Поручение на обработку персональных данных

1. Термины и определения В Поручении используются следующие термины и определения:
2. Предмет поручения 2.1.Лицензиат, выступающий согласно ч. 3 ст. 6 ФЗ «О персональных данных» Оператором персональных данных поручает, а Лицензиар, выступающий Обработчиком, принимает на себя обязательство осуществлять обработку приведенных ниже Персональных данных: Таблица № 1 Условия обработки персональных данных № Цель обработки Перечень персональных данных Перечень действий Категории субъектов 1 Предоставление функционала ПО для ЭВМ “CRM Evolutrix” фамилия, имя, отчество (при наличии); место работы; должность; номер телефона; адрес электронной почты; сведения, собираемые посредством метрических программ; IP-адрес; изображение. сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; получение; поиск; копирование; сопоставление (сравнение); объединение (связывание); использование; передача (предоставление, доступ); блокирование; удаление; уничтожение. Лицензиар, работники Лицензиара и иные представители Лицензиара 2 Управление взаимоотношениями с клиентами ФИО; контактные данные (телефон, email); история немедицинских взаимодействий; предпочтения. сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; блокирование; удаление; уничтожение. Клиенты Конечного пользователя 3 Планирование и учет визитов/записей ФИО клиента; контактные данные клиента; данные о записи (дата, время, тип услуги, немедицинские пометки). сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; блокирование; удаление; уничтожение. Клиенты Конечного пользователя 4 Финансовый учет и выставление счетов ФИО клиента; контактные данные клиента; данные о платежах; информация об оказанных немедицинских услугах. сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; блокирование; удаление; уничтожение. Клиенты Конечного пользователя 5 Заключение, исполнение, изменение договора, ФИО клиента; дата рождения; номер телефона; адрес электронной почты; сведения о документе, сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; Клиенты Конечного пользователя где сведения о состоянии здоровья являются необходимым условием для его заключения или исполнения. удостоверяющем личность; ИНН; СНИЛС; адрес места жительства; семейное положение; данные о совершении оплаты за оказанные услуги; банковские реквизиты; общие сведения о состоянии здоровья (например, наличие/отсутствие хронических заболеваний, аллергий, ограничений по физической нагрузке), необходимые исключительно для целей заключения и исполнения договора. передача (предоставление, доступ); блокирование; удаление; уничтожение. 6 Маркетинговые коммуникации ФИО клиента; контактные данные клиента; данные о предпочтениях (если применимо и немедицинского характера). сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (распространение); блокирование; удаление; уничтожение. Клиенты Конечного пользователя 7 Анализ эффективности деятельности Обезличенные или агрегированные данные о клиентской базе, посещаемости, популярности услуг. сбор; систематизация; накопление; хранение; извлечение; использование; обезличивание. Клиенты Конечного пользователя 8 Техническая поддержка и обслуживание Программы Данные, необходимые для диагностики и устранения ошибок (логи действий, техническая информация о сессии). сбор; запись; систематизация; накопление; хранение; извлечение; использование; блокирование; удаление; уничтожение. Пользователи Программы (Лицензиаты и Авторизованные пользователи) 9 Кадровый учет (для Конечного пользователя) ФИО сотрудника; контактные данные; должность. сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; блокирование; удаление; уничтожение. Сотрудники Конечного пользователя 2.1.Конечный состав персональных данных определяется Лицензиатом и не контролируется Лицензиаром. Содержание и перечень обрабатываемых Персональных данных определяется Лицензиатом исходя из требований действующего законодательства Российской Федерации в области деятельности, автоматизируемой с помощью Программы. При этом Лицензиат гарантирует, что в Программу не загружаются данные, обработка которых запрещена Лицензионным соглашением, включая данные, требующие специального правового регулирования для медицинских или иных чувствительных целей, если только это не предусмотрено явно в настоящем Поручении для конкретных целей (например, п. 5 Таблицы 1). 2.2.Сбор и непосредственно связанные с ним запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение Персональных данных производится Обработчиком с использованием баз данных, находящихся на территории Российской Федерации.
