Модуль «Персональные данные»
Утвержден Приказом АО «СберТех» № 21 от 01.02.2024
Настоящий Модуль регламентирует порядок Обмена ПДн, а также определяет порядок обработки ПДн силами СберТех в рамках поручения Клиента.
1. Порядок Обмена ПДн.
1.1. Обмен ПДн осуществляется в целях, указанных в настоящем разделе. В рамках Обмена ПДн каждая из сторон может выступать как передающая персональные данные сторона (Передающая сторона) и как получающая персональные данные сторона (Получающая сторона). При этом каждая из сторон признает, что является самостоятельно действующим оператором в отношении персональных данных, полученных от Передающей стороны в рамках Обмена ПДн.
1.2. Стороны установили следующие цели передачи персональных данных, перечень субъектов персональных данных, а также перечень персональных данных, в отношении которых осуществляется Обмен ПДн:
1.2.1. Персональные данные, передаваемые Клиентом в адрес СберТех:
| Цель передачи персональных данных | Категории субъектов персональных данных | Перечень передаваемых персональных данных |
| Подтверждение полномочий представителей сторон | Работники Клиента, уполномоченные представители Клиента | имя; фамилия; отчество; должность; адрес рабочей электронной почты; номер телефона; наименование организации-работодателя; реквизиты (номер, дата изготовления) и содержание доверенности; реквизиты документа, удостоверяющего личность (серия и номер документа, дата выдачи документа, наименование органа, выдавшего документ, код подразделения) |
| Обмен сторонами Сообщениями в рамках исполнения Договора | Работники Клиента, уполномоченные представители Клиента | имя; фамилия; отчество; должность; адрес рабочей электронной почты; идентификатор в Учетной системе; наименование организации-работодателя; дата и время отправки Сообщения |
| Обмен сторонами электронными документами в рамках электронного документооборота | Работники Клиента, уполномоченные представители Клиента | имя; фамилия; отчество; должность; СНИЛС; наименование организации-работодателя; дата и время подписания электронного документа; дата и время отправки электронного документа |
| Оказание услуг Сервисной поддержки | Работники Клиента, уполномоченные представители Клиента | имя; фамилия; отчество; идентификатор в Учетной системе; идентификатор в Сервисе; адрес электронной почты; номер телефона |
| Продвижение программных продуктов и услуг облачных вычислений организаций- партнеров СберТех | Работники Клиента, уполномоченные представители Клиента | имя; фамилия; отчество; должность; адрес рабочей электронной почты; номер телефона; наименование организации-работодателя |
1.2.2. Персональные данные, передаваемые СберТех в адрес Клиента:
| Цель передачи персональных данных | Категории субъектов персональных данных | Перечень передаваемых персональных данных |
| Подтверждение полномочий представителей сторон | Работники СберТех, уполномоченные представители СберТех | имя; фамилия; отчество; должность; адрес рабочей электронной почты; номер телефона; наименование организации-работодателя; реквизиты (номер, дата изготовления) и содержание доверенности; реквизиты документа, удостоверяющего личность (серия и номер документа, дата выдачи документа, наименование органа, выдавшего документ, код подразделения) |
| Обмен сторонами Сообщениями в рамках исполнения Договора | Работники СберТех, уполномоченные представители СберТех | имя; фамилия; отчество; должность; адрес рабочей электронной почты; идентификатор в Учетной системе, Сервисе; наименование организации-работодателя; дата и время отправки Сообщения |
| Обмен сторонами электронными документами в рамках электронного документооборота | Работники СберТех, уполномоченные представители СберТех | имя; фамилия; отчество; должность; СНИЛС; наименование организации-работодателя; дата и время подписания электронного документа; дата и время отправки электронного документа |
1.3. Стороны, согласно ст. 431.2 Гражданского Кодекса РФ, заверяют друг друга и гарантируют:
1.3.1. наличие правовых оснований для передачи персональных данных Получающей стороне, а также для последующей обработки Получающей стороной переданных персональных данных в соответствии с требованиями применимого законодательства (с учетом возможности передачи персональных данных третьим лицам в соответствии с настоящим Модулем);
1.3.2. надлежащее уведомление субъектов персональных данных о передаче их персональных данных (по смыслу п. 1 ч. 4 ст. 18 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»);
1.3.3. осуществление обработки персональных данных исключительно для достижения одной, нескольких или всех целей, определенных в настоящем разделе выше.
