Приложение №1 к Пользовательскому соглашению сервиса Perfect Panel

Поручение на обработку персональных данных

Этот документ применяется в отношении Сервиса Администратора.

Если вы не согласны с условиями Поручения, Вы не можете использовать Сервис.

Под акцептом в целях Поручения признается факт использования.

1. Термины

1.1. Оператор – Пользователь, который организует и осуществляет обработку персональных данных и определяет: цели обработки и состав персональных данных, подлежащих обработке, а также действия, совершаемые с персональными данными.

1.2. Обработчик – ООО "Перфект Панель", правообладатель Сервиса Perfect Panel

1.3. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), размещенная Оператором в Сервисе.

2. Предмет

2.1. Оператор поручает Обработчику обработку следующих персональных данных представителя Лицензиата (далее – Субъект персональных данных) :

2.1.1. Имя;

2.1.2. адрес электронной почты;

2.1.3. иные персональные данные, которые хранит Оператор в Сервисе.

2.2. Обработчик вправе совершать следующие действия (операции) с персональными данными: сбор, хранение, блокирование, удаление, уничтожение, с передачей и без передачи по локальной сети, с передачей и без передачи по информационно-телекоммуникационной сети Интернет, как с использованием средств автоматизации, так и без использования таковых.

2.3. Обработчик осуществляет обработку персональных данных для исполнения Пользовательского соглашения.

2.4. Оператор заверяет:

2.4.1. Персональные данные получены законными способами, цели сбора персональных данных совместимы с целями, указанными в Соглашении;

2.4.2. Субъект персональных данных дал согласие на Обработку Оператором;

2.4.3. Обработчик не обязан получать отдельное согласие Субъектов персональных данных на Обработку;

2.4.4. Оператор своевременно уведомит Обработчика об отзыве Субъектом персональных данных согласия на Обработку или достижении цели Обработки в отношении определенного Субъекта персональных данных.

3. Порядок исполнения поручения

3.1. Обработчик получает персональные данные от:

3.1.1. Оператора;

3.1.2. Субъекта персональных данных.

3.2. Срок Обработки: срок действия соглашения или до удаления аккаунта, в зависимости от того, что наступит раньше.

3.3. Если Субъект персональных данных обратился к Обработчику с запросом на получение информации, касающейся обработки его персональных данных, Обработчик информирует об этом Оператора и действует в соответствии с требованиями законодательства РФ.

3.4. Обработчик обязуется представлять Оператору по его требованию информацию о ходе исполнения поручения.

3.5. Обработчик обрабатывает персональные данные на основе следующих принципов:

3.5.1. законная и справедливая основа обработки;

3.5.2. обработка в соответствии с конкретными, заранее определенными и законными целями;

3.5.3. недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

3.5.4. соответствие содержания и объема персональных данных заявленным целям обработки;

3.5.5. точность, достаточность, актуальность и достоверность персональных данных;

3.5.6. законность технических мер, направленных на обработку;

3.5.7. разумность и целесообразность обработки;

3.5.8. хранение персональных данных не дольше, чем этого требуют цели обработки, если срок хранения не установлен законом, договором, стороной которого является Покупатель;

3.5.9. уничтожение или обезличивание персональных данных по достижении целей обработки или в случае утраты необходимости в их достижении, если иное не предусмотрено законом.

3.6. Обработчик обязан обеспечить сбор и хранение персональных данных граждан РФ с использованием баз данных, находящихся на территории Российской Федерации.

3.7. Обработчик обязан по запросу Оператора в течение срока действия поручения, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение требований закона и поручения.

3.8. Обработчик вправе перепоручать обработку персональных данных.

4. Меры по соблюдению требований законодательства

4.1. Обработчик обеспечивает реализацию правовых, организационных и технических мер, необходимых и достаточных для обеспечения защиты персональных данных:

Название группы мер Содержание группы мер
Правовые меры
  • разработка локальных документов, реализующих требования законодательства РФ;
  • отказ от любых способов обработки, не соответствующих целям, указанным в Договоре.
Организационные меры
  • назначение лица, ответственного за организацию обработки;
  • ограничение состава работников, имеющих доступ к персональным данным, и организацию разрешительной системы доступа к ним;
  • инструктаж и ознакомление работников, осуществляющих обработку, с положениями законодательства РФ о персональных данных, в том числе с требованиями к защите персональных данных, с локальными актами, регламентирующими порядок работы и защиты персональных данных;
  • периодическая оценка рисков, касающихся процесса обработки;
  • проведение периодических проверок в целях осуществления внутреннего контроля соответствия обработки требованиям законодательства РФ.
Технические меры
  • предотвращение, в том числе путем проведение внутренних расследований, несанкционированного доступа к системам, в которых хранятся персональные данные;
  • резервирование и восстановление персональных данных, работоспособности технических средств и программного обеспечения, средств защиты информации в информационных системах персональных данных;
  • иные необходимые меры безопасности.

