Компания SurveyMonkey предоставляет свои услуги по всему миру и работает с глобальной командой дополнительных обработчиков. В нашем договоре с вами мы обязуемся, что любая передача нам персональных данных соответствует применимым законам о защите данных. Мы передаем персональные данные только тем дополнительным обработчикам, которые защищают их, используя такие же строгие защитные меры, как те меры, которые мы применяем к персональным данным, находящимся под нашим контролем.

Кроме того, принятые нами дополнительные меры соответствуют Постановлению Суда ЕС (CJEU) от 16 июля 2020 г. по делу C-311/18, Уполномоченный по защите персональных данных против Facebook Ireland Limited и Максимилиана Шремса («Шремс II») и выпущенному Европейским советом по защите данных («ЕСЗД») руководству по дополнительным мерам. Подробная информация приведена ниже.

Общую информацию о том, как мы обрабатываем персональные данные, вы найдете в нашем Уведомлении о конфиденциальности.

Часть I. Передача в SurveyMonkey

Часть II. Последующая передача дополнительным обработчикам

Для Клиентов, находящихся в США, контракт включает Дополнение о защите данных (далее «ДЗД») с организацией SurveyMonkey в США: SurveyMonkey Inc. Если вы Клиент Enterprise и у вас есть пользователи в Европейской экономической зоне (далее «ЕЭЗ»), Соединенном Королевстве («СК») или Швейцарии и, следовательно, вам необходим механизм передачи пользовательских данных в SurveyMonkey, вы можете обратиться с просьбой о добавлении такого механизма. Для Клиентов с самообслуживанием наше электронное ДЗД автоматически включает эти механизмы передачи.

В дополнение к Стандартным договорным условиям («СДУ») компания SurveyMonkey Inc. также самостоятельно заверяет свое соответствие требованиям Рамочного соглашения о конфиденциальности данных между ЕС и США, Дополнения для Соединенного Королевства к Рамочному соглашению о конфиденциальности данных между ЕС и США и Принципам Рамочного соглашения о конфиденциальности данных для Швейцарии и США. Это означает, что органы ЕС, Соединенного Королевства и Швейцарии сочли нашу обработку данных «адекватной» в соответствии со статьей 45(3) регламента GDPR (и соответствующими положениями национального законодательства).

Если вы Клиент, находящийся в ЕЭЗ, Соединенном Королевстве или Швейцарии, ваш контракт будет включать Дополнение о защите данных (далее «ДЗД») с организацией SurveyMonkey в Ирландии: SurveyMonkey Europe UC. Поскольку передача данных от вас в SurveyMonkey происходит между европейскими субъектами (или субъектами, которые признали статус адекватности друг друга), никаких других механизмов передачи не требуется.

Если вы Клиент, находящийся за пределами США, ЕЭЗ, Соединенного Королевства или Швейцарии, но у вас есть пользователи в ЕЭЗ, Соединенном Королевстве или Швейцарии и вам необходимо реализовать механизм последующей передачи, ваш контракт будет включать ДЗД с организацией SurveyMonkey в Ирландии, компанией SurveyMonkey Europe UC. Клиенты Enterprise могут обратиться с просьбой о добавлении такого механизма. Для Клиентов с самообслуживанием наше электронное ДЗД автоматически включает эти механизмы передачи.

Вы передаете персональные данные в SurveyMonkey, чтобы мы могли обрабатывать их для следующих целей:

Следует выяснить, будут ли передаваться данные для каких-либо иных целей.

Персональные данные Клиентов, передаваемые в SurveyMonkey, могут содержать такое количество персональных данных, какое вы решите собрать с помощью вопросов в рамках ваших опросов, форм и анкет. Учитывая характер платформы, предварительно мы исходим из того, что вы собираете разнообразные персональные данные, в том числе, возможно, данные из особых категорий. 

Собираемая нами информация указана в разделе 2 нашего Уведомления о конфиденциальности.

Как было сказано выше, вы заключите контракт с организацией SurveyMonkey в США или Ирландии в зависимости от вашего местоположения. Исходя из рекомендаций независимого юриста, специализирующегося на защите данных, и анализа законов, под которые подпадает SurveyMonkey, мы считаем, что риск, связанный с правовым режимом в США, является низким, а риск, связанный с правовым режимом в Ирландии, не представляет существенной опасности для субъекта данных. Более подробную информацию о законодательстве США см. в разделе «Дополнительные меры: организационные» ниже.

