Договор-поручение на обработку персональных данных

Используя онлайн-сервис «GIVR.Платежи» (далее – Онлайн-сервис), размещенный в информационно-телекоммуникационной сети «Интернет» по адресу https://pay.givr.ru/ (далее - Сайт), Вы подтверждаете свое согласие соблюдать условия нижеследующего договора-поручения на обработку персональных данных. Если вы не согласны, то откажитесь от доступа к вышеуказанным ресурсам и техническим сервисам, представляемых Обществом с ограниченной ответственностью «Редермио».

Настоящий договор-поручение на обработку персональных данных является офертой ООО «Редермио» (ИНН 7736324423, ОГРН 1197746589391, юридический адрес: 119311, город Москва, ул. Строителей, д. 4 к. 1), именуемого в дальнейшем «Обработчик», юридическому лицу, заключившему с Лицензиаром Лицензионный договор на предоставление права использования Онлайн-сервиса, именуемому в дальнейшем «Оператор».

Настоящий договор-поручение на обработку персональных данных признается заключенным с момента его акцепта Оператором. Под акцептом в целях настоящего договора признается факт начала использования Онлайн-сервиса и принятия условий, размещенных на Сайте по адресу: https://givr.redermio.ru/agreement-assignment.

1. Термины и определения

1.1.Онлайн-сервис «GIVR.Платежи» (далее по тексту – «Онлайн-сервис»)- сервис Лицензиара, который расположен по адресу: https://pay.givr.ru/ и предназначен для приема пожертвований некоммерческими организациями.

1.2.Сайт Онлайн-сервиса– сайт, расположенный в информационно-телекоммуникационной сети «Интернет» по адресу https://pay.givr.ru/, содержащий информацию об Онлайн-сервисе, разработчиках, тарифах, FAQ.

1.3.Оператор – юридическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющие обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

1.4.Персональные данные- любая информация, относящаяся к прямо или косвенно к определенному, или определяемому физическому лицу (субъекту персональных данных).

1.5.Информация- сведения (сообщения, данные) независимо от формы их представления.

1.6.Обработка персональных данных- любое действие (операция) или совокупность действий (операций), совершаемые с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

1.7.Автоматизированная обработка персональных данных- обработка персональных данных с помощью средств вычислительной техники.

1.8.Предоставление персональных данных- действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

1.9.Распространение персональных данных- действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

1.10.Блокирование персональных данных- временное прекращение обработки персональных данных (за исключением случаев, когда обработка необходима для уточнения персональных данных).

1.11.Уничтожение персональных данных- действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

1.12.Обезличивание персональных данных- действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

1.13. Субъект персональных данных (далее по тексту – «Субъект»)– определяемое или определенное физическое лицо, чьи персональные данные обрабатываются Оператором.

1.14.Запрос – требования Субъекта, касающиеся обработки персональных данных.

2. Предмет договора

2.1. Заключение настоящего договора рассматривается Сторонами как поручение Оператора другому лицу (Обработчику), предусмотренное частью 3 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». При этом Оператор поручает Обработчику осуществление следующих действий (операций) с персональными данными, совершаемых как с использованием средств автоматизации, так и без использования средств автоматизации: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, обезличивание, блокирование, удаление, уничтожение персональных данных – исключительно с целью выполнения обязательств, предусмотренных настоящим договором.

2.2. Содержание и перечень обрабатываемых персональных данных Субъектов, поручаемых на обработку Обработчику:

2.2.1. фамилия, имя, отчество благополучателя Оператора, в интересах которого открывается сбор средств (далее по тексту – «благополучатель»);

2.2.2. возраст благополучателя, дата рождения благополучателя;

2.2.3. состав семьи благополучателя;

2.2.4. место работы (учебы) благополучателя;

2.2.5. должность благополучателя;

2.2.6. иные сведения о частной жизни благополучателя, которые уполномоченные лица Оператора посчитают необходимым и обоснованным раскрыть неограниченному кругу лиц;

2.2.7. фотоизображения благополучателя;

2.2.8. данные о состоянии здоровья благополучателя – наименование заболевания (состояния), предпринятые попытки лечения, используемые методы диагностики и лечения и т.д.;

2.2.9. фамилия, имя, отчество жертвователя, перечисляющего денежные средства (пожертвования) на открытый Оператором сбор (далее по тексту – «жертвователь»);

2.2.10. телефон жертвователя;

2.2.11. адрес электронной почты жертвователя;

2.2.12. дата рождения жертвователя;

2.2.13. предпочтения и хобби жертвователя;

