Поручение на обработку персональных данных

Настоящее Поручение на обработку персональных данных (далее — Поручение) является неотъемлемой частью Лицензионного соглашения / Условий использования сервиса (далее — Соглашение). Акцепт настоящего Поручения совершается Лицензиатом/Клиентом одновременно с акцептом Соглашения в порядке, предусмотренном Соглашением. Если Лицензиат/Клиент не согласен с условиями Поручения, он обязан незамедлительно прекратить использование Сервиса для обработки Персональных данных третьих лиц.

«Сервис» (Система) — совокупность функциональных возможностей облачной системы программного обеспечения «ВОсС» (ВОсС), включая модули учета оборудования, автомобильных реестров и автоматизации служебных командировок, находящаяся под управлением Обработчика и доступная по адресу https://app-voss.ru.

«Обработчик» — компания ООО «МИРА-Софт», зарегистрированная по адресу: 305001, Российская Федерация, Краснодарский край, г. Краснодар, ул. Садовая, д. 30, осуществляющая обработку Персональных данных по поручению Оператора в рамках предоставления вычислительных мощностей и технического доступа к Сервису на территории Российской Федерации.

«Клиент» (Лицензиат) — физическое лицо, индивидуальный предприниматель или юридическое лицо, заключившее Соглашение на использование Сервиса «ВОсС» на условиях пробного или платного тарифного плана.

«Сайт» — автоматизированная информационная система, доступная в сети Интернет по сетевому адресу (включая все поддомены): https://app-voss.ru.

«Домен аккаунта» — уникальный домен третьего уровня, выделяемый Клиенту при регистрации в Системе вида https://[имя_аккаунта].app-voss.ru, в рамках которого разворачивается обособленная рабочая среда (база данных) Клиента.

«Аккаунт» (Рабочее пространство) — изолированная совокупность данных, Домена аккаунта, программного обеспечения и Пользовательских материалов, относящаяся к конкретному Клиенту.

«Пользовательские материалы» — любые структурированные данные, включая текстовую, графическую и цифровую информацию, вносимую, загружаемую или передаваемую Клиентом или его Пользователями в Сервис «ВОсС» в процессе его эксплуатации (включая сведения об оборудовании, путевых листах, командировочных расходах и т.д.).

«Оператор» — Клиент, который самостоятельно и по своему усмотрению определяет цели, задачи и состав Персональных данных, подлежащих обработке в выделенном ему Аккаунте, а также уполномочивает Обработчика осуществлять техническую обработку этих данных на условиях настоящего Поручения в смысле Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

«Администраторы» — назначенные Клиентом Конечные пользователи, наделенные расширенными правами управления Аккаунтом, конфигурации модулей и распределения прав доступа от имени Клиента.

«Конечный пользователь» (Сотрудник) — физическое лицо (включая штатных сотрудников, водителей, подрядчиков или клиентов Оператора), которому Оператор или его Администраторы предоставили доступ в Аккаунт для выполнения должностных или функциональных обязанностей.

«Пользователь» — обобщенное понятие, включающее Клиента, Администраторов и Конечных пользователей Аккаунта.

«Персональные данные» (ПД) — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), размещенная Оператором или Пользователями в Аккаунте Системы.

«Пользовательские данные» — неразрывная совокупность Персональных данных и Пользовательских материалов в рамках одного Аккаунта.

«Обработка персональных данных» — любое техническое действие (операция) или совокупность действий (операций) с ПД, совершаемых Сервисом автоматизировано по поручению Оператора (включая хранение, запись, систематизацию, извлечение, блокирование, удаление и уничтожение).

«Нарушение информационной безопасности» (Инцидент) — установленный факт несанкционированного доступа, случайной утечки, незаконной передачи или раскрытия Персональных данных третьим лицам, повлекший нарушение конфиденциальности.

«Адрес Поручения» — постоянное место размещения актуальной редакции настоящего документа в сети Интернет: https://app-voss.ru/docs/dpa.

3.1. Настоящее Поручение распространяется на всех Клиентов Сервиса, которые являются резидентами Российской Федерации и используют вычислительные мощности и центры хранения Пользовательских данных Обработчика, физически расположенные на территории Российской Федерации.