Даже в тех случаях, когда правовой режим в стране назначения сопряжен с низким риском или существенный риск отсутствует, SurveyMonkey принимает дополнительные меры для дальнейшей защиты персональных данных. Дополнительные меры подразделяются на три категории: (i) договорные; (ii) организационные; (iii) технические меры защиты. 

Как указано выше, SurveyMonkey соглашается заключить СДУ с Клиентами. В решении по делу Шремс II указывается, что стороны могут использовать СДУ и (при необходимости) дополнительные защитные меры для передачи персональных данных из Соединенного Королевства, Швейцарии и Европейской экономической зоны (далее «Европейские данные») в США. Если вы заключили соглашение с компанией SurveyMonkey или иным образом получаете от нее услуги, которые потребуют от SurveyMonkey обработки персональных данных европейских субъектов данных, то SurveyMonkey (в зависимости от организации SurveyMonkey, с которой вы заключаете контракт): 

Подробнее о нашем согласии соблюдать Стандартные договорные условия см. Условия использования (для клиентов с самообслуживанием), Генеральное соглашение об услугах (для клиентов SurveyMonkey Enterprise и GetFeedback Digital) или другое подобное соглашение, которое вы могли заключить с компанией SurveyMonkey.

Озабоченность Суда Европейского союза по поводу передачи данных в США была вызвана сбором данных правительством США согласно Указу Президента США 12333 («Указ 12333») и разделу 702 Закона о наблюдении за иностранными разведками («§ 702 FISA»), особенно в части «первичного» наблюдения согласно § 702 FISA.  Риски, связанные с этими законодательными положениями США, либо не относятся к обработке персональных данных в SurveyMonkey, либо могут быть в достаточной степени смягчены организационными мерами защиты, которые предлагает SurveyMonkey.

Кроме того, 10 июля 2023 г. Европейская комиссия приняла решение об адекватности Рамочного соглашения о конфиденциальности данных между ЕС и США. В решении об адекватности сделан вывод о том, что в США обеспечивается адекватный, в сравнении с уровнем в ЕС, уровень защиты для персональных данных, передаваемых из ЕС компаниям в США, участвующим в Рамочном соглашении о конфиденциальности данных между ЕС и США.

Решение об адекватности было принято после подписания США Указа «Об усилении гарантий в отношении защитных мер для деятельности США в области радиоэлектронной разведки», которым были введены новые обязательные защитные меры для решения проблем, поднятых Судом Европейского союза в его решении по делу «Шремс II» в июле 2020 г. Примечательно, что новые обязательства были нацелены на то, чтобы обеспечить доступ к данным для служб безопасности США только в том объеме, в котором это необходимо и соразмерно, а также на создание независимого и беспристрастного механизма рассмотрения жалоб европейцев на сбор их данных в целях государственной безопасности (см. https://ec.europa.eu/commission/presscorner/detail/en/qanda_23_3752).

SurveyMonkey не имеет права получать приказы о «первичном» или массовом наблюдении согласно § 702 FISA. В частности, компания SurveyMonkey Inc. выступает в качестве службы электронных коммуникаций («СЭК»), а также, потенциально, в качестве службы дистанционных вычислений («СДВ») (как определено в разделах 2510 и 2711 тома 18 Кодекса США, соответственно) в связи с определенными услугами или функциями продуктов, которые мы предоставляем Клиентам.  Таким образом, компания SurveyMonkey Inc. входит в большую группу компаний, которым правительство США могло бы направлять директивы в соответствии с § 702 FISA.  Однако, в соответствии с тем, как правительство США интерпретирует и применяет § 702 FISA, SurveyMonkey не имеет права на получение приказов того типа, который был предметом основной озабоченности Суда Европейского союза в решении по делу Шремс II — т. е. приказов о «первичном» наблюдении по § 702 FISA.  Правительство США применяет § 702 FISA таким образом, что использует приказы о первичном наблюдении только для отслеживания трафика, проходящего через магистральных интернет-провайдеров, которые передают интернет-трафик третьим лицам (т. е. телекоммуникационным операторам).  Например, см. отчет Совета по надзору за соблюдением конфиденциальности и гражданских свобод, Отчет о программе наблюдения, осуществляемой в соответствии с Разделом 702 Закона о наблюдении за иностранными разведками (от 2 июля 2014 г.), стр.  35-40, опубликованный на странице https://fas.org/irp/offdocs/pclob-702.pdf.  SurveyMonkey не оказывает таких магистральных интернет-услуг, поскольку мы передаем трафик только наших собственных клиентов.  Следовательно, мы не имеем права получать приказы такого рода, которые в основном рассматриваются и признаны проблематичными в решении по делу Шремс II.

