Соглашение об обработке ПД покупателей

Data Processing Agreement

Настоящее Соглашение об обработке персональных данных (далее — «DPA», «Соглашение») заключается между:

Оператором — юридическим лицом, индивидуальным предпринимателем или самозанятым физическим лицом, зарегистрированным в сервисе «Serkl Platform» (далее — «Заказчик»), и

Обработчиком — ООО «КНОТТА», ОГРН 1262600003423, ИНН 2634117059, юридический адрес: 355002, Ставропольский край, г. Ставрополь, ул. Пушкина, д. 65В, помещение 145 (далее — «Исполнитель»),

совместно именуемые «Стороны», а по отдельности — «Сторона».

Настоящее DPA является неотъемлемой частью Договора оказания услуг SaaS (https://serkl.co/legal/saas-agreement) и регулирует обработку персональных данных покупателей интернет-магазина Заказчика, осуществляемую Исполнителем по поручению Заказчика.

1. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

1.1. Персональные данные (ПД) — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту ПД), в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

1.2. Оператор — Заказчик, который определяет цели и средства обработки ПД покупателей своего Магазина. Заказчик является оператором в понимании ст. 3 152-ФЗ.

1.3. Обработчик — Исполнитель (ООО «КНОТТА»), который обрабатывает ПД по поручению Оператора (Заказчика) в соответствии с ч. 3 ст. 6 152-ФЗ.

1.4. Субъект ПД — покупатель интернет-магазина Заказчика, чьи персональные данные обрабатываются в рамках функционирования Магазина на Платформе.

1.5. Обработка — любое действие (операция) или совокупность действий с ПД, совершаемых с использованием средств автоматизации или без них: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение.

1.6. Инцидент — событие, которое привело или может привести к неправомерному или случайному доступу к ПД, их уничтожению, изменению, блокированию, копированию, предоставлению, распространению, а также иным неправомерным действиям в отношении ПД.

1.7. ИСПДн — информационная система персональных данных «Serkl Platform».

2. ПРЕДМЕТ СОГЛАШЕНИЯ

2.1. Заказчик (Оператор) поручает, а Исполнитель (Обработчик) обязуется осуществлять обработку персональных данных покупателей Магазина Заказчика в соответствии с условиями настоящего DPA, Договора SaaS и требованиями законодательства РФ о персональных данных.

2.2. Настоящее DPA заключается на основании ч. 3 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

2.3. Обработка ПД осуществляется Обработчиком исключительно в целях исполнения обязательств по Договору SaaS — обеспечения функционирования интернет-магазина Заказчика на Платформе.

3. КАТЕГОРИИ СУБЪЕКТОВ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Категории субъектов ПД

Покупатели интернет-магазина Заказчика — физические лица, оформляющие заказы, регистрирующиеся в Магазине или взаимодействующие с Магазином иным образом.

3.2. Состав обрабатываемых ПД

3.3. Специальные и биометрические данные

3.3.1. Обработчик не обрабатывает специальные категории ПД (расовая/национальная принадлежность, политические взгляды, религиозные убеждения, состояние здоровья, интимная жизнь) и биометрические данные покупателей.

3.3.2. Заказчик обязуется не собирать и не передавать Обработчику специальные категории ПД и биометрические данные через функционал Платформы.

4. ЦЕЛИ И СПОСОБЫ ОБРАБОТКИ

4.1. Обработчик обрабатывает ПД исключительно в следующих целях:

• обеспечение функционирования интернет-магазина Заказчика;
• обработка и исполнение заказов покупателей;
• обеспечение коммуникации между Заказчиком и покупателями;
• формирование аналитики и отчётности для Заказчика (в обезличенном или агрегированном виде);
• обеспечение безопасности и предотвращение мошенничества;
• техническое обслуживание и резервное копирование.

4.2. Обработчик осуществляет обработку ПД следующими способами:

• автоматизированная обработка с использованием ИСПДн «Serkl Platform»;
• хранение в зашифрованных базах данных;
• передача по защищённым каналам связи (TLS 1.2+);
• резервное копирование в зашифрованном виде.

4.3. Обработчик не вправе:

• обрабатывать ПД в целях, не указанных в п. 4.1;
• передавать ПД третьим лицам без письменного согласия Оператора, за исключением случаев, предусмотренных п. 7;
• использовать ПД покупателей для собственных маркетинговых или коммерческих целей;
• объединять ПД покупателей различных Магазинов на Платформе.

5. ОБЯЗАННОСТИ ОБРАБОТЧИКА

5.1. Обработчик обязуется:

5.1.1. Обрабатывать ПД только на основании поручения Оператора (Заказчика) и в пределах, установленных настоящим DPA.

5.1.2. Обеспечивать конфиденциальность обрабатываемых ПД в соответствии со ст. 7 152-ФЗ.