1.4. Получающая сторона вправе совершать действия (операции) с персональными данными способами, предусмотренными применимым законодательством, и в объеме, необходимом для достижения целей передачи персональных данных, установленных в настоящем разделе выше.
1.5. Получающая сторона обязуется прекратить и / или обеспечить прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Получающей стороны) обработки персональных данных, полученных от Передающей стороны, по достижении целей обработки персональных данных, в случае отзыва согласия субъектом персональных данных (если согласие является единственным правовым основанием обработки персональных данных) и невозможности обеспечения правомерности обработки персональных данных, если иное не предусмотрено применимым законодательством.
1.6. Стороны, согласно ст. 431.2 Гражданского Кодекса РФ, заверяют друг друга и гарантируют обеспечение конфиденциальности и безопасности передаваемых друг другу персональных данных при их обработке в соответствии с требованиями законодательства в области обработки и защиты персональных данных. Стороны обязуются принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами, применяемыми к защите персональных данных, для поддержания соответствующего уровня защищенности персональных данных, в зависимости от типа актуальных угроз безопасности персональных данных. В случае несоответствия действительности указанных в настоящем разделе заверений и гарантий Получающая сторона вправе немедленно отказаться от получения персональных данных от Передающей стороны и прекратить обработку ранее полученных от Передающей стороны персональных данных, в том числе уничтожить (удалить) такие персональные данные.
1.7. Если иное не предусмотрено отдельным соглашением Сторон, Обмен ПДн осуществляется:
1.7.1. по электронным каналам связи с принятием мер, исключающих несанкционированный доступ к передаваемым персональным данным (в том числе с использованием шифрования);
1.7.2. на материальных носителях (бумажных и машинных носителях информации):
1) почтой – в соответствие с правилами оказания услуг почтовой связи, установленными уполномоченным органом государственной власти;
2) курьером – в закрытом виде, без возможности просмотра (доступа) содержимого по акту приема-передачи (накладной), с принятием мер контроля несанкционированного вскрытия (если применимо к упаковке).
1.8. В предусмотренных настоящим разделом целях Получающая сторона имеет право привлекать третьих лиц к обработке персональных данных, полученных от Передающей стороны, путем поручения третьим лицам обработки указанных персональных данных, а также передавать персональные данные третьим лицам без поручения обработки персональных данных. Привлечение третьих лиц к обработке персональных данных и передача персональных данных третьим лицам может осуществляться только при наличии соответствующих правовых оснований и при наличии договора, обязывающего соответствующее третье лицо обеспечивать конфиденциальность и безопасность персональных данных при их обработке.
Перечень третьих лиц, которым СберТех вправе передавать персональные данные, полученные в рамках Обмена ПДн, включает в себя:
| Наименование | ИНН | Адрес |
| ПАО Сбербанк | 7707083893 | 117312, г. Москва, ул. Вавилова, д.19 |
| ООО «Облачные технологии» | 7736279160 | 117312, город Москва, ул. Вавилова, д. 23 стр. 1, ком. n1.207 |
| ООО «Сбер Бизнес Софт» | 7730269550 | 121170, город Москва, Кутузовский пр-кт, д. 32 к. 1, помещ. 7.с.18 |
1.9. Стороны соглашаются добросовестно сотрудничать и оказывать необходимое разумное содействие друг другу при рассмотрении и урегулировании запросов (жалоб, требований, предписаний, претензий, судебных исков и т. п.), полученных любой из сторон от субъектов персональных данных, представителей субъектов персональных данных, уполномоченных органов или иных лиц, касающихся персональных данных, переданных в рамках Обмена ПДн.
1.10. Сторона, не исполнившая или ненадлежащим образом исполнившая любое из обязательств в рамках Обмена ПДн, несет ответственность в размере документально подтвержденных убытков, причиненных другой стороне таким неисполнением или ненадлежащим исполнением и исключительно в размере удовлетворенных в соответствии с судебными актами требований и / или в размере взысканных административных и иных штрафов, а также судебных расходов.
