправившему форму.
Какова сфера действия соглашения DPA?
Какие законы учитываются в соглашении DPA компании Smartsheet?
Соглашение DPA компании Smartsheet было разработано с учётом юридической ответственности обеих сторон, особенно в отношении GDPR и CCPA, чтобы даже клиенты, на которых распространяются строгие законы о конфиденциальности, могли принять соглашение без проведения переговоров. Все основные юридические и коммерческие условия уже зафиксированы в пользовательском соглашении Smartsheet между сторонами и составлены с учётом технических и эксплуатационных особенностей Smartsheet как поставщика SaaS.
Для получения дополнительной информации об актуальных методах Smartsheet по обеспечению конфиденциальности и соответствия юридическим требованиям посетите раздел Trust Center. Кроме того, если у вас возникли вопросы относительно обработки данных Smartsheet или законодательства о защите данных, которого мы в настоящее время придерживаемся в рамках соблюдения договорных обязательств, ознакомьтесь с нашим Дополнительным соглашением об обработке данных.
Подпишет ли Smartsheet соглашение DPA, подготовленное моей организацией?
Соглашение DPA компании Smartsheet было специально составлено таким образом, чтобы представить уникальные эксплуатационные и технические средства контроля, доступные в рамках нашей подписки, а также нашу бизнес-модель в качестве многопользовательского поставщика SaaS, инвариантного к типам данных. Поэтому Smartsheet обрабатывает все данные от всех пользователей одинаковым образом, и услуга, предоставляемая по подписке, включает определённые средства контроля с целью соблюдения требований действующего законодательства о конфиденциальности данных.
Если вы определили, что для использования Услуг, предоставляемых по подписке, вам необходимо заключить соглашение DPA, заполните эту форму. Smartsheet настаивает на заключении соглашения DPA, поскольку оно наиболее точно отражает существующие процессы и возможности Smartsheet, особенно в отношении основных законов о защите данных, включая GDPR и действующие законы США о защите данных (например, CCPA). Мы понимаем, что некоторые клиенты отдают предпочтение собственным соглашениям DPA или своим дополнительным условиям конфиденциальности данных, однако компания Smartsheet не руководствуется документами клиентов. Таким образом Smartsheet обеспечивает точность и прозрачность передачи данных между сторонами и их обработки компанией. Дополнительную информацию о методах Smartsheet по обеспечению конфиденциальности в целом можно найти в разделе Trust Center на сайте Smartsheet.
Общий регламент ЕС по защите данных (GDPR)
Что такое GDPR?
Общий регламент ЕС по защите данных (GDPR) — это европейский нормативно-правовой акт, вступивший в силу 25 мая 2018 г. и устанавливающий стандарты защиты и обработки персональных данных. Подробнее о Smartsheet и GDPR, в том числе о том, как запросить Соглашение об обработке данных (DPA) со Smartsheet в качестве обработчика данных.
Каким образом Smartsheet соблюдает нормы GDPR в качестве поставщика услуг?
Smartsheet — международная компания, учитывающая конфиденциальность своих клиентов при внедрении эксплуатационных и технических средств контроля. Компания Smartsheet и её аффилированные лица предоставляют гарантии конфиденциальности в соответствии с отраслевыми стандартами и действующим законодательством о защите конфиденциальности данных, например, GDPR. Smartsheet, как и другие поставщики SaaS, использует модель разделяемой ответственности в отношении оценки рисков и последствий передачи данных, поэтому залог соблюдения норм GDPR — партнёрство между клиентом и поставщиком услуг.
Мы стремимся к тому, чтобы удовлетворить все потребности клиентов, в том числе помогая им в соблюдении норм GDPR. Многие наши клиенты определили, что Smartsheet отвечает их требованиям соответствия нормам GDPR. Мы надеемся на успешное сотрудничество и с вами.
Если вы хотите получить доступ к нашему Пакету средств обеспечения безопасности, который включает в себя Оценку последствий передачи данных (TIA) для наших предложений, свяжитесь с менеджером по работе с клиентами или заполните и отправьте эту форму. Информацию о Smartsheet и GDPR можно найти в этом техническом документе.
Есть ли в Smartsheet ответственный сотрудник по защите данных (DPO)?
Да, компания Smartsheet назначила ответственного сотрудника по защите данных (DPO). Контактная информация отдела по вопросам конфиденциальности компании Smartsheet доступна в Уведомлении о конфиденциальности Smartsheet.
Будет ли Smartsheet как обработчик данных помогать моей организации в выполнении запросов субъектов данных?
Как указано в Дополнительном соглашении об обработке данных компании Smartsheet, компания будет оказывать Клиенту разумную помощь в отношении оценки влияния на защиту данных и консультаций с надзорными органами, принимая во внимание характер обработки персональных данных клиента Smartsheet и информацию, доступную Smartsheet.
