Поручение
на обработку персональных данных Twims

Редакция от 20.06.2026
Неотъемлемая часть Публичной оферты о предоставлении доступа к программному сервису Twims и права использования его программной части

1. Общие положения
1.1. Настоящее Поручение на обработку персональных данных, далее - Поручение, определяет условия обработки Индивидуальным предпринимателем Чугиным Романом Сергеевичем персональных данных, цели и правовые основания обработки которых определяет Заказчик.
1.2. Настоящее Поручение является неотъемлемой частью Публичной оферты о предоставлении доступа к программному сервису Twims и права использования его программной части, далее - Оферта, и договора, заключенного посредством Акцепта Оферты.
Поручение становится частью договора при условии, что до совершения Акцепта Заказчику были доступны текст Поручения, дата его редакции и ссылка на него, а применяемая редакция Оферты прямо предусматривает включение настоящего Поручения в состав договора.
Актуальная редакция Оферты и настоящее Поручение размещаются в разделе «Правовые документы» на Сайте и находятся в свободном доступе для Пользователей.
1.3. Сторонами настоящего Поручения являются:
  1. Заказчик - лицо, соответствующее определению Заказчика в Оферте и выступающее оператором Персональных данных Заказчика;
  2. Обработчик - Индивидуальный предприниматель Чугин Роман Сергеевич, ОГРНИП 321190000001932, ИНН 190309113560, адрес регистрации: Республика Калмыкия, Целинный район, п. Верхний Яшкуль, ул. Красная, д. 9, кв. 2, адрес электронной почты: roman@twims.io, именуемый в Оферте Исполнителем.
1.4. Термин «Обработчик» используется исключительно для обозначения статуса лица, осуществляющего обработку персональных данных по поручению оператора, и не означает, что Обработчик становится оператором Персональных данных Заказчика либо совместно с Заказчиком определяет цели их обработки.
1.5. Настоящее Поручение представляет собой поручение оператора персональных данных в значении части 3 статьи 6 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».
Использование обозначения DPA носит информационный характер и не изменяет правовую природу настоящего документа по законодательству Российской Федерации.
1.6. Настоящее Поручение применяется только в отношении обработки Персональных данных Заказчика, осуществляемой Обработчиком исключительно для предоставления Заказчику выбранных функций Сервиса и исполнения его документированных указаний.
1.7. Настоящее Поручение не регулирует обработку персональных данных, цели которой Обработчик определяет самостоятельно, в том числе обработку:
  1. данных посетителей Сайта;
  2. данных Пользователей, необходимых для регистрации, идентификации, аутентификации и ведения Учетной записи;
  3. сведений о Заказчике и его представителях, необходимых для заключения, исполнения, изменения и прекращения договора;
  4. расчетных и платежных сведений;
  5. контактных данных лица, направившего обращение в техническую поддержку, и сведений, необходимых для регистрации, маршрутизации и документирования такого обращения;
  6. минимально необходимых технических журналов;
  7. сведений, необходимых для обеспечения информационной безопасности;
  8. данных, необходимых для исполнения требований законодательства Российской Федерации;
  9. сведений, необходимых для предъявления, рассмотрения и защиты правовых требований.
Если в рамках технической поддержки Обработчик получает доступ к содержанию задач, файлов, сообщений, документов, данных Интеграций или иного Контента Заказчика исключительно для диагностики и устранения проблемы по запросу Заказчика, такая обработка осуществляется на основании настоящего Поручения.
Обработка, цели которой Обработчик определяет самостоятельно, регулируется Политикой в отношении обработки персональных данных, размещенной по адресу:
https://twims.io/privacy-policy.
1.8. Настоящее Поручение не является согласием субъекта персональных данных и не заменяет получение Заказчиком согласия субъекта либо наличие иного предусмотренного законодательством правового основания.
1.9. Если сведения, размещенные Заказчиком в Сервисе, не относятся прямо или косвенно к определенному или определяемому физическому лицу, положения настоящего Поручения к таким сведениям не применяются.
1.10. Термины, написанные с заглавной буквы и прямо не определенные в настоящем Поручении, применяются в значениях, установленных Офертой и Политикой в отношении обработки персональных данных.

2. Роли Сторон
2.1. Заказчик является оператором Персональных данных Заказчика и самостоятельно определяет:
  1. цели обработки;
  2. правовые основания обработки;
  3. категории субъектов персональных данных;
  4. перечень и объем обрабатываемых данных;
  5. сроки обработки и хранения;
  6. круг лиц, которым предоставляется доступ;
  7. необходимость передачи данных во Внешние информационные системы;
  8. содержание документированных указаний Обработчику.
2.2. Обработчик осуществляет обработку Персональных данных Заказчика исключительно:
  1. от имени и по поручению Заказчика;
  2. в пределах настоящего Поручения;
  3. для целей, указанных в разделе 4 настоящего Поручения;
  4. посредством предусмотренной Сервисом функциональности;
  5. на основании документированных указаний Заказчика;
  6. в течение срока действия Поручения и предусмотренного периода удаления данных.
2.3. Обработчик не приобретает самостоятельного права определять цели обработки Персональных данных Заказчика.
2.4. Один и тот же технический набор сведений может обрабатываться Обработчиком в разных правовых статусах исключительно для различных, конкретно определенных целей и при наличии самостоятельного правового основания для каждой такой цели.
В частности:
  1. содержание файла, задачи, комментария, сообщения или документа обрабатывается по поручению Заказчика;
  2. сведения о дате и времени загрузки, авторизованной сессии, совершенном административном действии или событии информационной безопасности могут обрабатываться Обработчиком самостоятельно в минимально необходимом объеме для обеспечения безопасности, подтверждения исполнения договора, расследования Инцидента и защиты законных прав.
Самостоятельная обработка технических сведений не предоставляет Обработчику право использовать содержание Контента Заказчика для собственных целей и осуществляется на условиях Политики в отношении обработки персональных данных.
2.5. Правовой статус Сторон определяется применительно к конкретной цели обработки, а не исключительно местом хранения данных или наименованием информационной системы.