До сих пор компания SurveyMonkey не получала никаких директив согласно § 702 FISA, и мы вряд ли получим их в будущем. На момент подготовки настоящего заявления компания SurveyMonkey не получала никаких директив согласно § 702 FISA и не имеет оснований полагать, что такая директива будет направлена.  Персональные данные, которые компания SurveyMonkey обрабатывает для своих клиентов, то есть данные отзывов, вряд ли имеют отношение к деятельности иностранных разведок, регулируемой в § 702 FISA.  Кроме того, в случае, если какие-либо персональные данные будут иметь отношение к такому расследованию, правительство, скорее всего, затребует такие данные с помощью других форм судопроизводства (таких как ордер на обыск, утвержденный судьей), отвечающих высоким стандартам доступа правительства к данным, описанным в решении по делу Шремс II.  Причина в том, что правительству было бы гораздо быстрее и легче запросить ордер или судебное распоряжение на других основаниях, не связанных с § 702 FISA, чем создавать механизмы, необходимые для того, чтобы правительство могло направлять компании SurveyMonkey директивы в соответствии с § 702 FISA.

Компания SurveyMonkey не помогает и не может быть обязана помогать властям США в сборе информации на основании Указа 12333. SurveyMonkey не оказывает и не будет оказывать никакой помощи американским властям, осуществляющим наблюдение в соответствии с Указом 12333.  Указ 12333 не дает правительству США возможности заставить компании оказывать помощь в этой деятельности, и SurveyMonkey не будет делать это добровольно.  Следовательно, SurveyMonkey не предпринимает и не может быть обязана предпринимать какие-либо действия для облегчения массового наблюдения согласно Указу 12333, которое признано проблематичным в решении по делу Шремс II.

SurveyMonkey предлагает ряд технических мер, направленных на более полное устранение основных недостатков, указанных в решении по делу Шремс II, как сказано выше (массовое наблюдение согласно § 702 FISA и массовые перехваты согласно Указу 12333).  

SurveyMonkey шифрует все данные в состоянии покоя в наших центрах обработки данных с использованием шифрования на основе AES 256. Кроме того, SurveyMonkey шифрует все данные при передаче: (i) с помощью алгоритма RSA с 2048-битными сертификатами на основе ключа, создаваемыми через общедоступный центр сертификации, для связи с объектами за пределами центров обработки данных SurveyMonkey, и (ii) с помощью сертификатов RSA 256, создаваемых во внутреннем центре сертификации, — для всех данных в центре обработки данных.  Эти усилия по шифрованию направлены на предотвращение несанкционированного получения данных в понятной форме и предотвращение несанкционированного прослушивания/подделки данных при их прохождении между двумя конечными точками. 

Некоторые Клиенты SurveyMonkey (например, клиенты GetFeedback Digital) хранят свои данные только в Европейском союзе. В этих случаях данные не хранятся в США, и доступ к ним в США осуществляется лишь в очень минимальном объеме и в ограниченных целях (например, для оказания поддержки Клиентам по запросу, поддержки безопасности методом «следуй за солнцем» и (или) ограниченного привлечения инженеров для решения технических проблем/устранения дефектов или создания систем).

SurveyMonkey также предусматривает строгие административные, технические и физические процедуры для защиты информации, хранящейся на серверах компании. Доступ к персональной информации ограничивается путем предоставления полномочий только тем работникам, которым это требуется для выполнения своих должностных обязанностей. SurveyMonkey применяет методы минимизации данных для ограничения объема персональных данных, которые передаются из ЕС в сторонние юрисдикции, включая, при необходимости, псевдонимизацию или деидентификацию данных. Кроме того, SurveyMonkey использует такие средства контроля доступа, как многофакторная аутентификация, единый вход в систему, доступ по мере необходимости, строгий контроль паролей и ограниченный доступ к административным учетным записям.  