2.2.14. данные, предоставляемые сервисом «Яндекс.Метрика» - ClientID, всего визитов, первый источник трафика, последний источник трафика, первый визит (дата), последний визит (дата и время), достигнутая последняя цель и т.д.;

2.2.15. данные, предоставляемые сервисом «Google Analytics» - ClientID, всего визитов, первый источник трафика, последний источник трафика, первый визит (дата), последний визит (дата и время), достигнутая последняя цель и т.д.;

2.2.16. статистические данные о жертвователе – суммы пожертвований, количество пожертвований, первое и последнее пожертвование (их даты и суммы), сборы, на которые были направлены пожертвования);

2.2.17. географическое положение жертвователя при осуществлении им пожертвования (страна, регион, район, город);

2.2.18. пол жертвователя;

2.2.19. данные устройства жертвователя, определяемые по файлам cookie (платформа, операционная система, IP-адрес);

2.2.20. данные платежа – платежная система («mastercard», «МИР»), способ оплаты (выбранный вид интернет-эквайринга), периодический или разовый платеж, IDтранзакции и подписки;

2.2.21. данные статистики по рекламным активностям жертвователя;

2.2.22. фамилия, имя, отчество сотрудника Оператора, осуществляющего работу в рамках Онлайн-сервиса (далее по тексту – «сотрудник Оператора»);

2.2.23. адрес электронной почты сотрудника Оператора;

2.2.24. телефон сотрудника Оператора;

2.2.25. сведения о месте работы сотрудника Оператора, наименование занимаемой должности;

2.2.26. дата рождения сотрудника Оператора;

2.2.27. предпочтения и хобби сотрудника Оператора;

2.2.28. данные устройства сотрудника Оператора, определяемые по файлам cookie (платформа, операционная система, IP-адрес);

2.2.29. сведения сторонних cookie (размещенных с домена, отличающегося от страницы, которую посещает пользователь).

2.3.Порученные Обработчику персональные данные Субъектов по поручению Оператора могут передаваться на обработку третьим лицам с условием исключительной конфиденциальности для достижения целей предоставления Субъекту отдельных Сервисов, что также включает обеспечение работы Онлайн-сервиса.

К таким третьим лицам могут относиться:

2.3.1. Партнеры, предоставляющие Обработчику услуги, поставщики информационных сервисов (уведомления, интеграции, реклама).

2.3.2. Лица, предоставляющие информацию для выявления угроз безопасности для Онлайн-сервиса, пользователей и/или третьих лиц, в том числе при проверке благонадежности Субъекта в рамках заключения договоров с использованием Онлайн-сервиса.

2.3.3. Лица, участвующим в организация приема платежей Субъектов и проведении платежных операций с использованием Онлайн-сервиса (международные платежные системы, поставщики платежных инструментов, банки и иные финансовые организации и т.д.).

Обработчик не получает согласие Субъекта на обработку его персональных данных по поручению. Оператор персональных данных, без привлечения Обработчика, самостоятельно уведомляет Субъектов о факте обработки персональных данных Субъекта и получает согласие Субъекта на поручение обработки персональных данных Обработчику. Ответственность перед Субъектами, чьи персональные данные обрабатываются Обработчиком по поручению, несет Оператор персональных данных. Обработчик, в свою очередь, несет ответственность перед Оператором в рамках поручения.

Обработчик вправе в течение всего срока действия настоящего Договора запрашивать у Оператора документальное подтверждение согласия Субъектов на поручение обработки персональных данных.

3. Цели обработки

3.1. Обработка персональных данных благополучателей, жертвователей и сотрудников Оператора по поручению Оператора, производится Обработчиком в целях:

3.1.1. обработки, необходимой для исполнения условий Договора и обеспечения работы Онлайн-сервиса;

3.1.2. предоставления услуг с использованием Онлайн-сервиса и для выполнения своих обязательств перед ними, в т.ч. уточнения данных платежа, обработки запросов и дальнейшего совершенствования Онлайн-сервиса, разработки новых сервисов и услуг;

3.1.3. направления запросов, касающихся использования Онлайн-сервиса, обратной связи с Оператором или Субъектом;

3.1.4. выполнения маркетинговых задач, проведения статистических и иных исследований на основе обезличенных данных, отражения достоверной информации в кадровых и финансовых документах Сторон.

4. Обработчик обязуется:

4.1.Самостоятельно обрабатывать персональные данные по поручению, либо поручить обработку персональных данных Субъекта, если для исполнения обязательств перед Субъектом используется один из сервисов, которые предоставляются третьими лицами - партнерами Обработчика, а также если в рамках заключенных договоров Субъектом или третьими лицами (в том числе, но не ограничиваясь, с деловыми партнерами, субподрядчиками для оказаниятехнических, платежныхи иных услуг,провайдерами аналитики, провайдерами поисковых данных,смс-интеграторами) Обработчик может получать информацию о Субъекте, а также поручать обработку персональных данных Субъекта.

