Поручение на обработку персональных данных 

Настоящее поручение на обработку персональных данных (далее - Поручение) является неотъемлемой частью Условий использования Облачных сервисов Yva (далее - Условия), размещенных по адресу yva.ai/ru/terms. 

В случае, если  Вы заключили с Yva двустороннее письменное соглашение об использовании Облачных сервисов Yva, поручение на обработку персональных данных  является частью такого письменного соглашения. 

Yva вправе время от времени, по мере развития своего бизнеса, вносить изменения в настоящее Поручение  путем публикации изменений на Сайте. Любые изменения вступают в силу с даты их публикации на Сайте. Вы вправе ознакомиться с актуальной версией Поручения в любое время, посетив данную страницу Сайта. Если Вы используете Облачные сервисы после даты вступления в силу каких-либо изменений, то такое использование будет означать ваше согласие с внесенными в Поручение изменениями.

Поручение определяет обязательства сторон, возникающие в результате  обработки Yva (или третьим лицом, с которым Yva заключен соответствующий договор), Персональных данных  Конечных пользователей,  разработано в соответствии с Федеральным законом Российской Федерации от 27.07.2006г. № 152-ФЗ «О персональных данных» и устанавливает требования и условия, на которых Yva будет обрабатывать  Персональные данные Конечных пользователей при предоставлении Клиентам Облачных сервисов или иных услуг. 

  1. Термины и определения.

«Вы», «Клиент», «Оператор» - юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных Конечных пользователей, а также определяющие цели обработки Персональных данных, состав Персональных данных, подлежащих обработке, действия (операции), совершаемые с Персональными данными.

«Персональные данные»  - любая информация, относящаяся  прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных, Конечному пользователю), которая предоставляется Клиентом (или от его имени) в ходе использования Облачных сервисов или иных услуг  и обрабатывается Yva в соответствии с Поручением.

«Облачные сервисы» - облачные решения Yva и любое клиентское программное обеспечение, которое мы предоставляем как часть Облачных сервисов. 

«Конечный пользователь» -  субъект персональных данных, физическое лицо, которому Вы или Ваше Аффилированное лицо разрешаете или приглашаете использовать Облачные сервисы или иные услуги Yva, и к которому относятся соответствующие Персональные данные. Во избежание сомнений: (а) лица, приглашенные Вашими Конечными пользователями, (б) лица, использующие  Облачные сервисы в качестве Ваших партнеров, также считаются Конечными пользователями. 

«Аффилированное лицо» - юридическое лицо, которое прямо или косвенно владеет или контролирует, принадлежит или контролируется или находится под общим владением или контролем со стороной, где «контроль» означает право управления организацией, а «собственность» означает бенефициарное владение более чем 50% голосующих акций  или долей организации.

«Yva»,  «Обработчик» -  ООО “Ива СиАйЭс”, расположенное по адресу: 115114, г. Москва, вн.тер.г. Муниципальный округ Даниловский, Дербеневская наб., д. 7, стр. 22, эт. 3, пом. XII, ком. 8, осуществляющее обработку Персональных данных  Конечных пользователей по Поручению Оператора;

«Сайт»— публично доступный, принадлежащий Yva ресурс, размещенный в сети Интернет по адресу: www.yva.ai/ru.

«Применяемые законы»  - все применимые законы Российской Федерации, в том числе Федеральные законы “О персональных данных” от 27.07.2006 г. № 152-ФЗ и "Об информации, информационных технологиях и о защите информации" от 27.07.2006 г. № 149-ФЗ.  

«Обработка персональных данных» - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

 

  1. Условия обработки персональных данных

2.1. Обработка Персональных данных по поручению Оператора производится Yva в соответствии с требованиями Применяемых законов, настоящим Поручением, Политикой конфиденциальности Yva, а также локальными актами Yva в области информационной безопасности и обработки персональных данных. В ходе обработки Персональных данных Yva обязуется обеспечивать их конфиденциальность, безопасность и исполнять требования по защите согласно ст.19 Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных».

