Соглашение об обработке данных

Это старая версия документа, которая прекратила свое действие 28.07.2025 г. Действующая версия размещена по адресу: https://yandex.com/legal/cloud_dpa_kz/.

Настоящий документ (далее — «Соглашение»):

(1) Регулирует отношения между Яндекс и Клиентами, выступающими собственниками и (или) операторами баз, содержащих персональные данные, и поручающими Яндекс обработку персональных данных, собранных Клиентами в законном порядке.

(2) Устанавливает порядок обработки Яндексом вышеуказанных персональных данных по поручению Клиента.

(3) Является неотъемлемой частью Договора на использование сервисов Платформы «Яндекс. Облако» (далее — «Договор»), заключаемого между Яндексом и Клиентом в терминологии Договора и документа, размещенного в сети «Интернет» по адресу: https://yandex.com/legal/cloud_oferta_kz;

(4) Основывается на Законе Республики Казахстан (далее – «РК») «О персональных данных и их защите» и иных применимых правовых актах РК (далее – «Закон»).

Все термины и определения, встречающиеся в тексте Соглашения, толкуются в соответствии с Договором, действующим законодательством РК и сложившимися в сети Интернет обычными правилами толкования соответствующих терминов.

1. ПРЕДМЕТ СОГЛАШЕНИЯ

1.1. В случаях, когда при использовании Клиентом Платформы «Яндекс. Облако» и её Сервисов, Клиент размещает на ресурсах Платформы персональные данные, в отношении которых Клиент выступает собственником и (или) оператором баз, содержащих персональные данные, Клиент поручает Яндексу обработку таких персональных данных, как третьему лицу, в соответствии с условиями настоящего Соглашения.

1.2. В отношении указанных в п.1.1 Соглашения персональных данных Яндекс обеспечивает защиту персональных данных с применением мер и средств защиты данных, предусмотренных применимым законодательством.

1.3. Настоящее Соглашение является основанием обработки Яндексом персональных данных, осуществляемой по поручению Клиента.

1.4. Клиент гарантирует, что:

1.4.1. до передачи персональных данных Яндексу, он надлежащим образом получит у субъектов персональных данных все необходимые в соответствии с Законом, и в установленном им порядке, согласия, требуемые для передачи (в том числе для трансграничной передачи) персональных данных Яндексу, его аффилированным лицам, и третьим лицам для обработки по поручению Клиента в соответствии с Договором;

1.4.2. при использовании сервисов Платформы «Яндекс.Облако» он соблюдает требования применимого законодательства о локальном хранении персональных данных;

1.4.3. условия обработки персональных данных в соответствии с настоящим Соглашением и Договором не противоречат внутренней политике Клиента в отношении действий с персональными данными.

2. ПРАВА И ОБЯЗАННОСТИ СТОРОН

2.1. Клиент обязуется выполнять требования Закона, в том числе, но не ограничиваясь этим:

2.1.1. Определить цели обработки персональных данных, в том числе с учетом условий раздела 3 настоящего Соглашения.

Не допускаются сбор и обработка персональных данных, несовместимые с целями сбора персональных данных. Клиенту запрещается собирать персональные данные и поручать обработку персональных данных, содержание и объем которых являются избыточными по отношению к целям их обработки.

2.1.2. Определить содержание и объем обрабатываемых персональных данных путем утверждения в порядке, установленном Законом, перечня персональных данных, необходимого и достаточного для выполнения осуществляемых Клиентом задач (далее – «Перечень»). Обработке подлежат только персональные данные, которые отвечают целям их обработки.

2.1.3. Определить перечень действий (операций) с персональными данными, которые будут совершаться Яндексом в соответствии с условиями Договора.

2.1.4. При обработке персональных данных обеспечить точность персональных данных, их достаточность, а также актуальность по отношению к целям обработки персональных данных.

2.1.5. Хранить персональные данные в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если иное не определено условиями договора.

Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное определено условиями договора.