3.2. Оператор поручает, а Обработчик принимает на себя обязательства по технической обработке и размещению Пользовательских данных, которые вносятся, обрабатываются или будут обрабатываться Оператором с использованием функциональных возможностей Сервиса в выделенном Оператору Аккаунте.

3.3. Основные положения поручения:

3.3.1. Цели обработки Персональных данных: предоставление вычислительных мощностей для размещения Аккаунта на серверах Обработчика, обеспечение технической работоспособности модулей Системы (включая учет материальных ценностей, ведение реестров и автоматизацию рабочих процессов), а также обеспечение сохранности и конфиденциальности данных.

3.3.2. Перечень действий (операций) по обработке персональных данных, выполняемых Сервисом в рамках Поручения:

• (а) запись, систематизация и накопление;
• (б) хранение в изолированных базах данных;
• (в) уточнение (обновление, изменение) по запросу Пользователей;
• (г) извлечение и предоставление доступа авторизованным Пользователям Оператора;
• (д) уничтожение и удаление Персональных данных при ликвидации Аккаунта.

3.3.3. Перечень категорий Персональных данных, обрабатываемых в рамках Поручения (определяется Оператором самостоятельно исходя из производственной необходимости и обычно включает):

• (а) фамилию, имя, отчество (при наличии) сотрудников;
• (б) контактные данные (рабочий адрес электронной почты, номер телефона);
• (в) сведения о месте работы, должности;
• (г) информацию о взаимодействии внутри Системы (сведения о закрепленном за сотрудником оборудовании, транспортных средствах, созданных заявках и служебных командировках);
• (д) графические изображения (фотографии, загружаемые Пользователями в качестве аватаров профиля);
• (е) иные Персональные данные, не относящиеся к специальным или биометрическим категориям, размещаемые Оператором в Аккаунте по своему усмотрению.

Оператор гарантирует, что обязуется не размещать в Аккаунте специальные категории Персональных данных (в смысле статьи 10 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных») или биометрические Персональные данные (в смысле статьи 11 указанного Федерального закона) без получения отдельного письменного согласия субъектов и предварительного письменного уведомления Обработчика.

Содержание и перечень обрабатываемых Персональных данных сотрудников определяются Оператором самостоятельно, исходя из требований действующего законодательства Российской Федерации в области деятельности, автоматизируемой с помощью Сервиса «ВОсС».

3.3.4. Способ выдачи Поручения: совершение конклюдентных действий, а именно использование технической функциональности и интерфейса Сервиса. Данный способ является полной, достаточной и окончательной инструкцией Оператора, выданной Обработчику.

3.3.5. Срок действия Поручения: в течение всего периода использования Оператором Сервиса в соответствии с основным Лицензионным соглашением, включая регламентированный период временной блокировки (заморозки) Аккаунта.

4.1. Оператор (Клиент) гарантирует и заверяет Обработчика, что на протяжении всего срока использования Сервиса он:

• (а) получил Персональные данные всех вносимых в Систему сотрудников и третьих лиц исключительно законными способами;
• (б) обладает всеми необходимыми правовыми основаниями для обработки указанных данных (включая надлежащим образом оформленные согласия субъектов на обработку и передачу их Персональных данных Обработчику для технического хранения и обеспечения работы Системы);
• (в) в полной мере соблюдает принципы, правила и условия обработки Персональных данных, установленные законодательством Российской Федерации (в том числе Федеральным законом № 152-ФЗ).

4.2. Оператор гарантирует, что любое лицо, получившее доступ к Аккаунту и осуществляющее действия с использованием функциональных возможностей Сервиса (включая назначенных Администраторов и Конечных пользователей), действует строго от имени Оператора, в его интересах и в соответствии с его внутренними должностными инструкциями. Оператор несет полную и единоличную ответственность перед Обработчиком и третьими лицами за любые нарушения условий настоящего Поручения или законодательства РФ, совершенные указанными Пользователями в рамках его Аккаунта.

