СОГЛАШЕНИЕ о соблюдении безопасности персональных данных, порученных на обработку

Настоящее Поручение является неотъемлемой частью лицензионного договора – оферты, заключаемое между Лицензиаром и Лицензиатом в терминологии Политики обработки персональных данных пользователей программы для ЭВМ «Chat2Desk», размещенной в сети «Интернет» по адресу: chat2desk.com/policy, и устанавливает порядок обработки Лицензиаром персональных данных по поручению Лицензиата. 

1. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

1.1. Термины, используемые в Договоре, выделяются в тексте с помощью специального форматирования: заглавной буквой и курсивом. Например, Лицензия.

1.2. Договор содержит термины, определения которых приводятся в:

   1.2.1. Отдельном Справочнике, размещенном по адресу chat2desk.com/terms;

   1.2.1. В тексте Договора;

   1.2.3. В тексте Соглашения.

1.3. Определения следующих терминов содержатся в Договоре:

   1.3.1. Продукт — разработанная Лицензиаром программа для ЭВМ и базы данных в составе программы для ЭВМ Chat2Desk, свидетельство Роспатента № 2019663468 от 17 октября 2019 г. в виде данных и команд, воспроизводимых на оборудовании пользователей Платформы (клиентская часть) и/или используемых путем удаленного доступа через сеть Интернет в обособленном разделе серверной части Платформы, созданном в результате прохождения Лицензиатом процедуры регистрации в Платформе (серверная часть). 

Продукт не предназначен:

     1.3.1.1. Для распространения рекламной информации в сети «Интернет» и/или предоставления доступа к такой информации;

     1.3.1.2. Размещения предложений о приобретении (реализации) товаров (работ, услуг) и имущественных прав в сети «Интернет»;

     1.3.1.3. Осуществления поиска информации о потенциальных покупателях (продавцах) и (или) заключения сделок.

   1.3.2. Политика конфиденциальности — Обязательный документ, на основании которого Лицензиар осуществляет обработку персональных данных, размещенный и/или доступный в сети Интернет по адресу: chat2desk.com/policy и, содержащий правила предоставления и использования персональной информации пользователей Платформы, включая персональные данные, а также который безоговорочно принят и соблюдается Лицензиатом и применяется к отношениям Сторон по Договору.

В случае отсутствия однозначного толкования термина в тексте Договора или Соглашения, а также в Справочнике, следует руководствоваться толкованием термина, определенным законодательством Российской Федерации.

2. ПРЕДМЕТ СОГЛАШЕНИЯ

2.1. Лицензиат, являющийся в соответствии с Федеральным законом Российской Федерации от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее — «Закон»), оператором персональных данных, определяющим цели и порядок обработки таких персональных данных, поручает Лицензиару обработку персональных данных. 

2.2. Лицензиар является лицом, обрабатывающим персональные данные по поручению Лицензиата, и не определяет цели и порядок обработки персональных данных.

2.3. Лицензиат поручает Лицензиару осуществлять обработку персональных данных в соответствии с условиями Соглашения, а также иными инструкциями Лицензиата исключительно для цели исполнения Договора. 

2.4. Лицензиар вправе осуществлять автоматизированную, неавтоматизированную, смешанную обработку персональных данных с совершением следующих действий (операций): сбор, запись, хранение, накопление, систематизацию, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ) третьим лицам, в том числе трансграничную передачу на территорию иностранных государств, обезличивание, блокирование, удаление, уничтожение в соответствии с правилами использования доступных функциональных возможностей Продукта.

2.5. Лицензиар осуществляет обработку персональных данных с использованием баз данных, находящихся на территории Российской Федерации. 

2.6. В случаях, не предусмотренных Соглашением или Договором, Стороны являются самостоятельными операторами, ответственными за обеспечение правовых оснований обработки персональных данных.

2.7. Лицензиар вправе поручать обработку персональных данных на условиях, предусмотренных Соглашением, третьим лицам без уведомления Лицензиата.

