Соглашение об обработке персональных данных (DPA)

1. Термины и определения

• Оператор — Клиент (Пользователь — юридическое лицо или ИП), который передает персональные данные своих сотрудников для обработки с помощью Сервиса StaffUp.
• Обработчик — ИП Терзи Д. Д. (StaffUp), который осуществляет обработку персональных данных по поручению Оператора.
• Субъект персональных данных — сотрудник Оператора, чьи данные обрабатываются.
• Персональные данные — любая информация, относящаяся к прямо или косвенно определенному физическому лицу (сотруднику Оператора).

2. Предмет соглашения

2.1. Оператор поручает, а Обработчик принимает на себя обязательства по обработке персональных данных сотрудников Оператора в целях предоставления доступа к Сервису StaffUp.

2.2. Перечень персональных данных, передаваемых на обработку:

• Фамилия, имя, отчество (при наличии);
• Адрес электронной почты;
• Номер контактного телефона;
• Должность;
• Фотографии и видеоматериалы, загружаемые при прохождении чек-листов;
• Данные об устройстве (IP-адрес, модель устройства).

3. Цели обработки

Обработка персональных данных осуществляется исключительно в следующих целях:

• Регистрация и ведение учетных записей сотрудников Оператора в Сервисе StaffUp;
• Предоставление доступа к функциям сервиса (чеки-листы, тесты, график);
• Идентификация сотрудников при входе в систему;
• Отправка уведомлений о назначенных задачах и дедлайнах;
• Техническая поддержка и улучшение работы сервиса.

4. Обязанности Обработчика

Обработчик обязуется:

• Обрабатывать персональные данные только в соответствии с настоящим DPA и документацией Оператора;
• Соблюдать конфиденциальность персональных данных и не раскрывать их третьим лицам без письменного разрешения Оператора;
• Принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного доступа, уничтожения, изменения, блокирования, копирования;
• Обеспечить хранение персональных данных на серверах, расположенных на территории Российской Федерации (провайдер TimeWeb);
• Уведомлять Оператора о любых инцидентах, связанных с утечкой персональных данных, в течение 24 часов с момента обнаружения;
• Предоставлять по запросу Оператора информацию о ходе обработки персональных данных;
• По окончании оказания услуг удалить персональные данные (если иное не предусмотрено законодательством).

5. Обязанности Оператора

Оператор обязуется:

• Иметь законные основания для передачи персональных данных сотрудников Обработчику (включая получение их согласий);
• Предоставлять Обработчику только те персональные данные, которые необходимы для оказания услуг;
• Уведомлять Обработчика об изменениях в порядке обработки персональных данных;
• Нести ответственность перед субъектами персональных данных за законность их обработки.

6. Субпроцессоры

6.1. Обработчик вправе привлекать субпроцессоров (третьих лиц) для обеспечения работы Сервиса. Перечень субпроцессоров:

• ООО «ТаймВеб» — хостинг-провайдер (серверы расположены на территории РФ);
• ООО «Яндекс.Облако» — хранение файлов (фотографии, видео), только если Оператор использует эту опцию.

6.2. Обработчик обязан заключать с субпроцессорами соглашения о конфиденциальности и обеспечивать соблюдение требований настоящего DPA.

7. Меры безопасности

Обработчик принимает следующие меры для защиты персональных данных:

• Шифрование данных при передаче (TLS/SSL);
• Хранение паролей в зашифрованном виде (bcrypt);
• Регулярное резервное копирование;
• Ограничение доступа к данным сотрудниками Обработчика (по принципу необходимости);
• Регулярное обновление программного обеспечения;
• Мониторинг и логирование доступа к системам.

8. Права субъектов персональных данных

8.1. Субъекты персональных данных вправе обращаться к Оператору за реализацией своих прав (доступ к данным, исправление, удаление, отзыв согласия).

8.2. В случае получения запроса от субъекта данных, Обработчик перенаправляет его Оператору и оказывает содействие в его рассмотрении.

9. Уведомления об инцидентах

9.1. В случае обнаружения инцидента, связанного с утечкой персональных данных, Обработчик обязан:

• Немедленно принять меры по устранению последствий инцидента;
• Уведомить Оператора в течение 24 часов с момента обнаружения;
• Предоставить подробный отчет о причинах и последствиях инцидента в течение 3 дней.

10. Сроки хранения и удаление данных

10.1. Персональные данные обрабатываются в течение срока действия Договора-оферты (пока учетная запись Оператора активна).

10.2. После расторжения договора Обработчик удаляет персональные данные в течение 30 (тридцати) дней, если иное не предусмотрено законодательством (например, для налогового учёта).

10.3. По письменному запросу Оператора Обработчик предоставляет подтверждение удаления данных.

11. Аудит и проверки

11.1. Оператор вправе не чаще одного раза в год запросить документальное подтверждение соблюдения Обработчиком требований настоящего DPA.

11.2. В случае выявления нарушений, Обработчик обязуется устранить их в течение 30 (тридцати) дней.

12. Ответственность

12.1. Обработчик несет ответственность перед Оператором за убытки, причиненные неправомерной обработкой персональных данных.

12.2. В случае нарушения требований настоящего DPA, Обработчик уплачивает штраф в размере 10 000 (десять тысяч) рублей за каждый выявленный факт нарушения (но не более суммы, равной годовой стоимости доступа к Сервису).

12.3. Оператор несет ответственность перед субъектами данных за законность сбора и предоставления данных Обработчику.

13. Форс-мажор

Стороны освобождаются от ответственности за неисполнение обязательств в случае наступления обстоятельств непреодолимой силы (стихийные бедствия, военные действия, решения органов власти, сбои в работе глобальных сетей).

14. Срок действия DPA

14.1. Настоящее DPA вступает в силу с момента акцепта Оператором Договора-оферты (регистрации в Сервисе) и действует до момента удаления учетной записи Оператора.

14.2. Обработчик вправе изменять условия DPA в одностороннем порядке с уведомлением Оператора за 14 (четырнадцать) календарных дней путем публикации новой версии по адресу: StaffUp.ru/legal/dpa.

15. Контактная информация