9.1 Заключение Договора является основанием обработки персональных данных Пользователя и его представителей в соответствии с
Политикой обработки персональных данных.9.2 Пользователь, предоставляя свои персональные данные через формы на Сайте либо в Сервисе, дает согласие на их обработку, в том числе на совершение Лицензиаром действий, предусмотренных п. 3 ст. 3 Федерального закона от 27.07.2006 года № 152-ФЗ «О персональных данных» (далее — ФЗ «О персональных данных»), а также согласием на обработку персональных данных и
Политикой обработки персональных данных. 9.3 В случае, если Пользователь передает Лицензиару персональные данные своих представителей и/или работников, то он гарантирует получение от них согласия на передачу и обработку персональных данных Лицензиаром и информирование о такой обработке.
9.4 Пользователь, являющийся в соответствии с Законом оператором персональных данных, поручает Лицензиару обработку персональных данных Подписчиков, а Лицензиар обрабатывает персональные данные Подписчиков по поручению Пользователя (далее — Поручение) на следующих условиях.
9.4.1 Обработка персональных данных по поручению Пользователя производится Лицензиаром с целью исполнения Договора.
9.4.2 Лицензиар может осуществлять с персональными данными следующие действия, совершаемые с использованием средств автоматизации или без использования таких средств: запись, накопление, хранение, уточнение (обновление, изменение), использование, обезличивание, предоставление, блокирование, удаление, уничтожение.
9.4.3 Перечень обрабатываемых по поручению персональных данных Подписчиков: адрес электронной почты. Лицензиар не инициирует, не контролирует и не влияет на состав персональных данных, переданных Пользователем за пределами указанного перечня. В случае изменения перечня персональных данных Подписчиков, Пользователь обязуется предоставить Лицензиару новое поручение. В случае передачи Пользователем персональных данных в объеме, превышающем указанный перечень, ответственность и негативные последствия, которые может понести Лицензиар, возлагаются на Пользователя. Пользователь гарантирует, что персональные данные Подписчиков получены законным способом.
9.4.4 Пользователь обязуется:
- до поручения обработки персональных данных Лицензиару получить от Подписчиков согласия на обработку и передачу их персональных данных Лицензиару в целях, в объеме и для осуществления действий, указанных в Поручении.
- предоставить Лицензиару подтверждение получения предварительного согласия Подписчиков на обработку персональных данных и передачу персональных данных Лицензиару в течение трех рабочих дней с момента получения соответствующего запроса от Лицензиара;
- по запросу Подписчика самостоятельно предоставлять ему сведения, касающиеся обработки его персональных данных;
- при поступлении от Подписчика запроса на уточнение, блокирование, уничтожение его персональных данных, самостоятельно вносить необходимые изменения в персональных данные Подписчика в Сервисе;
- в случае утраты правовых оснований для обработки персональных данных Подписчика (в т. ч. в случае отзыва субъектом персональных данных согласия на их обработку, в случае отказа субъекта персональных данных на предоставления согласия на обработку его персональных данных) незамедлительно направить Лицензиару по электронной почте запрос на уничтожение персональных данных Подписчика. Лицензиар вправе запросить у Пользователя доказательства, подтверждающее основания для уничтожения персональных данных.
9.4.5 Лицензиар обязуется:
- в случае обращения к Лицензиару субъекта персональных данных с запросом, основанном на ст. 14 Закона, информировать об этом Пользователя.
- соблюдать принципы и правила обработки персональных данных, предусмотренные Законом, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом, соблюдать конфиденциальность персональных данных;
- принимать необходимые и достаточные меры для обеспечения требований, предусмотренных Законом и принятыми в соответствии с ним нормативными правовыми актами, а также локальными актами Лицензиара. К таким мерам, в частности, относятся:
a) назначение ответственного за организацию обработки персональных данных;
b) издание документов, определяющих политику в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений Применимого права в области персональных данных, устранение последствий таких нарушений;
c) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Закону и Применимому праву в области персональных данных, требованиям к защите персональных данных, политике в отношении обработки персональных данных, локальным актам;
d) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Применимого права в отношении защиты персональных данных, соотношение указанного вреда и принимаемых мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом;
e) ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями Применимого права о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
- принимать организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных, в частности:
a) определять угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;
b)применять организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимые для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
c) применять средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия;
d) проводить оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
e) осуществлять учет машинных носителей персональных данных;
f) принимать меры по обнаружению фактов возможного несанкционированного доступа к персональным данным и блокированию такого доступ;
g) обеспечивать восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
h) устанавливать правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечивать регистрацию и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных;
i) осуществлять контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных, в которых обрабатываются порученные на обработку персональные данные.
- обеспечить запись, накопление, хранение, уточнение (обновление, изменение), использование, обезличивание, блокирование, удаление, уничтожение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
- по запросу Пользователя, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение требований, предусмотренных Поручением, Законом и законодательством в области персональных данных. Ответ по запросу предоставляется Лицензиаром в течение пяти рабочих дней с момента его получения.
- обеспечивать безопасность персональных данных при их обработке.
- в случае установления Лицензиаром факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, обязан в течение 24 часов с момента выявления такого инцидента уведомить Пользователя.
9.4.6 Пользователь самостоятельно несет ответственность за обеспечение законности обработки персональных данных Подписчиков, что включает в себя получение согласий Подписчиков и информирование их об условиях обработки персональных данных, определение состава персональных данных.
9.4.7 Срок действия Поручения — до окончания действия Договора. Персональные данные прекращают обрабатываться Лицензиаром и уничтожаются также: в случае прекращения деятельности одной из Сторон; обращения Пользователя с запросом на уничтожение персональных данных субъекта персональных данных (Лицензиар вправе запросить у Пользователя доказательства, подтверждающее основания для уничтожения персональных данных); по требованию органов государственной власти (с уведомлением Пользователя).
9.4.8 В случае установления факта неправомерной и/или несанкционированной обработки персональных данных, полученных от Пользователя, включая персональных данных Подписчиков, повлекшей нарушение прав субъектов персональных данных, Пользователь обязуется как можно быстрее уведомить об этом Лицензиара по электронной почте и принять разумно необходимые действия для минимизации убытков Сторон и обеспечения конфиденциальности персональных данных субъектов.
9.5 Лицензиар вправе привлекать третьих лиц для исполнения Договора в части обработки персональных данных Подписчиков.