Поручение на обработку

персональных данных

1.1. Предмет Поручения. В целях исполнения обязательств по Соглашению Пользователь поручает, а Администрация принимает на себя обязательства осуществлять обработку персональных данных третьих лиц, собираемых или иным образом обрабатываемых посредством использования функциональных возможностей Платформы.

Содержащие настоящего Поручения признается письменными инструкциями Пользователя в соответствии с применимым законодательством.

1.2. Категории субъектов данных. По смыслу Поручения к третьим лицам могут относиться любые физические лица, в том числе:
1) сотрудники, консультанты, подрядчики, деловые партнеры, контактные лица, информация о которых размещается на Проекте Пользователя;
2) кандидаты, текущие либо потенциальные клиенты или партнеры Пользователя, использующие формы сбора данных на Проекте;
3) посетители Проекта Пользователя, информация о которых собирается в автоматическом режиме.

1.3. Цель обработки и перечень данных. Администрация осуществляет обработку персональных данных по Поручению в следующем объеме:

1.4. Ограничение обработки данных. Пользователь самостоятельно оценивает правомерность осуществления обработки персональных данных на Платформе, равно как и возможность давать поручение Администрации на обработку таких данных. Пользователь принимает и признает, что:
1) Администрация не осуществляет обработку сведений о состоянии здоровья, генетических, биометрических и иных чувствительных категорий персональных данных;
2) функциональная возможность размещения Контента на Проектах не предназначена для публикации изображений, содержащих персональные данные, включая фотографии физических лиц и скан-копии документов.

1.5. Продолжительность обработки по Поручению. Обработка персональных данных третьих лиц осуществляется Администрацией в течение срока действия Соглашения или любого иного периода, необходимого для исполнения обязательств по Соглашению, до момента удаления данных в порядке, предусмотренном Поручением.

2.1. Организация обработки данных на Платформе. Пользователь, являясь оператором, самостоятельно организует обработку персональных данных физических лиц на Платформе. Пользователь определяет цели и основания обработки персональных данных, их состав, перечень совершаемых действий и операций.

2.2. Обеспечение требований законодательства. При обработке персональных данных на Проекте Пользователь обязан самостоятельно обеспечивать соблюдение требований применимого законодательства. В частности, Пользователь без участия Администрации:
1) устанавливает порядок сбора согласий на обработку персональных данных на Проекте, включая случаи использования форм приема данных и/или сервисов аналитики;
2) публикует на Проекте политику конфиденциальности;
3) назначает ответственных лиц и разрабатывает пакет внутренних документов, регулирующих обработку данных.

2.3. Наличие правового основания. Осуществляя обработку персональных данных на Платформе, Пользователь заверяет и гарантирует, что он обладает согласиями субъектов или иными законными основаниями для обработки данных и их передачи Администрации по Поручению.

По запросу Администрации, направленному на электронную почту Пользователя, указанную в Аккаунте, Пользователь обязуется предоставить документы, подтверждающие наличие правовых оснований для обработки, в течение 24 часов с момента получения запроса.

2.4. Подключение Сервисов третьих лиц. При использовании Платформы Пользователю могут предлагаться к подключению Сервисы третьих лиц, осуществляющие сбор или иную обработку персональных данных, в том числе, сервисы приема данных, платежные системы и/или сервисы доставки.

Обработка данных Сервисами третьих лиц осуществляется их владельцами, действующими независимо от Администрации и не выступающими от имени и/или по поручению Администрации. Администрация не несет ответственности за обработку персональных данных владельцами Сервисов третьих лиц.

Пользователь обязуется самостоятельно обеспечить законность обработки персональных данных при подключении Сервисов третьих лиц, в том числе, заключить отдельные поручения на обработку с их владельцами.

2.5. Трансграничная передача. При использовании функциональных возможностей Платформы может происходить трансграничная передача персональных данных третьих лиц по инициативе Пользователя, в частности, при:
1) смене страны профиля Пользователя;
2) предоставлении доступа к Проекту Пользователю с другой страной профиля;
3) передаче проекта в Аккаунт Пользователя, страной профиля которого является другая страна;
4) подключении к Проекту Сервисов третьих лиц.

Пользователь обязуется самостоятельно обеспечить безопасность трансграничной передачи персональных данных в соответствии с требованиями применимого законодательства.

