Для целей настоящего раздела Стороны используют следующую терминологию:
Договор — документ между Сторонами, в котором содержится отсылка к настоящему разделу;
Ozon или Компания — юридическое лицо, входящее в группу компаний Ozon и являющееся Стороной в Договоре;
Контрагент — лицо, являющееся контрагентом Ozon и Стороной в Договоре.
Положения настоящего раздела применяются к отношениям Сторон в силу соответствующей отсылки в Договоре в части, не противоречащей Договору, если иные условия прямо не предусмотрены Договором.
Настоящий раздел содержит Общие условия поручения на обработку персональных данных — в части, не урегулированной Общими условиями, Стороны руководствуются Специальными условиями поручения на обработку персональных данных, которые содержатся непосредственно в Договоре.
Ozon (далее — «Оператор») настоящим поручает Контрагенту (далее — «Обработчик») обработку персональных данных с использованием средств автоматизации в соответствии с ч. 3 ст. 6 Федерального закона № 152-ФЗ «О персональных данных» (далее — «152-ФЗ») на условиях настоящего поручения на обработку персональных данных (далее — «Поручение»). Стороны Поручения в дальнейшем также обозначаются по отдельности как «Сторона», а совместно — как «Стороны».
Термины, специально не определённые в Поручении, используются Сторонами в их обычных значениях согласно Договору и действующему законодательству РФ.
При обработке персональных данных по Поручению Обработчик обязуется соблюдать правила и принципы их обработки, как они установлены 152-ФЗ, а также соблюдать требования иных законов РФ и подзаконных актов в области персональных данных, в том числе руководящих и методических документов Правительства РФ, Минцифры России, Роскомнадзора, ФСТЭК России, ФСБ России и иных уполномоченных государственных органов в РФ (далее в совокупности — «Применимое законодательство»).
Условия поручения #
1. Наименование и описание информационной системы персональных данных Оператора, доступ к которой получает Обработчик (при наличии) #
Как указано в Специальных условиях поручения на обработку персональных данных, которые содержатся непосредственно в Договоре.
2. Перечень персональных данных, подлежащих обработке #
Как указано в Специальных условиях поручения на обработку персональных данных, которые содержатся непосредственно в Договоре.
3. Перечень действий (операций) с персональными данными #
Как указано в Специальных условиях поручения на обработку персональных данных, которые содержатся непосредственно в Договоре.
4. Цель обработки персональных данных #
Как указано в Специальных условиях поручения на обработку персональных данных, которые содержатся непосредственно в Договоре.
5. Конфиденциальность персональных данных #
Обработчик обязуется обеспечивать конфиденциальность персональных данных. Обработчик вправе предоставлять своим работникам доступ к персональным данным исключительно в объёме, необходимом для исполнения Поручения, и только при условии, что такие работники приняли на себя бессрочное обязательство в письменном виде обеспечивать конфиденциальность таких персональных данных.
Обработчик не вправе передавать персональные данные третьим лицам, кроме случаев, когда:
(1) это прямо предусмотрено Поручением в перечне действий (операций) с персональными данными;
(2) это прямо разрешено Оператором в соответствии с его инструкциями и при условии обязательного указания в таких инструкциях конкретных получателей персональных данных (ФИО/наименование, адрес места жительства/места нахождения и ИНН);
(3) Обработчик привлекает к обработке персональных данных третьих лиц, которые действуют по поручению Обработчика (далее — «Субобработчики»), с предварительного письменного разрешения Оператора и при условии обязательного указания в таком разрешении конкретных Субобработчиков (наименование, адрес места нахождения и ИНН). В качестве Субобработчиков могут привлекаться только юридические лица, учрежденные и зарегистрированные в РФ, и при условии, что поручения с ними являются аналогичными настоящему Поручению. Привлечение Субобработчиками иных третьих лиц к обработке персональных данных не допускается.
Распространение или трансграничная передача персональных данных не допускаются ни при каких обстоятельствах.
6. Безопасность обрабатываемых персональных данных и требования к их защите #
Обработчик обязуется обеспечивать безопасность персональных данных в соответствии с требованиями Применимого законодательства. В частности, Обработчик обязуется применять:
(1) меры по защите персональных данных, как они определены ст. 19 152-ФЗ, Постановлением Правительства РФ от 01.11.2012 г. № 1119, Приказом ФСТЭК России от 18.02.2013 № 21 и Приказом ФСБ России от 10.07.2014 г. № 378;
(2) меры по защите информации, как они определены методическими документами ФСТЭК России, действующими руководящими документами Гостехкомиссии России, а также актуальными редакциями ГОСТ Р ИСО/МЭК 27001 и ГОСТ Р ИСО/МЭК 27002;
(3) прочие меры по обеспечению информационной безопасности, как они определены в Оговорке об информационной безопасности.
