Поручение на обработку персональных данных
Настоящее поручение на обработку персональных данных (далее — Поручение) является неотъемлемой частью пользовательского соглашения с конечным пользователем (далее — ПС) и применяется к облачной программе «HelloClient» (далее — Программа).
Если вы не согласны с условиями Поручения, вы не можете использовать Программу.
Под акцептом в целях Поручения признается факт начала использования Программы.
Термины и определения
Для целей настоящего Поручения применяются следующие термины:
- Оператор - администратор портала или лицо, уполномоченное им и действующее от его имени, которое организует и осуществляет обработку персональных данных, а также определяет: цели обработки, состав персональных данных, подлежащих обработке, и действия (операции), совершаемые с персональными данными.
- Уполномоченное лицо - лицо, осуществляющее на основании договора с оператором обработку персональных данных от имени оператора или в его интересах. В данном Поручении Уполномоченным лицом выступает ООО "Клиентские Решения" (УНП 193782426)
- Персональные данные - любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано, размещенная Оператором в Портале.
- Субъект персональных данных – физическое лицо, к которому относятся обрабатываемые персональные данные и которое может быть идентифицировано на их основе
- Контент - информация, в составе которой могут быть персональные данные, размещенная/загруженная Оператором при использовании функциональностей Программы.
1. Предмет поручения
1.1. Оператор поручает, а Уполномоченное лицо принимает на себя обязательство по обработке персональных данных, осуществляя их накопление, хранение, передачу (в случаях, предусмотренных функциональностью Программы) и удаление в рамках предоставления права использования Программы.
1.2. Уполномоченное лицо осуществляет обработку персональных данных путем размещения Портала Оператора на арендуемых мощностях в дата-центрах, расположенных на территории Республики Беларусь.
1.3. Использование функциональных возможностей Программы Оператором является письменными инструкциями Оператора, выдаваемыми Уполномоченному лицу в отношении обработки персональных данных.
1.4. Оператор самостоятельно определяет цели обработки персональных данных, перечень действий, совершаемых в отношении персональных данных, а также состав и содержание персональных данных, обрабатываемых в Программе, в соответствии с требованиями действующего законодательства Республики Беларусь.
1.5. Уполномоченное лицо не контролирует и не изменяет перечень персональных данных, определяемых Оператором в рамках использования Программы, а также не осуществляет их обработку вне предусмотренных Поручением действий.
1.6. Стороны определили автоматизированный способ обработки персональных данных в рамках Поручения.
1.7. Поручение действует в течение всего срока использования Оператором Программы в соответствии с Лицензионным соглашением. После прекращения использования Программы персональные данные хранятся не более 3 лет, если иное не установлено законодательством.
1.2. Уполномоченное лицо осуществляет обработку персональных данных путем размещения Портала Оператора на арендуемых мощностях в дата-центрах, расположенных на территории Республики Беларусь.
1.3. Использование функциональных возможностей Программы Оператором является письменными инструкциями Оператора, выдаваемыми Уполномоченному лицу в отношении обработки персональных данных.
1.4. Оператор самостоятельно определяет цели обработки персональных данных, перечень действий, совершаемых в отношении персональных данных, а также состав и содержание персональных данных, обрабатываемых в Программе, в соответствии с требованиями действующего законодательства Республики Беларусь.
1.5. Уполномоченное лицо не контролирует и не изменяет перечень персональных данных, определяемых Оператором в рамках использования Программы, а также не осуществляет их обработку вне предусмотренных Поручением действий.
1.6. Стороны определили автоматизированный способ обработки персональных данных в рамках Поручения.
1.7. Поручение действует в течение всего срока использования Оператором Программы в соответствии с Лицензионным соглашением. После прекращения использования Программы персональные данные хранятся не более 3 лет, если иное не установлено законодательством.