3. Обеспечение безопасности персональных данных 3.1.Лицензиар обязан во исполнение требований, установленных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – «Закон») соблюдать требования, установленные Законом, в том числе ч. 5 ст. 18 и ст. 18.1 Закона, соблюдать конфиденциальность и безопасность персональных данных, обработка которых поручена ему Лицензиатом, в том числе путем применения организационных и технических мер2 (далее — меры по обеспечению безопасности персональных данных) для 3 уровня защищенности персональных данных, установленных в Требованиях к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119. 3.2.Лицензиар обязуется по запросу Лицензиата (в том числе до начала фактической обработки персональных данных) в сроки, не превышающие 15 (пятнадцать) рабочих дней со дня направления запроса, предоставлять Лицензиату документы и/или сведения, подтверждающие принятие Лицензиаром организационных и технических мер, необходимых для обеспечения установленного уровня защищенности персональных данных мер. Необходимые документы предоставляются Лицензиаром лишь после подписания соглашения о неразглашении конфиденциальной информации. 3.3.Подтверждающими документами и (или) сведениями являются результаты оценки эффективности принимаемых мер по обеспечению безопасности персональных данных, выполненные как в форме добровольной аттестации по требованиям безопасности информации в системе сертификации ФСТЭК России, а также в других формах, выбираемых Лицензиаром (например, в форме приемо-сдаточных испытаний системы защиты персональных данных). 3.4.Запросы, указанные в пункте 3.2. Поручения, Лицензиат имеет право направлять Лицензиару не чаще 1 (одного) раза в квартал. Определение Сторонами состава и содержания предоставляемых сведений и (или) документов осуществляется с учетом требований применимого законодательства, а также c соблюдением прав и законных интересов субъектов, Сторон и иных лиц. 3.5.В случае если Лицензиар отказывается подтвердить достаточность принимаемых Лицензиаром мер, или предъявляет дополнительные требования к обеспечению безопасности персональных данных, то Лицензиат может без штрафных санкций отказаться от заключения Поручения, приостановить действие Поручения. 3.6.При исполнении настоящего Поручения Обработчик обязуется соблюдать конфиденциальность персональных данных, а именно не разглашать персональные данные никому, кроме следующих лиц: 2 Лицензиар применяет меры, предусмотренные Приказом ФСТЭК России от 18.02.2013 № 21 (ред. от 14.05.2020) «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» a) работников и уполномоченных лиц Сторон, которые напрямую связаны с обработкой персональных данных; b) субъектов персональных данных или их законных представителей, которые хотят получать информацию, касающуюся своих персональных данных; c) уполномоченным органам в соответствии с действующим законодательством.
4. Основные обязанности Сторон при Обработке Персональных данных 4.1.Обязанности Оператора: a) обеспечить соответствие целей Обработки Персональных данных, обрабатываемых в рамках настоящего Поручения, целям сбора Персональных данных; b) обеспечить наличие правовых оснований для Обработки Персональных данных и предоставления поручения на осуществление обработки Персональных данных Обработчику; c) незамедлительно довести до Обработчика информацию об утрате правовых оснований для Обработки Персональных данных (в т. ч. в случае отзыва Субъектом персональных данных согласия на обработку указанных сведений). 4.2.Обязанности Обработчика: a) обеспечивать конфиденциальность и защиту обрабатываемых Персональных данных; b) выполнять требования части 5 статьи 18, статьи 18.1 Закона № 152-ФЗ и соблюдать условия Поручения; c) соблюдать принципы Обработки Персональных данных, установленные законодательством Российской Федерации в области персональных данных; d) ограничить обработку Персональных данных достижением целей, определенных в Поручении, и не допускать обработку Персональных данных, несовместимую с указанными в Поручении целями обработки.
