Договор-поручение на обработку персональных данных

1. Стороны и определения

1.1. Настоящий Договор-поручение (далее — «Договор») заключается между:

1.2. Иные термины используются в значениях, определённых Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — «Закон № 152-ФЗ»).

2. Предмет поручения

2.1. Заказчик в качестве Оператора поручает Обработчику обработку персональных данных Посетителей сайта Заказчика на условиях, определённых настоящим Договором, в соответствии с ч. 3 ст. 6 Закона № 152-ФЗ.

2.2. Обработчик принимает поручение и обязуется осуществлять обработку строго в объёме, целях и способами, согласованными настоящим Договором.

2.3. Обработчик не определяет цели обработки, не использует переданные ему персональные данные в собственных интересах и не передаёт их третьим лицам, за исключением случаев, прямо предусмотренных настоящим Договором или законодательством.

3. Распределение ролей и ответственности

3.1. Заказчик как Оператор самостоятельно определяет:

• цели сбора персональных данных Посетителей;
• правовые основания обработки;
• состав собираемых данных в пределах, поддерживаемых Виджетом;
• сроки хранения переданных Заказчику данных у Заказчика;
• порядок взаимодействия с субъектами персональных данных по их запросам.

3.2. Заказчик несёт самостоятельную ответственность за:

• наличие у Заказчика правового основания для обработки персональных данных Посетителей;
• получение от каждого Посетителя согласия на обработку персональных данных, если такое требование установлено законом;
• размещение на своём сайте политики в отношении обработки персональных данных, отвечающей требованиям ч. 2 ст. 18.1 № 152-ФЗ;
• уведомление Роскомнадзора об обработке персональных данных в случаях, предусмотренных ст. 22 № 152-ФЗ;
• информирование субъектов о их правах и порядке их реализации;
• ответы на запросы субъектов и запросы Роскомнадзора;
• законность дальнейшего использования полученных через Сервис персональных данных (звонки, рассылки, передача третьим лицам);
• соблюдение требований Федерального закона № 38-ФЗ «О рекламе» при использовании контактных данных.

3.3. Обработчик несёт ответственность исключительно за надлежащее исполнение настоящего поручения — то есть за техническую обработку (приём, временное хранение, передачу) персональных данных в объёме и порядке, согласованных настоящим Договором, и за обеспечение их безопасности на стороне Сервиса.

4. Перечень действий с данными

4.1. В рамках поручения Обработчик вправе совершать следующие действия с персональными данными Посетителей:

• сбор через Виджет (приём данных, отправленных Посетителем через форму);
• запись на серверы, расположенные на территории Российской Федерации;
• систематизация по идентификаторам Виджета и Заказчика;
• накопление и временное хранение в течение срока, необходимого для надёжной доставки Заказчику;
• передача Заказчику через интегрированные каналы (Telegram-бот, MAX-бот, электронная почта, webhook) и через Личный кабинет;
• обезличивание для формирования агрегированной аналитики;
• удаление и уничтожение по истечении установленных сроков или по требованию Заказчика.

4.2. Обработка осуществляется как с использованием средств автоматизации, так и без них.

5. Категории данных и субъектов

5.1. Категория субъектов: Посетители сайта Заказчика, добровольно отправившие данные через Виджет.

5.2. Категория обрабатываемых данных:

• номер телефона Посетителя;
• имя Посетителя (если активирована соответствующая опция);
• адрес электронной почты Посетителя (если активирована соответствующая опция);
• предпочитаемый канал связи (если активирована соответствующая опция);
• URL-адрес страницы и реферер;
• UTM-метки, идентификатор сессии;
• IP-адрес, тип устройства, браузер;
• агрегированные обезличенные сигналы поведения (время на странице, скролл, движение курсора) — при включении функции «Поведенческий ИИ».

5.3. Обработка специальных и биометрических категорий персональных данных (раса, национальность, политические взгляды, состояние здоровья, отпечатки пальцев и пр.) настоящим Договором не предусматривается и Заказчиком запрещается.

6. Цели и сроки обработки

6.1. Цели обработки в рамках поручения:

• приём заявки Посетителя и её доставка Заказчику в режиме, близком к реальному времени;
• отображение Заказчику в Личном кабинете истории заявок и аналитики;
• обеспечение функциональности Сервиса (антиспам-проверки, дедупликация, оптимизация показа Виджета).

6.2. Срок хранения персональных данных Посетителей у Обработчика:

• в течение срока действия Договора с Заказчиком;
• после расторжения Договора — не более 30 (тридцати) календарных дней, в течение которых Заказчик имеет возможность экспорта данных. По истечении 30 дней данные подлежат удалению.

6.3. Обработчик обязан удалить или обезличить персональные данные Посетителей в срок, не превышающий 10 рабочих дней, по письменному требованию Заказчика, направленному на адрес welcome@era-technologies.ru.