3.1. Передача третьим лицам. Администрация осуществляет передачу персональных данных на основании заключенных поручений на обработку следующим лицам:
1) Hetzner Online GmbH – для целей хранения персональных данных на серверах;
2) G-Core LabsSA – для обеспечения хранения и резервного копирования проектов Пользователей;
3) Google Cloud EMEA Limited – для обеспечения информационной безопасности на Проектах.

Настоящим Пользователь предоставляет Администрации общее письменного разрешение на привлечение указанных лиц для обработки персональных данных.

Все лица, осуществляющие обработку персональных данных по поручению Администрации, обязуются соблюдать меры по обеспечению защиты, конфиденциальности и безопасности персональных данных, установленные применимым законодательством.

С учетом ограничений ответственности, предусмотренных настоящим Поручением, ответственность перед Пользователем за действия и/или бездействия лиц, привлеченных Администрацией к обработке персональных данных, несет Администрация.

3.2. Изменение перечня привлекаемых лиц. Администрация вправе привлекать иных третьих лиц к обработке персональных данных при условии предварительного уведомления Пользователя. Уведомление направляется на адрес электронной почты, используемый для авторизации на Платформе, либо посредством размещения соответствующей информации в Личном кабинете.

Пользователь вправе направить мотивированные возражения в отношении изменения перечня лиц в течение 10 дней с момента уведомления. При этом Пользователь понимает и признает, что:
1) привлечение третьих лиц может быть необходимо для надлежащего исполнения обязательств Администрации по Соглашению;
2) в случае получения возражений Администрация вправе в одностороннем внесудебном порядке отказаться от исполнения Соглашения.

3.3. Безопасность трансграничной передачи. Администрация осуществляет трансграничную передачу персональных данных на территории:
1) государств Европейского союза – для целей хранения персональных данных на серверах и обеспечения информационной безопасности;
2) Соединенных Штатов Америки – для хранения и резервного копирования Проектов Пользователей.

До начала трансграничной передачи Администрация определяет, признается ли государство, в которое передаются персональные данные, государством, обеспечивающим адекватный уровень защиты данных в соответствии с применимым законодательством.

При передаче персональных данных в государство, не обеспечивающее необходимый уровень защиты, Администрация обязуется заключить с получателем стандартные договорные условия либо обеспечить применение обязательных корпоративных правил.

4.1. Применяемые меры. Администрация обязуется соблюдать конфиденциальность в отношении персональных данных и обеспечивать их безопасность в соответствии с применимым законодательством, включая:
1) ведение реестра и записей обработок персональных данных;
2) определение перечня лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ, и заключение с такими лицами соглашений о конфиденциальности;
3) установление порядка доступа к персональным данным;
4) применение защищенных каналов связи и шифрование;
5) использование механизмов псевдонимизации, включая применение ID во внутренних системах Администрации;
6) применение средств идентификации и (или) аутентификации при работе с персональными данными;
7) использование технологий резервного копирования;
8) оценку и обработку рисков информационной безопасности;
9) урегулирование вопросов безопасности обработки персональных данных в соглашениях и (или) поручениях с поставщиками;
10) проведение регулярных технических аудитов.

4.2. Нарушение безопасности данных. В случае установления факта нарушения безопасности персональных данных, ведущего к случайному или незаконному уничтожению, потере, изменению, несанкционированному разглашению и/или доступу персональных данных третьих лиц, Администрация обязана уведомить об этом Пользователя без неоправданной задержки.

Уведомление должно содержать описание характера нарушения, возможные последствия для субъектов персональных данных, а также меры, которые Администрация предприняла и/или намерена предпринять для смягчения таких последствий.

При этом Пользователь понимает и признает, что уведомление о нарушении безопасности персональных данных ни при каких обстоятельствах не может рассматриваться как признание вины и/или ответственности со стороны Администрации.

5.1. Предоставление сведений и аудит. По запросу Пользователя в течение срока действия Поручения Администрация обязана предоставлять документы и иную информацию, подтверждающие принятие мер и их соблюдение в целях исполнения Поручения. При этом такие запросы могут направляться Пользователем не чаще 1 раза в 3 месяца.

По письменному запросу Пользователя Администрация обязуется оказывать содействие в проведении аудитов или проверок, предоставляя Пользователю необходимую информацию о порядке обработки персональных данных.