5. Уведомление о Нарушении приватности 5.1.Лицензиар во исполнение требований ч. 3.1 ст. 21 Закона уведомляет Лицензиата о случаях неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных. 5.2.Не позднее 18 (восемнадцати) часов в отношении такого случая Лицензиар направляет Лицензиату первое уведомление, содержащее информацию: a) о произошедшем инциденте (дату и время выявления инцидента, характеристику (характеристики) персональных данных (содержание базы данных, ставшей доступной неограниченному кругу лиц в результате неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных (далее — скомпрометированная база данных), количество содержащихся в ней записей; b) о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных (предварительные причины неправомерного распространения персональных данных, повлекшего нарушение прав субъектов персональных данных); c) о предполагаемом вреде, нанесенном правам субъектов персональных данных (результаты предварительной оценки вреда, который может быть нанесен субъектам персональных данных, в связи с неправомерным распространением персональных данных, а также последствия такого вреда, проведенной в соответствии с пунктом 5 части 1 статьи 18.1 Федерального закона "О персональных данных"; d) о принятых мерах по устранению последствий соответствующего инцидента (перечень принятых оператором организационных и технических мер по устранению последствий инцидента в соответствии со статьями 18.1, 19 Федерального закона "О персональных данных"). 5.3.Не позднее 36 (тридцати шести) часов с момента направления первого уведомления Лицензиар направляет Лицензиату второе уведомление, содержащее информацию: a) о результатах внутреннего расследования выявленного инцидента (информация о причинах, повлекших нарушение прав субъектов персональных данных, и вреде, нанесенном правам субъектов персональных данных, о дополнительно принятых мерах по устранению последствий соответствующего инцидента (при наличии), а также о решении оператора о проведении внутреннего расследования с указанием его реквизитов); b) о лицах, действия которых стали причиной выявленного инцидента (при наличии) (фамилия, имя, отчество (при наличии) должностного лица Исполнителя с указанием должности (если причиной инцидента стали действия сотрудника Исполнителя), фамилия, имя, отчество (при наличии) физического лица, индивидуального предпринимателя или полное наименование юридического лица, действия которых стали причиной выявленного инцидента, IP-адрес компьютера или устройства, предполагаемое местонахождение таких лиц и (или) устройств (если причиной инцидента стали действия посторонних лиц) и иные сведения о выявленном инциденте, имеющиеся в распоряжении Исполнителя). 5.4.В той степени, в которой это разрешено применимым законодательством, Лицензиар не будет без предварительного разрешения Лицензиата уведомлять соответствующие уполномоченные органы и (или) субъектов о любом инциденте или делать любые публичные заявления или иным образом уведомлять каких-либо лиц о любом инциденте. 5.5.Уведомления направляется в форме электронного документа на адрес электронной почты Лицензиата.
6. Дополнительные обработчики 6.1.Лицензиар привлекает к обработке персональных данных в рамках настоящего поручения следующих третьих лиц: АО «Селектел» (Россия): − Цели передачи ПДн: ЦОД; − Политика конфиденциальности — https://files.selectel.ru/docs/ru/personal-data- processing-and-protection-policy.pdf/ − Адрес: 196006, Санкт-Петербург, ул. Цветочная, д. 21, лит А. 6.2.Лицензиар заверяет и гарантирует (и обеспечивает, что эти заверения и гарантии являются достоверными в любой момент времени/периода обработки Персональных данных, осуществляемой в рамках Поручения), что дополнительные обработчики, присутствующие в пункте 5.1 Поручения соблюдают: a) обязательства и ограничения в отношении обработки, конфиденциальности и безопасности Персональных данных; b) принципы и правила обработки и защиты Персональных данных, предусмотренные применимым законодательством и подзаконными нормативными правовыми актами, а также условиями Поручения и дополнительным инструкциями Лицензиата; c) обязательства и ограничения в отношении трансграничной передачи Персональных данных, что предусмотрены условиями Поручения. 6.3.Лицензиат имеет возможность интеграции со сторонними интернет-мессенджерами и социальными сетями, иными сервисами, которая в том числе обеспечивается третьими лицами. Правообладатели иных сервисов выступают самостоятельными операторами персональных данных. Лицензиат, осуществляя такую интеграцию, вступает в самостоятельные гражданско-правовые отношения с этими сторонами, принимает их политики, если применимо выполняет требования и ограничения о трансграничной передаче, предусмотренные ст. 12 ФЗ «О персональных данных».
