Поручение на обработку персональных данных (DPA)
1. Стороны и термины
1.1. Настоящее поручение на обработку персональных данных (далее - "DPA") определяет условия обработки персональных данных, которые Пользователь размещает/обрабатывает в SaaS-сервисе QUBIX CRM (далее - "Сервис"). 1.2. Оператор - Пользователь (юридическое лицо/ИП/физическое лицо), который самостоятельно определяет цели и состав персональных данных, размещаемых в Сервисе, и выступает оператором персональных данных в отношении своих клиентов, сотрудников и контрагентов. 1.3. Обработчик - Администратор Сервиса: ИП Попов Марк Антонович, ИНН 741115189398, ОГРНИП 323745600048337, email: hello@qubix-crm.ru, осуществляющий обработку персональных данных по поручению Оператора. 1.4. Персональные данные - любая информация, относящаяся к прямо или косвенно определяемому физическому лицу, которую Оператор размещает или иным образом обрабатывает в Сервисе. 1.5. Субпроцессор - третье лицо, привлекаемое Обработчиком для обеспечения работы Сервиса, которому может предоставляться доступ к персональным данным в объеме, необходимом для оказания услуг. 1.6. Термины, не определенные в DPA, толкуются в соответствии с ФЗ N152-ФЗ "О персональных данных" и документами Сервиса (Оферта/Пользовательское соглашение/Политика ПД).
2. Предмет поручения и цели обработки
2.1. Оператор поручает, а Обработчик принимает на себя обязательство осуществлять обработку персональных данных Оператора в рамках предоставления доступа к Сервису. 2.2. Обработчик обрабатывает персональные данные исключительно: по поручению Оператора и в интересах Оператора; в целях обеспечения функционирования Сервиса, исполнения договора (Оферта/Пользовательское соглашение), технической поддержки; в целях обеспечения информационной безопасности и предотвращения злоупотреблений; для исполнения требований законодательства РФ (например, по запросу уполномоченных органов при наличии законного основания). 2.3. Обработчик не определяет цели обработки персональных данных, размещаемых Оператором в Сервисе, и не использует такие данные в собственных целях, кроме случаев, прямо предусмотренных законом и/или настоящим DPA.
3. Перечень операций и способ обработки
3.1. Перечень действий (операций) с персональными данными, выполняемых Обработчиком по поручению Оператора: сбор, запись, систематизация, накопление, хранение, уточнение (обновление/изменение), извлечение, использование, предоставление доступа уполномоченным пользователям Оператора внутри Сервиса, блокирование, удаление, уничтожение. 3.2. Обработка осуществляется преимущественно автоматизированным способом, включая передачу информации по сети Интернет в процессе использования Сервиса.
4. Категории субъектов и состав персональных данных
4.1. Категории субъектов персональных данных: - клиенты Оператора; - сотрудники/представители Оператора; - контрагенты Оператора; - иные лица, сведения о которых Оператор размещает в Сервисе. 4.2. Категории персональных данных определяются Оператором и могут включать (в зависимости от использования Сервиса): ФИО, телефоны, email, должности, адреса, реквизиты организаций, сведения по сделкам/задачам/проектам, переписку, комментарии, документы и иные данные, добавляемые Оператором. 4.3. Оператор обязуется не размещать в Сервисе специальные категории персональных данных (ст. 10 ФЗ-152) и биометрические персональные данные (ст. 11 ФЗ-152) при отсутствии законных оснований и необходимых условий обработки. Обработчик вправе ограничить обработку/хранение таких данных при выявлении рисков или нарушений.
5. Обязанности и гарантии Оператора
5.1. Оператор гарантирует, что: a) имеет законные основания для обработки персональных данных и передачи их Обработчику; b) получил необходимые согласия субъектов персональных данных и/или имеет иные законные основания; c) уведомил субъектов в необходимых случаях и обеспечивает реализацию их прав; d) определил цели обработки и состав персональных данных; e) самостоятельно определяет круг лиц, которым предоставляет доступ к Порталу/Сервису, и несет ответственность за их действия. 5.2. Оператор обязуется своевременно рассматривать обращения субъектов персональных данных и/или уполномоченных органов, относящиеся к деятельности Оператора как оператора ПД.
6. Обязанности и права Обработчика
6.1. Обработчик обязуется: a) обрабатывать персональные данные в пределах поручения и целей, указанных в DPA; b) обеспечивать конфиденциальность персональных данных; c) принимать необходимые правовые, организационные и технические меры защиты персональных данных; d) ограничивать доступ к персональным данным только уполномоченным лицам; e) по запросу Оператора предоставлять общую информацию о применяемых мерах защиты (без раскрытия сведений, которые могут снизить безопасность Сервиса). 6.2. Обработчик вправе: - привлекать субпроцессоров на условиях раздела 8; - применять меры защиты и ограничения (блокировки, лимиты, приостановка операций) для предотвращения злоупотреблений и защиты Сервиса; - исполнять требования уполномоченных органов в случаях и порядке, предусмотренных законодательством РФ.
