Поручение на обработку персональных данных


  1. Термины и определения:

Программный продукт – программа для ЭВМ «Система управления рабочим временем timebook» (№ 5473 от 24.06.2019 в Едином реестре российских программ для ЭВМ и БД), предназначенная для работы с отметками Учетных единиц, выполненными с помощью АПК/АПК-terminal, мобильного приложения timebook. Использование Программного продукта осуществляется посредством облачной инфраструктуры.

Лицензиат – юридическое лицо, индивидуальный предприниматель, заключившее(ий) с ООО «Таймбук» лицензионный договор, предоставляющий право на использование Программного продукта на условиях простой (неисключительной) лицензии.

Учетная единица – физическое лицо, сведения о котором занесены Лицензиатом в Программный продукт. 

Лицензиар — ООО “Таймбук”, ИНН 5259103676, адрес: 603022, г. Нижний Новгород, ул. Тимирязева, д. 35, пом. 11.3.

  1. Лицензиат поручает Лицензиару осуществлять обработку персональных данных (далее – ПДн) Учетных единиц в целях предоставления доступа и возможности использования функционала Программного продукта.

  2. Перечень ПДн Учетных единиц, обработка которых поручается Лицензиару:

Обязательные: фамилия, имя, отчество; дата приема на работу; наименование организации, объекта, в котором выполняется работа; должность;

Факультативные (заполняются с учетом используемого функционала программы и характера осуществляемой деятельности): пол; дата рождения; номер телефона; адрес электронной почты; СНИЛС; ИНН, гражданство; данные документа, удостоверяющего личность; табельный номер; стаж работы, сведения о кадровых перемещениях в рамках организации; сведения о документах, являющихся основанием для осуществления деятельности сотрудника (трудовые/гражданско-правовые договоры, лицензии, удостоверения, разрешения на работу и т.д.); данные документов, подтверждающих отсутствие на рабочем месте (приказов о предоставлении отпусков, листков о временной нетрудоспособности и др.); сведения о геолокации в рабочее время (в том числе во время начала/окончания рабочего времени); адрес места жительства; адрес регистрации; сведения о состоянии здоровья (наличие инвалидности, сертификат о вакцинации, данные личной медицинской книжки, сведения о прохождении обязательного медицинского осмотра, психиатрического освидетельствования); фотография.

Состав ПДн, обрабатываемых Лицензиаром по поручению Лицензиата, определяется Лицензиатом исходя из перечня ПДн, указанного в настоящем пункте Поручения, путем внесения данных в Программный продукт.

  1. Лицензиат поручает Лицензиару осуществлять следующие действия, совершаемые с использованием средств автоматизации или без использования таких средств, с ПДн Учетных единиц: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, уничтожение.

При этом Лицензиат поручает осуществлять передачу (предоставление, доступ) ПДн Учетных единиц — лицам, привлекаемым Лицензиаром для оказания технической поддержки, сопровождения, адаптации, доработки Программного продукта, в случае если их осуществление невозможно без передачи ПДн Учетных единиц (передача осуществляется в пределах, необходимых для решения конкретных вопросов технической поддержки, сопровождения, адаптации, доработки Программного продукта).

  1. Лицензиат гарантирует:

5.1. ПДн Учетных единиц получены законными способами;

5.2. настоящее поручение дано с письменного согласия Учетных единиц.

  1. Лицензиат обязуется своевременно информировать Лицензиара об отзыве Учетной единицей согласия на обработку ПДн, истечении срока согласия на обработку ПДн и иных обстоятельствах, свидетельствующих об отсутствии правовых оснований для обработки ПДн Учетных единиц.

  2. Лицензиар обязуется:

7.1. обрабатывать ПДн Учетных единиц в соответствии с настоящим поручением, законодательством и иными нормативными правовыми актами Российской Федерации;

7.2.   соблюдать конфиденциальность и требования, предусмотренные частью 5 статьи 18 и статьей 18.1 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» (далее – ФЗ № 152-ФЗ), обеспечить безопасность ПДн при их обработке;

7.3. заблокировать либо уничтожить обрабатываемые ПДн Учетных единиц по требованию Лицензиата;

7.4.   обеспечить принятие необходимых правовых, организационных и технических мер или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн, установленных статьей 19 ФЗ № 152-ФЗ, в том числе обеспечить применение следующих мер:

7.4.1. определение угроз безопасности ПДн при их обработке в информационных системах ПДн;

7.4.2. применение организационных и технических мер по обеспечению безопасности ПДн в соответствии с нормативными и методическими документами, устанавливающими требования к системе защиты информации, для обеспечения уровня защищенности ПДн не ниже 3-го;

7.4.3. оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию информационной системы ПДн;

7.4.4. учет машинных носителей ПДн;

7.4.5. обнаружение фактов несанкционированного доступа к ПДн и принятие мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы ПДн и по реагированию на компьютерные инциденты в них;

7.4.6. восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

7.4.7. установление правил доступа к ПДн, обрабатываемым в информационной системе ПДн, а также обеспечение регистрации и учета всех действий, совершаемых с ПДн в информационной системе ПДн;

7.4.8. контроль за принимаемыми мерами по обеспечению безопасности ПДн;

7.5. не разглашать ПДн Учетных единиц никому, кроме следующих лиц:

7.5.1. сотрудников Сторон, которые напрямую связаны с обработкой ПДн;

7.5.2. субъектов ПДн — Учетных единиц или их законных представителей, которые хотят получать информацию, касающуюся своих ПДн;

7.5.3. уполномоченных органов по защите прав субъектов ПДн, органов дознания и следствия, иных уполномоченных органов по основаниям, предусмотренным действующим законодательством Российской Федерации;

7.5.4. лиц, указанных в пункте 4 настоящего поручения;

7.5.5. иных лиц по письменной заявке Лицензиата. При этом ответственность за законность предоставление такого доступа и за действия лиц, которым был предоставлен доступ, несет Лицензиат. Заявка должна содержать наименование лица, его адрес и контактные данные, а также перечень действий (операций) с ПДн. Прекращение указанного доступа также осуществляется по письменной заявке Лицензиата. Ответственность за своевременность оповещений (направления заявок) о предоставлении и прекращении доступов к ПДн, лежит на Лицензиате;

7.6. обеспечить соблюдение лицами, привлекаемыми Лицензиаром для оказания технической поддержки Программного продукта и получающими доступ к ПДн (допущенными к обработке ПДн), таких же обязательств по обеспечению конфиденциальности, какие лежат на Лицензиаре;

7.7. не осуществлять трансграничную передачу ПДн Учетных единиц. ПДн хранятся в ЦОД ООО «Селектел» (ИНН 7842393933, 196084 г. Санкт-Петербург, ул. Коли Томчака, д. 28, лит. К, помещение № 28, стойка 4.2.11);

7.8. в случае обращения к Лицензиару субъекта ПДн (Учетной единицы) с запросом, основанным на ст. 14 ФЗ № 152-ФЗ, либо в случае получения запроса от уполномоченных органов по защите прав субъектов ПДн или иных уполномоченных органов, письменно информировать об этом Лицензиата;

7.9. в течение 12 часов письменно уведомить Лицензиата об установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн,, повлекшей нарушение прав субъектов ПДн, о любой утечке ПДн и/или ином инциденте, который объективно может привести к распространению и/или разглашению ПДн полностью или в части, и предпринять все возможные действия, чтобы избежать дальнейшего разглашения ПДн;

7.10. удалить ПДн из Программного продукта по истечении 3 (Трех) месяцев с даты прекращения действия Договора.

  1. Если Лицензиар обязан в силу закона раскрыть ПДн третьей стороне, он раскрывает эту информацию только этой стороне и только в той степени, насколько этого требует закон.

  2. Лицензиат имеет право в любой момент проверить соблюдение Лицензиаром требований действующего законодательства РФ о персональных данных в рамках исполнения Договора. Лицензиар обязуется в той степени и таким образом, чтобы это не нарушало права субъектов ПДн (Учетных единиц), предоставить по запросу Лицензиата в течение не более 5 (Пяти) рабочих дней необходимые документы и иную информацию, подтверждающую принятие мер и соблюдение в целях исполнения поручения требований, установленных ФЗ № 152-ФЗ.

  3. Настоящее поручение действительно до даты полного исполнения Сторонами обязательств по лицензионному договору, предоставляющему право на использование Программного продукта на условиях простой (неисключительной) лицензии.