Стандартные оговорки / Standard clauses

Русский
English

Оговорка о персональных данных
Оговорка об информационной безопасности
Оговорка «Публичные заявления»
Оговорка о конфиденциальной информации

Для целей настоящего раздела Стороны используют следующую терминологию:

Договор — документ между Сторонами, в котором содержится отсылка к настоящему разделу;
Ozon или Компания — юридическое лицо, входящее в группу компаний Ozon и являющееся Стороной в Договоре;
Контрагент — лицо, являющееся контрагентом Ozon и Стороной в Договоре.

Если иное прямо не предусмотрено настоящим разделом, прочие термины применяются в значениях, установленных для них Договором, а в отсутствии таких значений в Договоре — в соответствии с применимым к Договору законодательством.

Положения настоящего раздела применяются к отношениям Сторон в силу соответствующей отсылки в Договоре в части, не противоречащей Договору, если иные условия прямо не предусмотрены Договором.

1. Оговорка о персональных данных

1.1. Каждая Сторона вправе передавать другой Стороне персональные данные (далее — «ПД») своих сотрудников, подписантов, представителей и иных лиц (далее — «Субъекты»), а другая Сторона вправе их обрабатывать, когда обработка таких ПД требуется для заключения и исполнения Договора, а также для организации документооборота, учёта и архивного хранения, в течение срока действия Договора, если более длительный срок обработки не предусмотрен применимым к соответствующей Стороне законодательством о ПД.

1.2. Получающая Сторона обязуется обеспечивать конфиденциальность и безопасность при обработке ПД, не допускать распространение ПД, не раскрывать их третьим лицам (кроме случаев, когда это требуется применимым к соответствующей Стороне законодательством о ПД или в целях, указанных в Оговорке о персональных данных), а также принимать все необходимые правовые, организационные и технические меры для защиты ПД от любых неправомерных действий в отношении ПД.

1.3. Передающая Сторона заверяет получающую Сторону, что имеются действующие согласия Субъектов или иные законные основания на передачу их ПД в адрес получающей Стороны и на последующую обработку их ПД получающей Стороной в объёме и на условиях Оговорки о персональных данных.

1.4. Каждая Сторона обязуется по запросу другой Стороны в течение 5 (пяти) рабочих дней с даты получения такого запроса предоставить такой другой Стороне доказательства надлежащего исполнения своих обязательств, указанных в Оговорке о персональных данных.

1.5. Если на стороне Ozon выступает не ООО «Интернет Решения» (РФ, 123112, г. Москва, Пресненская наб., д. 10, пом. I эт. 41, комн. 6, ОГРН 1027739244741), то Ozon также вправе осуществлять передачу ПД, полученных от Контрагента, в адрес ООО «Интернет Решения» в целях и на условиях, указанных в Оговорке о персональных данных.

2. Оговорка об информационной безопасности

2.1. Каждая Сторона обязуется соблюдать следующие требования по информационной безопасности, применять необходимые и достаточные меры по защите данных, в том числе получаемых от другой Стороны, а также регулярно проводить соответствующие мероприятия в течение срока действия Договора для обеспечения надлежащего исполнения своих обязательств в области информационной безопасности.

2.2. Взаимодействие информационных систем Сторон, в том числе с использованием API- или аналогичных способов интеграции, допускается только с предварительного согласия каждой из Сторон. Порядок выражения такого согласия определяется по соглашению Сторон, а в отсутствии соответствующего соглашения – каждой из Сторон по своему усмотрению.

2.3. Взаимодействие с информационной системой Стороны (далее — «Владелец») осуществляется другой Стороной (далее — «Пользователь») только в соответствии с инструкциями, указаниями и требованиями Владельца. Осуществляя разрешенное Владельцем взаимодействие с информационной системой, Пользователь признает и соглашается, что ознакомился с инструкциями, указаниями и требованиями, установленными Владельцем в отношении конкретной информационной системы, и обязуется соблюдать их в полном объеме. При этом, если иное прямо не предусмотрено Договором или отдельными соглашениями Сторон, такие инструкции, указания и требования размещаются и доводятся Ozon (как Владельцем) до сведения Контрагента (как Пользователя) любым способом, определяемым Ozon, в том числе путем размещения документации соответствующей информационной системы в сети «Интернет».

