Поручение на обработку персональных данных

от 01.06.2020

(в редакции от 20.02.2024)

Настоящее Поручение на обработку персональных данных (далее — Поручение) является неотъемлемой частью лицензионного соглашения с конечным пользователем (далее — Лицензионное соглашение) и применяется к программе для ЭВМ «1С-Битрикс24» (далее — Программа).

Настоящее Поручение применяется в отношении облачной версии Программы, а также при использовании функциональностей Программы в коробочной версии, список которых размещен по адресу https://www.1c-bitrix.kz/legal/limited_license_bitrix24.php (Дополнительные функциональности).

Если Вы не согласны с условиями Поручения, Вы не можете использовать Программу или Дополнительные функциональности.

Под акцептом в целях Поручения признается факт использования Программы/ Дополнительных функциональностей.


Термины и определения

Для целей настоящего Поручения применять термины в значении, указанном ниже:
(1) Оператор — Администратор портала, Пользователь или лицо, уполномоченное Лицензиатом и действующее от его имени, которое организует и осуществляет обработку персональных данных и определяет: цели обработки и состав персональных данных, подлежащих обработке, а также действия (операции), совершаемые с персональными данными;
(2) Обработчик —Товарищество с ограниченной ответственностью «1С-Битрикс Казахстан», Республика Казахстан, 050010, г. Алматы, ул. Богенбай батыра, 80, оф. 304,315, БИН 130340020239;
(3) Персональные данные (ПД) — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), размещенная Оператором в Портале;
(4) Контент пользователя — информация, в составе которой могут быть Персональные данные, размещенная/загруженная Оператором при использовании функциональностей Программы или Дополнительных функциональностей.
(5) Средства коммуникации – почта, телефония и иные средства, возможность использования которых предоставляется Оператору в рамках Дополнительной функциональности Контакт-центр.
(6) Правообладатель – правообладатель или лицензиар технологий (программы для ЭВМ, сервиса) искусственного интеллекта, предоставляемых сторонними лицами, с помощью которых функционирует конкретный вид СoPilot (Технологии).
(7) Запрос – вводные данные, направляемые Оператором в конкретный вид CoPilot, для генерации данных.

В Поручении могут быть использованы иные термины, выше не определенные, толкование которых будет производиться в соответствии с Лицензионным соглашением с конечным пользователем (Лицензионное соглашение).

1. Предмет поручения

1.1. Оператор поручает, а Обработчик принимает на себя обязательство осуществлять действия по хостингу Контента пользователя, который обрабатываются или будет обрабатываться Оператором с использованием функциональностей Программы или Дополнительных функциональностей в Портале Оператора.

1.2. Основные положения

При использовании облачной версии Программы
При использовании коробочной версии Программы
1.2.1. Цели обработки Персональных данных Хостинг Портала на серверах Обработчика Хостинг Контента пользователя на серверах Обработчика
1.2.2. Перечень действий по обработке персональных данных в рамках Поручения (1) Накопление;
(2) хранение;
(3) передача (предоставление, доступ) после выбора Оператором соответствующей функции Программы;
(4) уничтожение/удаление Персональных данных.
Обработка осуществляется посредством размещения Портала Оператора на арендуемых мощностях в датацентрах на территории Республики Казахстан;
(1) накопление,
(2) хранение,
(3) передача (предоставление, доступ) после выбора Оператором соответствующей функции Программы;
(4) уничтожение/удаление Персональных данных
Обработка осуществляется посредством размещения Контента пользователя на арендуемых мощностях в датацентрах на территории Республики Казахстан;
1.2.3. Перечень Персональных данных Определяется Оператором и не контролируется Обработчиком. Содержание и перечень обрабатываемых Персональных данных определяется исходя из требований действующего законодательства Республики Казахстан в области деятельности, автоматизируемой с помощью Программы.
1.2.4. Способ выдачи Поручения Использование функциональности Программы Использование Дополнительных функциональностей
Указанные способы выдачи Поручений являются полными и окончательными инструкциями Оператора, выданными Обработчику
1.2.5. Срок действия Поручения В течение всего срока использования Оператором Программы в соответствии с Лицензионным соглашением, включая период блокировки Учетной записи.