7. Заключительные положения 7.1.Никакие положения Поручения не освобождают Стороны от соблюдения законных требований, предъявляемых Уполномоченными органами, а также иными лицами, имеющими соответствующие полномочия или судом. Стороны должны по мере возможности обсуждать друг с другом ответы на запросы, связанные с истребованием информации со стороны Уполномоченных органов, а также иных лиц, имеющих на это соответствующие полномочия в отношении информации, связанной с исполнением настоящего Поручения. 7.2.Сторона, не исполнившая или ненадлежащим образом исполнившая любое из обязательств по Поручению, также несет ответственность в размере документально подтвержденного реального ущерба, причиненного другой Стороне в связи и исключительно в размере удовлетворенных в соответствии с судебными актами требований и (или) в размере взысканных административных и иных штрафов. Ни при каких обстоятельствах Стороны не несут ответственность за упущенную выгоду или иные косвенные или последующие убытки, понесенные по причине неисполнения или ненадлежащего исполнения Поручения. 7.3.Несмотря ни на что иное, указанное в Поручении, Оператор обязуется выплатить Обработчику денежную сумму в размере уплаченного административного штрафа, наложенного на Обработчика по факту неисполнения или ненадлежащего исполнения Оператором обязанности, предусмотренной пунктом 4.1 Поручения. 7.4.Условия настоящего Поручения имеют приоритет перед условиями Договора, относящимся к правоотношениям Сторон, урегулированным настоящим Поручением. Во всем остальном, что не предусмотрено настоящим Поручением, применяются положения Договора и требования законодательства Российской Федерации. Приложения: Приложение № 1 к Поручению Рекомендуемая форма согласие клиента на обработку персональных данных в системе. Приложение № 2 к Поручению Рекомендуемая форма согласие клиента на обработку персональных данных, относимых к специальной категории, в системе. Приложение № 1 к Поручению Рекомендуемая форма согласие клиента на обработку персональных данных в системе. Согласие на обработку персональных данных Я, ________________________________________________________________________________, (Фамилия, Имя, Отчество полностью) документ, удостоверяющий личность: ________________________ серия ________ № ______________, выдан ___________________________________________________________ «_____» ______________ _______ г., (дата выдачи) ____________________________________(кем выдан), адрес регистрации по месту жительства: ___________________________________________ _____________________________________________________________________________________ далее именуемый «Субъект ПДн» / «Клиент», действуя свободно, своей волей и в своем интересе, даю конкретное, информированное, сознательное и однозначное согласие Оператору (или Пользователю Системы): Обществу с ограниченной ответственностью «НАИМЕНОВАНИЕ» (ООО «НАИМЕНОВАНИЕ»), ОГРН <Ваш ОГРН>, ИНН <Ваш ИНН>, адрес: <Ваш юридический адрес>, email <Ваш email> (далее – «Оператор»), на обработку моих персональных данных с использованием информационной системы «CRM EVOLUTRIX» (далее – «Система»), оператором и правообладателем которой выступает ООО "Эволютрикс", адрес: 199106, город Санкт-Петербург, линия 24-Я В.О., д. 3-7 литера О, помещ. 58 помещ. 7-н , ИНН 7801741444, ОГРН 1257800033820 (далее – «Обработчик»), для цели: оказания мне Пользователем (Оператор) Системы соответствующих административных услуг и услуг по организации немедицинских взаимодействий, связанных с заключением, исполнением, изменением договора, в том числе:
   • хранение и систематизация сведений об оказанных мне услугах Пользователем Системы в электронной форме для обеспечения управленческой преемственности и качества административного взаимодействия;
   • управление взаимоотношениями с клиентами (ведение базы данных клиентов, истории немедицинских взаимодействий, предпочтений);
   • планирование и учет визитов/записей (организация расписания, напоминания о встречах, учет посещений);
   • финансовый учет и выставление счетов (управление платежами, формирование счетов и актов за оказанные услуги немедицинского характера);
   • маркетинговые коммуникации (отправка информационных рассылок, предложений, акций при наличии согласия субъекта и исключительно немедицинского характера). Перечень обрабатываемых персональных данных: Фамилия, имя, отчество. Дата рождения. Номер телефона. Адрес электронной почты. Изображение лица и частей тела (не для целей идентификации). Сведения о документе, удостоверяющем личность, ИНН. СНИЛС. Адрес места жительства. Данные о совершении оплаты за оказанные услуги. Банковские реквизиты. Перечень действий (операций) с персональными данными, на совершение которых дается согласие: Сбор, запись (включая загрузку в Систему), систематизация, накопление, хранение (в электронном виде в Системе), уточнение (обновление, изменение), извлечение, использование (Пользователем Системы для оказания услуг и Оператором для обеспечения работы Системы), блокирование, удаление, уничтожение персональных данных. Обработка будет осуществляться