Для целей Оговорки об информационной безопасности соответствующая Сторона считается Владельцем информационной системы, когда такая Сторона является непосредственным правообладателем (собственником) информационной системы или использует ее на иных законных основаниях, в том числе с разрешения правообладателя (собственника) – третьего лица. При этом Владелец во всех случаях несет ответственность перед Пользователем за безопасность информационной системы, в том числе за соблюдение требований по информационной безопасности, а также принятие необходимых и достаточных мер по защите данных, когда правообладателем (собственником) такой информационной системы является третье лицо.

2.4. Осуществляя разрешенное Владельцем взаимодействие с информационной системой, Пользователь обязуется:

обеспечивать конфиденциальность в отношении компонентов и содержимого информационной системы и не раскрывать их третьим лицам, кроме случаев, когда это необходимо для исполнения Договора или требуется применимым к соответствующей Стороне законодательством;
не предпринимать действий по обходу ограничений для доступа к такой системе, ее компонентам и содержимому, установленным Владельцем;
не предпринимать действий, которые вызывают или могут вызвать неоправданно или несоразмерно большую нагрузку на любые информационные системы Владельца;
не использовать стороннее программное обеспечение и другие технические средства, которые влияют или могут повлиять любым образом на работу информационной системы;
не обходить, не отключать и иным образом не прерывать работу защитных средств или функций, в том числе технических средств защиты авторских и смежных прав, которые предотвращают/ограничивают использование или копирование компонентов и содержимого информационной системы;
не скачивать компоненты и содержимое информационной системы, которые прямо не были предоставлены Владельцем для скачивания или не были определены им как предназначенные для скачивания;
не предоставлять третьим лицам, в том числе привлекаемым Пользователем на основании гражданско-правовых договоров, доступа к информационной системе без предварительного согласия Владельца. Порядок выражения такого согласия определяется по соглашению Сторон, а в отсутствии соответствующего соглашения — Владельцем по своему усмотрению.

2.5. Осуществляя разрешенное Ozon взаимодействие с информационной системой, Контрагент также обязуется принимать следующие меры в отношении такого взаимодействия:

наличие у Контрагента удаленного защищенного доступа, организованного в соответствии с требованиями Ozon, а также осуществление любого взаимодействия с внутренней сетью Ozon только в рамках описанной схемы взаимодействия, предварительно согласованной с Ozon и зафиксированной в Договоре или отдельном соглашении Сторон;
организация информационного взаимодействия Контрагента с Ozon по сетевым протоколам с обязательным шифрованием трафика;
удаленное подключение Контрагента к информационной системе Ozon только по защищенному каналу с применением криптографических средств защиты. Ozon также вправе предъявлять конкретные требования к настройкам сетевого оборудования Контрагента, посредством которого осуществляется взаимодействие с информационной системой Ozon;
защита межсетевым экраном (локальным или сетевым) сегмента сети, где размещаются информационные системы Контрагента (как Владельца таких систем), участвующие во взаимодействии с информационными системами Ozon;
регулярное, но не реже 1 (одного) раза в месяц, сканирование периметра локальной вычислительной сети (ЛВС), включая сканирование публичных IP-адресов, принадлежащих Контрагенту, по всем портам, а также уязвимостей на критичных портах и веб-приложений, прямо или косвенно взаимодействующих с информационной системой Ozon. Контрагент также обязуется сохранять в неизменном виде информацию (отчет) о каждом проведенном сканировании ЛВС в течение как минимум 6 (шести) месяцев с даты такого сканирования и предоставлять ее Ozon по запросу, в том числе после прекращения Договора по любым основаниям.

2.6. Ozon вправе устанавливать для Контрагента дополнительные требования, касающиеся разрешенного Ozon взаимодействия с его информационными системами, при условии предварительного уведомления Контрагента.