Все меры принимаются Обработчиком с учётом возможных изменений в Применимом законодательстве и Оговорке об информационной безопасности, поэтому Обработчик обязуется регулярно отслеживать такие изменения и своевременно предпринимать необходимые действия по имплементации обновленных мер.
Обработчик обязан уведомлять Оператора о любых изменениях в используемой Обработчиком системе защиты персональных данных до начала имплементации таких изменений. При этом Обработчик вправе вносить в свою систему защиты персональных данных только такие изменения, которые не снижают уровень установленных настоящем пунктом требований.
Обработчик настоящим также заверяет Оператора, что на момент заключения Поручения:
(1) Обработчик выполняет и применяет все указанные в настоящем пункте требования и меры в полном объеме; а также
(2) отсутствуют какие-либо обстоятельства, которые впоследствии станут или могут стать основанием для невыполнения или неприменения Обработчиком требований и мер, указанных в настоящем пункте.
7. Обмен персональными данными #
Обмен персональными данными между Сторонами осуществляется исключительно по защищённым каналам связи любым из следующих способов:
(1) С использованием электронных почт, адреса которых письменно согласованы Сторонами для каждого конкретного случая обмена персональными данными. После такого согласования обмен персональными данными осуществляется с использованием протокола TLS не ниже 1.2 и в зашифрованном виде (с применением алгоритма шифрования AES-256; при этом ключ передается Сторонами по каналу связи, отличному от электронной почты получателя персональных данных) или в виде хэшей (с применением алгоритма хэширования SHA-256). Стороны подтверждают использование на своих почтовых серверах по умолчанию протокола TLS не ниже 1.2 для обмена персональными данными посредством электронных почт.
(2) С использованием принадлежащего, в том числе используемого на законном основании, любой из Сторон REST API по протоколу HTTPS и использованием протокола TLS не ниже v1.2 и со стойкостью cipher suites не ниже 256 бит.
(3) С использованием SFTP-сервера, принадлежащего, в том числе используемого на законном основании, любой из Сторон (доступ к такому серверу должен быть возможен только в отношении определенных Сторонами — «белых» — IP-адресов и посредством логина и сертификата; Стороны вправе установить дополнительные требования по безопасной конфигурации такого SFTP-сервера до обмена персональными данными).
(4) С использованием информационной системы Оператора, куда Обработчику предоставляется доступ.
(5) Иным способом в соответствии с инструкциями Оператора.
8. Запросы и инструкции Оператора #
Обработчик в течение всего срока действия Поручения, в том числе до начала обработки персональных данных, обязуется по запросу Оператора в течение 5 (пяти) рабочих дней с даты получения такого запроса, если иной срок не установлен в запросе, предоставлять Оператору документы, в том числе их надлежаще заверенные копии, и иную информацию, подтверждающие принятие Обработчиком мер и соблюдение им в целях исполнения Поручения требований, установленных в соответствии с Поручением и Применимым законодательством. Обработчик обязуется принять все необходимые меры, чтобы предоставление им соответствующих документов и информации не нарушало никаких соглашений с третьими лицами, в том числе в части конфиденциальности информации ограниченного доступа, равно как и применимых положений действующего законодательства.
Оператор вправе направлять Обработчику инструкции, касающиеся обработки персональных данных по Поручению. Такие инструкции дополняют и конкретизируют настоящее Поручение, но не могут изменять его по существу, если иное прямо не предусмотрено Поручением. Обработчик по получении инструкции информирует Оператора о ходе ее выполнения.
Запросы и инструкции Оператора могут направляться Обработчику любым из следующих способов:
(1) С электронной почты pdn@ozon.ru на электронную почту, указанную в Договоре в качестве контактной для Обработчика.
(2) В виде письма Почтой России или курьерской службой доставки по адресу места жительства/места нахождения Обработчика или по любому другому адресу Обработчика, указанному в Договоре.
К запросам и инструкциям Оператора должна быть приложена копия доверенности на имя уполномоченного лица, если такое лицо не уполномочено действовать от имени Оператора без доверенности. При этом такая доверенность должна содержать полномочие на представление интересов Оператора и ведения дел с третьими лицами по вопросам, связанным с персональными данными.