3. ЦЕЛЬ ПОРУЧЕНИЯ, ДЕЙСТВИЯ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ, ПЕРЕЧЕНЬ ПЕРСОНАЛЬНЫХ ДАННЫХ, ПОРУЧЕННЫХ НА ОБРАБОТКУ

 

Цель обработки персональных данных	Категория данных	Действия (операции) с персональными данными, совершаемые по поручению	Перечень персональных данных, порученных на обработку
для исполнения Договора	общие персональные данные	сбор, запись, хранение (в центрах хранения данных «Яндекс», расположенных во Владимирской обл. и «Селектел», расположенных в г. Санкт-Петербург) накопление, систематизация, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ) и третьим лицам, в том числе трансграничная передача на территорию иностранных государств, обезличивание, блокирование, удаление, уничтожение в соответствии с правилами использования доступных функциональных возможностей Продукта	фамилия, имя, отчество; ID Коммуникационного сервиса, номер телефона

 

4. СОГЛАСИЕ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Лицензиат гарантирует Лицензиару, что им получено соответствующее согласие лица на обработку его персональных данных и передачу их третьим лицам, либо что Лицензиат не обязан получать такое согласие в соответствии с действующим законодательством.

4.2. Для исполнения обязанностей по Договору Лицензиар вправе осуществлять передачу данных следующим третьим лицам (далее – перепоручение)

• центру хранения данных «Яндекс» (ООО «Яндекс Облако» (Россия), Политика конфиденциальности: https://yandex.ru/legal/confidential/, Соглашение об обработке данных: https://yandex.ru/legal/cloud_dpa/. Адрес: 119021, Москва, ул. Льва Толстого, д. 16).

 

Цель обработки персональных данных	Категория данных	Действия (операции) с персональными данными, совершаемые по поручению	Перечень персональных данных, порученных на обработку
для исполнения Договора, ЦОД	общие персональные данные	сбор, запись, хранение, накопление, систематизация, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ) третьим лицам, в том числе трансграничная передача на территорию иностранных государств, обезличивание, блокирование, удаление, уничтожение в соответствии с правилами использования доступных функциональных возможностей Продукта	фамилия, имя, отчество; ID Коммуникационного сервиса, номер телефона

 

   4.2.1. В рамках перепоручения Лицензиар обязуется соблюдать требования действующего законодательства в области обработки персональных данных.

4.3. Лицензиар гарантирует, что функциональные возможности Продукта позволяют Лицензиату получать согласие на обработку персональных данных субъектов персональных данных.

4.4. Стороны согласны, что подтверждением получения согласия на обработку персональных данных являются получение согласия в письменной форме/в электронной форме/ в электронной форме с использованием электронной подписи / получение ответа, электронного сообщения от Пользователя в Коммуникационном сервисе после получения от Лицензиата уведомления об обработке персональных данных.

4.5. По запросу Лицензиара и не позднее 3 (трех) рабочих дней Лицензиат предоставляет Лицензиару подтверждение получения согласий на обработку персональных данных субъектами, персональные данные которых были собраны Лицензиатом в рамках Соглашения.

5. КОНФИДЕНЦИАЛЬНОСТЬ И БЕЗОПАСНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Стороны обязаны обеспечивать конфиденциальность и безопасность персональных данных на протяжении всего срока их обработки.

5.2. Стороны, получившие доступ к персональным данным по Соглашению и Договору, обязуются не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных (Абонента).

5.3. Стороны при обработке персональных данных обязаны принимать необходимые правовые, организационные и технические меры, предусмотренные ст. 18, 18.1, 19 Закона, или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

5.4. Лицензиар соблюдает общие требования безопасности, в том числе:

   5.4.1. на постоянной основе внедряет и поддерживает стандартные административные, физические и технические средства контроля безопасности;

   5.4.2. назначает ответственного за обработку персональных данных;

   5.4.3. обеспечивает шифрование передачи данных в зависимости от категории персональных данных и отраслевых стандартов;

   5.4.4. определяет необходимый уровень безопасности паролей к Продукту;

   5.4.5. обеспечивает ограниченное логирование путем ведения журнала аудита, включающего в себя:

     5.4.5.1. регистрацию событий безопасности, 

     5.4.5.2. регистрация события сбоев и ошибок, 

     5.4.5.3. события изменения параметров и состояния работоспособности Продукта, используемого Лицензиатом;

   5.4.6. издает документы, определяющие обработку персональных данных, локальные акты по вопросам обработки персональных данных, локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, а также устранение последствий таких нарушений; 

   5.4.7. осуществляет внутренний контроль и аудит соответствия процесса обработки персональных данных требованиям Закона, принятым в соответствии с ним нормативным правовым актам, Политикой конфиденциальности, локальным актам Лицензиара;

   5.4.8. предоставляет возможность использования двухфакторной аутентификации.