2.7. В случае, если Владелец обрабатывает в своей информационной системе ПД, полученные от Пользователя или собранные по поручению Пользователя, он также обязуется:

соблюдать все требования по обеспечению им конфиденциальности и безопасности ПД, предусмотренные применимым законодательством о ПД и защите информации;
ограничивать работникам и/или третьим лицам, привлекаемым им на основании гражданско-правовых договоров, а также своим сторонним информационным системам разрешенный доступ к информационной системе, в которой обрабатываются ПД, с использованием межсетевого экрана (локального или сетевого) и в объеме, который необходим Владельцу для исполнения своих обязательств по Договору («need-to-know»).

2.8. Стороны обязуются не осуществлять в отношении информационных систем друг друга каких-либо действий, которые могут нарушать целостность таких систем (например, обходить системы защиты), конфиденциальность содержащихся в них данных, влиять на работоспособность и доступность систем, создавать в них скрытые функциональные возможности (например, внедрять программные закладки) и заражать их компьютерными вирусами. Стороны также обязуются не совершать действий по внесению изменений, декомпилированию, дизассемблированию, дешифровке, исправлению ошибок и не производить иных действий в отношении информационных систем, их компонентов и содержимого с целью получения информации о реализации принципов, алгоритмов и процессов, используемых в таких системах.

2.9. В случае нарушения Пользователем любых положений Оговорки по информационной безопасности Владелец вправе в одностороннем порядке ограничить, приостановить или полностью прекратить взаимодействие Пользователя с информационной системой Владельца, направив Пользователю соответствующее уведомление. При этом такие действия не являются нарушением Владельцем положений Договора, в том числе в случае, когда взаимодействие Пользователя с информационной системой Владельца необходимо для исполнения Договора.

2.10. Каждая Сторона обязуется незамедлительно (в течение 24 (двадцати четырёх) часов с даты обнаружения) уведомлять другую Сторону о возникновении любых инцидентов информационной безопасности в отношении ее информационных систем, если такие системы взаимодействуют с информационными системами другой Стороны или в них обрабатываются ПД, полученные от другой Стороны или собранные по поручению другой Стороны. Такое уведомление должно включать информацию о причинах инцидента, его последствиях (как имеющихся, так и предполагаемых), в том числе в отношении ПД, а также о принятых мерах по устранению (минимизации последствий) инцидента. Если иное прямо не предусмотрено Договором или отдельными соглашениями Сторон, Контрагент обязуется уведомлять Ozon о таких инцидентах по адресу security@ozon.ru.

2.11. Каждая Сторона, предоставляя своим работникам и/или третьим лицам, привлекаемым ею на основании гражданско-правовых договоров, разрешенный доступ к информационной системе другой Стороны, обязуется устанавливать для таких работников и/или третьих лиц обязательства, аналогичные указанным в Оговорке по информационной безопасности.

2.12. Каждая Сторона обязуется по запросу другой Стороны в течение 5 (пяти) рабочих дней с даты получения такого запроса предоставить такой другой Стороне доказательства надлежащего исполнения своих обязательств, указанных в Оговорке по информационной безопасности. В частности, каждая Сторона вправе направлять другой Стороне опросники, анкеты и иные документы для заполнения, предназначенные для оценки информационной безопасности такой другой Стороны, а также уровня защищенности ее информационных систем.

2.13. В случае нарушения Стороной своих обязательств, указанных в Оговорке по информационной безопасности, она обязуется возместить пострадавшей Стороне документально подтвержденные убытки последней, причиненные таким нарушением, в том числе возместить суммы возможных штрафов, взысканий и компенсаций, которые могут быть предъявлены пострадавшей Стороне к уплате в судебном или внесудебном порядке, в течение 5 (пяти) рабочих дней с даты получения соответствующего требования от пострадавшей Стороны.

3. Оговорка «Публичные заявления»

3.1. Ни одна из Сторон не вправе делать какие-либо публичные заявления в любой форме, в том числе, но не ограничиваясь, в СМИ, в сети «Интернет», о факте заключения и/или об условиях Договора, а также о факте и деталях сотрудничества в рамках Договора (далее — «Публичные заявления») без предварительного письменного согласия другой Стороны, а в случае получения такого согласия Сторона, намеревающаяся сделать такие Публичные заявления, обязуется согласовать их содержание с другой Стороной.

