Соглашение об обработке данных
Это старая версия документа, которая прекратила свое действие 15.04.2024 г. Действующая версия размещена по адресу: https://yandex.ru/legal/cloud_dpa.
Настоящий документ (далее — «Соглашение») является неотъемлемой частью Договора на использование сервисов Платформы «Яндекс.Облако» (далее — «Договор»), заключаемого между Яндексом и Клиентом в терминологии Договора и документа, размещенного в сети «Интернет» по адресу: https://yandex.ru/legal/cloud_oferta, и устанавливает порядок обработки Яндексом персональных данных по поручению Клиента.
Все термины и определения, встречающиеся в тексте Соглашения, толкуются в соответствии с Договором, действующим законодательством Российской Федерации и сложившимися в сети Интернет обычными правилами толкования соответствующих терминов.
1. ПРЕДМЕТ СОГЛАШЕНИЯ
1.1. В случаях, когда при использовании Клиентом Платформы «Яндекс.Облако» и её Сервисов Клиент размещает на ресурсах Платформы персональные данные, в отношении которых Клиент выступает оператором, то Клиент, как оператор таких персональных данных, в соответствии с п. 3 ст. 6 Федерального закона от 27.07.2006 года № 152-ФЗ «О персональных данных», поручает Яндексу обработку таких персональных данных.
1.2. В отношении указанных в п.1.1 Соглашения Платформы «Яндекс.Облако» и Сервисов получено Заключение о соответствии защиты системы персональных данных требованиям законодательства о персональных данных, доступное по адресу https://storage.yandexcloud.net/yc-compliance/conformance_ru_pdp.pdf.
1.3. Соглашение является основанием обработки Яндексом персональных данных, осуществляемой по поручению Клиента.
1.4. Клиент гарантирует, что до передачи персональных данных Яндексу, он получит у субъектов персональных данных все необходимые в соответствии с законом согласия, требуемые для передачи персональных данных Яндексу для обработки по поручению Клиента.
1.5. Настоящее Соглашение действует в отношении любых персональных данных, которые Клиент размещает на ресурсах Платформы (клиентские данные).
2. ПРАВА И ОБЯЗАННОСТИ СТОРОН
2.1. Клиент обязуется выполнять требования Федерального закона №152-ФЗ «О персональных данных», в том числе:
2.1.1. Определить цели обработки персональных данных. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
2.1.2. Определить перечень, содержание и объем обрабатываемых персональных данных. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
2.1.3. Определить перечень действий (операций) с персональными данными, которые будут совершаться Яндексом.
2.1.4. При обработке персональных данных обеспечить точность персональных данных, их достаточность, а также актуальность по отношению к целям обработки персональных данных.
2.1.5. Хранить персональные данные в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если иное не определено условиями договора. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное определено условиями договора.
2.1.6. Установить требования к защите обрабатываемых персональных данных в соответствии со ст. 19 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», при этом данное обязательство распространяется исключительно на Клиента и не должно трактоваться, как установление определенных Клиентом Яндексу требований к защите обрабатываемых персональных данных.
2.1.7. С учетом указанного Яндексом уровня защищенности Платформы «Яндекс.Облако», самостоятельно оценивать возможность осуществления обработки определённых Клиентом персональных данных на ресурсах Платформы «Яндекс.Облако», равно как и возможность давать поручение Яндексу об обработке таких данных.
2.1.8. Опубликовать в информационно-телекоммуникационной сети, с использованием которой осуществляется сбор персональных данных документ, определяющий Политику оператора в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
2.1.9. Установить порядок сбора согласий субъектов персональных данных на обработку их персональных данных.
2.1.10. Самостоятельно отвечать на запросы контролирующих государственных органов, касающиеся обработки и защиты персональных данных.
2.1.11. По запросу уполномоченного органа по защите прав субъектов персональных данных, предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», допускающих обработку персональных данных без наличия согласия субъекта.
2.1.12. В случае отзыва субъектом персональных данных согласия на обработку персональных данных и отсутствия оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», допускающих обработку персональных данных без наличия согласия субъекта, направлять Яндексу запрос на удаление данных способом, описанным в документации к Платформе «Яндекс.Облако».
2.1.13. При поступлении запроса от субъекта персональных данных на предоставление сведений, указанных в части 7 статьи 14 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», либо требований субъекта об уточнении его персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, вносить в них необходимые изменения самостоятельно, способом, описанным в документации к Платформе «Яндекс.Облако».
2.1.14. Выполнять все необходимые требования к защите обрабатываемых персональных данных в рамках своей зоны ответственности согласно Заключению, указанному в п.1.2 Соглашения.
2.2. Яндекс обязуется:
2.2.1. Осуществлять обработку персональных данных по поручению Клиента на законной основе, в строгом соответствии с условиями Соглашения.