2.1.6. Установить и соблюдать требования к защите обрабатываемых персональных данных в соответствии с Законом, при этом данное обязательство распространяется исключительно на Клиента и не должно трактоваться, как установление определенных непосредственно Клиентом Яндексу требований к защите обрабатываемых персональных данных, поскольку в таких целях Яндекс руководствуется исключительно соответствующими положениями Закона.

2.1.7. С учетом указанных Яндексом мер защиты персональных данных на Платформе «Яндекс. Облако», самостоятельно оценивать возможность осуществления обработки определённых Клиентом персональных данных на ресурсах Платформы «Яндекс. Облако», равно как и возможность давать поручение Яндексу об обработке таких данных.

2.1.8. Опубликовать в информационно-телекоммуникационной сети, с использованием которой осуществляется сбор персональных данных документ, определяющий Политику Клиента в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

2.1.9. Установить и неукоснительно соблюдать порядок сбора согласий субъектов персональных данных на обработку их персональных данных в соответствии с Законом, в том числе на трансграничную передачу.

2.1.10. Самостоятельно отвечать на запросы контролирующих государственных органов, касающиеся обработки и защиты персональных данных, обрабатываемых в соответствии с Соглашением.

2.1.11. По запросу Яндекс или уполномоченного органа в сфере защиты персональных данных, - предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в Законе, допускающих обработку персональных данных без наличия согласия субъекта.

2.1.12. В случае отзыва субъектом персональных данных согласия на обработку персональных данных и отсутствия иных оснований, допускающих сбор и обработку персональных данных без наличия согласия субъекта, направлять Яндексу запрос на удаление данных способом, описанным в документации к Платформе «Яндекс. Облако».

2.1.13. При поступлении запроса от субъекта персональных данных на предоставление сведений, указанных в п. 1 ст. 24 Закона, либо требований субъекта об уточнении его персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, вносить в них необходимые изменения самостоятельно, способом, описанным в документации к Платформе «Яндекс. Облако» и в сроки, установленные Законом.

2.1.14. Выполнять все необходимые требования к защите обрабатываемых персональных данных.

2.1.15. Назначить лицо, ответственное за организацию обработки персональных данных в случае, если Клиент является юридическим лицом и уведомить указанное лицо о заключении Договора и о всех его условиях.

2.1.16. В случаях, предусмотренных применимым законодательством, обеспечивать соблюдение требований о локальном хранении персональных данных.

2.2. Яндекс обязуется:

2.2.1. Осуществлять обработку персональных данных по поручению Клиента на законной основе и обеспечивать их защиту, в строгом соответствии с условиями Соглашения и требованиями Закона.

2.2.2. Соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке.

2.2.3. Выполнять все необходимые требования по защите обрабатываемых персональных данных.

2.2.4. Обеспечивать осуществление обработки персональных данных в выбранном Клиентом Регионе.

3. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Клиент поручает обработку персональных данных Яндексу в целях предоставления услуг, предусмотренных основным Договором.

3.2. Состав обрабатываемых персональных данных определяется Клиентом в соответствии с Законом и настоящим Соглашением, в силу чего не контролируется Яндексом. Клиент самостоятельно несет ответственность за состав персональных данных с учетом требований, указанных в п. 2.1.2 настоящего Соглашения.

3.3. Клиент уведомлен о том, что Платформа «Яндекс. Облако» обеспечивает защиту персональных данных путем применения мер защиты, предусмотренных законодательством.

3.4. Перечень действий (операций) с персональными данными, которые Клиент поручает совершать Яндексу в соответствии с Договором и настоящим Соглашением:

  • Накопление персональных данных, согласно Перечню, утвержденному Клиентом;
  • Уточнение (изменение и (или) дополнение) персональных данных при условии наличия оснований, подтвержденных соответствующими документами;
  • Передача (распространение) персональных данных, в том числе их трансграничная передача;
  • Хранение персональных данных;
  • Уничтожение, удаление персональных данных:
  • Иные действия, которые необходимы для достижения указанной в поручении цели.

3.4.1. Для целей, связанных с исполнением Договора, Яндекс вправе привлекать к обработке персональных данных, полученных от Клиента, третьих лиц, указанных на странице: https://storage.yandexcloud.net/yc-compliance/subprocessors.pdf.