Обработчик обязан соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»:

- обработка Персональных данных должна осуществляться на законной основе;

- обработка Персональных данных должна ограничиваться целями, перечисленными в Разделе 3 настоящего Поручения;

- обработке подлежат только те Персональные данные, которые отвечают целям их обработки;

- содержание и объем обрабатываемых Персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые Персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;

- хранение Персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки Персональных данных.

2.2. Стороны признают, что Клиент является Оператором Персональных данных, а Yva - Обработчиком (третьим лицом, выполняющим обработку персональных данных по поручению оператора) Персональных данных Конечных пользователей. В некоторых случаях Клиент вправе выступать  обработчиком Персональных данных Конечных пользователей, и в этом случае Клиент назначает Yva в качестве Субобработчика таких Персональных данных, что не меняет обязательств сторон по настоящему Поручению.

2.3. Обязательства Клиента. 

Оператор гарантирует, что Персональные данные Конечных пользователей были получены законным способом и заверяет, что им получены все необходимые согласия Конечных пользователей на Обработку персональных данных Yva.

Ответственность за действия Обработчика перед Конечным пользователем  несет Оператор. Обработчик несет ответственность перед Оператором.

2.4. Обязательства Yva в качестве Обработчика Персональных данных.

Yva обязуется:

2.4.1. обрабатывать Персональные данные Конечных пользователей согласно условиям и целям, изложенным в Поручении, за исключением случаев, когда это не противоречит Применяемым законам;

2.4.2. информировать Клиента в случае, если условия настоящего Поручения нарушают Применяемые законы в связи с их изменением. Информирование производится путем размещения на Сайте  Yva обновленной редакции Поручения; 

2.4.3. нести ответственность за  виновные действия своих работников, приведшие к раскрытию Персональных данных Конечных пользователей любой третьей стороне, с которой Yva не заключен договор, содержащий положения  об обеспечении безопасности персональных данных при их обработке;

2.4.4. Yva вправе исполнять Поручение с привлечением  третьих лиц (ранее и далее - Субобработчики), неся ответственность за их действия как за свои собственные и сообщая Оператору по его требованию все сведения о ходе исполнения Поручения.

2.4.5. Yva вправе, направив Клиенту уведомление не менее, чем за тридцать (30) дней и / или опубликовав изменения Поручения на Сайте, заменять привлекаемых Субобработчиков. Клиент вправе направить  обоснованные возражения против привлечения дополнительного Субобработчика в течение четырнадцати (14) календарных дней с момента такого уведомления. В  этом случае Yva имеет право устранить возражение одним из следующих способов, по выбору Yva:

(а) Yva отменит свои планы по привлечению Субобработчика в отношении Персональных данных или предложит альтернативу для предоставления Облачных сервисов без такого Субобработчика; или

(b) Yva предпримет корректирующие шаги, указанные Клиентом в своем возражении (которые устранят возражение Клиента), с последующим привлечением Субобработчика в отношении Персональных данных; или

(в) Yva вправе прекратить оказание или Клиент вправе согласиться не использовать (временно или постоянно) конкретный объем (часть) Облачных сервисов, который будет включать использование такого Субобработчика в отношении  Персональных данных, при условии взаимного согласия сторон скорректировать стоимость Облачных сервисов с учетом  их сокращенного объема.

Если ни один из вышеперечисленных вариантов не является  приемлемым для обеих сторон, и возражения Клиента не были устранены сторонами в течение 30 дней после получения Yva возражений Клиента, любая из Сторон вправе отказаться от исполнения  настоящего Поручения.

2.4.5.1. Клиент настоящим подтверждает  привлечение следующих Субобработчиков: ПАО «МТС», аффилированные лица Yva.

