Соглашение об обработке персональных данных

Соглашение об обработке персональных данных (Договор поручения)

Между:

[Наименование Клиента] , компания, зарегистрированная по законам [Страна], с юридическим адресом: [Адрес Клиента] (далее — «Оператор» );

и

AACsearch , компания, зарегистрированная по законам [Страна], с юридическим адресом: [Адрес AACsearch] (далее — «Обработчик» ).

Каждая — «Сторона» , совместно — «Стороны» .

1. Определения

1.1 «Применимое законодательство о персональных данных» означает (i) Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» («152-ФЗ» ); (ii) Регламент Европейского Союза 2016/679 (Общий регламент по защите персональных данных, «GDPR» ) в части, применимой к обработке данных граждан ЕС; (iii) иное применимое законодательство о персональных данных.

1.2 «Оператор» означает лицо, самостоятельно или совместно с другими лицами организующее и/или осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных.

1.3 «Субъект персональных данных» означает физическое лицо, которое прямо или косвенно определено или определяемо на основании персональных данных.

1.4 «Персональные данные» означает любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (Субъекту персональных данных).

1.5 «Утечка персональных данных» означает нарушение безопасности, повлекшее неправомерный доступ, уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных либо иные неправомерные действия.

1.6 «Обработка персональных данных» означает любое действие (операцию) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без их использования с Персональными данными.

1.7 «Обработчик» означает лицо, осуществляющее обработку персональных данных по поручению Оператора.

1.8 «Субобработчик» означает любое лицо, привлекаемое Обработчиком для обработки персональных данных по поручению Оператора.

1.9 «Уполномоченный орган по защите прав субъектов персональных данных» означает федеральный орган исполнительной власти, уполномоченный в области защиты прав субъектов персональных данных (в Российской Федерации — Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций, «Роскомнадзор» ).

1.10 «Трансграничная передача персональных данных» означает передачу персональных данных на территорию иностранного государства.

2. Предмет и срок действия

2.1 Настоящее Соглашение об обработке персональных данных («Соглашение» ) устанавливает права и обязанности Сторон в отношении Обработки Персональных данных Обработчиком по поручению Оператора в связи с предоставлением платформы поиска как услуги (search-as-a-service) AACsearch.

2.2 Настоящее Соглашение действует в течение всего срока действия основного договора между Оператором и Обработчиком (далее — «Основной договор» ), за исключением случаев досрочного расторжения в соответствии с пунктом 13 ниже.

3. Сведения об обработке персональных данных

3.1 Характер и цели обработки: Обработчик предоставляет платформу поиска как услуги, которая индексирует, хранит и извлекает данные, предоставленные Оператором, с целью обеспечения полнотекстового поиска, фасетного поиска и связанных функций поиска в приложении, на веб-сайте или в цифровых ресурсах Оператора.

3.2 Категории персональных данных: В зависимости от характера использования Сервиса Оператором, обрабатываемые Персональные данные могут включать:

  • Имена и фамилии

  • Адреса электронной почты

  • IP-адреса

  • Идентификаторы пользователей и учетных записей

  • Псевдонимизированные профили пользователей

  • Поисковые запросы и данные о поведении при просмотре

  • Любые иные Персональные данные, которые Оператор направляет для индексации

    3.3 Категории субъектов персональных данных: Субъекты персональных данных могут включать:

  • Конечных пользователей приложения или веб-сайта Оператора

  • Клиентов, покупателей или посетителей Оператора

  • Сотрудников или подрядчиков Оператора

  • Любых иных лиц, чьи Персональные данные Оператор передает в Сервис

    3.4 Срок обработки: Обработка осуществляется в течение срока действия Основного договора. После расторжения Обработчик уничтожает или возвращает все Персональные данные в соответствии с пунктом 12.

4. Обязанности Оператора

4.1 Оператор заявляет и гарантирует, что: (a) Он получил все необходимые согласия и имеет законные основания для Обработки Персональных данных в соответствии с Применимым законодательством; (b) Он предоставил все необходимые уведомления Субъектам персональных данных; (c) Он соблюдал и будет соблюдать Применимое законодательство при использовании Сервиса; (d) Он несет исключительную ответственность за точность, качество и законность Персональных данных, переданных Обработчику.

4.2 Оператор обязан отвечать на запросы Субъектов персональных данных, за исключением случаев, когда Обработчик обязан ответить непосредственно по закону.