2. Порядок обработки персональных данных в рамках поручения Клиента на обработку персональных данных.
2.1. Стороны при заключении и исполнении договора исходят из того, что СберТех не является оператором применительно к любым персональным данным, обрабатываемым им в рамках исполнения договора, кроме персональных данных, указанных в разделе 1 настоящего Модуля, и обрабатывает их в рамках исполнения нижеизложенного поручения на обработку персональных данных.
2.2. В рамках договора Клиент поручает СберТех при исполнении им своих обязательств обрабатывать следующий перечень персональных данных:
| Цель обработки персональных данных | Категории субъектов персональных данных | Перечень обрабатываемых персональных данных[1] |
| Оказание услуг Доступа | Работники Клиента, уполномоченные представители Клиента | Персональные данные, размещаемые Клиентом в Сервисе: фамилия, имя, отчество, должность, адрес электронной почты, номер телефона, роль (в случае использования в Сервисе ролевой модели) |
| Предоставление доступа в Учетную систему | Работники Клиента, уполномоченные представители Клиента | Персональные данные, размещаемые Учетной системе: имя; фамилия; отчество; идентификатор в Учетной системе; адрес электронной почты; номер телефона, роль (в случае использования в Учетной системе ролевой модели) |
2.3. При исполнении Поручения СберТех осуществляет автоматизированную обработку персональных данных с совершением следующих действий: запись, хранение, извлечение, передача (предоставление, доступ), блокирование, уничтожение.
2.4. В рамках Поручения передача персональных данных осуществляется в электронном виде по электронным каналам связи с принятием мер, исключающих несанкционированный доступ к передаваемым персональным данным (в том числе с использованием шифрования).
2.5. В рамках исполнения Поручения обработка персональных данных осуществляется с использованием баз данных, находящихся на территории Российской Федерации.
2.6. При исполнении Поручения СберТех обязуется не раскрывать персональные данные третьим лицам, за исключением случаев, предусмотренных применимым законодательством и условиями договора.
При исполнении Поручения в целях использования вычислительных мощностей сторонних центров обработки данных СберТех имеет право полностью или частично поручить обработку персональных данных следующим лицам:
| Наименование | ИНН | Адрес |
| ПАО Сбербанк | 7707083893 | 117312, г. Москва, ул. Вавилова, д.19 |
| ООО «Облачные технологии» | 7736279160 | 117312, город Москва, ул. Вавилова, д. 23 стр. 1, ком. n1.207 |
СберТех в полном объеме несет ответственность за действия (бездействие) лиц, привлекаемых им к обработке персональных данных.
2.7. В течение действия Поручения Клиент обязуется:
2.7.1. обеспечить соответствие целей обработки персональных данных, обрабатываемых в рамках Поручения, целям сбора персональных данных;
2.7.2. обеспечить наличие правовых оснований для обработки персональных данных и поручения обработки персональных данныхСберТех;
2.7.3. незамедлительно довести до СберТех информацию об утрате правовых оснований для обработки персональных данных (в т. ч. в случае отзыва субъектом персональных данных согласия на их обработку).