6. ПОРЯДОК ПРЕДОСТАВЛЕНИЯ ИНФОРМАЦИИ

6.1. В течение всего срока действия Соглашения одна из Сторон вправе запросить, а другая Сторона обязана предоставить в течение 3 рабочих дней с момента получения запроса информацию, подтверждающую соблюдение в целях исполнения поручения Лицензиата требований, установленных Соглашением и законодательством Российской Федерации.

Электронный адрес Лицензиара для обмена информации: sec@chat2desk.com

7. УВЕДОМЛЕНИЯ ОБ ИНЦИДЕНТЕ БЕЗОПАСНОСТИ

7.1. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, Лицензиар обязуется уведомить Лицензиата.

7.2. Лицензиар проводит внутреннее расследование выявленного инцидента, о результатах которого сообщает Лицензиату.

7.3. По запросу Лицензиата Лицензиар предоставляет информацию об итогах внутреннего расследования, в том числе:

   7.3.1. сведения о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных,

   7.3.2. о принятых мерах по устранению последствий соответствующего инцидента, 

7.3.3. о лице, уполномоченном на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом, а также о лицах, действия которых стали причиной выявленного инцидента (при наличии).

8. ПРЕКРАЩЕНИЕ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ, УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБЕЗЛИЧИВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. Персональные данные прекращают обрабатываться Лицензиаром и уничтожаются в случае:

   8.1.1. прекращения деятельности одной из Сторон;

   8.1.2. истечения срока обработки персональных данных;

   8.1.3. обращения субъекта персональных данных с запросом на уничтожение его персональных данных (в соответствии с требованиями законодательства Российской Федерации);

   8.1.4. бращения Лицензиата с запросом на уничтожение персональных данных субъекта персональных данных (Абонента);

   8.1.5. по достижении цели обработки персональных данных.

8.2. Уничтожение персональных данных.

   8.2.1. Лицензиар по запросу Лицензиату должен уничтожить определенные Лицензиатом или все персональные данные, которые были поручены ему на обработку, в течение 10 рабочих дней с момента получения запроса, если обработка их не требуется согласно законодательству Российской Федерации. Лицензиат направляет соответствующий запрос на адрес электронной почты Лицензиара, указанный в п.6.1. Соглашения.

    8.2.1.1. Запрос Лицензиата должен содержать информацию, используемую в Продукте: dialog_id, client_id, message_id, период обработки. 

   8.2.2. Лицензиат вправе в течение всего срока действия Соглашения запрашивать у Лицензиара копии документов, а также документов, содержащих записи событий в информационных системах персональных данных Лицензиара, подтверждающих уничтожение персональных данных, переданных ему на обработку. Копии документов должны быть предоставлены не позднее 5 рабочих дней с даты получения соответствующего запроса Лицензиата на адрес электронной почты Лицензиара, указанный в п.6.1. Соглашения.

   8.2.3. В случае отсутствия возможности уничтожения персональных данных в течение 10 рабочих дней с момента поступления запроса от Лицензиата Лицензиар осуществляет блокирование таких персональных данных или обезличивание персональных данных в срок, не превышающий 6 месяцев. О факте блокирования или обезличивания Лицензиар сообщает Лицензиату на адрес электронной почты, указанный в п. 6.1. Соглашения, в срок, не превышающий 10 рабочих дней с момента поступления запроса от Лицензиата.

   8.2.4. ​​В случае невозможности уничтожить персональные данные по запросу Лицензиата в связи с необходимостью их обработки, связанной с исполнением требований законодательства Российской Федерации, Лицензиар направляет мотивированное обоснование о невозможности уничтожения или блокировки, или обезличивания персональных данных Лицензиату на адрес электронной почты, указанный в п. 6.1. Соглашения, в срок, не превышающий 10 рабочих дней с момента получения запроса от Лицензиата.

8.3. Обезличивание персональных данных.