3. Предмет и срок Поручения
3.1. Заказчик поручает, а Обработчик принимает на себя обязанность осуществлять обработку Персональных данных Заказчика в объеме, необходимом для предоставления и функционирования Сервиса Twims.
3.2. Предметом Поручения является автоматизированная и, при необходимости, смешанная обработка персональных данных, содержащихся:
  1. в задачах, подзадачах и контрольных перечнях;
  2. в карточках товаров и единиц их учета;
  3. в комментариях, сообщениях и описаниях;
  4. в документах, изображениях и иных файлах;
  5. в справочниках и рабочих процессах;
  6. в сведениях о Пользователях и назначенных им Ролях доступа - в той части, в которой цели обработки соответствующих сведений определяет Заказчик, включая внутреннюю организацию работы, распределение задач и предоставление доступа к Контенту Заказчика;
  7. в данных подключенных Заказчиком Интеграций;
  8. в данных о заказах, продажах, поставках, остатках, возвратах и рекламе, если такие сведения относятся к физическим лицам;
  9. в иных материалах Рабочего пространства, правомерно размещенных или импортированных Заказчиком и Пользователями.
Сведения о Пользователях, необходимые Обработчику для регистрации, идентификации, аутентификации, ведения Учетных записей, обеспечения безопасности и исполнения договора, обрабатываются Обработчиком как самостоятельным оператором в соответствии с Политикой в отношении обработки персональных данных и не относятся к предмету настоящего Поручения.
3.3. Настоящее Поручение вступает в силу одновременно с заключением договора посредством Акцепта Заказчиком редакции Оферты, содержащей прямую ссылку на настоящее Поручение.
Фактическая обработка Персональных данных Заказчика на основании Поручения начинается с момента совершения первого из следующих действий после заключения договора:
  1. размещения или импорта Персональных данных Заказчика в Рабочее пространство;
  2. подключения Интеграции, посредством которой Обработчику становятся доступны Персональные данные Заказчика;
  3. активации функции Сервиса, предполагающей обработку Персональных данных Заказчика;
  4. предоставления Обработчику иного документированного указания на обработку.
Создание Рабочего пространства или размещение данных до надлежащего Акцепта не заменяет заключение договора и не признается самостоятельным основанием выдачи Поручения.
3.4. Поручение действует в течение срока действия договора и до завершения предусмотренных настоящим Поручением процедур возврата, выгрузки, удаления или уничтожения Персональных данных Заказчика.
3.5. Прекращение доступа отдельного Пользователя не прекращает Поручение, если Заказчик продолжает использовать Сервис либо в Рабочем пространстве сохраняются Персональные данные Заказчика.

4. Цели обработки
4.1. Обработчик осуществляет обработку Персональных данных Заказчика исключительно для следующих целей:
  1. создание, ведение и обслуживание Рабочих пространств;
  2. предоставление доступа Уполномоченным пользователям;
  3. разграничение прав и Ролей доступа;
  4. ведение задач, подзадач и контрольных перечней;
  5. ведение карточек товаров и единиц их учета;
  6. хранение и отображение файлов, документов и изображений;
  7. ведение комментариев, сообщений, справочников и рабочих процессов;
  8. поиск, сортировка, структурирование, фильтрация и отображение данных;
  9. предоставление предусмотренных Сервисом отчетов и аналитических представлений;
  10. импорт, экспорт и синхронизация данных;
  11. функционирование подключенных Заказчиком Интеграций;
  12. передача данных во Внешние информационные системы, выбранные и подключенные Заказчиком;
  13. резервное копирование и восстановление;
  14. обеспечение доступности и работоспособности выбранной функциональности;
  15. оказание технической поддержки по запросу Заказчика;
  16. выполнение иных документированных указаний Заказчика, соответствующих назначению Сервиса, Оферте и законодательству Российской Федерации.
4.2. Обработчик не вправе использовать Персональные данные Заказчика:
  1. для самостоятельного продвижения товаров, работ или услуг;
  2. для формирования рекламных профилей субъектов персональных данных;
  3. для продажи данных;
  4. для предоставления данных третьим лицам в их самостоятельных целях, кроме передачи определенной Внешней информационной системе по документированному указанию Заказчика и при наличии необходимых правовых оснований;
  5. для обучения моделей искусственного интеллекта общего назначения;
  6. для обучения моделей, предназначенных для неопределенного круга пользователей;
  7. для иных целей, не предусмотренных настоящим Поручением.
4.3. Использование Персональных данных Заказчика для новой цели допускается только:
  1. на основании отдельного письменного или электронного соглашения Сторон;
  2. после определения соответствующего правового основания;
  3. после выполнения требований законодательства о персональных данных;
  4. после получения необходимых согласий субъектов, если они требуются.
4.4. Активация Уполномоченным пользователем ИИ-функции может признаваться документированным указанием Заказчика на обработку конкретно выбранных Пользователем Персональных данных Заказчика исключительно для формирования запрошенного результата, если:
  1. соответствующая функция и характер обработки описаны в интерфейсе до ее активации;
  2. Пользователь обладает необходимой Ролью доступа;
  3. обработка соответствует назначению Сервиса и настоящему Поручению;
  4. используемый внешний поставщик, при его наличии, привлечен в порядке раздела 13 настоящего Поручения;
  5. соблюдены требования локализации и трансграничной передачи;
  6. поставщик не вправе использовать запросы, Контент и результаты для собственных целей или обучения моделей общего назначения;
  7. Заказчик обеспечил наличие правового основания обработки выбранных данных.
Такая активация не является указанием:
  1. на обучение модели общего назначения;
  2. на сохранение данных внешним поставщиком для собственных целей;
  3. на распространение персональных данных;
  4. на использование данных для рекламы или профилирования;
  5. на обработку специальных категорий, биометрических данных, сведений о судимости, данных несовершеннолетних, Данных доступа или иных сведений, обработка которых соответствующей функцией не предусмотрена.
4.5. Передача Персональных данных Заказчика внешнему поставщику ИИ-функции допускается только после завершения его технической и правовой оценки, определения статуса такого поставщика, заключения необходимого договора и предоставления Заказчику информации, предусмотренной разделами 12 и 13 настоящего Поручения.

5. Категории субъектов персональных данных
5.1. В рамках настоящего Поручения могут обрабатываться персональные данные:
  1. работников и бывших работников Заказчика;
  2. кандидатов и соискателей;
  3. руководителей, участников и представителей Заказчика;
  4. исполнителей и подрядчиков;
  5. представителей поставщиков и контрагентов;
  6. клиентов и покупателей Заказчика;
  7. продавцов - физических лиц и индивидуальных предпринимателей;
  8. пользователей кабинетов электронных торговых площадок;
  9. получателей заказов;
  10. лиц, участвующих в поставках, возвратах и иных операционных процессах;
  11. Пользователей Рабочего пространства;
  12. иных физических лиц, сведения о которых правомерно размещены или импортированы Заказчиком в Сервис.
5.2. Заказчик самостоятельно определяет фактические категории субъектов применительно к собственной деятельности и используемым функциям Сервиса.