4. Оговорка о конфиденциальной информации

4.1. Стороны договорились, что к конфиденциальной информации относится:

факт заключения и все условия Договора, приложений к нему;
информация, которая имеет коммерческую ценность или дает конкурентные преимущества другой Стороне;
информация, находящаяся в информационной системе Стороны, доступ к которой предоставлен другой Стороне;
информация, не являющаяся общедоступной;
любая иная информация, которая обозначена одной из Сторон в качестве конфиденциальной.

4.2. Каждая из Сторон обязана:

принимать все необходимые меры по охране конфиденциальности информации;
использовать конфиденциальную информацию только в целях исполнения обязательств по Договору;
предоставлять доступ к конфиденциальной информации только тем сотрудникам, которым он обоснованно необходим для выполнения служебных обязанностей по исполнению Договора.

4.3. Каждая из Сторон вправе без предварительного согласия другой Стороны предоставлять конфиденциальную информацию своим аффилированным лицам, консультантам, аудиторам и государственным органам. Предоставление конфиденциальной информации иным лицам требует предварительного письменного согласия другой Стороны.

4.4. Обязательство защищать и хранить в секрете конфиденциальную информацию не распространяется на информацию, которая:

на момент раскрытия являлась или стала общедоступной, иначе как вследствие нарушения, допущенного принимающей Стороной;
становится известной принимающей Стороне на законных основаниях на условиях общедоступности из источника иного, чем раскрывающая Сторона, без нарушения принимающей Стороной условий Договора и иных положений по конфиденциальности;
была известна принимающей Стороне до её раскрытия по Договору без нарушения условий по конфиденциальности;
была раскрыта с письменного разрешения раскрывающей Стороны.

4.5. Условия о конфиденциальности должны соблюдаться в течение срока действия Договора и в течение 3 (трёх) лет после его прекращения (расторжения).

4.6. Если между Сторонами заключено соглашение о конфиденциальности применительно к отдельным правоотношениям (переговорам, заключению и/или исполнению договора и т.д.), условия такого соглашения имеют приоритет над Оговоркой о конфиденциальной информации.

Personal Data Clause
Information Security Clause
Public Statements Clause
Confidentiality Clause

For the purposes of this section, Parties shall refer to the following definitions:

Agreement means the instrument between Parties where the reference to this section is made;
Ozon or Company means the legal person belonging to Ozon group of companies and being the Party to the Agreement;
Counterparty means the person being the counterparty of Ozon and the Party to the Agreement.

Unless otherwise is expressly provided for in this section, other terms shall be defined as in the Agreement, and if not — in accordance with the laws applicable to the Agreement.

Parties shall apply provisions of this section by the respective reference made in the Agreement to the extent not contrary to the Agreement, unless otherwise is expressly provided for in the Agreement.

1. Personal Data Clause

1.1. Each Party may transfer personal data (“PD”) of its employees, signatories, representatives and other persons (“Data subjects”) to the other Party, and the other Party may process them, when processing of such PD is necessary for conclusion or performance of the Agreement, as well as for document management, accounting and record-keeping, as long as the Agreement is in force and unless longer storage periods are provided for in laws on PD applicable to the respective Party.

1.2. The receiving Party shall ensure confidentiality and security when processing PD, avoid dissemination of PD, their disclosure to third parties (unless required by laws on PD applicable to the respective Party or necessary for the purposes of the Personal Data Clause), as well as adopt all legal, organizational and technical measures necessary to protect PD from any unlawful actions towards them.

1.3. The disclosing Party warrants and represents to the other Party that there are either Data subjects’ consents or other legitimate grounds for transfer of such Data subjects’ PD to the receiving Party and for subsequent processing by the receiving Party to the extent and under the conditions of the Personal Data Clause.

1.4. Each Party shall, as requested by the other Party, within 5 (five) business days from the date when the request is received, provide such other Party with evidence that its own obligations under the Personal Data Clause are duly fulfilled.

1.5. If Ozon is not LLC “Internet Solutions” (Russia, 123112, Moscow, Presnenskaya embankment, bld. 10, premises I, fl. 41, room 6, reg. no. 1027739244741), Ozon may also conduct transfer of PD received from the Counterparty to LLC “Internet Solutions” for the purposes and under the conditions of the Personal Data Clause.