2.2.2. Соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке в порядке, предусмотренном п. 2.2.3 Соглашения.
2.2.3. Выполнять все необходимые требования к защите обрабатываемых персональных данных, установленные Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» и его подзаконными актами по отношению к определенному Яндексом уровню защищенности персональных данных при их обработке в информационных системах персональных данных, который позволяет обеспечить Платформа «Яндекс.Облако», в рамках своей зоны ответственности согласно Заключению, указанному в п.1.2 Соглашения.
2.2.4. В части, предусмотренной законодательством, обеспечивать применение мер, указанных в ст. 18.1 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных».
2.2.5. Осуществлять обработку персональных данных по поручению Клиента с использованием баз данных, расположенных на территории Российской Федерации. Указанное обязательство не применяется в случае выбора Клиентом для размещения своих данных инфраструктуры Яндекса (зоны доступности), расположенной за пределами Российской Федерации.
2.2.6. По запросу Клиента предоставить документы и иную информацию, подтверждающие принятие мер и соблюдение требований, предусмотренных п. 2.2.2. – 2.2.5. Соглашения.
3. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Клиент поручает обработку персональных данных Яндексу в целях хостинга информационных систем.
3.2 Состав обрабатываемых персональных данных определяется Клиентом и не контролируется Яндексом. Клиент самостоятельно несет ответственность за состав персональных данных.
3.3. Клиент уведомлен о том, что Платформа «Яндекс.Облако» позволяет обеспечить первый уровень защищенности персональных данных при их обработке в информационных системах персональных данных, с учетом следующего:
3.3.1. С использованием Платформы «Яндекс.Облако» могут обрабатываться персональные данные любой категории.
3.3.2. При проектировании Платформы «Яндекс.Облако» Яндекс выполнил все необходимые мероприятия для создания соответствующих инфраструктурных защитных механизмов, в том числе провел моделирование угроз информационной безопасности. В Платформе «Яндекс.Облако» признаны актуальными угрозы третьего типа, а угрозы первого и второго типа — не актуальны.
3.4. Перечень действий (операций) с персональными данными, которые поручается совершать Яндексу:
- Накопление персональных данных;
- Уточнение персональных данных;
- Передача персональных данных;
- Хранение персональных данных;
- Уничтожение, удаление персональных данных.
3.5. Уничтожение персональных данных, обрабатываемых Яндексом по поручению Клиента, может производиться Яндексом, только:
- по дополнительному запросу Клиентом, подаваемому средствами Платформы «Яндекс.Облако»;
- по требованию органов государственного регулирования по защите прав субъектов персональных данных, с обязательным уведомлением Клиента;
- при расторжении Договора или Соглашения;
- в иных случаях, когда это предусмотрено действующим законодательством.
3.6. В случаях, установленных в п. 3.5, Яндекс должен уничтожать обрабатываемые по поручению Клиента персональные данные гарантированными средствами, обеспечивающими невозможность восстановления содержания персональных данных в информационной системе персональных данных или на носителях, их содержащих.
3.7. Яндекс прекращает обработку персональных данных:
- в случае прекращения договорных отношений, являющихся основанием для обработки персональных данных;
- по дополнительному письменному поручению Клиента;
- по письменному предписанию органов государственного регулирования.
3.8. Клиент несет ответственность за предварительное копирование своих данных, хранящихся в Платформе «Яндекс.Облако» перед расторжением Договора или Соглашения.
3.9. Яндекс, в случае обнаружения подтвержденного факта несанкционированного доступа (третьих лиц), передачи (третьим лицам), распространения (третьим лицам) персональных данных, обрабатываемых Яндексом по поручению Клиента, если указанные события произошли в рамках зоны ответственности Яндекса согласно Заключению, указанному в п. 1.2 Соглашения, уведомляет об этом Клиента по адресу электронной почте, предоставленному Клиентом в соответствии с Договором, в течение 48 (сорока восьми) часов. При этом Яндекс предоставляет Клиенту необходимую и достаточную информацию и поддержку, связанную с таким событием, которые могут понадобиться Клиенту для выполнения его обязанностей в силу закона, а также для снижения негативных последствий, которые могут наступить в результате такого события. Уведомления и предоставление Яндексом Клиенту указанной информации и поддержки ни при каких обстоятельствах не будет трактоваться Сторонами, как признание или подтверждение ответственности Яндекса за несанкционированный доступ (третьих лиц), передачу (третьим лицам), распространение (третьим лицам) персональных данных, обрабатываемых Яндексом по поручению Клиента.
3.10. Яндекс, в случаях истребования или изъятия правоохранительными органами у Яндекса персональных данных, обрабатываемых Яндексом по поручению Клиента, уведомляет о таком факте Клиента по адресу электронной почты, предоставленному Клиентом в соответствии с Договором, в течение 48 (сорока восьми) часов, но только в том случае, когда такое уведомление разрешено законом.