2.4.6. при обработке Персональных данных принимать и поддерживать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты Персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных, в том числе:

2.4.6.1. обезличивание и / или шифрование Персональных данных;

2.4.6.2. способность обеспечивать постоянную конфиденциальность, целостность, доступность и устойчивость  Облачных сервисов, обрабатывающих Персональные данные;

2.4.6.3. возможность своевременного восстановления доступности и доступа к  Персональным данным в случае физического или технического инцидента;

2.4.6.4. регулярные проверки, оценки эффективности технических и организационных мероприятий по обеспечению безопасности обработки Персональных данных.

2.4.7. Yva будет, насколько это возможно, путем соответствующих технических и организационных мер разумно помогать Клиенту в выполнении обязательств Клиента по соблюдению требований к защите и обработке Персональных данных в соответствии с Применяемыми законами. 

2.4.8. предоставлять Клиенту или независимому стороннему аудитору, уполномоченному Клиентом (но не являющемуся конкурентом Yva или аффилированному с конкурентом Yva), максимум один раз в год или при обоснованном подозрении на нарушение условий обработки Персональных данных, всю разумную информацию, которую Yva сочтет необходимой для демонстрации соблюдения обязательств, возложенных на Yva в соответствии с настоящим Поручения, а также разрешать проведение аудитов с единственной целью демонстрации такого соблюдения. Несмотря на вышеизложенное, если аудит является чрезмерным или необоснованно обременительным для Yva, то Клиент обязан возместить Yva стоимость такого аудита. Yva вправе возражать против назначения конкретного стороннего аудитора, если такой аудитор не принял на себя обязательства по обеспечению конфиденциальности  информации, полученной или связанной с проведением такого аудита и его результатов; 

2.4.9. после прекращения или истечения срока действия Поручения или по достижению целей обработки  Персональных данных  уничтожить их, если иное не предусмотрено Применяемыми законами.

2.5. Центр обработки  Персональных данных (ЦОД).

Облачные сервисы Yva размещены на платформе Microsoft Corporation (Microsoft Azure) в ЦОД ПАО «МТС», расположенном на территории Российской Федерации.

 

  1. Категории обрабатываемых данных Клиента, цели, сроки их обработки.

Категории субъектов персональных данных: Конечные пользователи Облачных сервисов и иных услуг, оказываемых Yva.

Клиент поручает Yva выполнение автоматизированной и неавтоматизированной обработки (включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение) согласно нижеуказанным целям следующих данных Клиента, в т.ч. персональных данных Конечных пользователей: 

Перечень  обрабатываемых данных

Цели обработки

Срок обработки

  1. Идентификатор учетной записи: адрес электронной почты;
  2. Личные данные (ФИО; должность);
  3. Часовой пояс;
  4. Отдел/группа; идентификатор Конечного пользователя;
  5. Данные о корпоративной деятельности Конечного пользователя (например, IP-адрес; метаданные электронной почты; содержание сообщения; другие подключенные корпоративные источники данных);
  6. Ответы Конечных пользователей на опросы и другая информация, которой делятся в Облачных сервисах Клиенты или Конечные пользователи.
  1. Предоставление Клиентам и Конечным пользователям аналитики, вовлеченности и производительности в прошедших и текущих периодах, а также прогнозной аналитической информации о лучших практиках в организации Клиента и выявления областей для улучшения (идентификатор учетной записи, личные данные, данные о корпоративной деятельности Конечных пользователей, ответы Конечных пользователей на опросы и другая информация);
  2. Предоставление вспомогательных услуг (идентификатор учетной записи, личные данные);
  3. Улучшение и совершенствование Облачных сервисов (идентификатор учетной записи, личные данные, данные о корпоративной деятельности Конечных пользователей, ответы Конечных пользователей на опросы и другая информация).

В течение срока действия договора о предоставлении Облачных сервисов

между Клиентом и Yva

 

4. Реквизиты Yva

ООО «Ива СиАйЭс»

ОГРН 1197746034540 ИНН 9715335844 КПП 772501001

Адрес: 115114, г. Москва, вн.тер.г. Муниципальный округ Даниловский, Дербеневская наб., д. 7, стр. 22, эт. 3, пом. XII, ком. 8

e-mail: support@yva.ai 

Генеральный директор  М.А. Кутузова