6. Перечень персональных данных
6.1. В рамках настоящего Поручения могут обрабатываться следующие категории персональных данных:
  1. фамилия, имя и отчество;
  2. внутренний идентификатор физического лица;
  3. адрес электронной почты;
  4. номер телефона;
  5. идентификатор в сервисе обмена сообщениями;
  6. должность;
  7. подразделение;
  8. профессиональная и проектная роль;
  9. сведения о полномочиях;
  10. сведения о трудовой, договорной, проектной и хозяйственной деятельности;
  11. сведения о назначенных задачах и результатах их выполнения;
  12. содержание комментариев, сообщений и рабочих материалов;
  13. сведения о заказах, продажах, поставках, возвратах и претензиях;
  14. сведения о статусе физического лица как клиента, покупателя, продавца, поставщика, подрядчика, представителя контрагента, получателя заказа или участника возврата, а также сведения о его связи с соответствующим заказом, поставкой, возвратом или иным рабочим процессом;
  15. сведения, содержащиеся в документах, договорах, сертификатах, инструкциях и иных файлах;
  16. изображения и фотографии;
  17. идентификаторы магазинов, кабинетов и учетных записей;
  18. сведения о Ролях доступа и действиях в Рабочем пространстве;
  19. сведения, полученные через подключенные Заказчиком Интеграции;
  20. сведения, внесенные Пользователями в свободные текстовые поля, комментарии, сообщения и загруженные файлы, исключительно в той части, в которой такие сведения относятся к категориям персональных данных, прямо перечисленным в подпунктах 1–19 настоящего пункта.
Обработка категории персональных данных, прямо не предусмотренной настоящим пунктом, допускается только после внесения соответствующего изменения в Поручение либо заключения отдельного письменного или электронного соглашения Сторон.
Само техническое наличие свободного поля или возможности загрузки файла не расширяет перечень персональных данных, обработка которых поручена Обработчику.
6.2. Сведения о товарах, ценах, остатках, рекламных показателях и иных хозяйственных операциях относятся к предмету настоящего Поручения только тогда, когда они прямо или косвенно относятся к определенному или определяемому физическому лицу.
6.3. В обычный предмет Поручения не входят:
  1. специальные категории персональных данных;
  2. биометрические персональные данные, используемые для установления личности;
  3. сведения о судимости;
  4. персональные данные несовершеннолетних;
  5. сведения, составляющие государственную тайну;
  6. полные реквизиты платежных карт;
  7. пароли, закрытые ключи и коды подтверждения, за исключением Данных доступа, размещенных в специально предназначенных защищенных полях Интеграции.
6.4. Обработка сведений, перечисленных в пункте 6.3, допускается только при одновременном наличии:
  1. специально предназначенной для этого функции;
  2. отдельного письменного соглашения Сторон;
  3. определенного правового основания;
  4. необходимых согласий субъектов;
  5. согласованных требований к защите;
  6. технического подтверждения готовности Сервиса к такой обработке.
6.5. Если Заказчик разместил сведения, не входящие в обычный предмет Поручения, без предварительного согласования, Обработчик вправе:
  1. временно ограничить обработку соответствующих сведений;
  2. заблокировать доступ к соответствующему объекту;
  3. уведомить Заказчика о выявленном нарушении;
  4. потребовать удаления, изменения, обезличивания или переноса сведений;
  5. предоставить Заказчику разумный срок для устранения нарушения;
  6. приостановить затронутую функцию до устранения нарушения.
Удаление сведений Обработчиком без предварительного указания Заказчика допускается только:
  1. во исполнение вступившего в силу судебного акта или обязательного требования уполномоченного государственного органа;
  2. если хранение или дальнейшая обработка прямо запрещены законом;
  3. при наличии непосредственной угрозы безопасности Сервиса, данным иных Заказчиков или правам третьих лиц, когда менее ограничительная мера объективно недостаточна;
  4. в иных случаях, прямо предусмотренных Офертой и законодательством Российской Федерации.
Если обстоятельства позволяют, до удаления Обработчик уведомляет Заказчика и предоставляет возможность самостоятельно удалить или выгрузить соответствующие сведения.

7. Перечень операций и способы обработки
7.1. В пределах настоящего Поручения Обработчик вправе совершать следующие действия с Персональными данными Заказчика:
  1. сбор, если он технически осуществляется от имени Заказчика;
  2. получение;
  3. запись;
  4. систематизацию;
  5. накопление;
  6. хранение;
  7. уточнение, включая обновление и изменение;
  8. извлечение;
  9. использование;
  10. сопоставление;
  11. поиск;
  12. сортировку;
  13. фильтрацию;
  14. структурирование;
  15. отображение;
  16. передачу в форме предоставления и доступа определенным Уполномоченным пользователям;
  17. передачу в форме предоставления и доступа между техническими компонентами Сервиса;
  18. передачу в форме предоставления и доступа подключенным Заказчиком Внешним информационным системам;
  19. передачу в форме предоставления и доступа Привлеченным лицам в пределах порученных им функций;
  20. резервное копирование;
  21. восстановление;
  22. обезличивание;
  23. блокирование;
  24. удаление;
  25. уничтожение;
  26. иные технические операции, прямо необходимые для исполнения документированных указаний Заказчика и не расширяющие цели обработки.
Распространение Персональных данных Заказчика неопределенному кругу лиц в перечень разрешенных операций не входит.
7.2. Обработка осуществляется преимущественно с использованием средств автоматизации.
Обработка без использования средств автоматизации или смешанным способом допускается в объеме, необходимом для:
  1. оказания технической поддержки;
  2. расследования инцидента;
  3. восстановления данных;
  4. исполнения законного требования;
  5. выполнения документированного указания Заказчика;
  6. иных действий, непосредственно связанных с исполнением Поручения.
7.3. Распространение Персональных данных Заказчика неопределенному кругу лиц в предмет настоящего Поручения не входит.
7.4. Предоставление доступа определенным Уполномоченным пользователям в соответствии с назначенными им Ролями доступа не является распространением персональных данных.

8. Документированные указания Заказчика
8.1. Документированными указаниями Заказчика признаются:
  1. настоящее Поручение;
  2. Оферта;
  3. условия выбранного Тарифного плана;
  4. настройки Рабочего пространства;
  5. назначение и изменение Ролей доступа;
  6. подключение и настройка Интеграций;
  7. действия Заказчика и Уполномоченных пользователей, совершенные после надлежащей аутентификации;
  8. запросы, направленные через Личный кабинет;
  9. обращения в техническую поддержку;
  10. письменные и электронные сообщения уполномоченного представителя Заказчика;
  11. отдельные соглашения Сторон.
8.2. Настройки и действия Пользователей признаются указаниями Заказчика только в пределах:
  1. назначенной им Роли доступа;
  2. функциональных возможностей Сервиса;
  3. целей настоящего Поручения;
  4. предусмотренных операций;
  5. правомерно предоставленных Заказчиком полномочий.
8.3. Техническое действие Пользователя не может самостоятельно расширять:
  1. цели обработки;
  2. категории субъектов;
  3. перечень персональных данных;
  4. перечень допустимых операций;
  5. права Обработчика на использование данных.
8.4. Устное указание Заказчика не является документированным указанием и не подлежит исполнению до его подтверждения посредством Личного кабинета, электронной почты, системы электронного документооборота либо иного способа, позволяющего достоверно установить содержание указания, Заказчика и уполномоченное лицо.
Неотложные меры, принимаемые Обработчиком для предотвращения Инцидента, ограничения неправомерного доступа, исполнения обязательного требования законодательства или защиты данных, осуществляются на основании настоящего Поручения, Оферты и законодательства Российской Федерации и не считаются исполнением устного указания Заказчика.
8.5. Если Обработчик обоснованно полагает, что указание Заказчика:
  1. нарушает законодательство;
  2. выходит за пределы Поручения;
  3. нарушает права субъекта персональных данных;
  4. создает угрозу безопасности;
  5. технически неисполнимо;
  6. способно затронуть данные другого Заказчика,
Обработчик вправе приостановить исполнение такого указания и запросить его уточнение.
8.6. Обработчик уведомляет Заказчика о причинах приостановления, если такое уведомление:
  1. не запрещено законодательством;
  2. не создает дополнительной угрозы безопасности;
  3. не препятствует исполнению обязательного требования государственного органа.
8.7. Обработчик вправе отказать в исполнении явно незаконного указания.