2. Заверения и гарантии Оператора
2.1. Оператор заверяет и гарантирует, что:
2.3. Оператор понимает и соглашается, что в процессе исполнения настоящего Поручения Уполномоченное лицо вправе привлекать к обработке персональных данных третьих лиц, указанных в Политике обработки персональных данных, а также осуществлять передачу персональных данных, включая трансграничную передачу на территорию Российской Федерации, в том числе в рамках предоставления конкретных функциональностей Программы. Оператор гарантирует наличие правовых оснований для такой передачи.
2.4. Заверения и гарантии Оператора, указанные в п. 2.1–2.3, являются достоверными в любой момент времени/периода обработки персональных данных в рамках Поручения.
2.5. Оператор признает и осознает факт обработки и передачи персональных данных при использовании функциональностей Программы.
- Получил персональные данные законными способами;
- Обладает законными основаниями для обработки персональных данных (в том числе согласием субъектов персональных данных);
- Соблюдает принципы и правила обработки персональных данных, предусмотренные законодательством Республики Беларусь.
2.3. Оператор понимает и соглашается, что в процессе исполнения настоящего Поручения Уполномоченное лицо вправе привлекать к обработке персональных данных третьих лиц, указанных в Политике обработки персональных данных, а также осуществлять передачу персональных данных, включая трансграничную передачу на территорию Российской Федерации, в том числе в рамках предоставления конкретных функциональностей Программы. Оператор гарантирует наличие правовых оснований для такой передачи.
2.4. Заверения и гарантии Оператора, указанные в п. 2.1–2.3, являются достоверными в любой момент времени/периода обработки персональных данных в рамках Поручения.
2.5. Оператор признает и осознает факт обработки и передачи персональных данных при использовании функциональностей Программы.
3. Обязанности Уполномоченного лица
3.1. Уполномоченное лицо обязуется соблюдать ограничение обработки персональных данных, определенных в Поручении. Уполномоченное лицо обязуется осуществлять хранение персональных данных в рамках Поручения самостоятельно либо на условиях, предусмотренных Поручением.
3.2. Уполномоченное лицо обязуется добросовестно сотрудничать с Оператором и оказывать ему разумное содействие при рассмотрении и урегулировании запросов (жалоб, требований, предписаний, судебных исков), касающихся Поручения. В частности, Уполномоченное лицо, получившее такой запрос, обязано надлежащим образом уведомить об этом Оператора в течение 3 (трех) рабочих дней с момента наступления указанного события.
3.3. Ответственность Уполномоченного лица за нарушение условий настоящего Поручения ограничена размером реального ущерба, подтвержденного документально, но в любом случае не более стоимости лицензии на Программу за один месяц, приобретенной Оператором. В случае использования Оператором бесплатной версии Программы, Программа предоставляется «как есть», и Уполномоченное лицо не несет ответственности за нарушения условий настоящего Поручения.
3.4. Уполномоченное лицо имеет право привлекать к обработке третьих лиц, указанных на странице https://helloclient.by/partners, в том числе находящихся на территории Российской Федерации и ЕС.
3.2. Уполномоченное лицо обязуется добросовестно сотрудничать с Оператором и оказывать ему разумное содействие при рассмотрении и урегулировании запросов (жалоб, требований, предписаний, судебных исков), касающихся Поручения. В частности, Уполномоченное лицо, получившее такой запрос, обязано надлежащим образом уведомить об этом Оператора в течение 3 (трех) рабочих дней с момента наступления указанного события.
3.3. Ответственность Уполномоченного лица за нарушение условий настоящего Поручения ограничена размером реального ущерба, подтвержденного документально, но в любом случае не более стоимости лицензии на Программу за один месяц, приобретенной Оператором. В случае использования Оператором бесплатной версии Программы, Программа предоставляется «как есть», и Уполномоченное лицо не несет ответственности за нарушения условий настоящего Поручения.
3.4. Уполномоченное лицо имеет право привлекать к обработке третьих лиц, указанных на странице https://helloclient.by/partners, в том числе находящихся на территории Российской Федерации и ЕС.
