Поручение на обработку персональных данных

Настоящее Поручение на обработку персональных данных (далее — Поручение) является неотъемлемой частью Условий использования сервиса (далее — Соглашение). Если Вы не согласны с условиями Поручения, Вы не можете использовать Сервис. Под акцептом в целях Поручения признается факт использования Сервиса.

A. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

 

• “Сервис” — совокупность функциональных возможностей системы программного обеспечения «Planfix», находящийся под управлением Оператора.

• “Обработчик” — компания Planfix, Inc., зарегистрированная по адресу: 4445 Eastgate Mall, Suite 200, San Diego, CA, 92121, USA, предоставляющая услуги Сервиса .

• «Клиент» — это физическое или юридическое лицо, принявшее Условия использования сервиса на получение бесплатного, пробного или платного тарифного плана Сервиса.

• “Сайт” — любая из автоматизированных информационных систем, доступных в сети Интернет по сетевому адресу (включая поддомены): https://planfix.ru/, https://planfix.com/.

• “Домен аккаунта” — домен третьего уровня на Сайте, имеющий вид https://имя_аккаунта.Сайт, где Имя_Аккаунта — имя, предоставляемое (выбираемое) при регистрации Аккаунта.

• “Мобильные приложения” — предназначенные для установки и использования на мобильном устройстве программы для ЭВМ, позволяющие пользоваться различными опциями Сервиса.

• “Приложения” — интегрированный программный комплекс, включающий Сайт, Мобильные приложения и иные программы для ЭВМ и/или базы данных, на основе которых реализуется Сервис.

• “Продукты” — Приложения и базы данных, составляющие клиентскую часть системы программного обеспечения «Planfix» для ведения совместной работы с другими пользователями, зарегистрированными в Сервисе, для управления организациями, в виде совокупности данных и команд, воспроизводимых на оборудовании Конечных пользователей.

• “Аккаунт” — относящаяся к определенному Клиенту совокупность Домена аккаунта, доступного с его помощью программного обеспечения Приложения и Информационных материалов.

• “Информационные материалы” — это любые информационные материалы и данные, включая текстовые, графические, аудиовизуальные и прочие материалы, размещенные в Аккаунте. В этом контексте «отправить» (и любой аналогичный термин) включает отправку, загрузку, передачу или иное предоставление данных Клиента в Продукты или через них.

• “Владелец аккаунта” — статус пользователя, получаемый при регистрации Аккаунта. Владельцу аккаунта доступен максимальный объем функциональных возможностей Сервиса, включая управление Аккаунтом.

• “Оператор”— это лицо, которое имеет юридическое право определять цели и задачи, для которых будут обрабатываться Персональные данные, и средства, с помощью которых будет происходить такая обработка. Обычно роль оператора налагается на Владельца аккаунта.

• “Администраторы” — это назначенные Владельцем аккаунта аккаунта Конечные пользователи, имеющие расширенные права по управлению Аккаунтом, для управления Продуктами от имени Владельца аккаунта.

• “Конечный пользователь” — означает лицо, которое Владелец аккаунта или Администраторы приглашают и/или разрешают ему использовать Продукты по их функциональному назначению. Во избежание сомнений: лица, приглашенные Владельцем аккаунта или Администраторами и лица, взаимодействующие с Продуктами в качестве их клиентов, также считаются конечными пользователями.

• “Пользователь” — Владелец аккаунта, Конечные пользователи.

• «Персональные данные» — это информация о Пользователях, которая может прямо или косвенно использоваться для установления их личности (имя, адрес, номер телефона, дата рождения, адрес электронной почты и т. д.). Данные, с помощью которых нельзя установить личность Пользователя, например анонимизированные данные, не считаются Персональными данными.

• «Пользовательские данные» — это совокупность Персональных данных и Информационных материалов.

• «Обработка персональных данных» — это любая операция или набор операций, которые могут выполняться с Персональными данными.

• ​«Нарушение информационной безопасности» — случайная или незаконная передача (предоставление, распространение, доступ) Персональных данных.

• “Поручение на обработку персональных данных” (далее Поручение) — текст настоящего документа со всеми приложениями, изменениями и дополнениями к нему, располагающийся по адресу в сети Интернет: https://planfix.ru/doc/dpa.