2.8. При исполнении Поручения СберТех гарантирует и обязуется:
2.8.1. соблюдать принципы Обработки персональных данных, установленные законодательством в области персональных данных;
2.8.2. обеспечивать конфиденциальность обрабатываемых персональных данных;
2.8.3. обеспечивать безопасность обрабатываемых персональных данных в соответствии с требованиями нормативных-правовых актов Российской Федерации, предъявляемыми к защите персональных данных, в зависимости от типов актуальных угроз безопасности персональных данных;
2.8.4. выполнять требования ч.5 ст.18, ст.18.1, ст.19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – «Закон 152-ФЗ») и соблюдать условия Поручения;
2.8.5. назначить ответственного за организацию обработки персональных данных;
2.8.6. ограничить обработку персональных данных достижением целей, определенных в настоящем Поручении, и не допускать обработку персональных данных, несовместимую с указанными в Поручении целями обработки персональных данных;
2.8.7. уничтожить персональных данных, обрабатываемые по Поручению, по запросу Клиента, а также по достижении целей, определенных в настоящем Поручении, или по истечении срока действия Поручения / его досрочного прекращения;
2.8.8. обеспечить обработку персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации;
2.8.9. не допускать объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
2.8.10. обеспечить наличие локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства, устранение последствий таких нарушений, разработанных до начала обработки персональных данных, а также обеспечить ознакомление с ними работников СберТех, которые будут иметь доступ к персональным данным;
2.8.11. предоставлять по запросу Клиента до начала обработки персональных данных по Поручению, а также по запросу Контаргента в течение срока действия Поручения, в течение 5 (пяти) рабочих дней с даты получения такого запроса, если иной срок не установлен в запросе, документы и информацию, подтверждающие принятие мер, направленных на обеспечение выполнения обязанностей, предусмотренных Поручением, Законом 152-ФЗ (включая, но не ограничиваясь, ч.5 ст.18 , ст.18.1, ст.19 Закона 152-ФЗ) и принятыми в соответствии с ним нормативными правовыми актами;
2.8.12. предоставлять по запросу Клиента в его распоряжение всю иную информацию, необходимую для подтверждения соблюдения требований законодательства;
2.8.13. содействовать Клиенту при осуществлении государственного контроля (надзора) за деятельностью Клиента по обработке персональных данных. При этом СберТех обеспечивает предоставление необходимой для осуществления контроля информации в срок, установленный соответствующим запросом Клиента или лица, уполномоченного на осуществление такого контроля (надзора);
2.8.14. вести учет действий (операций) по обработке персональных данных, осуществляемых в отношении персональных данныхКлиента. По требованию Клиента незамедлительно после получения соответствующего запроса предоставить Клиенту информацию о таких действиях (операциях);
2.8.15. уведомить Клиента в случае выявления СберТех факта неправомерной или случайной передачи (предоставления, доступа) персональных данных или выявления факта утечки персональных данных Клиента (инцидент по ПДн). Первоначальное уведомление направляется Клиенту не позднее 12 часов с момента выявления инцидента по ПДн. Первоначальное уведомление должно содержать о произошедшем инциденте по ПДн, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном на взаимодействие со СберТех, по вопросам, связанным с выявленным инцидентом по ПДн. Дополнительная информация об инциденте по ПДн, предоставляется Клиенту в максимально короткие сроки, но не позднее 24 часов с момента первоначального уведомления об инциденте по ПДн. Дополнительная информация должна содержать результаты внутреннего расследования выявленного инцидента по ПДн, а также сведения о лицах, действия которых стали причиной выявленного инцидента по ПДн (при наличии). СберТех незамедлительно принимает все необходимые меры для устранения угрозы безопасности, целостности и конфиденциальности персональных данных, минимизации ущерба, а также для предотвращения любых возможных негативных последствий для субъектов ПДн, Клиента или максимально возможного сокращения негативных воздействий. По требованию Клиента СберТех оказывает Клиенту необходимую поддержку по минимизации последствий инцидента по ПДн.
2.9. В случае обращения к СберТех субъекта персональных данных с запросом на получение информации, касающейся обработки его персональных данных, обрабатываемых СберТех по поручению Клиента, СберТех обязан незамедлительно информировать о полученном запросе Клиента.
2.10. Обязанность по предоставлению сведений по запросу субъекта персональных данных на получение информации, касающейся обработки его персональных данных в рамках настоящего Поручения, возлагается на Клиента.
2.11. СберТех содействует Клиенту в выполнении его обязанности реагировать на требования по реализации прав субъекта персональных данных, а также на требования уполномоченных органов, а также иных лиц, имеющих соответствующие полномочия.
2.12. Клиент, как оператор персональных данных, несет ответственность перед субъектом персональных данных за действия, осуществляемые СберТех при обработке персональных данных.
2.13. СберТех несет ответственность перед Клиентом за действия, производимые при обработке персональных данных, осуществляемой по поручению Клиента, в том числе за действия привлекаемых СберТех третьих лиц.
[1] Перечень обрабатываемых персональных данных может быть актуализирован исходя из характеристик Сервиса, указанных в договоре.