9. Реагирование на инциденты #
При обнаружении Обработчиком нарушения режима конфиденциальности персональных данных или их безопасности, утечки персональных данных и/или иного инцидента с персональными данными (далее — «Инцидент») Обработчик обязуется в течение 8 (восьми) часов с даты обнаружения уведомить Оператора о таком Инциденте.
Уведомление должно включать в себя информацию о:
(1) времени и характере Инцидента (включая информацию о категориях субъектов персональных данных и их приблизительном количестве, а также затрагиваемых категориях персональных данных и их приблизительном количестве);
(2) времени и обстоятельствах обнаружения Инцидента;
(3) затрагиваемой информационной системе Обработчика, в отношении которой произошел Инцидент (при наличии);
(4) причинах Инцидента;
(5) возникших и возможных, по мнению Обработчика, последствиях Инцидента (включая информацию о предполагаемом вреде, нанесенном правам субъектов персональных данных);
(6) о мерах, принимаемых или планируемых Обработчиком к принятию для устранения Инцидента и/или минимизации его последствий;
(7) контактные данные (ФИО, номер телефона, адрес электронной почты) лица, которое может предоставить Оператору дополнительную информацию об Инциденте и оказывать Оператору помощь в расследовании такого Инцидента.
Обработчик незамедлительно принимает все необходимые меры для локализации и устранения Инцидента, а также для минимизации его последствий. Обработчик подробно документирует каждое свое действие, обеспечивая при этом максимальную сохранность всех доказательств, связанных с Инцидентом, а затем проводит внутреннее расследование с целью выявить реальные причины Инцидента и установить личность лица, действия (бездействия) которого привели к Инциденту. Обработчик оформляет результаты такого расследования в акт, после чего передает его надлежащим образом заверенную копию в адрес Оператора в срок, не превышающий 24 (двадцати четырех) часов с даты обнаружения Инцидента.
Если по результатам Инцидента Оператор установит, что организационные и технические меры Обработчика на момент Инцидента не соответствовали требованиям, установленным Применимым законодательством или настоящим Поручением, Обработчик по требованию Оператора самостоятельно и за свой счет принимает технические и организационные меры, которые, по мнению Оператора, являются необходимыми, достаточными и адекватными для обеспечения безопасности персональных данных.
По требованию Оператора Обработчик оказывает Оператору необходимую поддержку в разумном объеме по выполнению обязательств, предусмотренных Применимым законодательством, в том числе в части взаимодействия с уполномоченными государственными органами и участия в судебных/административных процессах и разбирательствах.
10. Взаимодействие с субъектами персональных данных и уполномоченными государственными органами #
В случае обращения к Обработчику субъекта персональных данных, чьи персональные данные обрабатываются по настоящему Поручению, с запросом о реализации прав, Обработчик обязан в течение 24 (двадцати четырех) часов с даты получения такого запроса уведомить об этом Оператора (с приложением копии запроса) и проинформировать соответствующего субъекта о том, что для реализации прав ему необходимо обратиться непосредственно к Оператору (с указанием наименования, адреса места нахождения и ИНН Оператора).
Обязанность по реализации прав такого субъекта возлагается на Оператора. Обработчик не вправе самостоятельно реагировать на запросы субъекта персональных данных, если иное прямо не указано в инструкции Оператора.
По требованию Оператора Обработчик оказывает Оператору необходимую поддержку в разумном объеме в отношении взаимодействия с субъектами персональных данных.
11. Прочие требования к Обработчику #
Обработчик также обязуется выполнять все требования, как они определены:
(1) Ч. 5 ст. 18 152-ФЗ (если Обработчику поручен сбор персональных данных согласно перечню действий (операций) с персональными данными). Во исполнение данного требования Обработчик обязуется использовать собственную или арендованную серверную инфраструктуру, которая размещена на территории Российской Федерации, а также разрабатывать и поддерживать в актуальном виде схему движения персональных данных в виде DFD-нотации (Data Flow Diagram). Доказательствами выполнения Обработчиком данных требований являются справка о постановке на балансовый учет Обработчика серверной инфраструктуры, договор купли-продажи или аренды такой инфраструктуры, а также прочие документы в соответствии со сложившейся на дату запроса Оператора практикой Роскомнадзора.
