Соглашение об обработке данных

Настоящее соглашение об обработке данных (далее — «DPA») является неотъемлемой частью договора или иного документа, в котором содержится ссылка на DPA.

1.    ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

В DPA используются следующие термины:

1.    Договор — договор или иной документ, в котором содержится ссылка на DPA.

2.    Сервис — продукт и/или услуга, перечисленные на страницах: 

Под Сервисом также может пониматься продукт и/или услуга, не перечисленные на вышеуказанных страницах, если такой продукт и/или услуга поименованы в Договоре.

3.    Пользователь — лицо, которое заключило с Позитивом или его уполномоченным лицом (дистрибьютором, партнером) договор на оказание услуг или лицензионное соглашение на использование Сервисов, либо иной договор.

4.    Позитив — одно из юридических лиц, поименованное в Договоре: 

  • Акционерное общество «Позитив Текнолоджиз», расположенное по адресу: 107061, г. Москва, вн.тер.г. муниципальный округ Преображенское, пл. Преображенская, д.8., помещ. 60 (ИНН 7718668887); 
  • Акционерное общество «Позитивные Технологии», расположенное по адресу: 107061, г. Москва, вн.тер.г. муниципальный округ Преображенское, пл. Преображенская, д. 8., помещ. 60 (ИНН 7718880121);
  • Акционерное общество «Группа Позитив», расположенное по адресу: 107061, г. Москва, вн.тер.г. муниципальный округ Преображенское, пл. Преображенская, д. 8., помещ. 60 (ИНН 771801001).

5.    Стороны — Позитив и Пользователь.

Термины «оператор», «персональные данные», «субъект персональных данных», «специальные категории персональных данных», «биометрические персональные данные» используются в значении, предусмотренном Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» либо иным применимым законодательством о защите данных.

Под термином «чувствительные данные» понимаются специальные категории персональных данных и биометрические персональные данные.

Любая ссылка на закон или подзаконный акт является ссылкой на него с вносимыми в него время от времени поправками или изменениями.

В случае отсутствия однозначного толкования термина в тексте DPA следует руководствоваться толкованием термина, определенным: в первую очередь — применимым законодательством, во вторую очередь — на сайте https://ptsecurity.com/, затем — сложившимся (общеупотребимым) толкованием в сети Интернет.

2.    ПРЕДМЕТ И СФЕРА ДЕЙСТВИЯ DPA

2.1. Пользователь поручает Позитиву обрабатывать персональные данные, к которым Позитив может получить доступ при предоставлении Сервиса Пользователю.

2.2. Позитив обязуется обрабатывать персональные данные по поручению Пользователя в соответствии с применимым законодательством для предоставления Сервиса Пользователю по Договору и любой связанной с ним технической поддержки, а также как дополнительно отражено в любых иных письменных поручениях, предоставленных Пользователем и признанных Позитивом в качестве поручений для целей DPA.

2.3. DPA не применяется к обработке персональных данных, в случае если в соответствующем Договоре не содержится ссылка на этот DPA. Во избежание сомнений, DPA также не применяется к обработке персональных данных уполномоченных представителей Сторон по Договору. В рамках такой обработки Стороны являются самостоятельными операторами персональных данных, ответственными за соблюдение применимого законодательства о защите данных.

2.4. DPA вступает в силу с даты вступления в силу Договора и заменяет собой любые другие условия, ранее применявшиеся Сторонами в отношении обработки данных и/или безопасности данных в связи с предоставлением Сервиса Пользователю.

3.    ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Параметры поручения Пользователя на обработку персональных данных Позитиву:

Цель обработки персональных данных по поручению Пользователя и дальнейшей обработки ПозитивомПредоставление Сервиса по Договору
Категории субъектов, чьи персональные данные обрабатываются по поручению ПользователяСубъекты, персональные данные которых обрабатываются в связи с предоставлением Сервиса Пользователю (работники, контрагенты Пользователя, иные субъекты персональных данных)
Состав обрабатываемых по поручению Пользователя персональных данных
  • ФИО, место работы, адрес электронной почты, должность
  • Информация о действиях субъектов персональных данных (логи)
  • Иные персональные данные, состав которых зависит от особенностей взаимоотношений между Пользователем и Позитивом и может быть детализирован в Договоре
Перечень действий, совершаемых с персональными даннымиCбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение, получение, поиск, копирование, сопоставление (сравнение), объединение (связывание) персональных данных
Сроки обработки персональных данных Позитив по поручению ПользователяДо достижения цели обработки персональных данных

3.2. Позитив удаляет персональные данные, обрабатываемые по поручению в рамках DPA, в случаях, предусмотренных Договором и применимым законодательством.