7. Локализация и трансграничная передача
7.1. Обработчик обеспечивает хранение и обработку персональных данных с использованием баз данных, расположенных на территории Российской Федерации. 7.2. Трансграничная передача персональных данных в рамках Сервиса не осуществляется, если иное не будет прямо согласовано сторонами и/или не потребуется по закону.
8. Субпроцессоры
8.1. Оператор соглашается, что Обработчик вправе привлекать субпроцессоров, необходимых для функционирования Сервиса, при условии соблюдения ими конфиденциальности и требований к защите персональных данных. 8.2. Категории субпроцессоров (по функционалу): - хостинг/дата-центры и инфраструктурные провайдеры (РФ); - сервисы отправки электронных писем (SMTP), включая техническую инфраструктуру доставки; - сервисы автозаполнения/проверки реквизитов (например, DaData) - при использовании функционала; - платежная организация/банк (Банк Точка) - для проведения оплаты (при этом Обработчик не получает и не хранит полные данные банковских карт). 8.3. Актуальный перечень ключевых субпроцессоров может публиковаться в Политике обработки ПД и/или документации Сервиса. Существенные изменения состава ключевых субпроцессоров могут публиковаться на сайте/в документации без индивидуального уведомления, если иное не требуется законом.
9. Меры защиты персональных данных
9.1. Обработчик применяет организационные и технические меры защиты персональных данных, соответствующие требованиям законодательства РФ и общепринятым отраслевым практикам, включая (при наличии и применимости): - защиту каналов передачи данных (например, HTTPS); - разграничение прав доступа и ролевую модель; - учет действий (логирование) и контроль аутентификации; - безопасное хранение учетных данных; - ограничение доступа к инфраструктуре и базам данных; - обновления и устранение уязвимостей по мере выявления. 9.2. Оператор понимает, что абсолютная защищенность данных в сети Интернет не может быть гарантирована, однако Обработчик принимает разумные меры для минимизации рисков.
10. Инциденты безопасности
10.1. При выявлении существенного инцидента безопасности, затрагивающего персональные данные Оператора, Обработчик уведомляет Оператора в разумный срок после выявления, при наличии технической возможности установить факт и характер инцидента. 10.2. Уведомление может содержать доступную на момент уведомления информацию: характер инцидента, затронутые категории данных (если известны), предпринятые меры и рекомендации.
11. Запросы субъектов и уполномоченных органов
11.1. Если Обработчик получает запрос субъекта персональных данных, относящийся к данным Оператора, Обработчик вправе перенаправить запрос Оператору и/или запросить у Оператора инструкции, поскольку обязанность ответа обычно лежит на Операторе. 11.2. Для предотвращения мошеннических запросов Обработчик вправе запросить подтверждение личности/полномочий заявителя в разумном объеме. 11.3. При получении законного требования от уполномоченных органов Обработчик действует в соответствии с законодательством РФ.
12. Срок обработки и удаление
12.1. Обработка персональных данных осуществляется в течение срока действия договора между сторонами (Оферта/Подписка/использование Сервиса) и до момента удаления Портала/Аккаунта либо прекращения обработки по основаниям, предусмотренным законом. 12.2. Удаление данных: - по инициативе Оператора - в порядке, предусмотренном функционалом Сервиса и Пользовательским соглашением; - при прекращении использования - по правилам Пользовательского соглашения (в т.ч. для бесплатного тарифа при неактивности). 12.3. Уничтожение персональных данных осуществляется способом, исключающим возможность последующего восстановления, и может подтверждаться актом и/или записью в журнале/логах (в зависимости от технических возможностей и процедур). 12.4. Резервные копии (если используются) перезаписываются в рамках технологического цикла. До перезаписи данные могут сохраняться в бэкапах, при этом не используются для операционной деятельности, кроме восстановления при авариях, если это необходимо.
13. Конфиденциальность
13.1. Обработчик обязуется не раскрывать персональные данные третьим лицам и не использовать их в собственных целях, за исключением: - привлечения субпроцессоров (раздел 8); - случаев, предусмотренных законодательством РФ; - случаев, необходимых для обеспечения работы Сервиса и исполнения договора.
14. Ответственность
14.1. Каждая сторона несет ответственность в пределах своей роли по законодательству РФ. 14.2. Оператор несет ответственность за законность сбора и передачи персональных данных в Сервис и за содержание данных, размещаемых в Портале. 14.3. Ответственность Обработчика ограничивается условиями Пользовательского соглашения и Публичной оферты, если иное не предусмотрено императивными нормами законодательства РФ.
15. Заключительные положения
15.1. DPA вступает в силу с момента Акцепта Оферты и действует в течение срока использования Сервиса. 15.2. Обработчик вправе обновлять DPA. Новая редакция применяется с момента публикации на сайте, если иное не предусмотрено законом. 15.3. Контакт по вопросам обработки персональных данных: hello@qubix-crm.ru.