В Условиях использования отдельных Сервисов могут быть также указаны третьи лица, привлекаемые Яндексом к обработке персональных данных в рамках соответствующих Сервисов.

Яндекс обеспечивает принятие третьими лицами, указанными в настоящем пункте, мер по защите данных, которые предусмотрены настоящим Соглашением.

3.5. Уничтожение персональных данных, обрабатываемых Яндексом по поручению Клиента, может производиться Яндексом, только:

  • по истечении срока хранения в соответствии с пунктом 2 статьи 12 Закона;
  • при прекращении правоотношений между Клиентом и (или) собственником и (или) Яндексом;
  • при вступлении в законную силу решения суда;
  • по дополнительному запросу Клиента, подаваемому средствами Платформы «Яндекс. Облако»;
  • по требованию уполномоченного органа в сфере защиты персональных данных, с обязательным уведомлением Клиента;
  • при расторжении Договора;
  • в иных случаях, установленных Законом, Договором, и (или) иными нормативными правовыми актами РК.

3.6. В случаях, установленных в п. 3.5, Яндекс должен уничтожать обрабатываемые по поручению Клиента персональные данные гарантированными средствами, обеспечивающими невозможность восстановления содержания персональных данных на твердых (бумажных) носителях, в информационных системах персональных данных или на носителях, их содержащих.

3.7. Яндекс прекращает обработку персональных данных:

  • в случае прекращения договорных отношений, являющихся основанием для обработки персональных данных;
  • по дополнительному письменному поручению Клиента;
  • по письменному предписанию органов государственного регулирования.

3.8. Клиент несет ответственность за предварительное копирование своих данных, хранящихся в Платформе «Яндекс. Облако», перед расторжением Договора или Соглашения.

3.9. Яндекс, в случае обнаружения подтвержденного факта несанкционированного доступа (третьих лиц), передачи (третьим лицам), распространения (третьим лицам) персональных данных, обрабатываемых Яндексом по поручению Клиента, уведомляет об этом Клиента по адресу электронной почты, предоставленному Клиентом в соответствии с Договором, в течение 48 (сорока восьми) часов. При этом Яндекс предоставляет Клиенту необходимую и достаточную информацию и поддержку, связанную с таким событием, которые могут понадобиться Клиенту для выполнения его обязанностей в силу требований законодательства РК, а также для снижения негативных последствий, которые могут наступить в результате такого события. Уведомления и предоставление Яндексом Клиенту указанной информации и поддержки ни при каких обстоятельствах не будет трактоваться Сторонами, как признание или подтверждение ответственности Яндекса за несанкционированный доступ (третьих лиц), передачу (третьим лицам), распространение (третьим лицам) персональных данных, обрабатываемых Яндексом по поручению Клиента.

3.10. Яндекс, в случаях истребования или изъятия правоохранительными органами у Яндекса персональных данных, обрабатываемых Яндексом по поручению Клиента, уведомляет о таком факте Клиента по адресу электронной почты, предоставленному Клиентом в соответствии с Договором, в течение 48 (сорока восьми) часов, но только в том случае, когда такое уведомление разрешено законодательством Республики Казахстан.

4. ОТВЕТСТВЕННОСТЬ СТОРОН

4.1. В целях Договора, по настоящему Соглашению устанавливается разграничение ответственности между Клиентом и Яндекс по вопросам обработки персональных данных. А именно, Клиент несет полную индивидуальную ответственность за:

4.1.1. Получение согласия субъектов персональных данных на сбор, обработку и трансграничную передачу персональных данных таких субъектов, в том числе в целях передачи таких данных по Договору на условиях настоящего Соглашения;

4.1.2. Обеспечение выполнения требования Закона касательно локального хранения персональных данных;

4.1.3. Выполнение требований Закона, установленных в целях взаимодействия между Клиентом и субъектами персональных данных, а равно иных положений Закона подлежащих выполнению непосредственно Клиентом в качестве оператора и (или) собственника базы, хранящей персональные данные.