4.    ОБЯЗАННОСТИ СТОРОН

4.1. Пользователь обязуется:

а.    Обеспечить наличие и действительность правовых оснований для обработки персональных данных, достаточных в соответствии с применимым законодательством для их обработки Позитивом в объеме и сроки, предусмотренные настоящим DPA. Это включает в том числе сбор необходимых согласий, надлежащее информирование Пользователем субъектов персональных данных, данные которых обрабатываются в связи с предоставлением Сервиса Пользователю.

б.    Обеспечивать точность обрабатываемых персональных данных, их достаточность, а также актуальность по отношению к целям обработки персональных данных.

в.    Отвечать на запросы субъектов персональных данных, касающиеся обработки и защиты персональных данных.

г.    Самостоятельно отвечать на запросы контролирующих государственных органов, касающиеся обработки и защиты персональных данных в рамках этого DPA.

д.    Установить требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

е.    Не осуществлять действий, которые могут привести к получению Позитивом доступа к чувствительным данным и иным категориям информации ограниченного доступа в значении, предусмотренном Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (например, государственной тайне, банковской тайне).

ж.    Предоставить Позитиву не позднее 10 (десяти) рабочих дней со дня получения запроса Позитива сведения и (или) документы, подтверждающие факт наличия законных оснований для поручения обработки персональных данных Позитиву на условиях, указанных в DPA, в частности, наличие полученных надлежавшим образом согласий субъектов на поручение обработки персональных данных Позитиву, когда получение таких согласий необходимо в соответствии с требованиями применимого законодательства. Определение Сторонами состава и содержания предоставляемых Пользователем сведений и (или) документов осуществляется с учетом требований применимого законодательства, а также c соблюдением прав и законных интересов субъектов, Сторон и иных лиц. 

4.2. При обработке персональных данных, осуществляемой по поручению Пользователя в рамках DPA, Позитив обязуется:

а.    Осуществлять обработку персональных данных в соответствии с поручением Пользователя.

б.    Соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

в.    Соблюдать конфиденциальность персональных данных и обеспечивать их безопасность.

г.    Осуществлять обработку персональных данных с использованием баз данных, расположенных на территории Российской Федерации.

д.    В части, предусмотренной законодательством, обеспечивать применение мер, указанных в статьях 18.1, 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». В зависимости от способа и контекста обработки персональных данных Позитив применяет следующие меры:

  • назначение лица, ответственного за организацию обработки персональных данных
  • издание документов, определяющих политику Позитива в отношении обработки персональных данных, локальных актов Позитива по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства о персональных данных, устранение последствий таких нарушений;
  • осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных требованиям применимого законодательства о персональных данных требованиям к защите персональных данных, локальным актам Позитива; 
  • осуществление оценки вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных в РФ, который может быть причинен субъектам в случае нарушения требований применимого законодательства о персональных данных;
  • ознакомление лиц, привлеченных (допущенных) Позитивом к обработке персональных данных, с требованиями применимого законодательства о персональных данных, в том числе требованиями к защите персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных лиц;
  • определение угроз безопасности персональных данных, которые могут возникнуть при их обработке в информационных системах персональных данных; 
  • применение организационных и (или) технических мер по обеспечению безопасности персональных данных при их обработке, в том числе в информационных системах персональных данных, необходимых для обеспечения постоянной конфиденциальности, целостности, доступности и устойчивости процессов и (или) систем, связанных с обработкой персональных данных; 
  • применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах персональных данных;
  • воспрещение объединения баз с информационными системами персональных данных или фиксации персональных данных на одном материальном носителе, если обработка персональных данных осуществляется в несовместимых между собой целях; 
  • обнаружение фактов несанкционированного доступа к информационным системам персональных данных и принятием надлежащих мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных, связанные с обработкой персональных данных, и по реагированию на компьютерные инциденты в них;
  • восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним или иного инцидента;
  • установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных; 
  • контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;
  • установление и утверждение перечня лиц (должностей), привлеченных (допущенных) Позитивом к автоматизированной и (или) неавтоматизированной обработке персональных данных, в том числе в информационных системах персональных данных, и ограничением доступа к персональным данным для иных лиц; 
  • организация режима безопасности помещений, в которых осуществляется обработка персональных данных и (или) размещены программно-аппаратные средства, используемые для обработки персональных данных 
  • создание структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационных системах Позитива, либо возложение на одно из существующих структурных подразделений функций по обеспечению такой безопасности.