9. Обязанности Заказчика
9.1. Заказчик обязан:
  1. обеспечить законность первоначального сбора персональных данных;
  2. определить конкретные и законные цели обработки;
  3. установить применимое правовое основание;
  4. получить согласия субъектов, если они требуются;
  5. обеспечить наличие основания для поручения обработки Обработчику;
  6. надлежащим образом информировать субъектов персональных данных;
  7. обеспечить правомерность передачи данных Обработчику;
  8. обеспечить, чтобы применимое правовое основание обработки, а при необходимости - согласие субъекта персональных данных, охватывало поручение обработки Обработчику и привлечение им Привлеченных лиц на условиях настоящего Поручения;
  9. соблюдать принцип минимизации данных;
  10. обеспечить точность, достаточность и актуальность данных;
  11. самостоятельно определить сроки обработки и хранения;
  12. назначать Пользователям минимально необходимый объем прав;
  13. своевременно прекращать доступ лиц, утративших полномочия;
  14. обеспечить правомерность подключения Внешних информационных систем;
  15. не передавать данные, не соответствующие назначению Сервиса;
  16. не размещать сведения, запрещенные пунктом 6.3, без отдельного согласования;
  17. исполнять обращения субъектов персональных данных;
  18. исполнять законные требования Роскомнадзора и иных органов;
  19. поддерживать актуальность собственных политик, согласий, уведомлений и локальных актов;
  20. своевременно уведомлять Обработчика об изменении целей, состава данных или условий обработки;
  21. предоставлять Обработчику только законные, определенные и исполнимые указания.
9.2. Заказчик обеспечивает наличие согласия субъекта персональных данных на поручение обработки Обработчику и привлечение Привлеченных лиц, если получение такого согласия требуется частью 3 статьи 6 Федерального закона № 152-ФЗ, либо наличие иного предусмотренного федеральным законом основания, допускающего такую обработку без согласия субъекта.
Заказчик самостоятельно определяет применимое основание с учетом:
  1. категории субъекта;
  2. целей обработки;
  3. характера отношений с субъектом;
  4. состава передаваемых данных;
  5. содержания согласия, договора или иного правового основания;
  6. состава Привлеченных лиц;
  7. наличия трансграничной передачи.
Обработчик не обязан получать самостоятельное согласие субъекта на обработку, осуществляемую исключительно по поручению Заказчика, но вправе запросить у Заказчика подтверждение наличия соответствующего основания.
9.3. Заказчик обеспечивает актуальность собственного уведомления об обработке персональных данных, направляемого в Роскомнадзор, если обязанность его направления применяется к Заказчику.
9.4. Заказчик несет ответственность за:
  1. содержание размещенных данных;
  2. законность целей обработки;
  3. правомерность получения данных;
  4. достаточность правовых оснований;
  5. достоверность предоставленных субъектам сведений;
  6. правомерность доступа Пользователей;
  7. правомерность своих указаний;
  8. соблюдение установленных им сроков хранения.
9.5. Заказчик по запросу Обработчика предоставляет сведения и документы, подтверждающие наличие правовых оснований, если запрос обусловлен:
  1. обращением субъекта;
  2. требованием государственного органа;
  3. инцидентом;
  4. обоснованными признаками нарушения;
  5. необходимостью проверки законности конкретного указания.
9.6. Заказчик обязан поддерживать актуальными контактные сведения лица, уполномоченного взаимодействовать с Обработчиком по вопросам персональных данных, обращений субъектов, проверок и Инцидентов.
Риск несвоевременного получения сообщения вследствие отсутствия или недостоверности таких сведений несет Заказчик, если Обработчик направил уведомление по последним предоставленным контактным данным.

10. Обязанности Обработчика
10.1. Обработчик обязан:
  1. обрабатывать Персональные данные Заказчика только по документированным указаниям;
  2. соблюдать цели и пределы Поручения;
  3. соблюдать конфиденциальность;
  4. не раскрывать данные без законного основания;
  5. не распространять данные;
  6. обеспечить выполнение требований части 5 статьи 18 Федерального закона № 152-ФЗ;
  7. принимать меры, предусмотренные статьей 18.1 Федерального закона № 152-ФЗ;
  8. обеспечивать безопасность в соответствии со статьей 19 Федерального закона № 152-ФЗ;
  9. ограничивать доступ работников и подрядчиков необходимым минимумом;
  10. обеспечивать принятие лицами, получающими доступ, обязательств конфиденциальности;
  11. вести учет событий, необходимых для безопасности и подтверждения исполнения Поручения;
  12. принимать меры по предотвращению неправомерного доступа;
  13. обеспечивать резервное копирование и восстановление в предусмотренном объеме;
  14. содействовать Заказчику в рассмотрении обращений субъектов;
  15. содействовать Заказчику при взаимодействии с государственными органами;
  16. уведомлять Заказчика об инцидентах;
  17. по запросу Заказчика в течение срока действия Поручения, в том числе до начала обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение требований, установленных частью 3 статьи 6, частью 5 статьи 18, статьями 18.1 и 19 Федерального закона № 152-ФЗ;
  18. прекращать обработку и удалять данные после прекращения Поручения в установленном порядке;
  19. обеспечивать исполнение требований Поручения Привлеченными лицами;
  20. не использовать данные для собственных несовместимых целей;
  21. незамедлительно уведомлять Заказчика, если Обработчик более не может обеспечить выполнение существенного требования настоящего Поручения или обязательного требования законодательства, и принимать меры по прекращению соответствующего нарушения.
10.2. Обработчик не обязан самостоятельно получать согласия субъектов на обработку, осуществляемую исключительно по поручению Заказчика, если обязанность получения соответствующего согласия лежит на Заказчике.
10.3. Обработчик не обязан проводить правовую проверку:
  1. каждого документа и файла;
  2. каждой цели Заказчика;
  3. каждого полученного Заказчиком согласия;
  4. внутренних процессов Заказчика;
  5. полномочий каждого Пользователя,
если Обработчик не получил достоверных сведений о нарушении и иное не предусмотрено отдельным соглашением.
10.4. Если Обработчику становится известно об очевидно незаконной обработке либо он обоснованно полагает, что документированное указание Заказчика нарушает законодательство Российской Федерации, Обработчик:
  1. приостанавливает исполнение соответствующего указания в затронутой части;
  2. уведомляет Заказчика о выявленном риске, если уведомление не запрещено законом;
  3. запрашивает уточнение указания и подтверждение правового основания;
  4. применяет временное блокирование либо иную соразмерную меру, если это необходимо для предотвращения нарушения;
  5. возобновляет обработку после устранения риска либо предоставления законного и исполнимого указания;
  6. отказывает в исполнении указания, если его незаконность очевидна и не может быть устранена путем уточнения.
Обработчик не вправе продолжать явно незаконную обработку исключительно на основании того, что соответствующее указание поступило от Заказчика.