5.2. Помощь в соблюдении обязательств. По общему правилу Пользователь, являясь оператором персональных данных, самостоятельно обеспечивает соблюдение требований, установленных применимым законодательством.

При этом, принимая во внимание характер обработки, Администрация по письменному запросу Пользователя оказывает разумную помощь в соблюдении обязательств по:
1) обеспечению безопасности обработки;
2) составлению уведомлений о нарушениях безопасности персональных данных;
3) оценке воздействия на защиту персональных данных;
4) проведению предварительных консультаций с надзорными органами;
5) обработке запросов субъектов посредством применения соответствующих технических и организационных мер в той мере, в какой это возможно с учетом характера обработки.

6.1. Обеспечение прав субъектов. Пользователь обязуется обрабатывать персональные данные на Платформе не дольше, чем этого требуют цели обработки. В случае отзыва согласия на обработку персональных данных либо прекращения действия оснований, допускающих такую обработку, Пользователь должен самостоятельно обеспечить удаление персональных данных.

6.2. Порядок возврата или удаления персональных данных. При получении отдельного запроса Администрация обязуется по выбору Пользователя удалить либо возвратить и удалить полученные от Пользователя персональные данные в срок, не превышающий 30 дней, если иной срок не установлен применимым законодательством.

Администрация также удаляет персональные данные в случае окончания срока их хранения, установленного на Платформе либо определенного Пользователем самостоятельно. В частности, при использовании на Проекте форм приема данных срок хранения данных устанавливается посредством соответствующих настроек Проекта.

Вместе с тем Администрация вправе не удалять и/или не возвращать полученные от Пользователя персональные данные в случае, если право или обязанность хранения данных предусмотрены применимым законодательством.

6.3. Блокировки и ограничения на Платформе. В случае нарушения или наличия обоснованных подозрений в нарушении Пользователем требований Соглашения и/или положений применимого законодательства, Администрация имеет право заблокировать аккаунт Пользователя, а также принять иные меры, предусмотренные условиями Соглашения.

Пользователь понимает и признает, что в случае принятия Администрацией мер административного реагирования персональные данные, обрабатываемые по Поручению, могут быть удалены без возможности последующего восстановления.

7.1. Ответственность Администрации. Администрация не несет ответственности за действия Пользователя при обработке персональных данных на Платформе. Любые претензии, требования или жалобы третьих лиц, связанные с обработкой их персональных данных, подлежат разрешению непосредственно Пользователем без участия Администрации.

Администрация также не несет ответственности за действия и/или бездействия, связанные с обработкой персональных данных третьих лиц в случае, если Администрация действовала исключительно в соответствии с инструкциями Пользователя.

В любом случае ответственность Администрации не может превышать сумму стоимости Тарифа, оплаченного Пользователем и действующего в период возникновения событий, являющихся основанием для возникновения имущественной ответственности.

7.2. Ответственность Пользователя и возмещение потерь. Пользователь, являясь оператором по смыслу применимого законодательства, самостоятельно несет ответственность перед субъектами персональных данных за законность обработки персональных данных.

В случае, если в отношении Администрации будет возбуждено судебное и/или административное дело, предъявлен судебный иск либо заявлена претензия от любого лица вследствие нарушения Пользователем порядка обработки персональных данных, Пользователь обязан возместить Администрации все убытки, включая разумные юридические расходы.

8.1. Применимое право. Вне зависимости от условий Соглашения, обработка персональных данных в соответствии с Поручением регулируются и толкуются в соответствии с законодательством Объединенных Арабских Эмиратов.

Если местом нахождения физических лиц, обработка персональных данных которых поручена Администрации, является государство Европейского союза и/или Европейской экономической зоны, к обработке персональных данных также применяются положения Общего регламента по защите данных.

8.2. Стандартные договорные условия. Обработка Администрацией персональных данных физических лиц, находящихся на территории государств Европейского союза и/или Европейской экономической зоны дополнительно регулируется Стандартными договорными условиями.

В соответствии с требованиями Общего регламента по защите данных указанные Стандартные договорные условия обеспечивают законность передачи персональных данных на территорию Объединенных Арабских Эмиратов.

В случае возникновения противоречий между настоящим Поручением и положениями Стандартных договорных условий, преимущественную силу будут иметь Стандартные договорные условия.