е.    По запросу Пользователя в течение срока действия DPA, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер, предусмотренных DPA.

ж.    Без необоснованного промедления уведомлять Пользователя о случаях, предусмотренных частью 3.1 статьи 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», а именно об установлении факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных и произошедшей по вине Позитива. Позитив предоставляет Пользователю необходимую и достаточную информацию и поддержку, связанную с таким событием, которые могут понадобиться Пользователю для выполнения его обязанностей в силу закона, а также для снижения негативных последствий, которые могут наступить в результате такого события. При этом уведомления и предоставление Позитивом Пользователю указанной информации и поддержки ни при каких обстоятельствах не будет трактоваться Сторонами, как признание или подтверждение ответственности Позитива за несанкционированный доступ (третьих лиц), передачу (третьим лицам), распространение (третьим лицам) персональных данных, обрабатываемых Позитивом по поручению Пользователя в рамках DPA. В той степени, в которой это разрешено применимым законодательством, Позитив не будет без предварительного разрешения Пользователя уведомлять соответствующие уполномоченные органы и (или) субъектов о соответствующем инциденте или делать любые публичные заявления или иным образом уведомлять каких-либо лиц о таком инциденте, не предприняв предварительно разумных шагов для консультации с Пользователя. А при отсутствии такой возможности, Позитив не будет без предварительного разрешения Пользователя использовать наименование Пользователя и (или) его аффилированных лиц в таком уведомлении или в любых публичных заявлениях.

з.    В случае поступления запросов от субъекта персональных данных на предоставление сведений, указанных в части 7 статьи 14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», либо требований субъекта об уточнении его персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, иных запросов субъектов персональных данных, направлять данные запросы Пользователю (если иное не предусмотрено законодательством).

и.    Не позднее 5 (пяти) рабочих дней со дня получения требования Пользователя в отношении определённых в этом требовании персональных данных, обрабатываемых Позитивом в рамках DPA, осуществлять или обеспечить (если к обработке персональных данных Позитивом привлечены третьи лица) осуществление уточнения (обновления, изменения), передачи (предоставления, доступа), блокирования, удаления или уничтожения. Выполнение этих действий в соответствии с данным пунктом DPA предполагается, и Позитив не обязан уведомлять Пользователя о результатах этих действий.

к.    Допускать своих сотрудников, подрядчиков, и иных третьих лиц к обрабатываемым персональным данным только тогда, когда это строго необходимо для обработки персональных данных по DPA, а также когда предприняты соответствующие шаги для обеспечения соблюдения мер безопасности и конфиденциальности.

4.3. Позитив также обязуется не злоупотреблять правом, закреплённым в пп. «ж» п. 4.1 DPA, и должен пользоваться данным правом только в том случае, когда от получения предусмотренных сведений и (или) документов будет зависеть своевременное и надлежащее выполнение Позитивом требований применимого законодательства или предупреждение возможностей нарушения таких требований.

5.     ОТВЕТСТВЕННОСТЬ

5.1. Позитив несет ответственность перед Пользователем в пределах, установленных Договором и DPA, за виновные действия в отношении обработки персональных данных в рамках DPA, в том числе за действия (бездействие) своих работников, получивших доступ к обрабатываемым по поручению Пользователя персональным данным, повлекшие разглашение таких персональных данных. Ответственность Позитива ограничена возмещением Пользователю исключительно реального ущерба. При этом совокупный размер ответственности Позитива в рамках DPA ни при каких обстоятельствах не может превышать 100 000 (сто тысяч) рублей, включая любые требования, ущерб, расходы и другие виды ответственности.

5.2. Позитив не несет ответственности за обеспечение законности обработки персональных данных, что может включать в себя получение согласий субъектов персональных данных и информирование об условиях обработки персональных данных, а также за определение состава персональных данных.

5.3. Пользователь как оператор персональных данных несет ответственность перед субъектами персональных данных и контролирующими государственными органами за действия, осуществляемые Позитивом при исполнении поручения. В частности, Пользователь несет ответственность за реагирование на запросы субъектов персональных данных и на запросы контролирующих государственных органов.