7. Обязанности Обработчика

7.1. Обработчик обязуется:

• обрабатывать персональные данные исключительно в соответствии с поручением Заказчика и настоящим Договором;
• не передавать персональные данные Посетителей третьим лицам, за исключением случаев, прямо предусмотренных настоящим Договором (передача Заказчику, передача в обязательные технические сервисы — мессенджеры, SMTP-провайдеры — для доставки уведомлений) или законодательством Российской Федерации;
• обеспечивать конфиденциальность переданных персональных данных;
• применять правовые, организационные и технические меры защиты, предусмотренные ст. 18.1 и ст. 19 Закона № 152-ФЗ;
• хранить базы данных, содержащие персональные данные граждан РФ, на серверах, расположенных на территории Российской Федерации;
• в течение 10 рабочих дней с момента получения требования Заказчика прекратить обработку, удалить или обезличить персональные данные Посетителей;
• незамедлительно (но не позднее 24 часов) уведомлять Заказчика о выявленных инцидентах информационной безопасности, повлёкших или могущих повлечь несанкционированный доступ к персональным данным Посетителей;
• при привлечении третьих лиц для обработки данных (платёжные системы, мессенджеры, SMTP, ИИ-провайдеры) обеспечивать выполнение ими соответствующих требований к защите персональных данных.

8. Обязанности Заказчика-Оператора

8.1. Заказчик обязуется:

• разместить на своём сайте политику в отношении обработки персональных данных в соответствии с ч. 2 ст. 18.1 № 152-ФЗ;
• получать от Посетителей согласие на обработку персональных данных в случаях, когда это требуется законом;
• при использовании Виджета указывать в собственной политике конфиденциальности факт привлечения Обработчика и предоставлять ссылку на настоящий Договор и/или политику Обработчика (/privacy);
• обеспечивать законность обработки персональных данных Посетителей за пределами Сервиса (после получения данных Заказчиком);
• не передавать в Виджет данные, относящиеся к специальным или биометрическим категориям персональных данных, а также данные несовершеннолетних, если Заказчик не имеет соответствующих правовых оснований;
• отвечать на запросы субъектов персональных данных и запросы Роскомнадзора в установленный законом срок;
• уведомлять Обработчика о требованиях субъектов в части удаления, блокирования или уточнения данных, если это требует действий со стороны Обработчика.

9. Меры по обеспечению безопасности

9.1. Обработчик применяет следующие технические и организационные меры:

• шифрование канала связи между Виджетом, серверами Сервиса и сторонними системами по протоколу TLS 1.2+;
• контроль доступа сотрудников по принципу минимальных привилегий;
• журналирование действий с персональными данными;
• резервное копирование с шифрованием;
• применение средств обнаружения и предотвращения вторжений;
• регулярная актуализация программного обеспечения, устранение известных уязвимостей;
• хеширование платёжных идентификаторов и токенов сессий;
• обезличивание данных при работе с агрегированной статистикой.

9.2. Обработчик не несёт ответственности за компрометацию данных, произошедшую вследствие действий или бездействия Заказчика — например, передачи доступа к Личному кабинету третьим лицам, использования слабых паролей и т. п.

10. Конфиденциальность

10.1. Стороны обязуются сохранять конфиденциальность персональных данных и иной полученной в ходе исполнения настоящего Договора информации, кроме общедоступной.

10.2. Обязанность сохранения конфиденциальности действует в течение всего срока действия Договора и в течение 5 (пяти) лет после его расторжения.

11. Ответственность сторон

11.1. Заказчик как Оператор несёт ответственность перед субъектами персональных данных и регулирующими органами за правомерность обработки и достижения её целей.

11.2. Обработчик несёт ответственность перед Заказчиком за надлежащее исполнение поручения в части технической обработки данных.

11.3. Если Обработчик нарушил требования ч. 5 ст. 6 № 152-ФЗ при обработке по поручению, ответственность перед субъектом несёт Заказчик; перед Заказчиком — Обработчик в порядке регрессного требования.

11.4. Совокупная имущественная ответственность Обработчика по настоящему Договору ограничена суммой платежей, полученных Обработчиком от Заказчика за последние 3 (три) месяца, предшествующие событию, повлёкшему ответственность.

11.5. Стороны не несут ответственности за неисполнение обязательств вследствие обстоятельств непреодолимой силы (форс-мажор), включая, но не ограничиваясь: военные действия, стихийные бедствия, акты органов государственной власти, массовые сбои сетей связи общего пользования.

12. Срок действия и расторжение

12.1. Настоящий Договор вступает в силу с момента акцепта Заказчиком публичной оферты Сервиса и действует в течение всего срока пользования Сервисом.

12.2. Договор расторгается одновременно с расторжением договора оказания услуг по публичной оферте.

12.3. После расторжения Обработчик в течение 30 календарных дней обеспечивает Заказчику возможность экспорта переданных через Сервис персональных данных, после чего удаляет их со своих серверов.

12.4. Условия конфиденциальности и положения об ответственности продолжают действовать после расторжения настоящего Договора.

13. Заключительные положения

13.1. Настоящий Договор регулируется законодательством Российской Федерации.

13.2. Споры, не урегулированные путём переговоров, разрешаются в Арбитражном суде Краснодарского края, если иное не предусмотрено законом.

13.3. Если какое-либо условие Договора признаётся недействительным, остальные условия сохраняют силу.

13.4. Обработчик вправе вносить изменения в настоящий Договор. Актуальная редакция публикуется по адресу https://ловец-лидов.рф/dpa. Изменения, существенно затрагивающие интересы Заказчика, вступают в силу не ранее чем через 30 дней после уведомления.

13.5. Все уведомления и обращения по настоящему Договору направляются по адресу welcome@era-technologies.ru.