Соглашение об обработке данных

1. ПРЕДМЕТ СОГЛАШЕНИЯ

1.1. В случаях, когда при использовании Клиентом Платформы «Яндекс. Облако» и её Сервисов, Клиент размещает на ресурсах Платформы персональные данные, в отношении которых Клиент выступает оператором, то Клиент, как оператор таких персональных данных, поручает Яндексу обработку таких персональных данных в соответствии с условиями настоящего Соглашения.

1.2. В отношении указанных в п.1.1 Соглашения Платформы «Яндекс. Облако» и Сервисов получено Заключение о соответствии защиты системы персональных данных требованиям законодательства о персональных данных, доступное по адресу https://storage.yandexcloud.net/yc-compliance/conformance_ru_pdp.pdf.

1.3. Настоящее Соглашение является основанием обработки Яндексом персональных данных, осуществляемой по поручению Клиента.

1.4. Клиент гарантирует, что:

1.4.1. до передачи персональных данных Яндексу, он надлежащим образом получит у субъектов персональных данных все необходимые в соответствии с Законом, и в установленном им порядке, согласия, требуемые для передачи (в том числе для трансграничной передачи) персональных данных Яндексу, его аффилированным лицам, и третьим лицам для обработки по поручению Клиента в соответствии с Договором;

1.4.2. персональные данные, обработка которых поручается Яндекс, хранятся Клиентом в его базе, которая хранится на территории Республики Казахстан;

1.4.3. условия обработки персональных данных в соответствии с настоящим Соглашением и Договором не противоречат внутренней политике Клиента в отношении действий с персональными данными.

2. ПРАВА И ОБЯЗАННОСТИ СТОРОН

2.1. Клиент обязуется выполнять требования Закона, в том числе, но не ограничиваясь этим:

2.1.1. Определить цели обработки персональных данных, в том числе с учетом условий раздела 3 настоящего Соглашения.

Не допускаются сбор и обработка персональных данных, несовместимые с целями сбора персональных данных. Клиенту запрещается собирать персональные данные и поручать обработку персональных данных, содержание и объем которых являются избыточными по отношению к целям их обработки.

2.1.2. Определить содержание и объем обрабатываемых персональных данных путем утверждения в порядке, установленном Законом, перечня персональных данных, необходимого и достаточного для выполнения осуществляемых Клиентом задач (далее – «Перечень»). Обработке подлежат только персональные данные, которые отвечают целям их обработки.

2.1.3. Определить перечень действий (операций) с персональными данными, которые будут совершаться Яндексом в соответствии с условиями Договора.

2.1.4. При обработке персональных данных обеспечить точность персональных данных, их достаточность, а также актуальность по отношению к целям обработки персональных данных.

2.1.5. Хранить персональные данные в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если иное не определено условиями договора.

Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное определено условиями договора.

2.1.6. Установить и соблюдать требования к защите обрабатываемых персональных данных в соответствии с Законом, при этом данное обязательство распространяется исключительно на Клиента и не должно трактоваться, как установление определенных непосредственно Клиентом Яндексу требований к защите обрабатываемых персональных данных, поскольку в таких целях Яндекс руководствуется исключительно соответствующими положениями Закона.

2.1.7. С учетом указанного Яндексом уровня защищенности Платформы «Яндекс. Облако», самостоятельно оценивать возможность осуществления обработки определённых Клиентом персональных данных на ресурсах Платформы «Яндекс. Облако», равно как и возможность давать поручение Яндексу об обработке таких данных.

2.1.8. Опубликовать в информационно-телекоммуникационной сети, с использованием которой осуществляется сбор персональных данных документ, определяющий Политику оператора в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

2.1.9. Установить и неукоснительно соблюдать порядок сбора согласий субъектов персональных данных на обработку их персональных данных в соответствии с Законом, в том числе на трансграничную передачу.

2.1.10. Самостоятельно отвечать на запросы контролирующих государственных органов, касающиеся обработки и защиты персональных данных.

2.1.11. По запросу Яндекс или уполномоченного органа в сфере защиты персональных данных, - предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в Законе, допускающих обработку персональных данных без наличия согласия субъекта (ст. 9 Закона).

2.1.12. В случае отзыва субъектом персональных данных согласия на обработку персональных данных и отсутствия оснований, указанных в ст. 9 Закона, допускающих сбор и обработку персональных данных без наличия согласия субъекта, направлять Яндексу запрос на удаление данных способом, описанным в документации к Платформе «Яндекс. Облако».

2.1.13. При поступлении запроса от субъекта персональных данных на предоставление сведений, указанных в п. 1 ст. 24 Закона, либо требований субъекта об уточнении его персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, вносить в них необходимые изменения самостоятельно, способом, описанным в документации к Платформе «Яндекс. Облако» и в сроки, установленные Законом.

2.1.14. Выполнять все необходимые требования к защите обрабатываемых персональных данных.