   8.3.1. Лицензиар по запросу Лицензиату должен обезличить определенные Лицензиатом или все персональные данные, которые были поручены ему на обработку, в течение 10 рабочих дней с момента получения запроса, если обработка их не требуется согласно законодательству Российской Федерации. Лицензиат направляет соответствующий запрос на адрес электронной почты Лицензиара, указанный в п.6.1. Соглашения.

    8.3.1.1. Запрос Лицензиата должен содержать информацию, используемую в Продукте: dialog_id, client_id, message_id, период обработки. 

9. ГАРАНТИИ И ЗАВЕРЕНИЯ

9.1. Лицензиат гарантирует не совершать противоправных действий, направленных на нарушение функционирования Продукта, которые могут повлечь негативные последствия, как для Сторон, так и третьих лиц, в процессе обработки персональных данных субъектов персональных данных Лицензиаром. К таким действия относятся, в том числе «взлом» баз данных, учетных записей и иные.

9.2. Лицензиат принимает и соглашается, что, несмотря на принимаемые Лицензиаром меры, никакое программное обеспечение не может быть полностью защищено от противоправных действий третьих лиц, и, что Лицензиар не несет ответственности за какие-либо убытки Лицензиата или третьих лиц, причиненных такими действиями, если такие действия не произошли по вине Лицензиара.

9.3. В целях недопущения распространения персональных данных, конфиденциальной информации, Лицензиар придерживается принципа наименьшего доступа.

10. ОТВЕТСТВЕННОСТЬ СТОРОН

10.1. Ответственность перед субъектами персональных данных Лицензиат несет самостоятельно, а Лицензиар, осуществляющий обработку персональных данных по поручению Лицензиата, несет ответственность перед Лицензиатом.

10.2. Лицензиар не несет ответственности в случае нарушения прав субъектов персональных данных, если такое нарушение произошло не по вине Лицензиара, в том числе в случаях «взлома» базы данных Лицензиатом или третьими лицами.

10.3. Лицензиар не несет ответственности за неисполнение или ненадлежащее исполнение Лицензиатом условий, предусмотренных Соглашением, в том числе в случае нарушения Лицензиатом условий о конфиденциальности, безопасности, целостности и доступности персональных данных.

10.4. Лицензиар не несет никакой ответственности за любые убытки, причиненные Лицензиату/Пользователю или любому третьему лицу в связи с использованием Продукта  в случае нарушения условий Политики конфиденциальности и условий о неразглашении Конфиденциальной информации (раздел 10 Оферты)  Лицензиатом/Пользователем. К данным случаям относится (включая, но не ограничиваясь): 

   10.4.1. в случае неполучения Лицензиатом согласия на обработку персональных данных от субъекта персональных данных;

   10.4.2. в случае обработки персональных данных субъектов персональных данных с использованием иностранных баз данных, если такая обработка была инициирована Лицензиатом.

   10.4.3. в случаях предъявления к Лицензиару  претензий, исков и/или предписаний по возмещению убытков (выплате компенсаций) со стороны третьих лиц и/или государственных органов либо возбуждение дела об административном правонарушении. 

10.5. В случае, если Лицензиар перепоручает обработку персональных данных иностранному физическому лицу или иностранному юридическому лицу, ответственность перед субъектом персональных данных за действия указанных лиц несет Лицензиат и Лицензиар.

10.6. Если права субъектов персональных данных, чьи персональные данные были поручены Лицензиару от Лицензиата, были нарушены Лицензиаром, в связи с чем Лицензиату был нанесен ущерб, Лицензиар обязан в срок не позднее 90 (девяносто) календарных дней с даты получения соответствующего письменного требования от Лицензиата, возместить документально подтвержденный ущерб.

11. ПОРЯДОК РАЗРЕШЕНИЯ СПОРОВ

11.1. По вопросам, не урегулированным Соглашением, Стороны руководствуются положениями Договора, а также действующего законодательства Российской Федерации. 

11.2. Споры и разногласия, возникающие в ходе заключения и/или исполнения обязательств по Соглашению, подлежат урегулированию путем переговоров. В случае недостижения согласия споры передаются на рассмотрение Арбитражного суда по месту нахождения истца. 

12. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

12.1. Соглашение является неотъемлемой частью Договора и вступает в силу с даты его подписания Сторонами, и действует в течение срока обработки персональных данных по поручению.

12.2. Соглашение составлено в двух экземплярах, имеющих равную юридическую силу — по одному для каждой из Сторон.