9.1. Заключение Договора является основанием обработки персональных данных Пользователя и его представителей в соответствии с Политикой обработки персональных данных. Персональные данные, указанные в Личном кабинете, обрабатываются Лицензиаром на основании Договора, в целях его заключения и исполнения.
9.2. Пользователь, предоставляя свои персональные данные через формы на Сайте либо в Сервисе, дает согласие на их обработку, в том числе на совершение Лицензиаром действий, предусмотренных п. 3 ст. 3 Федерального закона от 27.07.2006 года № 152-ФЗ «О персональных данных» (Закон), а также
согласием на обработку персональных данных и Политикой обработки персональных данных.
9.3. В случае, если Пользователь передает Лицензиару персональные данные своих представителей и/или работников, то он гарантирует получение от них согласия на передачу и обработку персональных
данных Лицензиаром и информирование о такой обработке.
9.4. Пользователь, являющийся в соответствии с Законом оператором персональных данных, поручает Лицензиару обработку персональных данных Подписчиков, а Лицензиар обрабатывает персональные данные Подписчиков по поручению Пользователя (далее — Поручение) на следующих условиях.
9.4.1. Обработка персональных данных по поручению Пользователя производится Лицензиаром с целью исполнения Договора.
9.4.2. Лицензиар может осуществлять с персональными данными следующие действия, совершаемые с использованием средств автоматизации или без использования таких средств: запись, накопление,
хранение, уточнение (обновление, изменение), использование, предоставление, блокирование, удаление, уничтожение.
9.4.3. Перечень обрабатываемых по поручению персональных данных Подписчиков: адрес электронной почты. Лицензиар не инициирует, не контролирует и не влияет на состав персональных данных, переданных Пользователем за пределами указанного перечня. В случае изменения перечня персональных данных Подписчиков, Пользователь обязуется предоставить Лицензиару новое поручение. В случае передачи Пользователем персональных данных в объеме, превышающем
указанный перечень, ответственность и негативные последствия, которые может понести Лицензиар, возлагаются на Пользователя. Пользователь гарантирует, что персональные данные Подписчиков получены законным способом.
9.4.4. Пользователь обязуется:
- до поручения обработки персональных данных Лицензиару получить от Подписчиков согласия на обработку и передачу их персональных данных Лицензиару в целях, в объеме и для осуществления действий, указанных в Поручении.
- предоставить Лицензиару подтверждение получения предварительного согласия Подписчиков на обработку персональных данных и передачу персональных данных Лицензиару в течение трех рабочих дней с момента получения соответствующего запроса от Лицензиара; по запросу Подписчика самостоятельно предоставлять ему сведения, касающиеся обработки его персональных данных;
- при поступлении от Подписчика запроса на уточнение, блокирование, уничтожение его персональных данных, самостоятельно вносить необходимые изменения в персональных данные
Подписчика в Сервисе;
- в случае утраты правовых оснований для обработки персональных данных Подписчика (в т. ч. в случае отзыва субъектом персональных данных согласия на их обработку, в случае отказа субъекта персональных данных на предоставления согласия на обработку его персональных данных) незамедлительно направить Лицензиару по электронной почте запрос на уничтожение персональных данных Подписчика. Лицензиар вправе запросить у Пользователя доказательства, подтверждающее основания для уничтожения персональных данных.
9.4.5. Лицензиар обязуется:
- в случае обращения к Лицензиару субъекта персональных данных с запросом, основанном на ст. 14 Закона, информировать об этом Пользователя.
- соблюдать принципы и правила обработки персональных данных, предусмотренные Законом, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом, соблюдать конфиденциальность персональных данных;
- принимать необходимые и достаточные меры для обеспечения требований, предусмотренных Законом и принятыми в соответствии с ним нормативными правовыми актами, а также локальными актами Лицензиара. К таким мерам, в частности, относятся:
a) назначение ответственного за организацию обработки персональных данных;
b) издание документов, определяющих политику в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений
Применимого права в области персональных данных, устранение последствий таких нарушений;
c) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных
Закону и Применимому праву в области персональных данных, требованиям к защите персональных
данных, политике в отношении обработки персональных данных, локальным актам;
d) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения
Применимого права в отношении защиты персональных данных, соотношение указанного вреда и
принимаемых мер, направленных на обеспечение выполнения обязанностей, предусмотренных
Законом;
e) ознакомление работников, непосредственно осуществляющих обработку персональных данных, с
положениями Применимого права о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику в отношении обработки персональных
данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
- принимать организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных, в частности:
a) определять угрозы безопасности персональных данных при их обработке в информационных
системах персональных данных;
b) применять организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимые для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
c) применять средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия;
d) применять для уничтожения персональных данных прошедших в установленном порядке процедуруоценки соответствия средств защиты информации, в составе которых реализована функция уничтожения информации;
e) проводить оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
f) осуществлять учет машинных носителей персональных данных;
g) принимать меры по обнаружению фактов возможного несанкционированного доступа к персональным данным и блокированию такого доступ;
h) обеспечивать восстановление персональных данных, модифицированных или уничтоженных
вследствие несанкционированного доступа к ним;
i) устанавливать правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечивать регистрацию и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных;
j) осуществлять контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных, в которых обрабатываются порученные на обработку персональные данные.
- обеспечить запись, накопление, хранение, уточнение (обновление, изменение), использование, блокирование, удаление, уничтожение персональных данных граждан Российской Федерации с
использованием баз данных, находящихся на территории Российской Федерации.
- по запросу Пользователя, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение требований, предусмотренных Поручением, Законом и законодательством в области персональных данных. Ответ по запросу предоставляется Лицензиаром в течение пяти рабочих дней с момента его получения.
- обеспечивать безопасность персональных данных при их обработке.
- в случае установления Лицензиаром факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, обязан в течение 24 часов с момента выявления такого инцидента уведомить Пользователя.
9.4.6. Пользователь самостоятельно несет ответственность за обеспечение законности обработки персональных данных Подписчиков, что включает в себя получение согласий Подписчиков и информирование их об условиях обработки персональных данных, определение состава персональных данных.
9.4.7. Срок действия Поручения — до окончания действия Договора. Персональные данные прекращают обрабатываться Лицензиаром и уничтожаются также: в случае прекращения деятельности одной из Сторон; обращения Пользователя с запросом на уничтожение персональных данных субъекта персональных данных (Лицензиар вправе запросить у Пользователя доказательства, подтверждающее основания для уничтожения персональных данных); по требованию органов государственной власти (с уведомлением Пользователя).
9.4.8. В случае установления факта неправомерной и/или несанкционированной обработки персональных данных, полученных от Пользователя, включая персональных данных Подписчиков, повлекшей нарушение прав субъектов персональных данных, Пользователь обязуется как можно быстрее уведомить об этом Лицензиара по электронной почте и принять разумно необходимые действия для минимизации убытков Сторон и обеспечения конфиденциальности персональных данных субъектов.
9.5. Лицензиар вправе привлекать третьих лиц для исполнения Договора в части обработки
персональных данных Подписчиков.