Выполняет ли Smartsheet как контроллер данных запросы субъектов данных?
Да, Smartsheet выполнит все законные и разумные запросы, связанные с правами на конфиденциальность. Заполните данную веб-форму, чтобы отправить запрос в отдел по вопросам конфиденциальности Smartsheet.
Что такое стандартные договорные условия?
Стандартные договорные условия ("SCC") представляют собой набор договорных обязательств, установленных Европейской комиссией для обеспечения законной трансграничной передачи персональных данных. SCC предназначены для стандартизации методов обеспечения безопасности и конфиденциальности организаций, передающих персональные данные физических лиц, находящихся на территории Европейского союза ("ЕС"), за пределы ЕС. Smartsheet применяет SCC в работе со всеми поставщиками услуг и клиентами, которым требуется механизм передачи данных.
10 июля 2023 г. Европейская комиссия вынесла решение о достаточности мер Рамочной программы защиты конфиденциальности данных ЕС — США. В настоящее время компания Smartsheet намерена работать в соответствии с действующими SCC, разрешёнными для передачи как новых, так и устаревших данных. При этом Smartsheet будет пересматривать свою политику и методы в отношении трансграничной передачи данных, а затем вносить любые разумно необходимые обновления, пока не поступит дальнейших указаний от Европейской комиссии.
Может ли Smartsheet подписать стандартные договорные условия (SCC) или типовые положения?
После решения Schrems II и признания программы Privacy Shield недействительной компания Smartsheet обновила соглашение DPA, включив в него Стандартные договорные условия ("SCC") в качестве законного механизма передачи, юридическую силу которого в явной форме поддержал Европейский суд.
10 июля 2023 г. Европейская комиссия вынесла решение о достаточности мер Рамочной программы защиты конфиденциальности данных ЕС — США. Компания Smartsheet намерена работать в соответствии с наиболее актуальными SCC, разрешёнными для передачи как новых, так и устаревших данных. Smartsheet продолжит следить за изменениями, связанными с трансграничной передачей данных, и будет вносить любые обоснованно необходимые правки до получения дальнейших указаний от Европейской комиссии.
Если вы решили, что вам требуется соглашение DPA для сотрудничества с компанией Smartsheet, можете заполнить эту форму, и копия нашего соглашения DPA будет направлена через DocuSign уполномоченному подписанту, указанному в форме. После подписания копия также будет отправлена лицу, отправившему форму. Если у вас есть вопросы, свяжитесь с нами по адресу privacy@smartsheet.com.
Предлагает ли Smartsheet усиленную защиту персональных данных из ЕС, передаваемых в США?
В Smartsheet применяются технические, организационные и административные средства защиты обрабатываемых данных. Многие из них были проверены независимыми сторонними аудиторами и признаны соответствующими стандартам SOC 2, ISO 27001:2022, ISO 27018:2019 и ISO 27701:2019. Для получения дополнительной информации обратитесь к разделу Trust Center на сайте Smartsheet.
Рамочная программа защиты конфиденциальности данных ЕС — США (DPF)
Что такое Рамочная программа защиты конфиденциальности данных (DPF)?
10 июля 2023 г. Европейская комиссия вынесла решение о достаточности мер Рамочной программы защиты конфиденциальности данных ЕС — США. В решении делается вывод, что Соединённые Штаты обеспечивают адекватный, сравнимый с гарантируемым в Европейском союзе, уровень защиты персональных данных, передаваемых из ЕС компаниям США в рамках новой программы (заменившей ранее действовавшую программу Privacy Shield). Узнать подробнее о Рамочной программе конфиденциальности данных и просмотреть нашу сертификацию можно на странице https://www.dataprivacyframework.gov.
Каким образом нормы Рамочной программы конфиденциальности данных применяются в компании Smartsheet?
Smartsheet и её аффилированные лица участвуют в Соглашении о конфиденциальности данных между ЕС и США ("DPF ЕС-США"), британском расширении соглашения DPF ЕС-США и Рамочном соглашении о конфиденциальности данных между Швейцарией и США ("DPF Швейцарии-США"), как это установлено Министерством торговли США (совместно именуемые "Рамочная программа конфиденциальности данных"). Мы обязуемся соблюдать Принципы Рамочной программы конфиденциальности данных в отношении персональных данных, передаваемых в США из Европейской экономической зоны (ЕЭЗ), Великобритании (Великобритании) и Швейцарии. Узнать подробнее о Рамочной программе конфиденциальности данных и просмотреть нашу сертификацию можно на странице https://www.dataprivacyframework.gov. Обязательства Smartsheet в соответствии с принципами Рамочной программы конфиденциальности данных подпадают под действие следственных и правоприменительных полномочий Федеральной торговой комиссии США (FTC).