4.2.В соответствии с частью 3 статьи 6 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», Обработчик вправе поручить обработку персональных данных другому лицу с согласия Субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора или в интересах оказания ему услуг.

4.3.Соблюдать принципы и правила обработки персональных данных, предусмотренные главой 2 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».

4.4.Осуществлять обработку персональных данных в соответствии с целями, определенными Сторонами в разделе 3 настоящего договора.

4.5.Осуществлять хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.

4.6.Соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также соблюдать требования к защите обрабатываемых персональных данных, предусмотренные главой 4, статьями 18.1 и 19 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».

4.7.Представлять Оператору по его требованию информацию о ходе исполнения поручения.

4.8.В случае получения отзыва Субъекта или при прекращении действия Лицензионного договора или настоящего Договора, без промедления прекратить обработку персональных данных субъектов персональных данных.

5. Оператор заверяет:

5.1. Персональные данные получены законными способами, цели сбора персональных данных совместимы с целями, указанными в Договоре;

5.2. Субъекты дали согласие на обработку;

5.3. Обработчик не обязан получать отдельное согласие Субъектов на обработку;

5.4. Оператор своевременно уведомит Обработчика об отзыве Субъектом согласия на обработку или достижении цели обработки в отношении определенного Субъекта персональных данных.

6. Порядок исполнения поручения

6.1. Если Субъект обратился к Обработчику с запросом на получение информации, касающейся обработки его персональных данных, Обработчик информирует об этом Оператора и действует в соответствии с требованиями законодательства РФ.

6.2. Обработчик обязуется представлять Оператору по его требованию информацию о ходе исполнения поручения.

6.3. Обработчик обрабатывает персональные данные на основе следующих принципов:

6.3.1. законная и справедливая основа обработки;

6.3.2. обработка в соответствии с конкретными, заранее определенными и законными целями;

6.3.3. недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

6.3.4. соответствие содержания и объема персональных данных заявленным целям обработки;

6.3.5. точность, достаточность, актуальность и достоверность персональных данных;

6.3.6. законность технических мер, направленных на обработку;

6.3.7. разумность и целесообразность обработки;

6.3.8. хранение персональных данных не дольше, чем этого требуют цели обработки, если срок хранения не установлен законом, договором;

6.3.9. уничтожение или обезличивание персональных данных по достижении целей обработки или в случае утраты необходимости в их достижении, если иное не предусмотрено законом.

6.4. Обработчик обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории Российской Федерации.

6.5. Обработчик обязан по запросу Оператора в течение срока действия поручения, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение требований закона и поручения.

7. Территория действия настоящего договора

Настоящий Договор действует на всей территории Российской Федерации.

8. Срок действия настоящего договора

8.1. Настоящий Договор действует с момента его акцепта Оператором.

8.2. В случае нарушения Оператором условий Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» или настоящего Договора, Обработчик вправе в одностороннем порядке расторгнуть Договор и/или незамедлительно блокировать доступ к Личному кабинету на Онлайн-сервисе без предварительного уведомления Оператора.

8.3. Обработчик имеет право на одностороннее внесение изменений в условия настоящего Договора путем публикации актуальной редакции на Сайте.

9. Меры по соблюдению требований законодательства

9.1. Обработчик обеспечивает реализацию правовых, организационных и технических мер, необходимых и достаточных для обеспечения защиты персональных данных:

Название группы мер	Содержание группы мер
Правовые меры	разработка локальных документов, реализующих требования законодательства РФ; отказ от любых способов обработки, не соответствующих целям, указанным в Договоре.
Организационныемеры	назначение лица, ответственного за организацию обработки; ограничение состава работников, имеющих доступ к персональным данным, и организацию разрешительной системы доступа к ним; инструктаж и ознакомление работников, осуществляющих обработку, с положениями законодательства РФ о персональных данных, в том числе с требованиями к защите персональных данных, с локальными актами, регламентирующими порядок работы и защиты персональных данных; периодическая оценка рисков, касающихся процесса обработки; проведение периодических проверок в целях осуществления внутреннего контроля соответствия обработки требованиям законодательства РФ.
Технические меры	предотвращение, в том числе путем проведение внутренних расследований, несанкционированного доступа к системам, в которых хранятся персональные данные; резервирование и восстановление персональных данных, работоспособности технических средств и программного обеспечения, средств защиты информации в информационных системах персональных данных; иные необходимые меры безопасности.