4.3. Заверения и гарантии Оператора, зафиксированные в пункте 4.1 настоящего Поручения, признаются достоверными, действующими и имеющими юридическую силу в любой момент времени и на протяжении всего периода обработки Персональных данных в рамках Сервиса «ВОсС».

4.4. Оператор в полной мере осознает и признает технический факт того, что любое использование функциональных модулей Сервиса (внесение информации в реестры, привязка оборудования к профилям, формирование маршрутов и командировочных документов) является процессом автоматизированной обработки Персональных данных, осуществляемым Обработчиком строго по заданию и технической инструкции самого Оператора.

5.1. Обработчик обязуется строго соблюдать цели, правила и ограничения обработки Персональных данных, определенные в настоящем Поручении и основном Соглашении.

5.2. Обработчик имеет право исполнять настоящее Поручение как самостоятельно, так и с привлечением третьих лиц (субподрядчиков/провайдеров). При этом Обработчик остается в полной мере ответственным перед Оператором за выполнение всех обязательств по настоящему Поручению.

5.2.1. Допустимые категории привлекаемых Обработчиком третьих лиц включают:

• (а) провайдеров облачной инфраструктуры и дата-центров (хостинг, хранение баз данных и резервных копий на территории РФ);
• (б) провайдеров платежной обработки (сертифицированные интернет-эквайринги для приема оплаты за тарифы Сервиса);
• (в) провайдеров веб-аналитики и мониторинга доступности ИТ-инфраструктуры;
• (г) провайдеров коммуникационных сервисов (шлюзы для доставки email-, SMS- и push-уведомлений, обеспечивающих логику согласования командировок и учета оборудования);
• (д) иных лиц, привлекаемых Обработчиком для исполнения изолированных технических функций Сервиса.

5.2.2. Обработчик гарантирует, что:

• (а) передача или предоставление доступа к Персональным данным третьим лицам ограничены минимальным объемом, технически необходимым для выполнения их непосредственных функций;
• (б) Пользовательские данные Оператора ни при каких обстоятельствах не используются для целей, не предусмотренных Поручением, в том числе не используются для сбора статистики, маркетинга, обучения, тюнинга или иной модификации моделей искусственного интеллекта (нейросетей).

5.2.3. Обработчик вправе изменять конкретных подрядчиков в рамках утвержденных в пункте 5.2.1 категорий без предварительного отдельного уведомления Оператора. Добавление принципиально новой категории третьих лиц производится с обязательным уведомлением Оператора в порядке, предусмотренном пунктом 7.3 настоящего Поручения.

5.3. Обработчик обязан соблюдать строгую конфиденциальность и внедрять комплекс необходимых организационных и технических мер для обеспечения безопасности Персональных данных при их автоматизированной обработке в Системе «ВОсС».

5.4. Обработчик обязуется добросовестно сотрудничать с Оператором и оказывать ему разумное содействие при рассмотрении и урегулировании запросов, жалоб или требований уполномоченных органов и субъектов данных, касающихся настоящего Поручения. В случае получения Обработчиком прямого запроса от субъекта ПД (например, сотрудника Оператора), Обработчик обязан уведомить об этом Оператора в течение 3 (трех) рабочих дней с момента получения обращения путем направления уведомления на электронную почту Владельца аккаунта.

5.5. Обработчик несет ответственность перед Оператором за ненадлежащее исполнение Поручения, включая действия или бездействие своих работников, получивших санкционированный доступ к обрабатываемым данным, повлекшие их неправомерное разглашение, в пределах размера реального (прямого) ущерба, подтвержденного документально.

5.5.1. Совокупный предельный размер ответственности Обработчика по настоящему Поручению (включая любые компенсации и убытки) ограничен суммой, не превышающей общую стоимость Услуг (лицензий), фактически уплаченную Оператором за 12 (двенадцать) календарных месяцев, предшествующих событию, повлекшему ответственность.

5.5.2. Ограничение ответственности, установленное пунктом 5.5.1, не применяется:

• (а) в случае умышленного нарушения Обработчиком или его сотрудниками условий конфиденциальности (в соответствии с пунктом 4 статьи 401 Гражданского кодекса РФ);
• (б) в отношении сумм административных штрафов, наложенных Роскомнадзором или иными уполномоченными государственными органами на Оператора, если причиной правонарушения явилось прямое, виновное и доказанное нарушение Обработчиком своих обязательств по защите данных, зафиксированных в настоящем Поручении.