4. Ответственность Оператора
4.1. Уполномоченное лицо несет ответственность перед Оператором, а Оператор в свою очередь, несет ответственность перед субъектом персональных данных за действия, осуществляемые Уполномоченным лицом при исполнении Поручения.
4.2. Оператор самостоятельно принимает решение и несет ответственность за определение того, подходит ли Программа для хранения и обработки персональных данных согласно законодательству Республики Беларусь, а также за использование Программы в соответствии с юридическими обязательствами Оператора.
4.3. Оператор несет ответственность за безопасность выбранных им средств защиты доступа к Программе, а также самостоятельно обеспечивает конфиденциальность обрабатываемых персональных данных.
4.4. Оператор несет ответственность за все действия, а также их последствия, при использовании функциональностей Программы, при этом все действия, совершенные под учетной записью Оператора, считаются произведенными самим Оператором.
4.5. Оператор несет ответственность за реагирование на запросы со стороны субъектов персональных данных, третьих лиц в отношении использования Оператором Программы в целях обработки и хранения персональных данных.
4.6. Оператор несет ответственность за рассмотрение запросов субъектов персональных данных, связанных с реализацией их прав, в том числе в случаях, когда использование Оператором функциональностей Программы затрагивает права указанных лиц.
4.7. Оператор обязуется предоставить Уполномоченному лицу подтверждение наличия правовых оснований для обработки персональных данных и факта надлежащего уведомления субъекта персональных данных об их передаче, в течение 5 (пяти) календарных дней с момента получения соответствующего запроса от Уполномоченного лица.
4.8. В случае предъявления Уполномоченному лицу претензий и требований от третьих лиц, в том числе субъектов персональных данных и уполномоченных органов, в связи с исполнением Поручения, в том числе в случае предъявления претензии о неправомерности хранения Уполномоченным лицом Персональных данных, размещенных Оператором в Портале, Оператор обязан самостоятельно урегулировать такие претензии, оградить Уполномоченное лицо от возможных убытков и участия в рассмотрении претензий, требований и возможном судебном разбирательстве.
4.9. В случае предъявления Уполномоченному лицу исковых требований от третьих лиц, в том числе субъектов персональных данных и уполномоченных органов, в связи с исполнением Поручения, результатом которых станет судебный акт о взыскании средств с Уполномоченного лица, последний имеет право требовать от Оператора возмещения Уполномоченному лицу понесенных расходов в процессе урегулирования судебного спора и во исполнение судебного решения, а также все понесенные Уполномоченным лицом судебные расходы, убытки в полном объеме.
4.10. Оператор несет риск невозможности использования Программы, возникшей вследствие исполнения Уполномоченным лицом обязанности по прекращению хранения персональных данных на основании требования Оператора.
4.2. Оператор самостоятельно принимает решение и несет ответственность за определение того, подходит ли Программа для хранения и обработки персональных данных согласно законодательству Республики Беларусь, а также за использование Программы в соответствии с юридическими обязательствами Оператора.
4.3. Оператор несет ответственность за безопасность выбранных им средств защиты доступа к Программе, а также самостоятельно обеспечивает конфиденциальность обрабатываемых персональных данных.
4.4. Оператор несет ответственность за все действия, а также их последствия, при использовании функциональностей Программы, при этом все действия, совершенные под учетной записью Оператора, считаются произведенными самим Оператором.
4.5. Оператор несет ответственность за реагирование на запросы со стороны субъектов персональных данных, третьих лиц в отношении использования Оператором Программы в целях обработки и хранения персональных данных.
4.6. Оператор несет ответственность за рассмотрение запросов субъектов персональных данных, связанных с реализацией их прав, в том числе в случаях, когда использование Оператором функциональностей Программы затрагивает права указанных лиц.