2.1.15. Назначить лицо, ответственное за организацию обработки персональных данных в случае, если Клиент является юридическим лицом и уведомить указанное лицо о заключении Договора и о всех его условиях.

2.2. Яндекс обязуется:

2.2.1. Осуществлять обработку персональных данных по поручению Клиента на законной основе и обеспечивать их защиту, в строгом соответствии с условиями Соглашения и требованиями Закона.

2.2.2. Требования к защите персональных данных выполняются Яндексом в соответствии с Законом по отношению к определенному Яндексом уровню защищенности персональных данных при их обработке в информационных системах персональных данных, который позволяет обеспечить Платформа «Яндекс. Облако», в рамках своей зоны ответственности согласно Заключению, указанному в п.1.2 Соглашения.

2.2.3. Соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке.

3. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Клиент поручает обработку персональных данных Яндексу в целях хостинга информационных систем.

3.2. Состав обрабатываемых персональных данных определяется Клиентом в соответствии с Законом и настоящим Соглашением, в силу чего не контролируется Яндексом. Клиент самостоятельно несет ответственность за состав персональных данных с учетом требований, указанных в п. 2.1.2 настоящего Соглашения.

3.3. Клиент уведомлен о том, что Платформа «Яндекс. Облако» позволяет обеспечить критерии первого уровня защищенности персональных данных (как он определен в Постановлении Правительства РФ от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных") при их обработке в информационных системах персональных данных, с учетом следующего:

3.3.1. С использованием Платформы «Яндекс. Облако» могут обрабатываться персональные данные любой категории, кроме персональных данных ограниченного доступа.

3.3.2. При проектировании Платформы «Яндекс. Облако» Яндекс выполнил все необходимые мероприятия для создания соответствующих инфраструктурных защитных механизмов, в том числе провел моделирование угроз информационной безопасности.

3.4. Перечень действий (операций) с персональными данными, которые Клиент поручает совершать Яндексу в соответствии с Договором и настоящим Соглашением:

• Накопление персональных данных, согласно Перечню, утвержденному Клиентом;
• Уточнение (изменение и (или) дополнение) персональных данных при условии наличия оснований, подтвержденных соответствующими документами;
• Передача (распространение) персональных данных, в том числе их трансграничная передача;
• Хранение персональных данных;
• Уничтожение, удаление персональных данных.

3.5. Уничтожение персональных данных, обрабатываемых Яндексом по поручению Клиента, может производиться Яндексом, только:

• по истечении срока хранения в соответствии с пунктом 2 статьи 12 Закона;
• при прекращении правоотношений между Клиентом и (или) собственником и (или) Яндексом;
• при вступлении в законную силу решения суда;
• по дополнительному запросу Клиентом, подаваемому средствами Платформы «Яндекс. Облако»;
• по требованию уполномоченного органа в сфере защиты персональных данных, с обязательным уведомлением Клиента;
• при расторжении Договора или Соглашения;
• в иных случаях, установленных Законом, Договором, и (или) иными нормативными правовыми актами РК.

3.6. В случаях, установленных в п. 3.5, Яндекс должен уничтожать обрабатываемые по поручению Клиента персональные данные гарантированными средствами, обеспечивающими невозможность восстановления содержания персональных данных на твердых (бумажных) носителях, в информационных системах персональных данных или на носителях, их содержащих.

3.7. Яндекс прекращает обработку персональных данных:

• в случае прекращения договорных отношений, являющихся основанием для обработки персональных данных;
• по дополнительному письменному поручению Клиента;
• по письменному предписанию органов государственного регулирования.

3.8. Клиент несет ответственность за предварительное копирование своих данных, хранящихся в Платформе «Яндекс. Облако», перед расторжением Договора или Соглашения.

3.9. Яндекс, в случае обнаружения подтвержденного факта несанкционированного доступа (третьих лиц), передачи (третьим лицам), распространения (третьим лицам) персональных данных, обрабатываемых Яндексом по поручению Клиента, если указанные события произошли в рамках зоны ответственности Яндекса согласно Заключению, указанному в п. 1.2 Соглашения, уведомляет об этом Клиента по адресу электронной почты, предоставленному Клиентом в соответствии с Договором, в течение 48 (сорока восьми) часов. При этом Яндекс предоставляет Клиенту необходимую и достаточную информацию и поддержку, связанную с таким событием, которые могут понадобиться Клиенту для выполнения его обязанностей в силу требований законодательства РК, а также для снижения негативных последствий, которые могут наступить в результате такого события. Уведомления и предоставление Яндексом Клиенту указанной информации и поддержки ни при каких обстоятельствах не будет трактоваться Сторонами, как признание или подтверждение ответственности Яндекса за несанкционированный доступ (третьих лиц), передачу (третьим лицам), распространение (третьим лицам) персональных данных, обрабатываемых Яндексом по поручению Клиента.

