Поручение Лицензиата на обработку персональных данныхНастоящее Приложение № 2 «Поручение Лицензиата на обработку персональных» (
https://nopaper.ru/personal-information) (далее – Поручение) к лицензионному договору-оферте, размещенному по адресу
https://nopaper.ru/terms-of-use-enterprise (далее – Договор), устанавливает для Лицензиара и Лицензиата права и обязанности, связанные с обработкой персональных данных при использовании компонентов Модуля «Безбумажный офис» (ОЕМ-версия). Приложение является неотъемлемой частью Договора, акцептуя Договор, Пользователь в полной мере и безоговорочно выдает Поручение.
1. Термины и определенияТермины и определения по тексту Поручения используются в том значении, в каком они употреблены в Договоре, за исключением отдельно приведенных терминов и определений ниже:
1.1. Субъект – физическое лицо, которое является Пользователем или намеревается им стать.
1.2. Персональные данные (также – ПДн) – информация, прямо или косвенно относящаяся к Субъекту.
1.3. Оператор – лицо, осуществляющее обработку ПДн. В качестве Оператора может выступать как Лицензиар, так и Лицензиат.
2. Предмет Поручения2.1. При использовании Модуля (его отдельных компонентов) Лицензиат может получить Персональные данные Субъекта как Оператор, и поручить обработку этих данных Лицензиару.
2.2. Если при использовании Модуля (его отдельных компонентов) не осуществляется передача Персональных данных Субъекта, в частности, когда Субъект самостоятельно предоставляет Персональные данные Лицензиару при прохождении Регистрации в Сервисе согласно условиям Пользовательского соглашения https://nopaper.ru/, между Сторонами не возникает прав и обязанностей, связанных с Поручением. В таком случае Лицензиар выступает как независимый Оператор, обработка персональных данных регулируется им самостоятельно, в частности, производится на основании Политики конфиденциальности обработки персональных данных Сервиса (Приложение №3 к Пользовательскому соглашению https://nopaper.ru/personal-data-processing-rules).
2.3. Поручение является основанием обработки Лицензиаром Персональных данных, осуществляемой по поручению Лицензиата.
2.4. Лицензиат поручает Лицензиару обработку персональных данных в целях использования Модуля для юридически значимого электронного документооборота между Лицензиатом и Пользователями, в т.ч. для выпуска ключей электронной подписи, подписания электронного документа, хранения электронного документа в архиве, проверки электронной подписи.
2.5. Состав обрабатываемых Персональных данных определяется функциональностью используемого компонента Модуля.
2.6. Перечень действий (операций) с Персональными данными, которые поручается совершать Лицензиару:
• Накопление персональных данных;
• Использование персональных данных;
• Систематизация персональных данных;
• Уточнение персональных данных;
• Передача персональных данных;
• Хранение персональных данных;
• Блокирование персональных данных;
• Уничтожение, удаление персональных данных.
2.7. Лицензиат в рамках исполнения Поручения вправе привлечь третьих лиц к обработке Персональных данных. Таковыми могут выступать ООО «Яндекс.Облако» (ОГРН 1187746678580) (цель – хранение электронных документов), аккредитованный удостоверяющий центр ООО «АйТи Мониторинг» (ОГРН: 1152311003305) (цель – создание и выдача сертификатов ключей проверки квалифицированных электронных подписей).
2.8. Отдельные условия обработки Персональных данных, конкретные случаи передачи Персональных данных могут быть урегулированы по тексту Лицензионного договора.
3. Сбор Персональных данных Лицензиатом3.1. Предварительно передаче Лицензиару Персональных данных Субъектов Лицензиат обязуется получить от каждого из Субъектов надлежащим образом оформленное согласие на обработку персональных данных с возможностью передачи таких данных Лицензиару и гарантирует получение, наличие на момент отправки данных в Приложение, использования Модуля указанных согласий Пользователей в соответствии со ст.431.2 ГК РФ.