5.1.3. Принимать необходимые правовые, организационные и технические меры для защиты ПД от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в соответствии со ст. 19 152-ФЗ.

5.1.4. Обеспечивать уровень защищённости ПД не ниже УЗ-3 в соответствии с Постановлением Правительства РФ от 01.11.2012 № 1119.

5.1.5. Допускать к обработке ПД только сотрудников, подписавших обязательство о неразглашении и прошедших инструктаж по работе с ПД.

5.1.6. Уведомлять Оператора об Инциденте безопасности ПД в течение 24 (двадцати четырёх) часов с момента обнаружения.

5.1.7. Оказывать содействие Оператору в исполнении обращений субъектов ПД (запросы информации, требования об удалении, уточнении и т.п.) в сроки, установленные законодательством.

5.1.8. По запросу Оператора предоставлять информацию о принятых мерах по защите ПД.

5.1.9. При прекращении Договора SaaS — прекратить обработку ПД и обеспечить их возврат или уничтожение в порядке, предусмотренном разделом 10.

6. ОБЯЗАННОСТИ ОПЕРАТОРА

6.1. Оператор (Заказчик) обязуется:

6.1.1. Обеспечить наличие правового основания для обработки ПД покупателей (согласие субъекта ПД, исполнение договора и т.п.) в соответствии со ст. 6, 9 152-ФЗ.

6.1.2. Разместить в Магазине политику конфиденциальности и форму согласия на обработку ПД, соответствующие требованиям законодательства. Платформа предоставляет шаблоны указанных документов.

6.1.3. Информировать покупателей о передаче их ПД Обработчику для целей, указанных в п. 4.1.

6.1.4. Не собирать и не передавать Обработчику ПД, выходящие за рамки состава, определённого в п. 3.2.

6.1.5. Своевременно уведомлять Обработчика о получении обращений субъектов ПД, требующих действий со стороны Обработчика.

6.1.6. Самостоятельно осуществлять уведомление Роскомнадзора об обработке ПД, если это требуется в соответствии со ст. 22 152-ФЗ.

7. ПРИВЛЕЧЕНИЕ СУБОБРАБОТЧИКОВ

7.1. Оператор настоящим даёт общее согласие на привлечение Обработчиком субобработчиков (третьих лиц) для обработки ПД в объёме, необходимом для оказания услуг по Договору SaaS.

7.2. Перечень субобработчиков на дату заключения настоящего DPA:

7.3. Обработчик уведомляет Оператора о привлечении нового субобработчика путём обновления настоящего DPA или уведомления по email не менее чем за 14 (четырнадцать) дней.

7.4. Оператор вправе возразить против привлечения нового субобработчика в течение 14 (четырнадцати) дней с момента получения уведомления. В случае обоснованного возражения Стороны проводят переговоры для урегулирования ситуации.

7.5. Обработчик обеспечивает заключение с субобработчиками договоров, содержащих обязательства по защите ПД не менее строгие, чем предусмотренные настоящим DPA.

7.6. Обработчик несёт ответственность перед Оператором за действия субобработчиков как за свои собственные.

8. ТЕХНИЧЕСКИЕ И ОРГАНИЗАЦИОННЫЕ МЕРЫ ЗАЩИТЫ

8.1. Обработчик обеспечивает следующие меры защиты ПД:

8.1.1. Организационные меры

• утверждение и актуализация внутренних документов по обработке ПД (Положение об обработке ПД, Модель угроз, Инструкции для сотрудников);
• назначение ответственного за организацию обработки ПД;
• допуск к ПД только уполномоченных сотрудников с подписанным обязательством о неразглашении;
• регулярное обучение сотрудников (не реже 1 раза в год);
• ведение журнала учёта обращений субъектов ПД.

8.1.2. Технические меры

• шифрование данных при хранении (AES-256) и передаче (TLS 1.2+);
• разграничение прав доступа на основе ролевой модели (RBAC);
• двухфакторная аутентификация для административного доступа;
• автоматическое резервное копирование (не реже 1 раза в сутки);
• хранение резервных копий в зашифрованном виде;
• логирование операций с ПД с хранением журналов не менее 12 месяцев;
• регулярное обновление программного обеспечения и устранение уязвимостей;
• защита от несанкционированного доступа (межсетевое экранирование, IDS/IPS);
• размещение серверов на территории Российской Федерации.

8.1.3. Физические меры

• размещение серверного оборудования в сертифицированных дата-центрах с контролем физического доступа.

9. ИНЦИДЕНТЫ БЕЗОПАСНОСТИ

9.1. При обнаружении Инцидента безопасности ПД Обработчик обязан:

9.1.1. Уведомить Оператора в течение 24 (двадцати четырёх) часов с момента обнаружения Инцидента. Уведомление направляется по email, указанному в учётной записи Заказчика.