11. Требования к защите персональных данных
11.1. Обработчик принимает необходимые правовые, организационные и технические меры для обеспечения безопасности Персональных данных Заказчика в соответствии со статьей 19 Федерального закона № 152-ФЗ, постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119 и приказом ФСТЭК России от 18 февраля 2013 года № 21 в применимой части.
Состав мер определяется с учетом:
  1. характера и объема обрабатываемых данных;
  2. категорий субъектов;
  3. целей обработки;
  4. возможного вреда субъектам;
  5. актуальных угроз безопасности;
  6. используемой архитектуры;
  7. типа актуальных угроз;
  8. необходимого уровня защищенности информационной системы;
  9. требований к используемым средствам защиты;
  10. обязательных требований законодательства Российской Федерации.
11.2. В применимом объеме Обработчик обеспечивает:
  1. определение и документальное закрепление лиц и подразделений, ответственных за организацию обработки и обеспечение безопасности персональных данных;
  2. принятие локальных актов;
  3. определение угроз безопасности;
  4. определение необходимого уровня защищенности;
  5. разграничение прав доступа;
  6. идентификацию и аутентификацию пользователей;
  7. применение принципа минимальных привилегий;
  8. регистрацию событий безопасности;
  9. контроль действий лиц, имеющих доступ;
  10. защиту каналов передачи данных;
  11. защиту от вредоносного программного обеспечения;
  12. выявление уязвимостей и установку обновлений;
  13. резервное копирование;
  14. восстановление доступности данных;
  15. контроль целостности;
  16. управление инцидентами;
  17. физическую защиту инфраструктуры;
  18. проверку эффективности применяемых мер;
  19. обучение и информирование лиц, допущенных к обработке;
  20. периодический внутренний контроль.
11.3. Конкретная конфигурация средств защиты определяется Обработчиком самостоятельно с учетом обязательных требований законодательства и не подлежит публичному раскрытию, если такое раскрытие способно создать угрозу безопасности.
11.4. По обоснованному запросу Заказчика Обработчик предоставляет достаточное описание реализуемых мер без раскрытия:
  1. исходного кода;
  2. паролей и ключей;
  3. сведений об уязвимостях;
  4. данных других Заказчиков;
  5. информации, способной снизить защищенность Сервиса.
12. Локализация и трансграничная передача
12.1. При сборе персональных данных граждан Российской Федерации, в том числе посредством сети Интернет, не допускаются запись, систематизация, накопление, хранение, уточнение, включая обновление и изменение, и извлечение таких персональных данных с использованием баз данных, находящихся за пределами территории Российской Федерации, кроме случаев, прямо предусмотренных федеральным законом.
Обработчик обеспечивает соблюдение указанного требования при выполнении порученных ему операций.
12.2. Первичная запись, систематизация, накопление, хранение, уточнение и извлечение Персональных данных Заказчика, собираемых в отношении граждан Российской Федерации посредством Сервиса, осуществляются с использованием баз данных, находящихся на территории Российской Федерации.
Последующая передача либо создание резервной копии за пределами Российской Федерации не заменяет выполнение требования локализации и допускается только после надлежащей локализации, при соблюдении требований о трансграничной передаче и на условиях настоящего раздела.
12.3. По общему правилу Персональные данные Заказчика и содержащие их резервные копии обрабатываются на территории Российской Федерации.
Размещение резервной копии за пределами Российской Федерации допускается только после отдельной технической и правовой оценки, предварительного уведомления Заказчика и выполнения пунктов 12.4–12.8 настоящего Поручения.
12.4. Заказчик как оператор персональных данных:
  1. определяет наличие правового основания трансграничной передачи;
  2. устанавливает необходимость получения согласия субъекта;
  3. обеспечивает получение такого согласия, если оно требуется;
  4. до начала трансграничной передачи направляет в Роскомнадзор отдельное уведомление о намерении осуществлять трансграничную передачу в случаях и порядке, установленных статьей 12 Федерального закона № 152-ФЗ;
  5. исполняет решения Роскомнадзора об ограничении или запрещении трансграничной передачи.
Направление уведомления Обработчиком от имени Заказчика допускается только при наличии отдельного надлежащим образом оформленного полномочия и не освобождает Заказчика от обязанностей оператора.
12.5. До начала трансграничной передачи Обработчик предоставляет Заказчику имеющиеся сведения, необходимые для исполнения статьи 12 Федерального закона № 152-ФЗ, включая:
  1. наименование и местонахождение иностранного получателя;
  2. государство передачи;
  3. цели передачи и последующей обработки;
  4. перечень передаваемых персональных данных;
  5. категории субъектов;
  6. сроки обработки и хранения;
  7. меры защиты;
  8. сведения об использовании данных получателем для самостоятельных целей;
  9. сведения о последующих получателях;
  10. порядок прекращения обработки и удаления данных.
12.6. Обработчик не начинает трансграничную передачу Персональных данных Заказчика до получения документированного подтверждения Заказчика о наличии правового основания и выполнении применимых требований статьи 12 Федерального закона № 152-ФЗ.
12.7. Обработчик не вправе осуществлять трансграничную передачу Персональных данных Заказчика для собственной цели.
Использование иностранного программного продукта или библиотеки само по себе не является трансграничной передачей, если иностранное физическое или юридическое лицо фактически не получает доступ к персональным данным.
12.8. Если Заказчик самостоятельно подключает Внешнюю информационную систему, предполагающую передачу персональных данных иностранному получателю:
  1. подключение признается документированным указанием только при наличии у Пользователя необходимой Роли доступа;
  2. Заказчик отвечает за правовое основание, информирование субъектов, получение согласий и направление уведомления Роскомнадзору;
  3. Обработчик отвечает за соблюдение переданных ему технических ограничений, безопасность передачи и недопущение передачи данных сверх выбранного Заказчиком объема;
  4. Обработчик вправе приостановить подключение до получения подтверждения соблюдения применимых требований.
12.9. Привлечение иностранного Привлеченного лица по инициативе Обработчика допускается только после предварительного уведомления Заказчика, предоставления сведений, указанных в пункте 12.5, и выполнения порядка, предусмотренного разделом 13 настоящего Поручения.