Ответственность Яндекса ограничивается соблюдением требований Закона в отношении персональных данных, переданных Клиентом в целях Договора в соответствии с настоящим Соглашением.

4.2. Яндекс несет ответственность перед Клиентом, в пределах, установленных Договором, за действия в отношении обработки персональных данных субъектов по поручению Клиента, в том числе за действия (бездействие) своих работников, получивших доступ к обрабатываемым по поручению Клиента персональным данным, повлекшие разглашение таких персональных данных.

4.3. Клиент обязуется за свой счёт урегулировать любые претензии и споры (если иное не предусмотрено действующим законодательством), как внесудебные, досудебные, так и в судебном порядке, которые возникли по причине нарушения Клиентом обязательств и гарантий по Соглашению, с обязательным уведомлением Яндекса о ходе такого урегулирования и предварительным информированием Яндекса о предполагаемых шагах для урегулирования.

4.4. Клиент обязуется по требованию Яндекса возместить имущественные потери, которые понесены или с неизбежностью будут понесены Яндексом в будущем в связи с наступлением следующих обстоятельств:

  • предъявление Яндексу претензий, требований, исков третьими лицами (вне зависимости от того, обоснованы ли такие претензии, требования, иски, или нет), а также привлечения Яндекса к ответственности за нарушение установленного законом порядка обработки персональных данных (в том числе за неполучение согласия на такую обработку) в случае, если такие претензии вызваны или ответственность наступила ввиду несоблюдения Клиентом законодательства о персональных данных.

4.4.1. Стороны договорились, что размер возмещаемых потерь Яндекса при наступлении вышеуказанных обстоятельств признается равным:

  • сумме штрафов, пеней, компенсаций и иных выплат в пользу любых третьих лиц, обязанность осуществить которые возникнет у Яндекса в случае наступления соответствующих обстоятельств (в том числе суммы убытков, которые могут быть взысканы с Яндекса или привлеченных им третьих лиц для исполнения своих обязательств по Договору) на основании решения суда, третейского суда или международного коммерческого арбитража (в том числе утвержденного указанными органами мирового соглашения), или решения компетентного государственного органа,
  • сумме расходов на юридические и консультационные услуги, понесенных Яндексом, для защиты своих прав и интересов в связи с наступлением обстоятельств, указанных в п. 4.4. Соглашения.

4.4.2. Стороны соглашаются и признают, что сумма и состав возмещаемых имущественных потерь Яндекса в каждом случае является достаточным, справедливым, взаимоприемлемым и соразмерным последствиям, от которых пострадал (или с неизбежностью пострадает) Яндекс в связи с наличием оснований для возмещения. Клиент обязуется возместить имущественные потери Яндекса в течение 10 (десяти) рабочих дней с момента предъявления Яндексом соответствующего требования и копий документов, подтверждающих наличие возмещаемых потерь.

4.5. В остальном Стороны несут ответственность за неисполнение или ненадлежащее исполнение своих обязательств по Соглашению в соответствии с действующим законодательством Республики Казахстан.

5. ИНЫЕ УСЛОВИЯ

5.1. Действующая версия Соглашения размещена в сети Интернет по постоянному адресу: https://yandex.com/legal/cloud_dpa_kz.

5.2. Яндекс вправе в одностороннем порядке вносить изменения в Соглашение. В случае если Клиент не согласен с новой версией Соглашения, он обязан незамедлительно:

5.2.1. прекратить размещение персональных данные на ресурсах Платформы; и

5.2.2. самостоятельно удалить уже размещенные персональные данные с ресурсов Платформы.

___________________________________

ТОО «Яндекс.Облако Казахстан»

Адрес размещения в сети «Интернет»: https://yandex.com/legal/cloud_dpa_kz

Дата публикации документа: 13 января 2025 г.

Дата вступления в силу: 23 января 2025 г.

Предыдущая версия документа: https://yandex.com/legal/cloud_dpa_kz/11072024

Предыдущая версия документа: https://yandex.com/legal/cloud_dpa_kz/01042021