Компания Smartsheet более не применяет сертификацию Privacy Shield в качестве механизма передачи данных, однако продлила её, поскольку продолжает выполнять обязательства перед FTC и клиентами в отношении обработки персональных данных в соответствии с принципами Privacy Shield. Благодаря соответствию требованиям предыдущей программы компания смогла быстро перейти на DPF.
Закон Калифорнии о защите персональных данных потребителей (CCPA)
Что такое Закон Калифорнии о защите персональных данных потребителей (CCPA)?
Закон Калифорнии о защите персональных данных потребителей — это первый всеобъемлющий закон о конфиденциальности данных, принятый штатом. CCPA вступил в силу в январе 2020 г. Закон определяет приемлемые способы сбора, использования и хранения личной информации. CCPA также излагает требования к прозрачности для организаций, продающих личную информацию.
Как положения CCPA применяются к Smartsheet?
Дополнительную информацию о методах защиты конфиденциальности компании Smartsheet можно найти в данном техническом документе.
Продаёт ли Smartsheet личную информацию?
Нет, Smartsheet не продаёт личную информацию. Дополнительную информацию о том, как Smartsheet собирает, использует и передаёт личную информацию, см. в нашем Уведомлении о конфиденциальности.
Придерживается ли компания Smartsheet требований законодательства других штатов в отношении конфиденциальности?
Smartsheet отслеживает принятие законов другими штатами, их вступление в силу и будет вносить соответствующие изменения в свои политики и методы. Мы расширили определение термина "Закон о защите данных" в рамках наших соглашений, включив в него все федеральные законы или законы штатов о защите данных, действующие и применимые к обработке компанией Smartsheet персональных данных клиентов в США.
Интеграция и формы
Почему в нижний колонтитул форм Smartsheet включено Уведомление о конфиденциальности Smartsheet?
Приложение Smartsheet включает функцию, которая позволяет клиентам публиковать онлайн-формы, с помощью которых пользователи могут отправлять данные в приложение Smartsheet. Данные, собранные через форму и предоставленные пользователем, считаются Контентом клиента. Когда пользователи отправляют формы, Smartsheet может собирать данные об использовании платформы (например, IP-адрес, дату и время отправки, тип браузера и т. д.), которые могут применяться для аналитики и внедрения улучшений, для защиты законных прав и предотвращения неправомерного использования Smartsheet и для соблюдения юридических обязательств, как указано в Уведомлении о конфиденциальности Smartsheet.
Почему при интеграции Smartsheet и Microsoft запрашивается разрешение на передачу данных сторонней службе?
Соединители и интеграции можно использовать для извлечения и/или отправки информации из приложения Smartsheet или в приложение, а также для того, чтобы нужная третья сторона могла получать уведомления, такие как обновления таблиц, из приложения. Например, когда клиенты настраивают интеграцию с продуктами Microsoft (например, Outlook или Teams), Microsoft предложит им разрешить обмен данными со сторонней службой (см. справочную статью). В этом контексте Smartsheet является сторонней службой, и Microsoft запрашивает разрешение на обмен данными. Кроме того, любая информация, которую вы разрешаете передавать из приложения партнёру по интеграции, регулируется заявлением о конфиденциальности третьей стороны. Мы рекомендуем вам внимательно прочитывать заявление о конфиденциальности любой третьей стороны, которой вы разрешаете получать информацию из приложения Smartsheet.
Аудит и сертификация
Какие сертификаты в области обеспечения конфиденциальности есть у Smartsheet?
Компания Smartsheet сертифицирована по двум международным стандартам обеспечения конфиденциальности: ISO 27018:2019 и ISO 27701:2019. Для получения дополнительной информации обратитесь к разделу Trust Center на сайте Smartsheet.
Есть ли у Smartsheet сертификация GDPR?
Компания Smartsheet прошла сертификацию по двум международным стандартам обеспечения конфиденциальности, которые соответствуют многим требованиям GDPR: ISO 27018:2019 и ISO 27701:2019. Для получения дополнительной информации обратитесь к разделу Trust Center на сайте Smartsheet.
Может ли моя организация выполнить аудит методов обеспечения конфиденциальности Smartsheet?
Компания Smartsheet обслуживает миллионы пользователей по всему миру. Мы считаем нецелесообразным подвергать аудиту принимаемые в Smartsheet методы обеспечения конфиденциальности по требованию каждого клиента. Именно поэтому мы прошли сертификацию по международным стандартам обеспечения конфиденциальности: ISO 27018:2019 и ISO 27701:2019. Для получения дополнительной информации обратитесь к разделу Trust Center на сайте Smartsheet.