как автоматизированным, так и неавтоматизированным способами (смешанная обработка). Срок действия согласия: Настоящее согласие действует со дня его подписания и до момента достижения целей обработки ПДн, либо до дня отзыва мною настоящего согласия в письменной форме, либо 3 года с момента окончания предоставления мне соответствующих услуг, в зависимости от того, какое событие наступит ранее, Порядок отзыва согласия: Я проинформирован(а) о том, что имею право в любое время отозвать настоящее согласие путем подачи Оператору письменного заявления. Отзыв согласия не влияет на законность обработки, осуществлявшейся до его отзыва. В случае отзыва согласия Оператор и Пользователь Системы прекратят обработку моих ПДн и уничтожат их в срок, не превышающий 30 (тридцати) дней с даты поступления отзыва, за исключением случаев, когда дальнейшая обработка допускается или является обязательной в соответствии с законодательством РФ. Я осознаю, что отзыв согласия может сделать невозможным дальнейшее оказание мне услуг Пользователем Системы с использованием Системы. Подпись Субъекта ПДн (Клиента): _________________________ / <Расшифровка подписи> / Приложение № 2 к Поручению Рекомендуемая форма согласие клиента на обработку персональных данных, относимых к специальной категории, в системе. Согласие на обработку специальных категорий персональных данных Я, _______________________________________________________________________________________, (Фамилия, Имя, Отчество полностью) документ, удостоверяющий личность: ________________________ серия ________ № ______________, выдан ___________________________________________________________ «_____» ______________ _______ г., (дата выдачи) ____________________________________(кем выдан), адрес регистрации по месту жительства: __________________________________________________________________________ _____________________________________________________________________________________ далее именуемый «Субъект ПДн» / «Клиент», действуя свободно, своей волей и в своем интересе, даю конкретное, информированное, сознательное и однозначное согласие Оператору (или Пользователю Системы): Обществу с ограниченной ответственностью «НАИМЕНОВАНИЕ» (ООО «НАИМЕНОВАНИЕ»), ОГРН <Ваш ОГРН>, ИНН <Ваш ИНН>, адрес: <Ваш юридический адрес>, email <Ваш email> (далее – «Оператор»), на обработку моих специальных категорий персональных данных (сведений о состоянии здоровья) и иных персональных данных с использованием информационной системы «CRM EVOLUTRIX» (далее – «Система»), оператором и правообладателем которой выступает ООО "Эволютрикс", адрес: 199106, город Санкт-Петербург, линия 24-Я В.О., д. 3-7 литера О, помещ. 58 помещ. 7-н, ИНН 7801741444, ОГРН 1257800033820 (далее – «Обработчик»), для цели: заключения, исполнения, изменения договора, где сведения о состоянии здоровья являются необходимым условием для его заключения или исполнения Перечень обрабатываемых специальных категорий персональных данных (в т.ч. сведений о состоянии здоровья): Фамилия, имя, отчество. Дата рождения. Номер телефона. Адрес электронной почты. Изображение лица и частей тела (не для целей идентификации). Сведения о документе, удостоверяющем личность, ИНН. СНИЛС. Адрес места жительства. Данные о совершении оплаты за оказанные услуги. Банковские реквизиты. Общие сведения о состоянии здоровья (например, наличие/отсутствие хронических заболеваний, аллергий, ограничений по физической нагрузке), необходимые исключительно для целей заключения и исполнения договора. Перечень действий (операций) с персональными данными, на совершение которых дается согласие: Сбор, запись (включая загрузку в Систему), систематизация, накопление, хранение (в электронном виде в Системе), уточнение (обновление, изменение), извлечение, использование (Пользователем Системы для оказания услуг и Оператором для обеспечения работы Системы), блокирование, удаление, уничтожение персональных данных. Обработка будет осуществляться как автоматизированным, так и неавтоматизированным способами (смешанная обработка). Срок действия согласия: Настоящее согласие действует со дня его подписания и до момента достижения целей обработки ПДн, либо до дня отзыва мною настоящего согласия в письменной форме, либо 3 года с момента окончания предоставления мне соответствующих услуг, в зависимости от того, какое событие наступит ранее, Порядок отзыва согласия: Я проинформирован(а) о том, что имею право в любое время отозвать настоящее согласие путем подачи Оператору письменного заявления. Отзыв согласия не влияет на законность обработки, осуществлявшейся до его отзыва. В случае отзыва согласия Оператор и Пользователь Системы прекратят обработку моих ПДн и уничтожат их в срок, не превышающий 30 (тридцати) дней с даты поступления отзыва, за исключением случаев, когда дальнейшая обработка допускается или является обязательной в соответствии с законодательством РФ. Я осознаю, что отзыв согласия может сделать невозможным дальнейшее оказание мне услуг Пользователем Системы с использованием Системы. Подпись Субъекта ПДн (Клиента): _________________________ / <Расшифровка подписи> /