6.1. Оператор самостоятельно устанавливает внутренние требования к защите обрабатываемых персональных данных своих сотрудников в соответствии со статьями 18.1 и 19 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных». Данное обязательство распространяется исключительно на внутренний контур Оператора и не должно трактоваться как установление локальных требований Оператора к технической инфраструктуре Обработчика.

6.2. Обработчик принимает комплекс необходимых правовых, организационных и технических мер конфиденциальности и безопасности при исполнении Поручения с использованием средств автоматизации в соответствии с требованиями части 5 статьи 18, статей 18.1 и 19 Федерального закона № 152-ФЗ. Подробные принципы защиты зафиксированы в Политике конфиденциальности Сервиса.

6.3. Для обеспечения безопасности и целостности данных Аккаунта Обработчик внедряет программно-аппаратные методы защиты, направленные на предотвращение несанкционированного или случайного доступа, уничтожения, модификации, блокирования, копирования, распространения или предоставления информации третьим лицам без ведома Оператора.

6.4. Базы данных и серверные мощности Сервиса, обеспечивающие обработку данных резидентов РФ, физически размещены на арендованных изолированных мощностях ИТ-партнера Обработчика (АО «ИОТ») в специализированных дата-центрах на территории Российской Федерации по адресам: АО «Датацентр» (РФ, Московская область, г. Химки, ул. Нагорное шоссе, 2) и ООО «Икселерейт» (РФ, г. Москва, Алтуфьевское шоссе, дом 33Г), либо на иных технологических площадках партнера, находящихся строго в пределах границ Российской Федерации.

6.5. Для всех Аккаунтов Сервиса доступ к данным и сессиям Пользователей осуществляется исключительно с использованием современных криптографических протоколов передачи данных (SSL/TLS), отвечающих актуальным индустриальным стандартам. Применяемые протоколы и алгоритмы шифрования трафика своевременно обновляются Обработчиком, что исключает возможность перехвата данных между устройством Пользователя и сервером Системы в процессе работы.

6.6. Технические меры защиты ИТ-инфраструктуры Сервиса включают в себя:

• (а) использование механизмов строгой аутентификации пользователей при доступе к личному кабинету;
• (б) развертывание сетевых экранов (Firewalls) для ограничения и фильтрации входящего трафика ко всей серверной инфраструктуре;
• (в) применение межсетевых экранов уровня веб-приложений (Web Application Firewall / WAF) для защиты от распространенных сетевых атак;
• (г) реализацию систем автоматического и полуавтоматического реагирования на внештатные ситуации и инциденты безопасности;
• (д) регулярное проведение внутреннего аудита безопасности исходного кода Системы и конфигураций операционных систем;
• (е) непрерывный мониторинг активности системных компонентов и своевременное накатывание патчей безопасности (обновлений) программного обеспечения при обнаружении уязвимостей.

6.7. Несмотря на то, что Обработчик технически не инициирует размещение Пользовательских данных в Системе и не осуществляет премодерацию или контроль их актуальности, Обработчик оставляет за собой право в исключительных случаях (при получении мотивированных жалоб или требований государственных органов) запрашивать у Оператора подтверждение правомерности внесения определенных сведений в Систему.

6.8. Обработчик не несет ответственности за конфиденциальность, сохранность или неправомерное использование третьими лицами тех данных или информационных материалов, публичный доступ к которым был предоставлен самим Оператором или его Пользователями умышленно или в силу неосторожности (например, передача учетных данных третьим лицам или публикация внутренних ссылок).

6.9. Данные внутри рабочих контуров (Аккаунтов) Клиентов являются строго конфиденциальными и полностью изолированными. Настоящий раздел о публичности применяется исключительно к действиям Пользователей за пределами рабочей Системы — например, при добровольной отправке отзывов для публикации на маркетинговом Сайте Поставщика или при открытом комментировании публичных материалов.