5. Обязанности Обработчика

5.1 Обработчик осуществляет Обработку Персональных данных только на основании документированного поручения Оператора, за исключением случаев, когда иное не предусмотрено применимым законодательством.

5.2 Обработчик обеспечивает, чтобы лица, уполномоченные на обработку Персональных данных, приняли обязательство о соблюдении конфиденциальности.

5.3 Обработчик реализует соответствующие технические и организационные меры в соответствии с пунктом 7.

5.4 Обработчик незамедлительно информирует Оператора, если, по его мнению, поручение Оператора нарушает Применимое законодательство о персональных данных.

6. Привлечение субобработчиков

6.1 Общее разрешение: Оператор предоставляет общее разрешение Обработчику на привлечение Субобработчиков. Обработчик ведет актуальный перечень Субобработчиков, доступный по адресу https://aacsearch.com/sub-processors или в Приложении 1 к настоящему Соглашению.

6.2 Уведомление об изменениях: Обработчик уведомляет Оператора о любых изменениях в составе Субобработчиков не менее чем за [30] дней.

6.3 Право возражения: Если Оператор возражает против нового Субобработчика по обоснованным основаниям, связанным с защитой данных, и возражение не урегулировано в течение [30] дней, любая из Сторон может расторгнуть соответствующие части Сервиса.

6.4 Обязательства: Обработчик возлагает на Субобработчиков посредством письменного договора те же обязанности по защите данных, что и в настоящем Соглашении.

7. Технические и организационные меры защиты

7.1 Обработчик внедряет и поддерживает соответствующие технические и организационные меры, включая:

(a) Контроль доступа: Ролевое управление доступом, многофакторная аутентификация, принцип минимальных привилегий.

(b) Шифрование: Шифрование Персональных данных в состоянии покоя с использованием AES-256 или эквивалента, и при передаче с использованием TLS 1.2 или выше.

(c) Сетевая безопасность: Межсетевые экраны, системы обнаружения/предотвращения вторжений, регулярное сканирование уязвимостей.

(d) Физическая безопасность: Ограниченный доступ к центрам обработки данных с круглосуточным мониторингом, биометрический контроль доступа и видеонаблюдение.

(e) Непрерывность бизнеса: Регулярное резервное копирование, процедуры восстановления после сбоев, резервирование по [географическим зонам].

(f) Безопасность программного обеспечения: Безопасный жизненный цикл разработки (SDLC), регулярное тестирование на проникновение, рецензирование кода.

(g) Безопасность персонала: Проверка биографических данных, соглашения о конфиденциальности, регулярное обучение по защите данных.

(h) Логирование и мониторинг: Комплексное аудиторское логирование всех доступов и операций, хранение журналов в течение [12] месяцев.

7.2 Обработчик регулярно проверяет и оценивает эффективность данных мер.

8. Уведомление об утечках персональных данных

8.1 Обработчик уведомляет Оператора без неоправданной задержки (в любом случае в течение [24] часов с момента обнаружения) о любой Утечке персональных данных.

8.2 Уведомление включает как минимум: (a) Описание характера утечки; (b) Категории и примерное количество затронутых Субъектов персональных данных и записей; (c) Контактные данные лица, ответственного за защиту данных у Обработчика; (d) Описание вероятных последствий и принятых/предлагаемых мер.

9. Права субъектов персональных данных

9.1 Обработчик оказывает содействие Оператору в выполнении его обязательств по ответу на запросы Субъектов персональных данных (доступ, исправление, уничтожение, ограничение обработки, переносимость данных, возражение) в соответствии с 152-ФЗ и/или GDPR (статьи 15–22).

9.2 Обработчик: (a) Незамедлительно уведомляет Оператора при получении запроса от Субъекта персональных данных; (b) Не отвечает на запрос без предварительного разрешения Оператора, за исключением случаев, предусмотренных законом.

10. Трансграничная передача персональных данных

10.1 Трансграничная передача Персональных данных на территории иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных (в перечне Роскомнадзора), осуществляется без дополнительных условий.

10.2 Трансграничная передача Персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты, осуществляется при соблюдении одного из следующих условий: (a) Наличие письменного согласия Субъекта персональных данных; (b) Наличие договора, содержащего положения о защите персональных данных (типовые договоры, аналогичные SCC); (c) Иные основания, предусмотренные 152-ФЗ.

