Поручение на обработку персональных данных

1. Термины и определения

  • Персональные данные - любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу.
  • Оператор - лицо, ответственное за обработку персональных данных и направление соответствующих сведений в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций, а также определяющее цели обработки персональных данных, их состав, действия (операции), совершаемые с персональными данными. В контексте данного поручения оператором является лицензиат, то есть то лицо, которое размещает виджеты лицензиара у себя на сайте в том числе для сбора персональных данных пользователей виджетов.
  • Обработчик - лицо, обрабатывающее персональные данные по поручению оператора.
    В контексте данного поручения обработчиком является лицензиар, то есть ИП Ткаченко Максим Николаевич (ОГРНИП: 309554333800132, ИНН: 550114651820, юридический адрес: 644077, г. Омск, ул. Пригородная 23 к. 1, кв. 269).
  • Сайт - совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети интернет по адресу wlab.pro, включая его поддомены и интернет-страницы.
  • Личный кабинет - часть сайта, которая доступна после прохождения регистрации.
  • Виджет - программный код (совокупность данных и команд), который доступен лицензиату в личном кабинете и может быть использован на его сайте для выполнения заданной функции, в том числе увеличение заявок и получение контактной информации от пользователей виджетов (программа для ЭВМ[1]).
  • Активный виджет - виджет, который используется на сайте оператора.
  • Пользователь виджета - физическое лицо, использующее виджет(-ы) на сайте лицензиата.
  • Субъект персональных данных (субъект)1 - посетитель сайта, лицензиат и пользователь виджета, персональные данные которых обрабатываются оператором.
  • Обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых оператором с использованием средств автоматизации.
  • Автоматизированная обработка - обработка персональных данных с помощью средств вычислительной техники.
  • Закон о персональных данных - Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ.
  1. Предмет поручения
  2. Оператор поручает, а обработчик принимает на себя обязательство осуществлять действия по обработке персональных данных пользователей виджетов, которые обрабатываются или будут обрабатываться оператором.
  1. Обработка персональных данных осуществляется обработчиком:
  1. На основании данного поручения на обработку персональных данных.
  2. С момента их получения от пользователей виджетов через активные виджеты.
  3. В целях исполнения обязательств по лицензионному договору перед оператором.
  4. В течение срока, определённого оператором, или до получения от оператора запроса об уничтожении персональных данных в связи с отзывом, достижением целей обработки или по иным основаниям, но не более 365 дней с момента удаления личного кабинета оператора или последнего активного сеанса.
  5. С использованием средств автоматизации следующими способами:
  • сбор
  • извлечение
  • блокирование
  • запись
  • уточнение
  • удаление
  • систематизацию
  • использование
  • уничтожение
  • предоставление
  • обезличивание
  • хранение
  • накопление.
  1. Содержание, перечень и объём персональных данных, которые может обрабатывать обработчик на основании поручения определяется оператором самостоятельно и не контролируется обработчиком. При этом обработчик не осуществляет обработку биометрических и специальных категорий персональных данных, касающихся расовой и национальной принадлежности, политических взглядов, религиозных или философских убеждений.
  1. Заверения и гарантии оператора
  2. Оператор заверяет и гарантирует, что:
  1. Персональные данные пользователей виджетов получены им законными способами.
  2. Пользователи виджетов дали согласие на обработку их персональных данных.
  3. Пользователи виджетов уведомлены о данном поручении на обработку персональных данных обработчиком.
  4. При обработке персональных данных соблюдает принципы и правила обработки, предусмотренные Законом о персональных данных.
  5. Не использует и не будет использовать виджеты для обработки биометрических и специальных категорий персональных данных, касающихся расовой и национальной принадлежности, политических взглядов, религиозных или философских убеждений
  6. Своевременно уведомит обработчика об отзыве пользователем виджетов согласия на обработку его персональных данных или достижении цели обработки в отношении определённого пользователя виджетов.
  1. Заверения и гарантии оператора, указанные в п. 3.1 поручения, являются достоверными в любой момент времени и (или) периода обработки персональных данных в рамках поручения.
  1. Обязанностиобработчикаи оператора
  1. Обработчик обязуется:
  1. Соблюдать правила обработки персональных данных, предусмотренные в поручении.
  2. Соблюдать конфиденциальность и обеспечить безопасность персональных данных при их обработке.
  3. Исполнять поручение, как самостоятельно, так и с привлечением третьих лиц, указанных в п. 5.4 политики в отношении обработки персональных данных.
  4. Раскрывать информацию о персональных данных своим работникам и иным лицам, вовлечённым в обработку, только в тех пределах, которые необходимы для достижения цели, определённой в поручении.
  5. Добросовестно сотрудничать с оператором и оказывать ему разумное содействие при рассмотрении и урегулировании обращений, касающихся поручения.
  6. Обеспечить хранение персональных данных с использованием баз данных, находящихся на территории Российской Федерации.
  7. Предоставлять документы и иную информацию, подтверждающие соблюдение требований Закона о персональных данных, при наличии запроса оператора.
  1. Оператор обязуется:
  1. Самостоятельно и за свой счёт разработать и разместить на используемых им сайтах

и в формах для сбора персональных данных документы по обработке персональных данных, которые требуются согласно Закону о персональных данных.

