Настоящее поручение (далее — “Поручение”) регулирует отношения между любым лицом, именуемым в дальнейшем “Оператор”, и ООО “Конвид”, именуемой в дальнейшем “Исполнитель”, в части обработки персональных данных в соответствии с требованиями Федерального закона №152-ФЗ “О персональных данных”.
Предмет поручения
2.1 Оператор поручает Исполнителю осуществлять обработку персональных данных, а Исполнитель обязуется выполнять данное поручение в соответствии с условиями настоящего Поручения и законодательством Российской Федерации.
2.2 Обработка персональных данных осуществляется с целью исполнения лицензионного соглашения.
2.3 Категории персональных данных, передаваемых для обработки:
Фамилия, имя, отчество — для идентификации пользователей.
Номер телефона, адрес электронной почты — для связи с пользователями.
IP-адрес, cookies, лог-файлы, устройство и версия браузера — для технической поддержки и аналитики.
Информация о посещенных страницах, данные о поведении пользователя на сайте (включая время посещения, переходы по ссылкам, открытия писем) — для анализа поведения пользователей.
История покупок — для обработки заказов и маркетингового анализа.
Обязательства сторон
3.1 Обязательства Оператора:
Обеспечить передачу персональных данных Исполнителю в соответствии с требованиями безопасности.
Контролировать соблюдение Исполнителем условий обработки персональных данных.
Оператор несет ответственность за достоверность и законность персональных данных, передаваемых Исполнителю. Исполнитель не осуществляет проверку правомерности предоставления данных.
3.2 Обязательства Исполнителя:
Обрабатывать персональные данные исключительно в целях, указанных в разделе 2 настоящего Поручения.
Принимать организационные и технические меры для защиты персональных данных в соответствии с требованиями законодательства РФ.
Уведомлять Оператора о любых изменениях в способах обработки данных, которые могут повлиять на их безопасность или соответствие законодательству.
Уведомить Оператора в случае выявления утечки, несанкционированного доступа или иных инцидентов, связанных с персональными данными.
Исполнитель обязуется уничтожить или обезличить персональные данные:
По истечении срока обработки.
По письменному требованию Оператора.
При расторжении или прекращении действия Лицензионного соглашения.
Меры по защите персональных данных
Исполнитель обязуется обеспечить защиту персональных данных, переданных ему Оператором, принимая следующие меры в соответствии с требованиями законодательства Российской Федерации, включая Федеральный закон №152-ФЗ и 21-й приказ ФСТЭК России:
4.1 Шифрование данных:
Использовать криптографические средства защиты информации для шифрования персональных данных при их передаче по сетям связи общего пользования и при хранении на сервере.
Применять сертифицированные в соответствии с законодательством Российской Федерации криптографические алгоритмы.
4.2 Разграничение доступа:
Установить строгий контроль за доступом к персональным данным, обеспечивая доступ исключительно уполномоченным сотрудникам Исполнителя.
Реализовать системы аутентификации и идентификации пользователей, включая использование уникальных учетных данных и, при необходимости, двухфакторной аутентификации.
4.3 Сертифицированные средства защиты информации (СЗИ):
Обеспечивать актуальность и соответствие используемых средств защиты требованиям действующего законодательства.
4.4 Контроль и мониторинг безопасности:
Проводить регулярный мониторинг и аудит информационной системы на наличие уязвимостей и возможных угроз безопасности персональных данных.
Вести журналы регистрации событий безопасности и анализировать их для выявления инцидентов.
4.5 Обезличивание данных:
При необходимости применять методы обезличивания персональных данных для минимизации риска идентификации субъектов данных.
4.6 Уведомление об инцидентах:
Незамедлительно уведомлять Оператора о любых выявленных инцидентах, связанных с утечкой или несанкционированным доступом к персональным данным, и предоставлять отчет о принятых мерах по устранению последствий.
Действия Исполнителя в случае инцидентов
В случае выявления инцидентов, связанных с обработкой персональных данных (утечка, несанкционированный доступ, повреждение, утрата и другие нарушения), Исполнитель обязуется:
5.1 Немедленное уведомление Оператора:
Сообщить Оператору о выявленном инциденте в течение 1 рабочего дня с момента обнаружения.
Предоставить информацию о характере инцидента, объеме пострадавших данных, возможных причинах и первых предпринятых действиях.
5.2 Предотвращение последствий:
Принять необходимые меры для предотвращения дальнейшего распространения инцидента, включая блокировку доступа к затронутым данным.
Устранить уязвимости, которые могли стать причиной инцидента.
5.3 Анализ и устранение:
Провести внутреннее расследование причин инцидента.
Разработать и внедрить корректирующие меры для предотвращения повторения инцидента в будущем.
5.4 Документирование инцидента:
Составить отчет о случившемся инциденте, включающий:
Дата и время обнаружения.
Характер инцидента и объем затронутых данных.
Меры, принятые для устранения последствий.
Выводы по результатам внутреннего расследования.
Передать отчет Оператору в течение 5 рабочих дней.
5.5 Взаимодействие с компетентными органами:
При необходимости, по согласованию с Оператором, взаимодействовать с компетентными органами, такими как Роскомнадзор, для урегулирования последствий инцидента.
5.6 Информирование субъектов данных:
По согласованию с Оператором уведомить пострадавших субъектов персональных данных о произошедшем инциденте, если это требуется в соответствии с законодательством.
5.7 Мониторинг и предотвращение:
Усилить контроль за безопасностью информационных систем после инцидента.
Организовать дополнительное обучение сотрудников, ответственных за обработку данных.
Сроки обработки персональных данных
6.1 Исполнитель имеет право обрабатывать персональные данные в течение срока, необходимого для достижения целей обработки, но не более срока действия лицензионного соглашения.
6.1 После истечения указанного срока Исполнитель обязуется уничтожить или обезличить персональные данные.
Ответственность сторон
Оператор и Исполнитель несут ответственность за нарушение условий настоящего Поручения и законодательства РФ в части обработки персональных данных.
Заключительные положения
8.1 Настоящее Поручение вступает в силу с момента его подписания и действует до полного выполнения сторонами своих обязательств.
8.2 Все споры, связанные с исполнением настоящего Поручения, разрешаются в порядке, установленном законодательством РФ.
8.3 Поручение может быть изменено или дополнено Лицензиаром по письменному согласию сторон.
ООО “Конвид”
ИНН/КПП: 7743124954/770901001
Юридический адрес: 101000, Россия, Москва, Маросейка, 4/2, пом III, стр 1, к. 12
Фактический адрес: 101000, Россия, Москва, Мясницкая 13с18 ФРИИ