13. Привлеченные лица
13.1. Заказчик предоставляет Обработчику общее разрешение привлекать третьих лиц для выполнения отдельных технических операций, необходимых для предоставления Сервиса.
13.2. К категориям Привлеченных лиц могут относиться поставщики:
  1. серверной и облачной инфраструктуры;
  2. центров обработки данных;
  3. резервного копирования;
  4. сетевой инфраструктуры;
  5. информационной безопасности;
  6. мониторинга ошибок и производительности;
  7. технической поддержки;
  8. доставки электронных сообщений;
  9. систем управления обращениями;
  10. функций искусственного интеллекта - только при активации соответствующей функции;
  11. иных технических средств, объективно необходимых для работы Сервиса.
13.3. Внешние информационные системы, самостоятельно подключенные Заказчиком, включая маркетплейсы, рекламные платформы и средства связи, не признаются Привлеченными лицами Обработчика, если они самостоятельно определяют цели обработки и действуют как отдельные операторы персональных данных.
13.4. Обработчик привлекает Привлеченное лицо на основании письменного или электронного договора, определяющего:
  1. предмет и продолжительность обработки;
  2. перечень обрабатываемых персональных данных;
  3. перечень действий и операций;
  4. цели обработки;
  5. документированные указания;
  6. обязанность соблюдать конфиденциальность;
  7. обязанность выполнять применимые требования части 5 статьи 18 и статьи 18.1 Федерального закона № 152-ФЗ;
  8. обязанность обеспечивать безопасность персональных данных и выполнять требования статьи 19 Федерального закона № 152-ФЗ;
  9. конкретные требования к защите персональных данных;
  10. ограничение доступа минимально необходимым объемом;
  11. запрет использования данных для собственных целей;
  12. запрет изменения целей обработки;
  13. порядок привлечения последующих лиц;
  14. обязанность содействовать исполнению обращений субъектов и требований государственных органов;
  15. обязанность по запросу предоставлять документы и сведения о принятых мерах, в том числе до начала обработки;
  16. обязанность уведомлять Обработчика об Инциденте в срок, позволяющий Обработчику выполнить пункт 15.2 настоящего Поручения;
  17. порядок прекращения обработки;
  18. порядок возврата, удаления и уничтожения данных;
  19. обязанность подтверждать прекращение обработки и уничтожение персональных данных.
Привлеченное лицо не вправе поручать обработку последующему лицу без разрешения, предусмотренного его договором с Обработчиком.
13.5. Требования к Привлеченному лицу не могут быть менее строгими, чем применимые к Обработчику требования настоящего Поручения.
13.6. Обработчик отвечает перед Заказчиком за исполнение Привлеченными лицами порученных им функций в пределах законодательства и договора.
13.7. Обработчик ведет актуальный перечень Привлеченных лиц, которым фактически предоставляется доступ к Персональным данным Заказчика.
Перечень содержит:
  1. наименование Привлеченного лица;
  2. выполняемую функцию;
  3. категории передаваемых данных;
  4. место обработки;
  5. сведения о трансграничной передаче;
  6. дату начала привлечения.
Перечень предоставляется Заказчику до начала обработки и в дальнейшем доступен в Личном кабинете, по постоянному адресу в сети Интернет либо по запросу Заказчика.
13.8. Обработчик уведомляет Заказчика о планируемом привлечении нового Привлеченного лица, получающего доступ к Персональным данным Заказчика, не позднее чем за десять календарных дней до начала соответствующей обработки.
Если немедленная замена Привлеченного лица необходима для устранения угрозы безопасности, предотвращения утраты данных или восстановления доступности Сервиса, Обработчик вправе произвести замену без соблюдения указанного срока, но уведомляет Заказчика без неоправданной задержки и сообщает причины срочной замены.
13.9. Заказчик вправе в течение пяти рабочих дней с даты получения уведомления направить мотивированное возражение, основанное на конкретном риске:
  1. нарушения законодательства;
  2. несоблюдения локализации;
  3. неправомерной трансграничной передачи;
  4. недостаточности мер защиты;
  5. использования данных для самостоятельных целей.
13.10. До разрешения обоснованного возражения Обработчик по возможности не передает спорному Привлеченному лицу новые Персональные данные Заказчика либо ограничивает передачу минимально необходимым объемом.
13.11. Если устранить обоснованный риск невозможно, Стороны определяют:
  1. альтернативного поставщика;
  2. отключение соответствующей функции;
  3. ограничение состава передаваемых данных;
  4. прекращение использования затронутой функции;
  5. прекращение договора в части, в которой его исполнение без такого лица невозможно.
14. Обращения субъектов и государственных органов
14.1. Заказчик как оператор самостоятельно рассматривает обращения субъектов Персональных данных Заказчика и принимает решения:
  1. о предоставлении сведений;
  2. об уточнении;
  3. о блокировании;
  4. об ограничении обработки;
  5. об удалении;
  6. об уничтожении;
  7. о продолжении обработки на ином основании.
14.2. При получении обращения, относящегося к Персональным данным Заказчика, Обработчик:
  1. не позднее двух рабочих дней с момента получения передает обращение Заказчику, если соответствующий Заказчик может быть достоверно определен;
  2. незамедлительно передает обращение, если из его содержания следует необходимость принятия срочной меры по блокированию или предотвращению дальнейшего нарушения;
  3. не отвечает субъекту по существу от имени Заказчика без документированного указания;
  4. сохраняет обращение в объеме, необходимом для подтверждения его передачи;
  5. оказывает Заказчику техническое содействие;
  6. сообщает Заказчику о невозможности исполнения требуемого действия либо необходимости дополнительных сведений без неоправданной задержки.
14.3. Техническое содействие может включать:
  1. поиск сведений;
  2. предоставление стандартной выгрузки;
  3. уточнение;
  4. блокирование;
  5. ограничение доступа;
  6. удаление;
  7. подтверждение совершенной операции;
  8. предоставление доступных технических журналов.
14.4. Заказчик направляет указание в срок, позволяющий Обработчику совершить необходимые технические действия до истечения установленного законом срока ответа.
14.5. Если выполнение обращения требует индивидуальной разработки, восстановления архивных данных или иных действий, не входящих в стандартную функциональность, условия и стоимость такого содействия могут согласовываться отдельно.
Настоящий пункт не применяется, если необходимость дополнительных действий возникла вследствие нарушения Обработчиком настоящего Поручения.
14.6. Если Обработчик получает обязательное требование государственного органа, относящееся к Персональным данным Заказчика, он:
  1. проверяет полномочия и пределы требования;
  2. предоставляет только необходимый объем данных;
  3. уведомляет Заказчика, если это не запрещено законом;
  4. фиксирует факт и объем предоставления;
  5. принимает разумные меры для сохранения конфиденциальности.
14.7. Обработчик вправе действовать самостоятельно, если обязанность непосредственного исполнения требования возложена на него законодательством.

15. Инциденты безопасности
15.1. Инцидентом для целей настоящего Поручения признается подтвержденное или обоснованно предполагаемое событие, повлекшее либо способное повлечь нарушение конфиденциальности, целостности или доступности Персональных данных Заказчика, включая:
  1. неправомерный или случайный доступ;
  2. неправомерную или случайную передачу, предоставление или распространение;
  3. изменение;
  4. копирование;
  5. утрату;
  6. уничтожение;
  7. блокирование;
  8. недоступность данных;
  9. компрометацию Учетной записи, средства аутентификации или Интеграции;
  10. иное нарушение безопасности персональных данных.
Инцидент, предусмотренный частью 3.1 статьи 21 Федерального закона № 152-ФЗ, представляет собой установленный факт неправомерной или случайной передачи, предоставления, распространения либо доступа к персональным данным, повлекший нарушение прав субъектов персональных данных.
15.2. Обработчик уведомляет Заказчика об Инциденте без неоправданной задержки и в любом случае не позднее двенадцати часов с момента:
  1. выявления Обработчиком Инцидента;
  2. получения от Привлеченного лица либо иного лица сведений, достаточных для обоснованного вывода о наличии Инцидента.
Уведомление направляется по актуальным контактным данным лица, указанного Заказчиком для взаимодействия по вопросам персональных данных и информационной безопасности.
Отсутствие полной информации об Инциденте не освобождает Обработчика от направления первоначального уведомления.
15.3. Первоначальное уведомление содержит доступные на момент его направления сведения:
  1. дату и время выявления;
  2. характер Инцидента;
  3. обстоятельства обнаружения;
  4. предполагаемые причины;
  5. категории затронутых субъектов;
  6. категории и примерный объем данных;
  7. возможные последствия;
  8. принятые меры;
  9. планируемые меры;
  10. контактное лицо Обработчика;
  11. сведения, необходимые Заказчику для исполнения установленных законом обязанностей.
15.4. Отсутствие части сведений не является основанием для задержки первоначального уведомления.
Недостающие сведения предоставляются по мере их получения.
15.5. Обработчик принимает меры для:
  1. ограничения Инцидента;
  2. прекращения неправомерного доступа;
  3. сохранения доказательств;
  4. установления причин;
  5. оценки последствий;
  6. восстановления безопасности и доступности;
  7. предотвращения повторного Инцидента.
15.6. Заказчик как оператор персональных данных самостоятельно определяет наличие обязанности и обеспечивает направление:
  1. первоначального уведомления Роскомнадзору в течение двадцати четырех часов с момента выявления Инцидента, предусмотренного частью 3.1 статьи 21 Федерального закона № 152-ФЗ;
  2. дополнительного уведомления о результатах внутреннего расследования в течение семидесяти двух часов с момента выявления такого Инцидента;
  3. уведомлений субъектам персональных данных и иным лицам, если такая обязанность установлена законодательством либо необходима для защиты их прав.
Обработчик предоставляет Заказчику имеющуюся информацию и разумное содействие, необходимые для соблюдения указанных сроков.
15.7. Обработчик не направляет уведомление от имени Заказчика без его документированного указания, кроме случаев, когда обязанность непосредственного уведомления возложена на Обработчика законодательством.
15.8. Заказчик незамедлительно уведомляет Обработчика об Инциденте, выявленном им или Пользователями, если событие может затрагивать:
  1. Сервис;
  2. Персональные данные Заказчика;
  3. данные других Заказчиков;
  4. Учетные записи;
  5. Интеграции;
  6. средства аутентификации.
15.9. Стороны сотрудничают при расследовании Инцидента и подготовке обязательных уведомлений.
15.10. Уведомление об Инциденте не является признанием вины или ответственности соответствующей Стороны.