2. Information Security Clause

2.1. Each Party shall comply with the following information security requirements, apply necessary and sufficient measures to protect data, including the data received from the other Party, and regularly carry out appropriate activities during the term of the Agreement to ensure proper performance of its information security obligations.

2.2. Interaction of Parties’ information systems, including API use or similar integration methods, is allowed only subject to prior consent of each Party. Procedure for expressing such consent shall be determined by Parties’ agreement, and, in the absence of such agreement, by each Party at its own discretion.

2.3. Interaction with an information system of either Party (“Owner”) may be carried out by the other Party (“User”) only in accordance with the instructions, guidelines and requirements of the Owner. When interacting with the information system, as authorized by the Owner, the User acknowledges and agrees that it has read and understood the instructions, guidelines and requirements prescribed by the Owner for a particular information system and undertakes to comply with them to the fullest extent. For these purposes, unless otherwise expressly provided for in the Agreement or Parties’ separate agreements, such instructions, guidelines and requirements shall be posted and communicated by Ozon (as the Owner) to the Counterparty (as the User) in any manner determined by Ozon, including by posting the documentation of the relevant information system on the Internet.

For the purposes of the Information Security Clause, the respective Party shall be considered an Owner of the information system when this Party is either a direct right holder (owner) of the information system or uses it on other legal grounds, including when permission of the third-party right holder (owner) is granted. Under all circumstances, the Owner shall be liable to the User for security of the information system, including compliance with information security requirements, as well as applying necessary and sufficient measures to protect data when the actual right holder (owner) of the information system is a third party.

2.4. When interacting with an information system, as authorized by the Owner, the User shall:

ensure confidentiality with respect to any components and content of the information system and not disclose them to third parties, except when necessary to perform the Agreement or required by the laws applicable to the relevant Party;
take no action to circumvent the restrictions on access to such system, its components and content, as prescribed by the Owner;
not take any action that causes or may cause an unreasonably or disproportionately large load on any information systems of the Owner;
not use third-party software and other technical means that in any way affect or may affect operation of the information system;
not circumvent, disable or otherwise interrupt operation of protective tools or functions, including technical means for protection of copyright and related rights, which prevent/restrict use or copying of components and content of the information system;
not download any components and contents of the information system that have not been expressly provided by the Owner for downloading or have not been designated by the Owner as such;
not provide third parties, including those contracted by the User, with access to the information system without the Owner’s prior consent. Procedure for expressing such consent shall be determined by Parties’ agreement, and, in the absence of such agreement, by the Owner at its own discretion.

2.5. When interacting with an information system, as authorized by Ozon, the Counterparty shall also take the following measures in relation to such interaction:

availability of remote secure access for the Counterparty organized in accordance with Ozon’s requirements, and making any interaction with Ozon’s internal network to be carried out only within the described interaction pattern previously agreed upon with Ozon and provided for in the Agreement or Parties’ separate agreements;
organization of information interaction between the Counterparty and Ozon via network protocols with mandatory encryption of traffic;
Counterparty’s remote connection to Ozon’s information system only via a secure channel using cryptographic protection means. Ozon may also introduce specific requirements for settings of the Counterparty’s network equipment, through which the Counterparty interacts with Ozon’s information system;
shielding with a firewall (local or network) of the network segment where Counterparty’s information systems, interacting with Ozon’s information systems, are hosted;
regular, but at least 1 (one) time per month, scanning of the local area network (LAN) perimeter, including scanning of public IP addresses belonging to the Counterparty on all ports, as well as vulnerabilities on critical ports and web applications that directly or indirectly interact with Ozon’s information system. The Counterparty shall retain unchanged information (report) on each LAN scanning within at least 6 (six) months from the date of scanning and provide Ozon with it upon request, including after termination of the Agreement for any reason.

2.6. Ozon may introduce additional requirements for the Counterparty relating to its interaction with Ozon’s information systems, as authorized by Ozon, subject to Counterparty’s prior notification.

2.7. If the Owner processes in its information system any PD received from the User or collected on behalf of the User, it also undertakes to:

comply with all requirements to ensure the confidentiality and security of such PD, as provided for in applicable PD and information protection laws;
restrict authorized access to the information system, in which PD are processed, for employees and/or contracted third parties, as well as for its other information systems, using a firewall (local or network) and to the extent necessary for the Owner to perform its obligations under the Agreement (“need-to-know”).