 

​1. ПРЕДМЕТ ПОРУЧЕНИЯ

1.1. Данное Поручение распространяется для всех Клиентов Сервиса, которые являются резидентами Российской Федерации и выбрали центр хранения и обработки Пользовательских данных находящийся на территории Российской Федерации.

1.2. Оператор поручает, а Обработчик принимает на себя обязательство осуществлять действия по размещению Пользовательских данных, которые обрабатываются или будут обрабатываться Оператором с использованием функциональностей Сервиса в Аккаунте Оператора.

1.3. Основные положения

1.3.1. Цели обработки Персональных данных: размещение Аккаунта на серверах Обработчика.

1.3.2. Перечень действий по обработке персональных данных в рамках Поручения:

а) Накопление;
б) Хранение;
в) Передача (предоставление, доступ) после выбора Оператором соответствующей функции Сервиса;
г) Уничтожение / Удаление Персональных данных.

1.3.3. Перечень Персональных данных: определяется Оператором и не контролируется Обработчиком. Содержание и перечень обрабатываемых Персональных данных определяется исходя из требований действующего законодательства Российской Федерации в области деятельности, автоматизируемой с помощью Сервиса.

1.3.4. Способ выдачи Поручения: использование функциональности Сервиса. Данный способ выдачи поручения является полной и окончательной инструкцией Оператора, выданной Обработчику.

1.3.5. Срок выдачи Поручения: в течение всего срока использования Оператором Сервиса в соответствии с Соглашением, включая период блокировки Аккаунта.

2. ЗАВЕРЕНИЯ И ГАРАНТИИ ОПЕРАТОРА

2.1. Оператор заверяет и гарантирует, что:

а) получил Персональные данные законными способами;
б) обладает законными основаниями обработки Персональных данных (в том числе согласием субъектов Персональных данных на передачу Персональных данных Обработчику с целью хранения);
в) соблюдает принципы и правила обработки Персональных данных, предусмотренные законодательством Российской Федерации;

2.2. Оператор гарантирует, что любое лицо, осуществляющее обработку Персональных данных с использованием функциональностей Сервиса действует от имени Оператора и в соответствии с его инструкциями. При этом Оператор несет ответственность перед Обработчиком, если указанное лицо нарушает условия Поручения.

2.3. Заверения и гарантии Оператором, указанные в п. 2.1. являются достоверными в любой момент времени/периода обработки Персональных данных в рамках Поручения.

2.4. Оператор признает и осознает факт обработки Персональных данных при использовании функциональностей Сервиса.

3. ПРАВА, ОБЯЗАННОСТИ И ОТВЕТСТВЕННОСТЬ ОБРАБОТЧИКА

3.1. Обработчик обязуется соблюдать цель и ограничения обработки Персональных данных, определенных в Поручении.

3.2. Обработчик обязуется исполнять Поручение самостоятельно, также с привлечением третьих лиц, указанных на сайте Обработчика по адресу https://planfix.ru/doc/privacy/, оставаясь ответственным перед Оператором за выполнение своих обязательств по Поручению.

3.3. Обработчик обязан соблюдать конфиденциальность и обеспечить безопасность Персональных данных.

3.4. Обработчик обязуется добросовестно сотрудничать с Оператором и оказывать ему разумное содействие при рассмотрении и урегулировании запросов (жалоб, требований), касающихся Поручения. В частности, Обработчик, получив такой запрос, обязан уведомить об этом Оператора в течение 3 (трех) рабочих дней с момента наступления указанного события путем направления соответствующего уведомления на адрес Владельца Аккаунта.

3.5. Обработчик несет ответственность перед Оператором за исполнение Поручения, в том числе за действия (бездействие) своих работников, получивших доступ к обрабатываемым по Поручению Оператора персональным данным, повлекшие разглашение таких Персональных данных, в пределах размера реального ущерба, подтвержденного документально, но в любом случае не более стоимости тарифа на Сервис за один месяц.

4. ПРАВА, ОБЯЗАННОСТЬ И ОТВЕТСТВЕННОСТЬ ОПЕРАТОРА

4.1. Оператор несет ответственность перед субъектом Персональных данных за действия, осуществляемые Обработчиком при исполнении Поручения.