4. ОТВЕТСТВЕННОСТЬ СТОРОН
4.1. Клиент, как оператор персональных данных, несет полную ответственность перед субъектом персональных данных за действия, осуществляемые Яндексом при обработке персональных данных субъекта по поручению Клиента.
4.2. Яндекс несет ответственность перед Клиентом, в пределах, установленных Договором, за действия в отношении обработки персональных данных субъектов по поручению Клиента, в том числе за действия (бездействие) своих работников, получивших доступ к обрабатываемым по поручению Клиента персональным данным, повлекшие разглашение таких персональных данных.
4.3. Клиент обязуется за свой счёт урегулировать любые претензии и споры (если иное не предусмотрено действующим законодательством), как внесудебные, досудебные, так и в судебном порядке, которые возникли по причине нарушения Клиентом обязательств и гарантий по Соглашению, с обязательным уведомлением Яндекса о ходе такого урегулирования и предварительным информированием Яндекса о предполагаемых шагах для урегулирования.
4.4. В соответствии со ст. 406.1. Гражданского кодекса Российской Федерации, Клиент обязуется по требованию Яндекса возместить имущественные потери, которые понесены или с неизбежностью будут понесены Яндексом в будущем в связи с наступлением следующих обстоятельств:
- предъявление Яндексу претензий, требований, исков третьими лицами, а также привлечения Яндекса к ответственности за нарушение установленного законом порядка обработки персональных данных (в том числе за неполучение согласия на такую обработку) в случае, если такие претензии вызваны или ответственность наступила ввиду несоблюдения Клиентом законодательства о персональных данных.
4.4.1. Стороны договорились, что размер возмещаемых потерь Яндекса при наступлении вышеуказанных обстоятельств признается равным:
- сумме штрафов, пеней, компенсаций и иных выплат в пользу любых третьих лиц, обязанность осуществить которые возникнет у Яндекса в случае наступления соответствующих обстоятельств (в том числе суммы убытков, которые могут быть взысканы с Яндекса или привлеченных им третьих лиц для исполнения своих обязательств по Договору) на основании решения суда, третейского суда или международного коммерческого арбитража (в том числе утвержденного указанными органами мирового соглашения), или решения компетентного государственного органа,
- сумме расходов на юридические и консультационные услуги, понесенных Яндексом для защиты своих прав и интересов в связи с наступлением обстоятельств, указанных в п. 4.4. Соглашения.
4.4.2. Стороны соглашаются и признают, что сумма и состав возмещаемых имущественных потерь Яндекса в каждом случае является достаточным, справедливым, взаимоприемлемым и соразмерным последствиям, от которых пострадал (или с неизбежностью пострадает) Яндекс в связи с наличием оснований для возмещения. Клиент обязуется возместить имущественные потери Яндекса в течение 10 (десяти) рабочих дней с момента предъявления Яндексом соответствующего требования и копий документов, подтверждающих наличие возмещаемых потерь.
4.5. В остальном Стороны несут ответственность за неисполнение или ненадлежащее исполнение своих обязательств по Соглашению в соответствии с действующим законодательством Российской Федерации.
5. ИНЫЕ УСЛОВИЯ
5.1. Действующая версия Соглашения размещена в сети Интернет по постоянному адресу: https://yandex.ru/legal/cloud_dpa.
5.2. Яндекс вправе в одностороннем порядке вносить изменения в Соглашение. В случае, если Клиент не согласен с новой версией Соглашения, он обязан прекратить размещать персональные данные на ресурсах Платформы.
Реквизиты Яндекса:
Полное наименование: Общество с ограниченной ответственностью «Яндекс.Облако»
Сокращенное наименование: ООО «Яндекс.Облако»
Адрес (место нахождения): 119021, г. Москва, ул. Льва Толстого, д. 16 пом. 528
ОГРН 1187746678580
ИНН 7704458262
Адрес размещения в сети «Интернет»: https://yandex.ru/legal/cloud_dpa
Дата размещения документа: 01 апреля 2019 года
Дата опубликования версии документа: 08 апреля 2024 г.
Дата вступления в силу документа: 08 апреля 2024 г.
До вступления в силу настоящей версии документа действует версия документа с последними по времени изменениями.
Предыдущая версия документа: https://yandex.ru/legal/cloud_dpa/17022023
Предыдущая версия документа: https://yandex.ru/legal/cloud_dpa/01092022
Предыдущая версия документа: https://yandex.ru/legal/cloud_dpa/04052020
Предыдущая версия документа: https://yandex.ru/legal/cloud_dpa/04052020
Предыдущая версия документа: https://yandex.ru/legal/cloud_dpa/31012020
Предыдущая версия документа: https://yandex.ru/legal/cloud_dpa/11112019
Предыдущая версия документа: https://yandex.ru/legal/cloud_dpa/25032019