2.8. The Parties shall not take any actions with respect to each other’s information systems that may violate integrity of such systems (for example, bypass security systems), confidentiality of any data contained therein, affect the performance and availability of the systems, create hidden functionality in them (for example, implement software bookmarks) and infect them with computer viruses. The Parties also undertake not to perform any actions to make changes, decompile, disassemble, decrypt, correct errors and not to perform other actions with respect to the information systems, their components and content in order to obtain information on how the principles, algorithms and processes of such systems are implemented.

2.9. If the User violates any provisions of the Information Security Clause, the Owner may unilaterally restrict, suspend or completely terminate User’s interaction with Owner’s information system by notifying the User accordingly. Such actions shall not constitute Owner’s violation of the Agreement, even when User’s interaction with Owner’s information system is necessary for performance of the Agreement.

2.10. Each Party undertakes to immediately (within 24 (twenty-four) hours from the date of discovery) notify the other Party of any information security incidents in relation to its information systems if such systems interact with information systems of the other Party or process PD received from the other Party or collected on behalf of the other Party. Such notification shall include information on causes of the incident, its consequences (both existing and alleged), as well as its effect on PD, as well as on measures taken to eliminate (minimize consequences of) the incident. Unless otherwise expressly provided for in the Agreement or Parties’ separate agreements, the Counterparty undertakes to notify Ozon of such incidents to security@ozon.ru.

2.11. Each Party, when providing its employees and/or contracted third parties with authorized access to the information system of the other Party, undertakes to introduce obligations for such employees and/or third parties similar to those specified in the Information Security Clause.

2.12. Each Party shall, as requested by the other Party, within 5 (five) business days from the date when the request is received, provide such other Party with evidence that its own obligations under the Information Security Clause are duly fulfilled. In particular, each Party may send to the other Party questionnaires, surveys and other documents to be filled in, which are intended to assess the information security of such other Party, as well as the security level of its information systems.

2.13. If either Party violates its obligations, as specified in the Information Security Clause, it shall compensate the affected Party for any documented damages caused by such violation, including reimbursement for any amounts of possible fines, penalties and compensations that may be imposed on the affected Party in court or out of court, within 5 (five) business days from the date when the relevant request from the affected Party is received.

3. Public Statements Clause

3.1. Neither Party has the right to make any public statements in any form, including in but not limited to the media, on the Internet, at large of the fact and/or about the terms and conditions of the Agreement, as well as about the fact and details of cooperation under the Agreement (“Public Statements”) without the prior written consent of the other Party, and if such consent is obtained, the Party intending to make such Public Statements undertakes to coordinate and approve their content with the other Party.

4. Confidentiality Clause

4.1. The Parties have agreed that confidential information includes:

the fact of concluding the Agreement and all its conditions and appendices;
information that has commercial value or gives competitive advantage to the other Party;
information stored in the Party’s information system, access to which is granted to the other Party;
publicly unavailable information;
any other information marked as confidential by one of the Parties.

4.2. Each Party shall:

take all necessary actions to protect confidential information;
use confidential information solely for the purposes of the Agreement;
grant access to confidential information only to those employees who reasonably need it to perform their duties under the Agreement.

4.3. Each Party may provide confidential information to its affiliates, consultants, auditors and state authorities without prior consent of the other Party. Provision of confidential information to third parties requires prior written consent of the other Party.

4.4. Obligation to protect confidential information and keep it in secret does not apply to the information that:

at the moment of disclosure was or became publicly available other than as a result of breach of the receiving Party;
becomes lawfully known to the receiving Party on terms of public availability from a source other than the disclosing Party, without breach of the Agreement by the receiving Party and other confidentiality provisions;
was known to the receiving Party prior to its disclosure under the Agreement without violating the confidentiality conditions;
was disclosed with written consent of the disclosing Party.

4.5. This Confidentiality Clause must be followed for the duration of the Agreement and for 3 years after its termination (dissolution).

If the Parties have entered into a non-disclosure agreement with respect to specific legal relations (negotiations, conclusion and/or performance of a contract, etc.), its conditions have priority over this Confidentiality Clause.