3.10. Яндекс, в случаях истребования или изъятия правоохранительными органами у Яндекса персональных данных, обрабатываемых Яндексом по поручению Клиента, уведомляет о таком факте Клиента по адресу электронной почты, предоставленному Клиентом в соответствии с Договором, в течение 48 (сорока восьми) часов, но только в том случае, когда такое уведомление разрешено законодательством Республики Казахстан.

4. ОТВЕТСТВЕННОСТЬ СТОРОН

4.1. В целях Договора, по настоящему Соглашению устанавливается разграничение ответственности между Клиентом и Яндекс по вопросам обработки персональных данных. А именно, Клиент несет полную индивидуальную ответственность за:

4.1.1. Получение согласия субъектов персональных данных на сбор, обработку и трансграничную передачу персональных данных таких субъектов, в том числе в целях передачи таких данных по Договору на условиях настоящего Соглашения;

4.1.2. Обеспечение выполнения требования Закона касательно хранения персональных данных, передаваемых субъектами персональных данных Клиенту, в базе, расположенной на территории Республики Казахстан;

4.1.3. Выполнение требований Закона, установленных в целях взаимодействия между Клиентом и субъектами персональных данных, а равно иных положений Закона подлежащих выполнению непосредственно Клиентом в качестве оператора персональных данных.

Ответственность Яндекса ограничивается соблюдением требований Закона в отношении персональных данных, переданных Клиентом в целях Договора в соответствии с настоящим Соглашением.

4.2. Яндекс несет ответственность перед Клиентом, в пределах, установленных Договором, за действия в отношении обработки персональных данных субъектов по поручению Клиента, в том числе за действия (бездействие) своих работников, получивших доступ к обрабатываемым по поручению Клиента персональным данным, повлекшие разглашение таких персональных данных.

4.3. Клиент обязуется за свой счёт урегулировать любые претензии и споры (если иное не предусмотрено действующим законодательством), как внесудебные, досудебные, так и в судебном порядке, которые возникли по причине нарушения Клиентом обязательств и гарантий по Соглашению, с обязательным уведомлением Яндекса о ходе такого урегулирования и предварительным информированием Яндекса о предполагаемых шагах для урегулирования.

4.4. Клиент обязуется по требованию Яндекса возместить имущественные потери, которые понесены или с неизбежностью будут понесены Яндексом в будущем в связи с наступлением следующих обстоятельств:

• предъявление Яндексу претензий, требований, исков третьими лицами (вне зависимости от того, обоснованы ли такие претензии, требования, иски, или нет), а также привлечения Яндекса к ответственности за нарушение установленного законом порядка обработки персональных данных (в том числе за неполучение согласия на такую обработку) в случае, если такие претензии вызваны или ответственность наступила ввиду несоблюдения Клиентом законодательства о персональных данных.

4.4.1. Стороны договорились, что размер возмещаемых потерь Яндекса при наступлении вышеуказанных обстоятельств признается равным:

• сумме штрафов, пеней, компенсаций и иных выплат в пользу любых третьих лиц, обязанность осуществить которые возникнет у Яндекса в случае наступления соответствующих обстоятельств (в том числе суммы убытков, которые могут быть взысканы с Яндекса или привлеченных им третьих лиц для исполнения своих обязательств по Договору) на основании решения суда, третейского суда или международного коммерческого арбитража (в том числе утвержденного указанными органами мирового соглашения), или решения компетентного государственного органа,
• сумме расходов на юридические и консультационные услуги, понесенных Яндексом, для защиты своих прав и интересов в связи с наступлением обстоятельств, указанных в п. 4.4. Соглашения.

4.4.2. Стороны соглашаются и признают, что сумма и состав возмещаемых имущественных потерь Яндекса в каждом случае является достаточным, справедливым, взаимоприемлемым и соразмерным последствиям, от которых пострадал (или с неизбежностью пострадает) Яндекс в связи с наличием оснований для возмещения. Клиент обязуется возместить имущественные потери Яндекса в течение 10 (десяти) рабочих дней с момента предъявления Яндексом соответствующего требования и копий документов, подтверждающих наличие возмещаемых потерь.

4.5. В остальном Стороны несут ответственность за неисполнение или ненадлежащее исполнение своих обязательств по Соглашению в соответствии с действующим законодательством Республики Казахстан.

5. ИНЫЕ УСЛОВИЯ

5.1. Действующая версия Соглашения размещена в сети Интернет по постоянному адресу: https://yandex.com/legal/cloud_dpa_kz.

5.2. Яндекс вправе в одностороннем порядке вносить изменения в Соглашение. В случае если Клиент не согласен с новой версией Соглашения, он обязан незамедлительно:

5.2.1. прекратить размещение персональных данные на ресурсах Платформы; и

5.2.2. самостоятельно удалить уже размещенные персональные данные с ресурсов Платформы.

___________________________________

ТОО «Яндекс.Облако Казахстан»

Адрес размещения в сети «Интернет»: https://yandex.com/legal/cloud_dpa_kz

Дата публикации документа: 31 марта 2021 г.

Дата вступления в силу: 01 апреля 2021 г.