4.2. Оператор самостоятельно принимает решение и несет ответственность за определение того, подходит ли Сервис для обработки Персональных данных согласно законодательству Российской Федерации, а также за использование Сервиса в соответствии с юридическими обязательствами Оператора.

4.3. Оператор вправе не чаще одного раза в год запрашивать у Обработчика документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения Поручения Оператора требований, установленных в Поручении.

4.4. Оператор несет ответственность за безопасность выбранных им средств защиты доступа к Сервису, а также самостоятельно обеспечивает их конфиденциальность.

4.5. Оператор несет ответственность за все действия, а также их последствия, при использовании Сервиса, при этом все действия, совершенные под учетной записью Оператора, считаются произведенными самим Оператором.

4.6.  Оператор несет ответственность за реагирование на запросы со стороны субъектов Персональных данных, третьих лиц в отношении использования Оператором Сервиса в целях обработки Персональных данных.

4.7. Оператор несет ответственность за рассмотрение запросов субъектов Персональных данных, связанных с реализацией их прав, в том числе в случаях, когда использование Оператором функциональностей Сервиса затрагивает права указанных лиц.

4.8. Оператор обязуется предоставить Обработчику подтверждение наличия правовых оснований для обработки Персональных данных и факта надлежащего уведомления субъекта Персональных данных об их передачи, в течение 5 (пяти) календарных дней с момента получения соответствующего запроса от Обработчика.

4.9. В случае предъявления Обработчику претензий и требований от третьих лиц, в том числе от субъектов Персональных данных и уполномоченных органов, в связи с исполнением Поручения, в том числе в случае предъявления претензии о неправомерности хранения Обработчиком Персональных данных, размещенных Оператором в Аккаунте, Оператор обязан самостоятельно, своими силами и за свой счет урегулировать такие претензии, оградить Обработчика от возможных убытков и участия в рассмотрении претензий, требований и возможном судебном разбирательстве. В случае возникновения необходимости участия Обработчика в урегулировании указанных выше претензий и/или требований, Обработчик имеет право требовать от Оператора возмещения возникших у него убытков и расходов, связанных с таким участием, включая, но не ограничиваясь расходами на представителя, ведение переговоров и иными расходами.

4.10. В случае предъявления Обработчику исковых требований от третьих лиц, в том числе от субъектов Персональных данных и уполномоченных органов, в связи с исполнением Поручения, в том числе в случае предъявления претензии о неправомерности хранения Обработчиком Персональных данных, размещенных Оператором в Аккаунте, результатом которых станет судебный акт о взыскании средств с Обработчика, вступивший в законную силу, последний имеет право требовать от Оператора возмещения Обработчику понесенных им расходов в процессе урегулирования судебного спора и во исполнение судебного решения, а также все понесенные Обработчиком судебные расходы, убытки в полном объеме.

4.11. Оператор несет риск невозможности использования Сервиса, возникший вследствие исполнения Обработчиком обязанности по прекращению хранения Персональных данных на основании Поручения Оператора.

5. МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ

5.1. Оператор обязуется установить требования к защите обрабатываемых персональных данных в соответствии со ст. ст. 18.1, 19 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», при этом данное обязательство распространяется исключительно на Оператора и не должно трактоваться, как установление определенных Оператором к Обработчику требований к защите обрабатываемых персональных данных.

5.2. Обработчик принимает необходимые меры конфиденциальности и безопасности при исполнении Поручения с использованием средств автоматизации в соответствии с требованиями, указанными в ч.5 ст.18, ст. 18.1, ст. 19 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных». Более подробная информация представлена в Политике конфиденциальности. 

5.3. Для обеспечения безопасности пользовательского контента, Обработчик принимает или обеспечивает принятие необходимых законодательных, организационных и технических мер, чтобы предотвратить незаконный или случайный доступ, уничтожение, модификацию, блокировку, копирование, дистрибуцию или предоставление контента.

5.4. Аккаунты в зоне .RU, выбравшие место хранение данных на территории РФ, находятся на арендованных серверах в дата-центрах на территории РФ по адресам: ООО «Селектел»,  Россия, Москва, ул. Берзарина, д. 36, стр. 3. 