10.3 Если Обработка включает передачу Персональных данных граждан ЕС из Европейской экономической зоны («ЕЭЗ» ) в страну без решения об адекватности в соответствии со статьей 45 GDPR, Стороны соглашаются, что передача регулируется Стандартными договорными положениями (Решение Европейской комиссии 2021/914), которые включаются в настоящее Соглашение по ссылке:

(a) Модуль 2 (Оператор — Обработчик) применяется, когда Оператор действует как оператор, а Обработчик — как обработчик; (b) Модуль 3 (Обработчик — Обработчик) применяется к Субобработчикам; (c) Оператор является «экспортером данных» , а Обработчик является «импортером данных» .

10.4 Информация, требуемая в Приложении I к SCC, указана в Приложении 2 к настоящему Соглашению.

11. Применимое право и подсудность

11.1 Настоящее Соглашение регулируется законодательством [Юрисдикция], без применения коллизионных норм.

11.2 Любые споры подлежат рассмотрению в судах [Юрисдикция].

12. Уничтожение и возврат персональных данных

12.1 После расторжения Основного договора Обработчик уничтожает или возвращает все Персональные данные Оператору в течение [90] дней, за исключением случаев, когда закон требует дальнейшего хранения.

12.2 Уничтожение осуществляется в соответствии с отраслевыми стандартами (например, NIST SP 800-88).

13. Срок действия и расторжение

13.1 Настоящее Соглашение вступает в силу с даты вступления в силу Основного договора и действует до завершения всей Обработки в соответствии с пунктом 12.

14. Ответственность

14.1 Ответственность каждой Стороны по настоящему Соглашению подлежит ограничениям, установленным в Основном договоре.

14.2 Ничто в настоящем Соглашении не ограничивает и не исключает ответственность Сторон за нарушение Применимого законодательства о персональных данных.

15. Право на аудит

15.1 По письменному уведомлению за [30] дней Оператор (или его уполномоченный аудитор) может проводить аудит соблюдения Обработчиком настоящего Соглашения, не чаще одного раза в календарный год, за исключением случаев утечки данных или регуляторного расследования.

16. Заключительные положения

16.1 Настоящее Соглашение представляет собой полный договор между Сторонами в отношении Обработки Персональных данных.

16.2 Если какое-либо положение настоящего Соглашения признано недействительным или не подлежащим принудительному исполнению, остальные положения остаются в полной силе.

Приложение 1: Перечень субобработчиков

| Наименование | Юридический адрес | Деятельность по обработке | Местоположение центра данных | | ------------------------------ | ----------------- | -------------------------------------- | -------------------------------------------------- | | [Amazon Web Services (AWS)] | [Адрес AWS] | Облачный хостинг, хранение, вычисления | [напр., eu-central-1 (Франкфурт), us-east-1 (США)] | | [Дополнительный субобработчик] | [Адрес] | [Деятельность] | [Местоположение] |

Актуальный перечень доступен по адресу: https://aacsearch.com/sub-processors

Приложение 2: Информация для приложений к SCC

A. Стороны

Экспортер данных (Оператор):

  • Наименование: [Наименование Клиента]
  • Адрес: [Адрес Клиента]
  • Контакт: [Электронная почта Клиента]
  • Роль: Оператор

Импортер данных (Обработчик):

  • Наименование: AACsearch
  • Адрес: [Адрес AACsearch]
  • Контакт: privacy@aacsearch.com
  • Роль: Обработчик

B. Описание передачи

  • Категории субъектов: Согласно пункту 3.3
  • Категории данных: Согласно пункту 3.2
  • Чувствительные данные: Отсутствуют (если не указано письменно)
  • Частота передачи: Непрерывно
  • Характер обработки: Платформа поиска как услуги (search-as-a-service)
  • Срок хранения: Срок действия Основного договора плюс до [90] дней для уничтожения

C. Компетентный надзорный орган [Надзорный орган, напр., Роскомнадзор / соответствующий орган]

Приложение 3: Меры безопасности

Детальные технические и организационные меры безопасности содержатся в Документации по безопасности Обработчика, доступной по адресу https://aacsearch.com/security или предоставляемой по запросу. Краткое описание приведено в пункте 7 настоящего Соглашения.

Настоящее Соглашение об обработке персональных данных является юридически обязывающим документом. Стороны подтверждают, что ознакомились с его условиями и согласны их соблюдать.