  1. Не осуществлять через виджеты сбор данных о судимости, биометрических (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются для установления личности субъекта персональных данных) и (или) специальных (данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни) категорий персональных данных.
  2. Предоставить обработчику подтверждение наличия правовых оснований для обработки персональных данных пользователей виджетов и факта надлежащего уведомления пользователей виджетов об их передаче, в течение 5 календарных дней с момента получения соответствующего запроса от обработчика.
  1. Конфиденциальностьибезопасность
  1. Обработчик принимает необходимые правовые, организационные и технические меры, необходимые для обеспечения конфиденциальности и безопасности персональных данных при исполнении поручения. Подробная информация о принятых мерах содержится в политике обработки персональных данных (подраздел «Защита персональных данных»).
  1. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, обработчик обязан с момента выявления такого инцидента уведомить оператора по известным средствам связи (раздел № 12 публичной оферты):
  2. В течение 24 часов:

о произошедшем инциденте, включая перечень персональных данных, категории и количество субъектов персональных данных, затронутых инцидентом

о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных о предполагаемом вреде, нанесённом правам субъектам персональных данных

о принятых мерах по устранению последствий соответствующего инцидента

о лице, уполномоченном обработчиком на реагирование и расследованию инцидента.

  1. В течение 72 часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
  1. Уничтожениеперсональныхданных
  1. Обработчик обязуется по запросу оператора уничтожить персональные данные, определённые оператором или все персональные данные, которые были поручены ему на обработку, если их обработка не требуется согласно законодательству Российской Федерации.
  1. Обработчик обязуется по запросу оператора предоставить ему документы, подтверждающие уничтожение персональных данных (Акт об уничтожении персональных данных).
  1. В случае отсутствия возможности уничтожения персональных данных в течение установленного срока обработчик осуществляет блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок, не превышающий 6 месяцев.
  1. В случае невозможности уничтожить персональные данные по запросу оператора в связи с необходимостью их обработки, связанной с исполнением требований законодательства

Российской Федерации, обработчик направляет мотивированное обоснование о невозможности уничтожения или блокирования персональных данных оператору.

  1. Срок для уничтожения / предоставления документов / информирования о факте блокировки / направления мотивированного обоснования – 10 календарных дней с момента получения запроса от оператора.
  1. Ответственностьобработчикаи оператора
  1. Оператор несёт ответственность:
  1. За действия обработчика перед субъектами персональных данных согласно ч. 5 ст. 6 Закона о персональных данных.
  2. За определение того, подходит ли сайт и его функционал для обработки персональных данных согласно Закону о персональных данных.
  3. За корректность, полноту и правильное использование (в том числе размещение на сайтах и в формах для сбора персональных данных) документов по обработке персональных данных, которые требуются согласно Закону о персональных данных.
  4. За своевременное реагирование на запросы субъектов персональных данных.
  1. Обработчик несёт ответственность перед оператором за исполнение поручения, в том числе за действия (бездействие) своих работников и (или) подрядчиков, получивших доступ к обрабатываемым по поручению оператора персональным данным, повлекшие разглашение таких персональных данных.
  1. Ответственность обработчика перед оператором ограничена размером реального ущерба, подтверждённого документально, но в любом случае имущественная ответственность обработчика не может превышать размер лицензионного вознаграждения по тарифу, оплаченному оператором и действующего в период возникновений событий, являющихся основанием для возникновения имущественной ответственности обработчика.
  1. Заключительныеположения

Внесение изменений в поручение на обработку персональных данных

  1. Содержание поручения на обработку персональных данных может быть изменено и (или) дополнено обработчиком в ходе его периодического пересмотра, а также в случае изменения законодательства Российской Федерации в области персональных данных. Новая редакция поручения вступает в силу с момента её размещения на сайте.
  1. При каждом фактическом использовании сайта и его функционала для обработки персональных данных, оператор подтверждает своё согласие с условиями поручения в редакции, действующей на момент фактического использования сайта и его функционала для обработки персональных данных.

Применимое право

  1. Местом выражения согласия и местом исполнения поручения всегда является место нахождения обработчика, а правом, применимым к отношениям обработчика и оператора всегда является законодательство Российской Федерации вне зависимости от того, где находится оператор или оборудование, используемое им.

Урегулирование споров

  1. Споры, связанные с исполнением поручения, подлежат урегулированию путём переговоров.
  1. При недостижении согласия в ходе переговоров, спор подлежит разрешению в претензионном порядке, который для сторон является обязательным.
  1. Претензия в письменном виде должна быть направлена, как на юридический адрес, так и на адрес электронной почты соответствующей стороны.
  1. Срок для ответа – 30 календарных дней с момента получения претензии.
  1. Неурегулированные споры подлежат рассмотрению в судах г. Москва.

Иное

  1. Недействительность одного или нескольких положений поручения, установленная вступившим в силу судебным актом, не влечёт недействительности поручения в целом.
  1. Реквизитыобработчика
  • ИП Ткаченко Максим Николаевич
  • ОГРНИП: 309554333800132
  • ИНН: 550114651820
  • Юридический адрес: 644077, г. Омск, ул. Пригородная 23 к. 1, кв. 269.
  • Электронная почта: info@wlab.pro

[1] Ст. 1261 Гражданского кодекса Российской Федерации.