5.5. Для всех аккаунтов ПланФикса доступ к данным происходит с помощью криптографического протокола TLS 1.2. Сертификат для шифрования выдан COMODO RSA Domain Validation Secure Server CA. Соединение зашифровано и проверено с помощью AES_128_GCM. В качестве механизма обмена ключами используется ECDHE_RSA. Это исключает возможность перехвата данных между клиентом и сервером в процессе работы — все они передаются в зашифрованном виде.

5.6. Для входа в аккаунт применяется двухфакторная аутентификация (пароль и одноразовый код).

5.7. Реализована авто- и полуавтоматическая реакция на чрезвычайные ситуации;

5.8. Для защиты от большинства известных атак на веб-приложения используется Web Application Firewall;

5.9. Проводится регулярный аудит безопасности кода и инфраструктуры, как внутренними силами, так и с привлечением внешних независимых компаний и подрядчиков;

5.10. Доступ к всей инфраструктуре ограничивается с помощью сетевого экрана.

5.11. Осуществляется непрерывное наблюдение за активностью инженерами по безопасности.

5.12. В случае обнаружения уязвимостей и выхода обновлений, которые их устраняют, осуществляется своевременное обновление системного программного обеспечения.

5.13. Несмотря на то, что Обработчик не инициирует размещение пользовательского контента при использовании Сервиса и не контролирует его достоверность и актуальность, Обработчик оставляет за собой право требовать подтверждения у Пользователя правомерности сохраняемой информации.

5.14. Обработчик не гарантирует конфиденциальность Информационных материалов, публичный доступ к котором предоставлен самим Пользователем в силу функциональных назначений Сервиса.

5.15. Пользователь соглашается с тем, что при использовании Сервиса определённая часть Информационных материалов (например, отзывы о работе сервиса, комментарии в блоге, посты на форуме) становятся доступными для неограниченного круга лиц.

6. НАРУШЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

 

6.1. Если Обработчику станет известно о каком-либо Нарушении информационной безопасности, Обработчик в течение 24 (двадцати четырех) часов (1) уведомит Оператора об возникшем инциденте и (2) примет обоснованные меры для смягчения последствий и минимизации какого-либо ущерба, возникшего в результате Нарушения информационной безопасности.

6.2. Обработчик предоставляет Оператору необходимую и достаточную информацию и поддержку, связанную с таким событием, которые могут понадобиться Оператору для выполнения его обязанностей в силу закона, а также для снижения негативных последствий, которые могут наступить в результате такого события.

6.3. Обязательство Обработчика сообщать о таких Нарушениях информационной безопасности или реагировать на них в соответствии с данным разделом не является признанием со стороны Обработчика какой-либо вины или ответственности в связи с Нарушением информационной безопасности.

6.4. Оператор принимает необходимые и достаточные меры, в том числе осуществляет контроль и управление доступом к своему Аккаунту в Сервисе, в целях недопущения Нарушения информационной безопасности при обработке Персональных данных с использованием Сервиса. Ответственность за выбор необходимых мер защиты и безопасности, достаточность и надежность указанных мер лежит на Операторе. В случае Нарушения информационной безопасности в связи с действиями или бездействием Оператора, последний обязуется незамедлительно, но не позднее 48 (сорока восьми) часов с даты события, уведомить Обработчика, при этом с Обработчика снимается ответственность за безопасность и конфиденциальность данных, обрабатываемых в рамках Поручения.
 

7. ПРИМЕНИМОЕ ПРАВО И РАЗРЕШЕНИЕ СПОРОВ

 

7.1. Настоящее Поручение регулируется и подлежит толкованию в соответствии с правом Российской Федерации.

7.2. Все споры, которые могут возникнуть между Обработчиком и Клиентом в ходе исполнения Поручения, подлежат решению путем переговоров.

7.3. Обработчик оставляет за собой право вносить изменения и/или дополнения в условия Поручения в одностороннем порядке путем размещения измененного текста по адресу в сети Интернет https://planfix.ru/doc/dpa. При каждом доступе и/или фактическом использовании Сервиса, Клиент подтверждает свое согласие с условиями Поручения в редакции, действующей на момент фактического использования Сервиса.