4.7. Оператор обязуется предоставить Уполномоченному лицу подтверждение наличия правовых оснований для обработки персональных данных и факта надлежащего уведомления субъекта персональных данных об их передаче, в течение 5 (пяти) календарных дней с момента получения соответствующего запроса от Уполномоченного лица.
4.8. В случае предъявления Уполномоченному лицу претензий и требований от третьих лиц, в том числе субъектов персональных данных и уполномоченных органов, в связи с исполнением Поручения, в том числе в случае предъявления претензии о неправомерности хранения Уполномоченным лицом Персональных данных, размещенных Оператором в Портале, Оператор обязан самостоятельно урегулировать такие претензии, оградить Уполномоченное лицо от возможных убытков и участия в рассмотрении претензий, требований и возможном судебном разбирательстве.
4.9. В случае предъявления Уполномоченному лицу исковых требований от третьих лиц, в том числе субъектов персональных данных и уполномоченных органов, в связи с исполнением Поручения, результатом которых станет судебный акт о взыскании средств с Уполномоченного лица, последний имеет право требовать от Оператора возмещения Уполномоченному лицу понесенных расходов в процессе урегулирования судебного спора и во исполнение судебного решения, а также все понесенные Уполномоченным лицом судебные расходы, убытки в полном объеме.
4.10. Оператор несет риск невозможности использования Программы, возникшей вследствие исполнения Уполномоченным лицом обязанности по прекращению хранения персональных данных на основании требования Оператора.
5. Конфиденциальность и защита персональных данных
5.1. Уполномоченное лицо принимает необходимые меры по обеспечению конфиденциальности и защиты персональных данных при их хранении с использованием средств автоматизации в соответствии с требованиями, предъявляемыми к защите персональных данных, установленными:
Конфиденциальность персональных данных обеспечивается в соответствии с Политикой конфиденциальности, размещенной по адресу: https://helloclient.by/privacy-policy.
5.2. Уполномоченное лицо обязано принимать применимые меры по обеспечению безопасности персональных данных, предусмотренные:
- Законом Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных»;
- Федеральным законом Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных».
Конфиденциальность персональных данных обеспечивается в соответствии с Политикой конфиденциальности, размещенной по адресу: https://helloclient.by/privacy-policy.
5.2. Уполномоченное лицо обязано принимать применимые меры по обеспечению безопасности персональных данных, предусмотренные:
- статьей 17 Закона Республики Беларусь от 7 мая 2021 г. № 99-З;
- частью 1 статьи 18.1 и статьей 19 Федерального закона № 152-ФЗ.
- Все соединения с Порталом производятся с помощью SSL сертификата и протокола шифрования TLS 1.3
- Используется двухэтапная авторизация (пароль и одноразовый код);
- Включена автоматическая и полуавтоматическая реакция на аварийные ситуации;
- Используется Проактивный фильтр (WAF — Web Application Firewal), который защищает от большинства известных атак на веб-приложения;
- Регулярный аудит безопасности кода и инфраструктуры, как силами собственного отдела безопасности, так и с привлечением независимых компаний;
- Доступ ко всей инфраструктуре ограничен с использованием сетевого экрана (firewall);
- Осуществляется постоянный мониторинг активности;
- Производится своевременное обновление системного ПО в случае выявления уязвимостей и выхода обновлений, исправляющих их;
- Производится ротация паролей каждые 90 дней;
- Антивирусное программное обеспечение;
- Разграничение прав доступа к персональным данным (Принцип минимальных привилегий);
- Система регистрации и учёта действий с персональными данными;
- Обеспечение целостности персональных данных;
- Проведение регулярного анализа защищённости информации;
- Контроль за физическим доступом к материальным носителям персональных данных;
- Наличие локальных нормативных актов по защите персональных данных;
- Определение ответственных лиц за обработку и организацию работы с персональными данными;
- Внутренний контроль выполнения мер по обеспечению безопасности персональных данных.