3.2. По запросу Лицензиара Лицензиат обязуется предоставить подтверждение получения соответствующих согласий (а равно сами эти согласия (надлежащим образом заверенные копии) не позднее 2 (Двух) рабочих дней с даты получения такого запроса на адрес электронной почты Лицензиара, с которого был направлен запрос.
3.3. В случае прекращения действия Договора, Лицензиар вправе запросить подтверждения получения всех согласий на обработку персональных данных, полученных от Субъектов, Персональные данные которых были собраны Лицензиатом, за весь период действия настоящего Договора.
4. Меры по соблюдению требований законодательства
4.1. Лицензиар при обработке Персональных данных по поручению Лицензиата обязан принимать меры, необходимые и достаточные для выполнения обязанностей, предусмотренных законодательством Российской Федерации, предусмотренные ст. 18.1 Закона:
4.1.1. назначить ответственного за организацию обработки Персональных данных;
4.1.2. издать документы, определяющие политику в отношении обработки Персональных данных, локальные акты по вопросам обработки Персональных данных в соответствии с п. 2 ч. 1 ст. 18.1 Закона;
4.1.3. осуществлять внутренний контроль и (или) аудит соответствия обработки Персональных данных Закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике в отношении обработки Персональных данных, локальным актам Лицензиара;
4.1.4. проводить оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона, а также оценивать соотношение указанного вреда и принимаемых Лицензиаром мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом;
4.1.5. ознакомить работников, непосредственно осуществляющих обработку Персональных данных, с положениями законодательства Российской Федерации о Персональных данных, в том числе требованиями к защите Персональных данных, документами, определяющими политику в отношении обработки Персональных данных, локальными актами по вопросам обработки Персональных данных, и (или) провести обучение указанных работников.
4.2. Лицензиат вправе запросить, а Лицензиар обязан предоставить в течение 30 (тридцати) рабочих дней с момента получения письменного запроса от Лицензиата информацию, подтверждающую принятие мер и соблюдение в целях исполнения поручения Лицензиата требований, установленных данным Соглашением и законодательством Российской Федерации.
5. Требования к защите персональных данных5.1. Лицензиар обязан выполнять требования к защите обрабатываемых персональных данных согласно ст. 19 Закона:
5.1.1. определить угрозы безопасности Персональных данных, порученных на обработку, если они будут обрабатываться в информационных системах Персональных данных Лицензиата;
5.1.2. в случае, если порученные на обработку Персональные данные обрабатываются Исполнителем в информационных системах Персональных данных, необходимо определить уровень защищенности Персональных данных при их обработке в информационных системах Персональных данных и выполнять требования, установленные в Постановлении Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
5.1.3. оценивать возможный вред субъекту Персональных данных при обработке его Персональных данных, которые были поручены на обработку, в случае реализации угроз безопасности Персональных данных;
5.1.4. применять прошедшие в установленном порядке процедуру оценки соответствия средств защиты информации;
5.1.5. оценивать эффективность принимаемых мер по обеспечению безопасности Персональных данных, порученных на обработку, до ввода в эксплуатацию информационной системы Персональных данных;
5.1.6. вести учет машинных носителей Персональных данных, если порученные на обработку Персональные данные будут на них фиксироваться;
5.1.7. обнаруживать факты несанкционированного доступа к Персональным данным, порученным на обработку, и принимать, в связи с этим необходимые меры;
5.1.8. восстанавливать Персональные данные, модифицированные или уничтоженные вследствие несанкционированного доступа к ним;
5.1.9. устанавливать правила доступа к Персональным данным, которые поручены на обработку и обрабатываются в информационных системах Персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с Персональными данными в информационной системе Персональных данных;
5.1.10. осуществлять контроль за принимаемыми мерами по обеспечению безопасности Персональных данных и уровнем защищенности информационных систем персональных данных.