7.1. В случае если Обработчику станет достоверно известно о произошедшем несанкционированном доступе, случайной утечке или ином Инциденте информационной безопасности, повлекшем нарушение конфиденциальности Пользовательских данных в Системе, Обработчик обязуется:

• (а) в течение 24 (двадцати четырех) часов с момента обнаружения инцидента уведомить Оператора путем направления официального сообщения на электронную почту Владельца аккаунта;
• (б) незамедлительно принять все технически возможные и обоснованные меры для локализации инцидента, смягчения его последствий и минимизации потенциального ущерба.

7.2. Обработчик обязуется предоставить Оператору имеющуюся техническую информацию о характере инцидента и оказать разумную поддержку, необходимую Оператору для выполнения его законных обязанностей по уведомлению уполномоченных государственных органов (Роскомнадзора) в установленные законодательством РФ сроки.

7.3. Технический факт исполнения Обработчиком обязанности по своевременному информированию об инциденте или ликвидации его последствий в соответствии с настоящим разделом не является автоматическим признанием со стороны Обработчика какой-либо вины или гражданско-правовой ответственности за сам факт возникновения инцидента, если он произошел по независящим от Обработчика причинам.

7.4. Оператор обязуется принимать необходимые организационные меры внутри своей компании для предотвращения инцидентов. Это включает в себя строгий контроль за распределением ролей (Администраторы/Сотрудники) в системе «ВОсС», обеспечение конфиденциальности учетных данных (логинов и паролей) Пользователей и пресечение фактов передачи доступов третьим лицам. Полная ответственность за надежность, безопасность и конфиденциальность выбранных Пользователями паролей лежит на Операторе.

7.5. В случае если инцидент информационной безопасности (например, компрометация учетных данных Администратора организации) произошел на стороне Оператора или в связи с действиями (бездействием) его сотрудников, Оператор обязуется самостоятельно заблокировать скомпрометированные профили и уведомить Обработчика в течение 48 (сорока восьми) часов с момента обнаружения инцидента.

7.6. Обработчик не несет ответственности за любые негативные последствия или утечки данных в той мере, в какой они были вызваны действиями, неосторожностью или бездействием самого Оператора, назначенных им Администраторов или Конечных пользователей. Настоящее ограничение ответственности не применяется исключительно в случаях, когда инцидент стал прямым следствием умышленного нарушения Обработчиком условий безопасности (в соответствии с пунктом 4 статьи 401 Гражданского кодекса Российской Федерации).

8.1. Настоящее Поручение регулируется, исполняется и подлежит толкованию в соответствии с действующим материальным и процессуальным правом Российской Федерации.

8.2. Все споры, разногласия или требования, которые могут возникнуть между Обработчиком и Оператором в ходе исполнения или расторжения настоящего Поручения, подлежат обязательному досудебному урегулированию путем переговоров и обмена письменными претензиями. Срок ответа на претензию составляет 15 (пятнадцать) рабочих дней с момента ее получения. В случае недостижения согласия спор передается на рассмотрение в Арбитражный суд по месту нахождения Обработчика.

8.3. Обработчик имеет право в одностороннем порядке вносить изменения и дополнения в текст настоящего Поручения в связи с изменением технологической логики Сервиса или реформами законодательства РФ. Обновленный текст Поручения публикуется в открытом доступе по постоянному адресу: https://app-voss.ru/docs/dpa и вступает в силу с момента его публикации, если иной срок не указан в самом тексте новой редакции. Обработчик обязуется уведомлять Оператора об изменениях через интерфейс Системы и/или путем направления письма на адрес электронной почты Владельца аккаунта.

8.4. Продолжение авторизации и технической эксплуатации Сервиса «ВОсС» Пользователями Оператора после даты вступления в силу обновленной редакции Поручения признается полным и безоговорочным акцептом (принятием) данных изменений Оператором. Оператор, не согласный с обновленными условиями Поручения, обязан в одностороннем порядке прекратить обработку персональных данных третьих лиц в Системе и инициировать процедуру удаления своего Аккаунта в порядке, предусмотренном основным Лицензионным соглашением.