Также, выступая в качестве СЭК/СДВ, SurveyMonkey подпадает под действие Закона США о защите конфиденциальности электронной связи, том 18 Кодекса США,  § 2701 и последующие («ECPA»), который обеспечивает защиту клиентов SurveyMonkey.  В частности, ECPA запрещает государственным органам запрашивать информацию о Клиентах таких служб, как SurveyMonkey, если только такие государственные органы не получат сначала соответствующий судебный приказ, включая постановление суда или ордер на обыск для получения любой информации, кроме основной информации о подписчиках.  Аналогичным образом, FISA и ECPA предоставляют клиентам SurveyMonkey право на возмещение от правительства США (включая денежные компенсации или меры дисциплинарного взыскания против соответствующих государственных органов), если оно неправомерно получит информацию о них (см. том 18 Кодекса США, § 2712).

Кроме того, давно сотрудничающий с компанией SurveyMonkey независимый юрист имеет опыт работы с запросами правительства США о предоставлении пользовательских данных, включая запросы по вопросам национальной безопасности США в соответствии с § 702 FISA.  Политика компании SurveyMonkey предусматривает передачу любых таких запросов в собственную внутреннюю группу SurveyMonkey по контролю соответствия требованиям и, при необходимости, независимому юристу для рассмотрения.  В случае необходимости SurveyMonkey планирует использовать имеющиеся правовые механизмы для оспаривания требований о доступе к данным на основании § 702 FISA (включая любые положения о неразглашении или приказы, прилагаемые к ним) в том маловероятном случае, если SurveyMonkey получит такое требование.  Затем это требование передается на рассмотрение судебного органа США (суда FISA). 

SurveyMonkey также признает, что приказ о предоставлении доступа к данным на основании § 702 FISA требует от SurveyMonkey уведомить наших Клиентов о том, что мы больше не можем соблюдать Стандартные договорные положения, что дает им право расторгнуть соглашение с нами и приостановить передачу данных нам.  До сих пор у нас не было необходимости предоставлять такие уведомления.

Принимая во внимание вышеприведенный анализ, мы считаем, что риск причинения вреда субъекту данных не является существенным.

В следующей таблице приведено наше заключение по оценке влияния передачи.

«Нематериальный риск» означает, что персональные данные передаются между организациями, каждая из которых находится в Европейской экономической зоне (ЕЭЗ).

«Низкий риск» означает, что страна-импортер / страна назначения находится за пределами ЕЭЗ, но передача происходит с помощью механизма, утвержденного регламентом GDPR, и были приняты дополнительные меры. Остаточные риски, выявленные при ОВП, минимизированы.

«Средний риск» означает, что страна-импортер / страна назначения находится за пределами ЕЭЗ, но передача происходит с помощью механизма, утвержденного регламентом GDPR, и были приняты дополнительные меры. Сохраняются некоторые остаточные риски, выявленные при ОВП.

«Высокий риск» означает, что страна-импортер / страна назначения находится за пределами ЕЭЗ, но передача происходит с помощью механизма, утвержденного регламентом GDPR, и были приняты дополнительные меры. Сохраняются значительные остаточные риски, выявленные при ОВП.

Дополнительные обработчики — это поставщики компании SurveyMonkey, которые обрабатывают персональные данные ваших пользователей, чтобы помочь SurveyMonkey предоставить вам услуги. Все дополнительные обработчики SurveyMonkey обязаны по контракту защищать персональные данные, используя не менее строгие меры, чем стандарт, который мы применяем к персональным данным, находящимся под нашим контролем.

Когда SurveyMonkey передает персональные данные дополнительным обработчикам, мы проводим оценку воздействия передачи («ОВП»), аналогичную шагам, описанным выше. Мы делаем это, чтобы обеспечить защиту ваших персональных данных на каждом этапе, как того требует закон о защите данных и наш контракт с вами. Ниже представлена сводка основных моментов ОВП для каждого дополнительного обработчика.

Учтите, что полный объем наших услуг обслуживается не всеми дополнительными обработчиками. Список дополнительных обработчиков разбит по отдельным услугам SurveyMonkey. 

Если вы хотите получать по электронной почте уведомления об изменениях в нашем Списке дополнительных обработчиков, подпишитесь здесь.

Список наших Дополнительных обработчиков в формате PDF можно загрузить здесь.