(2) Ст. 18.1 152-ФЗ (независимо от конкретного перечня действий (операций) с персональными данными). Во избежание сомнений все меры, указанные в пп. 1-6 ч. 1 ст. 18.1 152-ФЗ, являются обязательными для Обработчика. Во исполнение данного требования Обработчик обязуется разрабатывать и поддерживать в актуальном виде регламенты, политики, схемы и прочую документацию, которые описывают и конкретизируют реализацию Обработчиком указанных мер.
Обработчику запрещено сохранять персональные данные на какие-либо материальные носители, равно как и осуществлять их обработку без использования средств автоматизации.
12. Срок действия Поручения #
Настоящее Поручение вступает в силу с даты его подписания обеими Сторонами и действует до даты прекращения Договора по любым основаниям или отмены Поручения Оператором (в зависимости от того, какое событие наступит раньше).
Оператор вправе в одностороннем внесудебном порядке отменить настоящее Поручение при условии предварительного уведомления Обработчика об этом. После получения Обработчиком такого уведомления Поручение прекращает свое действие в следующие сроки, если в уведомлении Оператора не указано иное:
(1) немедленно, если Оператор выявил нарушение Обработчиком каких-либо условий Поручения;
(2) немедленно, если на стороне Обработчика произошел Инцидент;
(3) немедленно — в отношении конкретного субъекта персональных данных, чьи персональные данные обрабатываются по настоящему Поручению, если выявлена неправомерная обработка его персональных данных;
(4) по истечении 3 (трех) календарных дней — в отношении конкретного субъекта персональных данных, чьи персональные данные обрабатываются по настоящему Поручению, если правовое основание для обработки его персональных данных отпало;
(5) по истечении 10 (десяти) календарных дней — в остальных случаях.
Не позднее даты прекращения действия Поручения Обработчик прекращает обработку персональных данных в полном объёме, а при наличии персональных данных в своих информационных системах – также производит их уничтожение оттуда и составляет соответствующий акт в соответствии с требованиями Приказа Роскомнадзора от 28.10.2022 г. № 179. Обработчик передает надлежащим образом заверенную копию акта об уничтожении персональных данных в адрес Оператора в срок, не превышающий 5 (пяти) рабочих дней с даты прекращения действия Поручения.
13. Ответственность #
Все указанные в настоящем Поручении условия обработки персональных данных являются существенными для Оператора (п. 1 ст. 432 Гражданского кодекса РФ), а отступление от них со стороны Обработчика — существенным нарушением Поручения со стороны Обработчика (п. 2 ст. 450 Гражданского кодекса РФ).
Все заверения, предоставляемые Обработчиком, имеют для Оператора существенное значение (п. 2 ст. 431.2 Гражданского кодекса РФ).
Обработчик несет полную ответственность перед Оператором за нарушение Обработчиком или привлеченными им Субобработчиками каких-либо положений настоящего Поручения или любых требований Применимого законодательства, в том числе за отступление от Поручения или неисполнение/ненадлежащее исполнение инструкций Оператора. В случае нарушения Обработчик обязуется уплатить Оператору штрафную неустойку в размере 100 000 (ста тысяч) рублей за каждый факт нарушения, а также возместить Оператору любые расходы и/или убытки, возникшие у Оператора в связи с указанным нарушением.
14. Заключительные положения #
В случае расхождений между Поручением и Договором приоритет имеют положения Поручения.
Во всем ином, что не предусмотрено Поручением, Стороны руководствуются Договором и действующим законодательством РФ, которое является применимым к настоящему Поручению.
По выбору Оператора любые споры, связанные с Поручением или вытекающие из него, разрешаются Сторонами в суде, как он указан в Договоре, или по месту нахождения Оператора.
До передачи спора в суд Стороны обязуются урегулировать такой спор в досудебном порядке путем обмена претензиями. При этом Стороны установили, что срок для такого урегулирования составляет 10 (десять) календарных дней с даты получения соответствующей Стороной претензии.
Досудебный порядок урегулирования считается выполненным, если претензия была направлена любым из следующих способов:
(1) для Оператора — с электронной почты pdn@ozon.ru на электронную почту, указанную в Договоре в качестве контактной для Обработчика; либо в виде письма Почтой России или курьерской службой доставки по адресу места жительства/места нахождения Обработчика или по любому другому адресу Обработчика, указанному в Договоре;
(2) для Обработчика — в виде письма Почтой России или курьерской службой доставки по адресу места нахождения Оператора.