6. Уничтожение Персональных данных6.1. В случае отзыва Субъектом персональных данных согласия на обработку персональных данных и отсутствия оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», допускающих обработку персональных данных без наличия Согласия субъекта, Лицензиат направляет Лицензиару запрос на удаление Персональных данных через Сервис (п. 11.3 Договора), либо на электронную почту Лицензиара help@nopaper.ru в срок не позднее 7 (семи) рабочих дней с даты получения запроса Субъекта.
6.2. Лицензиар уничтожает Персональные данные, которые были поручены ему на обработку, в течение 15 (пятнадцати) календарных дней с момента получения запроса, если обработка их не требуется согласно законодательству Российской Федерации, в том числе для достижения цели обработки.
6.3. После уничтожения Персональных данных Лицензиар уведомляет Лицензиата о факте уничтожения. В подтверждение Лицензиар вправе направить копии документов, а также документов, содержащих записи событий в информационных системах персональных данных Лицензиара, подтверждающих уничтожение Персональных данных, переданных ему на обработку.
6.4. В случае отсутствия возможности уничтожения Персональных данных в течение 15 (пятнадцати) календарных дней с момента поступления запроса от Лицензиата, Лицензиар осуществляет блокирование таких Персональных данных и обеспечивает уничтожение персональных данных в срок, не превышающий 6 (шести) месяцев.
6.5. В случае невозможности уничтожить Персональные данные по запросу Лицензиата в связи с необходимостью их обработки, связанной с исполнением требований законодательства Российской Федерации или необходимость достижения цели обработки, Лицензиар направляет мотивированное обоснование о невозможности уничтожения или блокировки Персональных данных Лицензиату в срок, не превышающий 15 (пятнадцати) календарных дней с момента поступления запроса.
7. Уведомление об инциденте безопасности7.1. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) Персональных данных, повлекшей нарушение прав субъектов Персональных данных, Лицензиар обязан с момента выявления такого инцидента уведомить Лицензиата посредством Сервиса или электронной почты Лицензиата (в лице его представителей), в течение 48 (сорока восьми) часов с момента выявления данного факта.
7.2. Уведомления и предоставление Лицензиаром Лицензиату информации о факте неправомерной или случайной передачи ни при каких обстоятельствах не будет трактоваться Сторонами, как признание или подтверждение ответственности Лицензиара за несанкционированный доступ (третьих лиц), передачу (третьим лицам), распространение (третьим лицам) Персональных данных, обрабатываемых по поручению.
8. Ответственность Сторон
8.1. Ответственность за обработку персональных данных перед Субъектом в случае поручения обработки, несет Лицензиат в полном объеме. Лицензиат обязуется самостоятельно отвечать на запросы контролирующих государственных органов (в т.ч. предоставлять подтверждение получения согласий на обработку данных), касающиеся обработки и защиты персональных данных, а равно на запросы Субъектов Персональных данных.
8.2. Лицензиар несет ответственность перед Лицензиатом, в пределах, установленных Договором, за действия в отношении обработки Персональных данных субъектов по поручению, повлекшие разглашение таких Персональных данных. В случае, если права Субъектов, обработка данных которых была поручена Лицензиару, будут нарушены, о чем свидетельствует вступившее в силу решение суда или административного органа, Лицензиар возмещает имущественные потери (реальные убытки) Лицензиата.
8.3. Лицензиат обязуется по требованию Лицензиара возместить имущественные потери, которые понесены или с неизбежностью будут понесены в будущем (в размере сумме штрафов, пеней, компенсаций и иных выплат в пользу любых третьих лиц, расходов на юридические и консультационные услуги) в связи с предъявлением Лицензиару претензий, требований, исков третьими лицами, а также привлечения Лицензиара к ответственности за нарушение установленного законом порядка обработки Персональных данных (в том числе за неполучение согласия на такую обработку) в случае, если такие претензии вызваны или ответственность наступила ввиду несоблюдения Лицензиатом законодательства о Персональных данных.
8.4. Ответственность Лицензиара, в любом случае, ограничивается размером лицензионного вознаграждения по Договору, уплаченного Лицензиатом в течение 1 (одного) календарного года, предшествующего предъявлению требования.