Поручение на обработку персональных данных

  1. Общие положения

Настоящее поручение (далее — “Поручение”) регулирует отношения между любым лицом, именуемым в дальнейшем “Оператор”, и ООО “Конвид”, именуемой в дальнейшем “Исполнитель”, в части обработки персональных данных в соответствии с требованиями Федерального закона №152-ФЗ “О персональных данных”.


  1. Предмет поручения

2.1 Оператор поручает Исполнителю осуществлять обработку персональных данных, а Исполнитель обязуется выполнять данное поручение в соответствии с условиями настоящего Поручения и законодательством Российской Федерации.

2.2 Обработка персональных данных осуществляется с целью исполнения лицензионного соглашения.

2.3 Категории персональных данных, передаваемых для обработки:

  • Фамилия, имя, отчество — для идентификации пользователей.
  • Номер телефона, адрес электронной почты — для связи с пользователями.
  • IP-адрес, cookies, лог-файлы, устройство и версия браузера — для технической поддержки и аналитики.
  • Информация о посещенных страницах, данные о поведении пользователя на сайте (включая время посещения, переходы по ссылкам, открытия писем) — для анализа поведения пользователей.
  • История покупок — для обработки заказов и маркетингового анализа.

  1. Обязательства сторон

3.1 Обязательства Оператора:

  • Обеспечить передачу персональных данных Исполнителю в соответствии с требованиями безопасности.
  • Контролировать соблюдение Исполнителем условий обработки персональных данных.
  • Оператор несет ответственность за достоверность и законность персональных данных, передаваемых Исполнителю. Исполнитель не осуществляет проверку правомерности предоставления данных.

3.2 Обязательства Исполнителя:

  • Обрабатывать персональные данные исключительно в целях, указанных в разделе 2 настоящего Поручения.
  • Принимать организационные и технические меры для защиты персональных данных в соответствии с требованиями законодательства РФ.
  • Уведомлять Оператора о любых изменениях в способах обработки данных, которые могут повлиять на их безопасность или соответствие законодательству.
  • Уведомить Оператора в случае выявления утечки, несанкционированного доступа или иных инцидентов, связанных с персональными данными.
  • Исполнитель обязуется уничтожить или обезличить персональные данные:
    • По истечении срока обработки.
    • По письменному требованию Оператора.
    • При расторжении или прекращении действия Лицензионного соглашения.

  1. Меры по защите персональных данных

Исполнитель обязуется обеспечить защиту персональных данных, переданных ему Оператором, принимая следующие меры в соответствии с требованиями законодательства Российской Федерации, включая Федеральный закон №152-ФЗ и 21-й приказ ФСТЭК России:

4.1 Шифрование данных:

  • Использовать криптографические средства защиты информации для шифрования персональных данных при их передаче по сетям связи общего пользования и при хранении на сервере.
  • Применять сертифицированные в соответствии с законодательством Российской Федерации криптографические алгоритмы.

4.2 Разграничение доступа:

  • Установить строгий контроль за доступом к персональным данным, обеспечивая доступ исключительно уполномоченным сотрудникам Исполнителя.
  • Реализовать системы аутентификации и идентификации пользователей, включая использование уникальных учетных данных и, при необходимости, двухфакторной аутентификации.

4.3 Сертифицированные средства защиты информации (СЗИ):

  • Обеспечивать актуальность и соответствие используемых средств защиты требованиям действующего законодательства.

4.4 Контроль и мониторинг безопасности:

  • Проводить регулярный мониторинг и аудит информационной системы на наличие уязвимостей и возможных угроз безопасности персональных данных.
  • Вести журналы регистрации событий безопасности и анализировать их для выявления инцидентов.

4.5 Обезличивание данных:

  • При необходимости применять методы обезличивания персональных данных для минимизации риска идентификации субъектов данных.

4.6 Уведомление об инцидентах:

  • Незамедлительно уведомлять Оператора о любых выявленных инцидентах, связанных с утечкой или несанкционированным доступом к персональным данным, и предоставлять отчет о принятых мерах по устранению последствий.

  1. Действия Исполнителя в случае инцидентов

В случае выявления инцидентов, связанных с обработкой персональных данных (утечка, несанкционированный доступ, повреждение, утрата и другие нарушения), Исполнитель обязуется:

5.1 Немедленное уведомление Оператора:

  • Сообщить Оператору о выявленном инциденте в течение 1 рабочего дня с момента обнаружения.
  • Предоставить информацию о характере инцидента, объеме пострадавших данных, возможных причинах и первых предпринятых действиях.

5.2 Предотвращение последствий:

  • Принять необходимые меры для предотвращения дальнейшего распространения инцидента, включая блокировку доступа к затронутым данным.
  • Устранить уязвимости, которые могли стать причиной инцидента.

5.3 Анализ и устранение:

  • Провести внутреннее расследование причин инцидента.
  • Разработать и внедрить корректирующие меры для предотвращения повторения инцидента в будущем.

5.4 Документирование инцидента:

  • Составить отчет о случившемся инциденте, включающий:
    • Дата и время обнаружения.
    • Характер инцидента и объем затронутых данных.
    • Меры, принятые для устранения последствий.
    • Выводы по результатам внутреннего расследования.
  • Передать отчет Оператору в течение 5 рабочих дней.

5.5 Взаимодействие с компетентными органами:

  • При необходимости, по согласованию с Оператором, взаимодействовать с компетентными органами, такими как Роскомнадзор, для урегулирования последствий инцидента.

5.6 Информирование субъектов данных:

  • По согласованию с Оператором уведомить пострадавших субъектов персональных данных о произошедшем инциденте, если это требуется в соответствии с законодательством.

5.7 Мониторинг и предотвращение:

  • Усилить контроль за безопасностью информационных систем после инцидента.
  • Организовать дополнительное обучение сотрудников, ответственных за обработку данных.


  1. Сроки обработки персональных данных

6.1 Исполнитель имеет право обрабатывать персональные данные в течение срока, необходимого для достижения целей обработки, но не более срока действия лицензионного соглашения.

6.1 После истечения указанного срока Исполнитель обязуется уничтожить или обезличить персональные данные.



  1. Ответственность сторон

Оператор и Исполнитель несут ответственность за нарушение условий настоящего Поручения и законодательства РФ в части обработки персональных данных.



  1. Заключительные положения

8.1 Настоящее Поручение вступает в силу с момента его подписания и действует до полного выполнения сторонами своих обязательств.

8.2 Все споры, связанные с исполнением настоящего Поручения, разрешаются в порядке, установленном законодательством РФ.

8.3 Поручение может быть изменено или дополнено Лицензиаром по письменному согласию сторон.


ООО “Конвид”

ИНН/КПП: 7743124954/770901001

Юридический адрес: 101000, Россия, Москва, Маросейка, 4/2, пом III, стр 1, к. 12

Фактический адрес: 101000, Россия, Москва, Мясницкая 13с18 ФРИИ

Телефон: +7 (499) 325-3540

Эта статья вам помогла? Спасибо за отзыв! Не удалось отправить отзыв. Пожалуйста, попробуйте позже.

Еще нужна помощь? Свяжитесь с нами Свяжитесь с нами