6. Нарушение систем защиты персональных данных
6.1. Если Уполномоченному лицу станет известно о каком-либо нарушении систем защиты персональных данных, которое ведет к несанкционированному или случайному доступу к ним, изменению, блокированию, копированию, распространению, предоставлению, удалению персональных данных, а также другим неправомерным действиям в отношении персональных данных (далее — Нарушение систем защиты персональных данных), Уполномоченное лицо без необоснованного промедления:
6.3. Оператор принимает необходимые и достаточные меры, в том числе осуществляет контроль и управление доступом к Программе, в целях недопущения Нарушения систем защиты персональных данных при обработке персональных данных с использованием Программы. Ответственность за выбор необходимых мер защиты и безопасности, достаточность и надежность указанных мер лежит на Операторе. В случае Нарушения систем защиты персональных данных в связи с действиями или бездействием Оператора, последний обязуется незамедлительно, но не позднее 3 (трех) календарных дней с даты события, уведомить Уполномоченное лицо, при этом с Уполномоченного лица снимается ответственность за безопасность и конфиденциальность данных, находящихся на хранении в рамках Поручения.
- Уведомит Оператора о Нарушении систем защиты персональных данных;
- Расследует Нарушение систем защиты персональных данных;
- Примет обоснованные меры для смягчения последствий и минимизации ущерба, возникшего в результате Нарушения систем защиты персональных данных.
- Сообщит о факте утечки персональных данных в уполномоченные органы Российской Федерации и Республики Беларусь в соответствии с требованиями законодательства каждой из стран в течение 24 часов.
6.3. Оператор принимает необходимые и достаточные меры, в том числе осуществляет контроль и управление доступом к Программе, в целях недопущения Нарушения систем защиты персональных данных при обработке персональных данных с использованием Программы. Ответственность за выбор необходимых мер защиты и безопасности, достаточность и надежность указанных мер лежит на Операторе. В случае Нарушения систем защиты персональных данных в связи с действиями или бездействием Оператора, последний обязуется незамедлительно, но не позднее 3 (трех) календарных дней с даты события, уведомить Уполномоченное лицо, при этом с Уполномоченного лица снимается ответственность за безопасность и конфиденциальность данных, находящихся на хранении в рамках Поручения.
7. Применимое право и разрешение споров
7.1. Настоящее Поручение регулируется и подлежит толкованию в соответствии с правом Республики Беларусь, включая Закон Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных» и Закон Республики Беларусь от 10 ноября 2008 г. № 455-З «Об информации, информатизации и защите информации».
7.2. Все споры, которые могут возникнуть между Сторонами в ходе исполнения Поручения, подлежат решению путем переговоров.
7.3. В случае наличия противоречий между условиями настоящего Поручения и иными условиями использования Программы в отношении обработки персональных данных, применяются условия настоящего Поручения.
7.4. Уполномоченное лицо оставляет за собой право вносить изменения и/или дополнения в условия Поручения в одностороннем порядке, уведомив об этом Оператора. При каждом доступе и/или фактическом использовании Программы, Оператор подтверждает свое согласие с условиями Поручения в редакции, действующей на момент фактического использования Программы.
7.2. Все споры, которые могут возникнуть между Сторонами в ходе исполнения Поручения, подлежат решению путем переговоров.
7.3. В случае наличия противоречий между условиями настоящего Поручения и иными условиями использования Программы в отношении обработки персональных данных, применяются условия настоящего Поручения.
7.4. Уполномоченное лицо оставляет за собой право вносить изменения и/или дополнения в условия Поручения в одностороннем порядке, уведомив об этом Оператора. При каждом доступе и/или фактическом использовании Программы, Оператор подтверждает свое согласие с условиями Поручения в редакции, действующей на момент фактического использования Программы.
8. Права субъектов персональных данных
8.1. Субъекты персональных данных имеют следующие права:
- Право на доступ к своим персональным данным;
- Право на исправление или удаление персональных данных;
- Право на ограничение обработки персональных данных;
- Право на отзыв согласия на обработку персональных данных.