9.2. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав Субъектов, Обработчик обязан с момента выявления такого инцидента уведомить Оператора:

В течение 12 часов

о произошедшем инциденте, включая перечень персональных данных, категории Субъектов, количество Субъектов, затронутых инцидентом;
о предполагаемых причинах, повлекших нарушение прав Субъектов;
о предполагаемом вреде, нанесенном правам Субъектов;
о принятых мерах по устранению последствий соответствующего инцидента;
о лице, уполномоченном Обработчиком на реагирование и расследованию инцидента.

В течение 48 часов

о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

10. Уничтожение персональных данных

10.1. Обработчик по запросу Оператора должен уничтожить определенные Оператором или все персональные данные, которые были поручены ему на обработку, в течение 15 (пятнадцати) дней с момента получения запроса, если обработка их не требуется согласно законодательству Российской Федерации.

10.2. Оператор вправе в течение всего срока действия поручения запрашивать у Обработчика копии документов, а также документов, содержащих записи событий в информационных системах персональных данных Обработчика, подтверждающих уничтожение персональных данных, переданных ему на обработку.

10.3. Обработчик предоставляет Оператору копии документов в течение 5 (пяти) рабочих дней с даты получения соответствующего запроса Оператора.

10.4. В случае отсутствия возможности уничтожения персональных данных в течение 15 (пятнадцати) дней с момента поступления запроса от Оператора Обработчик:

10.4.1. осуществляет блокирование таких персональных данных и

10.4.2. обеспечивает уничтожение персональных данных в срок, не превышающий 6 (шести) месяцев.

10.5. О факте блокирования Обработчик сообщает Оператору в течение 15 (пятнадцати) дней с момента поступления запроса от Оператора.

10.6. В случае невозможности уничтожить персональные данные по запросу Оператора в связи с необходимостью их обработки, связанной с исполнением требований законодательства Российской Федерации, Обработчик направляет мотивированное обоснование о невозможности уничтожения или блокировки персональных данных Оператору в течение 15 (пятнадцати) дней с момента поступления запроса от Оператора.

11. Конфиденциальность и защита данных

11.1. Стороны обязуются соблюдать режим конфиденциальности в отношении персональных данных, ставших им известными при исполнении Договора, в течение срока действия Договора.

11.2. Персональные данные подлежат уничтожению (обезличиванию) по достижении целей обработки.

11.3. Обработчик обеспечивает безопасность персональных данных посредством:

11.3.1. определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

11.3.2. применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке;

11.3.3. оценки эффективности принимаемых мер по обеспечению безопасности персональных данных;

11.3.4. обнаружения фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий атак;

11.3.5. восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

11.3.6. установления правил доступа к персональным данным;

11.3.7. контроля за принимаемыми мерами по обеспечению безопасности персональных данных.

11.4. Обработчик определяет тип угроз и осуществляет выбор средств защиты в соответствии с законодательством РФ.

11.5. Обработчик обязуется раскрывать информацию о персональных данных своим работникам и иным лицам, вовлеченным в обработку, только в тех пределах, которые необходимы для достижения целей, определенных в поручении.

12. Ответственность

12.1. Стороны настоящего Договора несут ответственность в соответствии с законодательством Российской Федерации.

12.2. Обработчик не несет ответственности за обеспечение достоверности, полноты, точности и актуальности персональных данных. Все полученные Обработчиком персональные данные обрабатываются в том виде, как они были получены.

12.3. Обработчик не несет ответственности за несоблюдение Оператором организационных и иных мер, приведшее к неправомерному или случайному доступу к персональным данным лиц, не уполномоченных Оператором на обработку персональных данных, а также повлекшее их уничтожение, изменение, блокирование, копирование или распространение, а также иные неправомерные действия со стороны работников Оператора и/или третьих лиц.

13. Прочие условия

13.1. Принимая условия настоящего Договора, Оператор дает согласие на получение дополнительной информации и информационных рассылок от имени Обработчика по указанному при заполнении заявки на подключение к Онлайн-сервису электронному адресу.

13.2.Принимая условия настоящего Договора, Оператор подтверждает наличие у него законных оснований для обработки с использованием Онлайн-сервиса принадлежащей ему информации.

14. Сведения об Обработчике

Общество с ограниченной ответственностью «Редермио» (ООО «Редермио»)

ОГРН 1197746589391

ИНН 7736324423

КПП 773601001

Юридический и почтовый адреса: 119311, город Москва, ул Строителей, д. 4 к. 1

Расчетный счет: 40702810138000232336

Корреспондентский счёт: 30101810400000000225

БИК банка: 044525225

Банк: ПАО Сбербанк

Генеральный директор Письменный М. С.