9.1.2. Предоставить Оператору следующую информацию:

• дата и время обнаружения Инцидента;
• описание характера Инцидента;
• категории и приблизительное количество затронутых субъектов ПД;
• категории и приблизительный объём затронутых записей ПД;
• предполагаемые последствия Инцидента;
• принятые и планируемые меры по устранению последствий.

9.1.3. Принять незамедлительные меры по минимизации последствий Инцидента.

9.1.4. Провести расследование Инцидента и предоставить Оператору отчёт о результатах расследования в течение 72 (семидесяти двух) часов.

9.2. Оператор самостоятельно принимает решение об уведомлении субъектов ПД и Роскомнадзора об Инциденте с учётом информации, предоставленной Обработчиком.

9.3. Обработчик оказывает Оператору разумное содействие в уведомлении субъектов ПД и Роскомнадзора.

10. ПРЕКРАЩЕНИЕ ОБРАБОТКИ И ВОЗВРАТ ДАННЫХ

10.1. При прекращении Договора SaaS (по любому основанию) Обработчик:

10.1.1. Прекращает обработку ПД покупателей Магазина Заказчика, за исключением хранения на период, предусмотренный п. 10.1.2–10.1.4.

10.1.2. Предоставляет Оператору возможность экспорта данных в течение:

• 30 (тридцати) дней — при расторжении по инициативе Оператора;
• 14 (четырнадцати) дней — при расторжении по инициативе Обработчика.

10.1.3. Формат экспорта: JSON и/или CSV. Экспорт осуществляется через Личный кабинет или по запросу в службу поддержки.

10.1.4. По истечении срока для экспорта — уничтожает ПД покупателей Магазина Заказчика в течение 30 (тридцати) дней. Уничтожение подтверждается актом, который направляется Оператору по запросу.

10.1.5. ПД, содержащиеся в резервных копиях, уничтожаются в рамках штатного цикла ротации резервных копий, но не позднее 90 (девяноста) дней с момента прекращения Договора.

10.2. Обработчик вправе сохранить обезличенные и агрегированные данные (не позволяющие идентифицировать субъектов ПД) для целей статистики и улучшения Платформы.

11. ПРОВЕРКИ И АУДИТ

11.1. Оператор вправе запросить у Обработчика информацию, подтверждающую соблюдение условий настоящего DPA, не чаще 1 (одного) раза в 12 месяцев.

11.2. Обработчик предоставляет запрошенную информацию в течение 15 (пятнадцати) рабочих дней.

11.3. Информация может включать:

• перечень принятых мер по защите ПД;
• актуальный перечень субобработчиков;
• результаты внутренних аудитов безопасности (в обезличенном виде);
• подтверждение наличия внутренних документов по обработке ПД.

11.4. Обработчик не обязан раскрывать информацию, составляющую коммерческую тайну, или информацию, раскрытие которой может нарушить безопасность других клиентов Платформы.

12. ОТВЕТСТВЕННОСТЬ

12.1. Обработчик несёт ответственность за нарушение условий настоящего DPA в пределах, установленных Договором SaaS (совокупная ответственность не превышает сумму оплаты за Расчётный период).

12.2. Обработчик не несёт ответственности за:

• нарушения, допущенные Оператором (отсутствие согласия субъекта ПД, незаконный сбор данных и т.п.);
• последствия обработки ПД, переданных Оператором в нарушение п. 3.3.2;
• действия субобработчиков, указанных в п. 7.2, в пределах их собственных зон ответственности.

12.3. Каждая Сторона самостоятельно несёт административную ответственность за нарушение законодательства о ПД в пределах своей зоны ответственности (ст. 13.11 КоАП РФ).

13. СРОК ДЕЙСТВИЯ

13.1. Настоящее DPA вступает в силу с момента акцепта Договора SaaS и действует в течение всего срока действия Договора SaaS.

13.2. Обязательства по конфиденциальности и уничтожению ПД (разделы 10, 12) сохраняют силу после прекращения DPA.

14. ПРИМЕНИМОЕ ПРАВО

14.1. Настоящее DPA регулируется законодательством Российской Федерации.

14.2. Основные нормативные акты:

• Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
• Постановление Правительства РФ от 01.11.2012 № 1119;
• Приказ ФСТЭК России от 18.02.2013 № 21;
• Приказ ФСБ России от 10.07.2014 № 378.

14.3. Споры разрешаются в порядке, установленном Договором SaaS.

РЕКВИЗИТЫ ОБРАБОТЧИКА

ООО «КНОТТА» ОГРН: 1262600003423 ИНН: 2634117059 Юридический адрес: 355002, Ставропольский край, г. Ставрополь, ул. Пушкина, д. 65В, помещение 145 Email: legal@serkl.co Сайт: https://serkl.co

Документ разработан в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (ч. 3 ст. 6), Постановлением Правительства РФ от 01.11.2012 № 1119, Приказом ФСТЭК России от 18.02.2013 № 21.