5.4. В случае предъявления Позитиву любых претензий, требований, исков от третьих лиц, включая субъектов персональных данных и контролирующих государственных органов, в связи с исполнением поручения, которые возникли из-за нарушения Пользователем обязательств по DPA, а также в связи с нарушением Пользователем установленного законом порядка обработки персональных данных (включая неполучение согласия на такую обработку), Пользователь обязуется:

  • своими силами и за свой счет урегулировать такие претензии и иски, с обязательным уведомлением Позитива о ходе такого урегулирования и предварительным информированием Позитива о предполагаемых шагах для такого урегулирования;
  • в случае необходимости участия Позитива в урегулировании таких претензий, требований, исков, а также привлечения Позитива к ответственности за нарушение установленного законом порядка обработки персональных данных, по требованию Позитива возместить Позитиву имущественные потери в соответствии со статьей 406.1. Гражданского кодекса Российской Федерации, а также по запросу Позитива принять участие в урегулировании таких претензий, требований, исков.

5.5. Стороны договорились, что размер возмещаемых потерь Позитива при наступлении указанных в п. 5.4 DPA обстоятельств признается равным:

  • сумме штрафов, пеней, компенсаций и иных выплат в пользу любых третьих лиц, обязанность осуществить которые возникнет у Позитива в случае наступления соответствующих обстоятельств (в том числе суммы убытков, которые могут быть взысканы с Позитива или привлеченных им третьих лиц для исполнения своих обязательств по Договору) на основании решения суда, третейского суда или международного коммерческого арбитража (в том числе утвержденного указанными органами мирового соглашения), или решения компетентного государственного органа,
  • сумме расходов на юридические и консультационные услуги, понесенных Позитивом для защиты своих прав и интересов в связи с наступлением обстоятельств, указанных в п. 5.4 DPA.

Пользователь возмещает имущественные потери Позитива в течение 10 (десяти) рабочих дней со дня предъявления Пользователю соответствующего требования Позитивом и копий документов, подтверждающих наличие возмещаемых потерь.

6.    ПРИВЛЕЧЕНИЕ ТРЕТЬИХ ЛИЦ К ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Позитив обязуется осуществить обработку персональных данных в рамках DPA самостоятельно, либо имеет право привлечь к обработке персональных данных третьих лиц (далее — «Субобработчики») на основании заключаемых с Субобработчиками договоров без предварительного уведомления или одобрения Пользователя, оставаясь ответственным перед Пользователем за выполнение своих обязательств по DPA. В частности, к таким Субобработчикам относятся:

  • ООО «Облачные технологии», расположенное по адресу: 117312, город Москва, ул. Вавилова, д. 23 стр. 1, ком. n1.207 (ИНН 7736279160);
  • ООО «Яндекс.Облако», расположенное по адресу: 119021, город Москва, ул. Льва Толстого, д. 16, помещ. 528 (ИНН 7704458262);
  • АО «ЦХД», расположенное по адресу: 109316, город Москва, Остаповский проезд, д. 22 стр. 16 (ИНН 9722084937).

6.2. Субобработчики обязаны соблюдать принципы и правила обработки персональных данных, предусмотренные применимым законодательством и DPA, включая соблюдение конфиденциальности персональных данных и обеспечение их безопасности.

7.    ИНЫЕ УСЛОВИЯ

7.1. DPA регулируется, а также подлежит применению и толкованию в соответствии с правом Российской Федерации, однако без учета его коллизионных норм права.

7.2. Все споры, которые могут возникнуть между Сторонами, Стороны обязуются разрешить в порядке и сроки, установленные соответствующим Договором.

7.3. Действующая версия DPA размещена в сети Интернет по постоянному адресу: https://ptsecurity.com/ru-ru/legal/data-protection-agreement

7.4. Позитив вправе в одностороннем порядке вносить изменения в DPA путём публикации новой редакции DPA по адресу, указанному в п. 7.3 DPA. Пользователь обязуется отслеживать актуальность DPA. Пользователь считается уведомлённым в дату размещения новой редакции. Позитив оставляет за собой право уведомлять Пользователя о существенных изменениях в DPA. Соответствующие изменения вступают в силу с момента их публикации по адресу, указанному в п. 7.3. DPA.