4.2. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, Обработчик обязан с момента выявления такого инцидента уведомить Оператора по адресам электронной почты, указанным в Соглашении:

В течение 12 часов
  • о произошедшем инциденте, включая перечень персональных данных, категории субъектов персональных данных, количество субъектов персональных данных, затронутых инцидентом;
  • о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных;
  • о предполагаемом вреде, нанесенном правам субъектов персональных данных;
  • о принятых мерах по устранению последствий соответствующего инцидента;
  • о лице, уполномоченном Обработчиком на реагирование и расследованию инцидента.
В течение 48 часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

5. Уничтожение персональных данных

5.1. Обработчик по запросу Оператора должен уничтожить определенные Оператором или все персональные данные, которые были поручены ему на обработку, в течение 15 календарных дней с момента получения запроса, если обработка их не требуется согласно законодательству Российской Федерации.

5.2. Оператор вправе в течение всего срока действия поручения запрашивать у Обработчика копии документов, а также документов, содержащих записи событий в информационных системах персональных данных Обработчика, подтверждающих уничтожение персональных данных, переданных ему на обработку.

5.3. Обработчик предоставляет Оператору копии документов в течение 5 рабочих дней с даты получения соответствующего запроса Оператора.

5.4. В случае отсутствия возможности уничтожения персональных данных в течение 15 календарных дней с момента поступления запроса от Оператора Обработчик:

5.4.1. осуществляет блокирование таких персональных данных и

5.4.2. обеспечивает уничтожение персональных данных в срок, не превышающий 6 месяцев.

5.5. О факте блокирования Обработчик сообщает Оператору в течение 15 календарных дней с момента поступления запроса от Оператора.

5.6. В случае невозможности уничтожить персональные данные по запросу Оператора в связи с необходимостью их обработки, связанной с исполнением требований законодательства Российской Федерации, Обработчик направляет мотивированное обоснование о невозможности уничтожения или блокировки персональных данных Оператору в течение 15 календарных дней с момента поступления запроса от Оператора.

6. Конфиденциальность и защита данных

6.1. Стороны обязуются соблюдать режим конфиденциальности в отношении Персональных данных, ставших им известными при исполнении Договора, в течение 3 лет с даты его прекращения.

6.2. Персональные данные подлежат уничтожению (обезличиванию) по достижении целей Обработки.

6.3. Обработчик обеспечивает безопасность Персональных данных посредством:

6.3.1. определением угроз безопасности Персональных данных при их обработке в информационных системах персональных данных;

6.3.2. применением организационных и технических мер по обеспечению безопасности персональных данных при их Обработке;

6.3.3. оценки эффективности принимаемых мер по обеспечению безопасности Персональных данных;

6.3.4. обнаружения фактов несанкционированного доступа к Персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий атак;

6.3.5. восстановления Персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

6.3.6. установления правил доступа к Персональным данным;

6.3.7. контроля за принимаемыми мерами по обеспечению безопасности Персональных данных.

6.4. Обработчик определяет тип угроз и осуществляет выбор средств защиты в соответствии с законодательством РФ.

6.5. Обработчик обязуется раскрывать информацию о Персональных данных своим работникам и иным лицам, вовлеченным в Обработку, только в тех пределах, которые необходимы для достижения целей, определенных в поручении.

7. Ответственность

7.1. Ответственность перед Субъектом персональных данных за действия Обработчика несет Оператор.

7.2. Обработчик несет ответственность перед Оператором за прямой действительный ущерб, который возник у Оператора в связи с неисполнением Обработчиком Соглашения.

8. Прочие условия

8.1. Соглашение вступает в силу с момента акцепта, то есть начала фактического использования Сервиса и действует до момента истечения срока Лицензионного соглашения.

8.2. Стороны решают споры и обмениваются сообщениями и документами в порядке, установленном Договором.