16. Подтверждение соблюдения требований и проверки
16.1. По обоснованному запросу Заказчика Обработчик предоставляет документы и сведения, позволяющие подтвердить:
  1. наличие организационных мер;
  2. наличие требований конфиденциальности;
  3. управление доступом;
  4. принятие мер безопасности;
  5. выполнение требований локализации;
  6. порядок реагирования на Инциденты;
  7. порядок привлечения Привлеченных лиц;
  8. порядок прекращения обработки и удаления данных.
16.2. Документы и сведения предоставляются в течение срока действия Поручения, в том числе до начала обработки, если их предварительное предоставление объективно необходимо Заказчику для оценки соответствия требованиям законодательства.
По общему правилу документы и сведения предоставляются не позднее десяти рабочих дней с даты получения обоснованного запроса.
Если запрос связан с Инцидентом, проверкой Роскомнадзора, судебным разбирательством либо иным обязательным сроком, Обработчик предоставляет информацию в более короткий разумный срок, позволяющий Заказчику своевременно исполнить соответствующую обязанность.
16.3. Обработчик вправе вместо внутренних документов предоставить:
  1. выписку;
  2. описание применяемых мер;
  3. анкету безопасности;
  4. отчет независимой проверки;
  5. сертификат;
  6. иное подтверждение, достаточное для соответствующей цели.
16.4. Заказчик вправе инициировать документарную или дистанционную проверку соблюдения Поручения.
16.5. Проверка проводится таким образом, чтобы:
  1. не создавать угрозу безопасности;
  2. не нарушать работу Сервиса;
  3. не раскрывать данные других Заказчиков;
  4. не раскрывать исходный код;
  5. не раскрывать сведения о конкретных уязвимостях;
  6. не раскрывать коммерческую тайну сверх необходимого;
  7. не создавать несоразмерную нагрузку.
16.6. Если проверка не связана:
  1. с Инцидентом;
  2. с требованием Роскомнадзора;
  3. с обязательной проверкой по закону;
  4. с обоснованными признаками существенного нарушения,
она проводится не чаще одного раза в календарный год.
16.7. Очная проверка допускается только при недостаточности документарной проверки и после предварительного согласования:
  1. предмета;
  2. даты;
  3. продолжительности;
  4. состава проверяющих;
  5. требований конфиденциальности;
  6. мер безопасности.
16.8. Заказчик самостоятельно несет расходы на инициированную им дополнительную проверку, если по ее результатам не установлено существенное нарушение Обработчиком настоящего Поручения.
16.9. При выявлении нарушения Обработчик принимает соразмерные меры для его устранения и сообщает Заказчику о результате.

17. Возврат, выгрузка и удаление данных
17.1. В течение срока действия договора Заказчик самостоятельно осуществляет выгрузку Персональных данных Заказчика средствами и в форматах, предусмотренных Сервисом и Тарифным планом.
17.2. Заказчик обязан выгрузить необходимые ему данные до:
  1. удаления Рабочего пространства;
  2. прекращения договора;
  3. окончания периода восстановления;
  4. прекращения функции или Интеграции;
  5. перехода на Тарифный план, не поддерживающий соответствующий объем хранения.
17.3. Обработчик не обязан создавать индивидуальный формат выгрузки или осуществлять миграцию в информационную систему Заказчика, если такая услуга не предусмотрена Тарифным планом или отдельным соглашением.
17.4. После прекращения договора или удаления Рабочего пространства активная копия Персональных данных Заказчика может сохраняться не более тридцати календарных дней исключительно для:
  1. предоставления возможности восстановления;
  2. предоставления возможности выгрузки;
  3. завершения технических операций;
  4. обработки обоснованных обращений;
  5. выполнения обязательного требования законодательства.
17.5. В течение периода, указанного в пункте 17.4, доступ к данным может быть ограничен и предоставляться только после подтверждения полномочий Заказчика.
17.6. Если Заказчик направляет документированное требование о более раннем удалении Персональных данных Заказчика и отсутствует иное предусмотренное законодательством правовое основание хранения, Обработчик прекращает обработку соответствующих данных и обеспечивает их удаление:
  1. в срок, указанный в законном и технически исполнимом требовании Заказчика;
  2. при отсутствии указанного срока - не позднее тридцати календарных дней с даты получения требования;
  3. в более короткий срок, если он прямо установлен законодательством Российской Федерации.
Если немедленное удаление технически невозможно, Обработчик блокирует данные, прекращает их обычное использование и завершает удаление в рамках ближайшего установленного цикла, о чем уведомляет Заказчика.
17.7. По окончании периода восстановления активные копии Персональных данных Заказчика удаляются.
Необратимое обезличивание вместо удаления допускается только:
  1. по документированному указанию Заказчика;
  2. либо в отношении статистических и агрегированных сведений, которые более не позволяют определить субъекта или Заказчика и не позволяют восстановить исходные данные.
17.8. Резервные копии после удаления активной копии:
  1. изолируются от обычного использования;
  2. не используются для предоставления текущих функций;
  3. не восстанавливаются, кроме случаев восстановления информационной системы;
  4. при восстановлении повторно подвергаются установленной процедуре удаления;
  5. окончательно удаляются или перезаписываются в рамках установленного цикла, не превышающего тридцати календарных дней с даты удаления активной копии, если иной срок не установлен законом.
17.9. Обработчик вправе сохранить отдельно минимально необходимый объем сведений, если он обязан или вправе обрабатывать их как самостоятельный оператор для:
  1. бухгалтерского и налогового учета;
  2. подтверждения заключения и исполнения договора;
  3. исполнения судебного акта;
  4. исполнения требования государственного органа;
  5. расследования Инцидента;
  6. предъявления, рассмотрения или защиты правовых требований.
17.10. Сведения, сохраняемые на самостоятельном основании:
  1. отделяются от Персональных данных Заказчика;
  2. не используются для продолжения обычной обработки по Поручению;
  3. ограничиваются минимально необходимым составом;
  4. удаляются после прекращения соответствующего основания.
17.11. По обоснованному запросу Заказчика Обработчик предоставляет подтверждение завершения удаления в форме:
  1. электронного уведомления;
  2. выписки из журнала удаления;
  3. акта об уничтожении;
  4. иного документа, позволяющего подтвердить выполнение операции.
18. Конфиденциальность
18.1. Обработчик обеспечивает конфиденциальность Персональных данных Заказчика и не раскрывает их третьим лицам без:
  1. документированного указания Заказчика;
  2. предусмотренного законом основания;
  3. обязательного требования уполномоченного органа;
  4. необходимости привлечения Привлеченного лица в соответствии с настоящим Поручением.
18.2. Доступ к Персональным данным Заказчика предоставляется только лицам, которым он необходим для выполнения трудовых или договорных обязанностей.
18.3. Лица, имеющие доступ:
  1. информируются о конфиденциальном характере данных;
  2. обязуются соблюдать конфиденциальность;
  3. проходят необходимое обучение;
  4. несут предусмотренную ответственность;
  5. утрачивают доступ после прекращения соответствующих полномочий.
18.4. Обязанность соблюдать конфиденциальность сохраняется после прекращения Поручения в течение всего срока, пока соответствующие сведения сохраняют конфиденциальный характер.

19. Ответственность
19.1. Заказчик как оператор несет перед субъектами персональных данных ответственность за:
  1. законность целей обработки;
  2. наличие правовых оснований;
  3. правомерность первоначального сбора;
  4. достаточность информирования;
  5. получение согласий;
  6. правомерность поручения;
  7. содержание документированных указаний;
  8. правомерность доступа Пользователей.
19.2. Обработчик несет перед Заказчиком ответственность за нарушение обязанностей лица, осуществляющего обработку по поручению оператора, в пределах законодательства Российской Федерации, Оферты и настоящего Поручения.
19.3. Обработчик несет самостоятельную ответственность за собственные действия или бездействие, совершенные:
  1. за пределами документированных указаний Заказчика;
  2. в самостоятельных целях;
  3. с нарушением требований конфиденциальности;
  4. с нарушением обязательных требований к безопасности;
  5. с нарушением требований локализации;
  6. с нарушением установленного порядка привлечения Привлеченных лиц.
19.4. Заказчик не вправе возлагать на Обработчика ответственность за незаконность данных или указаний Заказчика, если Обработчик:
  1. не знал и не должен был знать о нарушении;
  2. после получения достоверных сведений принял необходимые меры;
  3. не использовал данные за пределами Поручения.
19.5. Условия Оферты об ограничении ответственности применяются к настоящему Поручению в части, не противоречащей обязательным требованиям законодательства Российской Федерации.
19.6. Ни одно положение настоящего Поручения не ограничивает ответственность, которая не может быть ограничена соглашением Сторон.

20. Действие и соотношение документов
20.1. Настоящее Поручение действует совместно с:
  1. Офертой;
  2. условиями Тарифного плана;
  3. Политикой в отношении обработки персональных данных;
  4. отдельными соглашениями Сторон;
  5. документированными указаниями Заказчика.
20.2. При противоречии между настоящим Поручением и общими положениями Оферты в части обработки Персональных данных Заказчика по поручению применяются положения настоящего Поручения.
20.3. При противоречии между настоящим Поручением и Политикой в отношении обработки персональных данных:
  1. настоящее Поручение применяется к обработке по поручению Заказчика;
  2. Политика применяется к обработке, цели которой Обработчик определяет самостоятельно.
20.4. Отдельное двустороннее соглашение с конкретным Заказчиком имеет преимущественную силу перед настоящим Поручением в части прямо согласованных отличий.
20.5. Изменение настоящего Поручения:
  1. не распространяется задним числом на завершенную обработку;
  2. не создает нового правового основания;
  3. не расширяет цели обработки без документированного указания Заказчика;
  4. не легализует ранее неправомерную обработку;
  5. не отменяет необходимость получения нового согласия субъекта, если оно требуется.
20.6. Существенное изменение целей, категорий данных, места обработки или условий привлечения Привлеченных лиц доводится до сведения Заказчика до начала соответствующей обработки.
20.7. Если Заказчик не согласен с изменением, существенно повышающим риск обработки, он вправе:
  1. отключить затронутую функцию;
  2. прекратить передачу соответствующих данных;
  3. направить мотивированное возражение;
  4. прекратить договор в порядке, предусмотренном Офертой.
20.8. Прекращение Поручения не прекращает действие положений:
  1. о конфиденциальности;
  2. об ответственности;
  3. об удалении данных;
  4. о содействии при расследовании Инцидента;
  5. о подтверждении ранее совершенной обработки,
если соответствующие обязательства по своей природе сохраняются после прекращения договора.

21. Заключительные положения
21.1. Акцепт Заказчиком редакции Оферты, содержащей прямую ссылку на настоящее Поручение и указание на его включение в состав договора, означает принятие настоящего Поручения в полном объеме.
Акцепт редакции Оферты, которая не содержала ссылки на настоящее Поручение, не признается автоматическим принятием Поручения.
В отношении Заказчиков, заключивших договор до публикации настоящего Поручения, оно применяется после принятия ими соответствующей редакции Оферты либо заключения отдельного соглашения в порядке, предусмотренном договором.
21.2. Настоящее Поручение является договорным документом между Заказчиком как оператором персональных данных и Обработчиком и не является согласием субъекта персональных данных.
Отдельное согласие физического лица с текстом настоящего Поручения со стороны Обработчика не запрашивается.
Настоящий пункт не освобождает Заказчика от обязанности обеспечить наличие согласия субъекта на поручение обработки и привлечение Привлеченных лиц, если получение такого согласия требуется законодательством Российской Федерации.
21.3. Заказчик обеспечивает наличие у лица, совершающего Акцепт, полномочий на выдачу настоящего Поручения от имени Заказчика.
21.4. Настоящее Поручение регулируется законодательством Российской Федерации.
21.5. Действующая редакция Поручения размещается в разделе «Правовые документы» на Сайте и находится в свободном доступе для Пользователей.
Оферта должна содержать указание на настоящее Поручение и сведения, позволяющие однозначно определить его применимую редакцию, в том числе дату вступления такой редакции в силу.
Обработчик обеспечивает хранение предыдущих редакций Поручения в течение срока, необходимого для подтверждения условий обработки, действовавших в соответствующий период.
21.6. Адрес для юридически значимых уведомлений Обработчику:
roman@twims.io.
21.7. Реквизиты Обработчика:


Индивидуальный предпринимательИП Чугин Роман Сергеевич
ОГРНИП: 321190000001932
ИНН: 190309113560
Адрес регистрации: Республика Калмыкия, Целинный район, п. Верхний Яшкуль, ул. Красная, д. 9, кв. 2.
Email для общих вопросов: roman@twims.io
Банковские реквизиты:
Р/с 40802810902500173434
в банке ООО "Банк Точка"
К/с 30101810745374525104
БИК 044525104


Made on
Tilda