Особенности Поручения, связанные с обработкой персональных данных в рамках использования Оператором конкретной Дополнительной функциональности, применяющиеся в дополнение к общим условиям Поручения, содержатся в разделе 7 настоящего Поручения. В случае, если особенностей Поручения, связанных с обработкой персональных данных в рамках использования Оператором конкретной Дополнительной функциональности, настоящим Поручением не установлено, применяются общие условия Поручения.


2. Заверения и гарантии Оператора

2.1. Оператор заверяет и гарантирует, что:

(1) получил Персональные данные законными способами;
(2) обладает законными основаниями обработки Персональных данных (в том числе согласием субъектов Персональных данных на передачу Персональных данных Обработчику с целью хранения);
(3) соблюдает принципы и правила обработки Персональных данных, предусмотренные законодательством Республики Казахстан;

2.2. Оператор гарантирует, что любое лицо, осуществляющее обработку Персональных данных с использованием функциональностей Программы или Дополнительных функциональностей, действует от имени Оператора и в соответствии с его инструкциями. При этом Оператор несет ответственность перед Обработчиком, если указанное лицо нарушает условия Поручения.

2.3. Заверения и гарантии Оператора, указанные в п. 2.1. являются достоверными в любой момент времени/периода обработки Персональных данных в рамках Поручения.

2.4. Оператор признает и осознает факт обработки Персональных данных при использовании функциональностей Программы или Дополнительных функциональностей.


3. Права, обязанности и ответственность Обработчика

3.1. Обработчик обязуется соблюдать цель и ограничения обработки Персональных данных, определенных в Поручении.

3.2. Обработчик обязуется исполнять Поручение самостоятельно, также с привлечением третьих лиц, указанных на сайте Обработчика по адресу https://www.1c-bitrix.kz/download/files/manuals/kz/privacy.html , оставаясь ответственным перед Оператором за выполнение своих обязательств по Поручению.

3.3. Обработчик обязан соблюдать конфиденциальность и обеспечить безопасность Персональных данных.

3.4. Обработчик обязуется добросовестно сотрудничать с Оператором и оказывать ему разумное содействие при рассмотрении и урегулировании запросов (жалоб, требований), касающихся Поручения. В частности, Обработчик, получив такой запрос, обязан уведомить об этом Оператора в течение 3 (трех) рабочих дней с момента наступления указанного события путем направления соответствующего уведомления на адрес, указанный регистрации лицензионного ключа (в отношении коробочной версии Программы) или адрес Администратора портала (в отношении облачной версии Программы).

3.5. Обработчик несет ответственность перед Оператором за исполнение Поручения, в том числе за действия (бездействие) своих работников, получивших доступ к обрабатываемым по Поручению Оператора персональным данным, повлекшие разглашение таких Персональных данных, в пределах размера реального ущерба, подтвержденного документально, но в любом случае не более стоимости лицензии на Программу за один месяц, приобретенной Оператором.


4. Права, обязанность и ответственность Оператора

4.1. Оператор несет ответственность перед субъектом Персональных данных за действия, осуществляемые Обработчиком при исполнении Поручения.

4.2. Оператор самостоятельно принимает решение и несет ответственность за определение того, подходит ли Программа для обработки Персональных данных согласно законодательству Республики Казахстан, а также за использование Программы в соответствии с юридическими обязательствами Оператора.

4.3. Оператор вправе не чаще одного раза в год запрашивать у Обработчика документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения Поручения Оператора требований, установленных в Поручении.

4.4. Оператор несет ответственность за безопасность выбранных им средств защиты доступа к Программе, а также самостоятельно обеспечивает их конфиденциальность.

4.5. Оператор несет ответственность за все действия, а также их последствия, при использовании Программы, при этом все действия, совершенные под Учетной записью Оператора, считаются произведенными самим Оператором.

4.6. Оператор несет ответственность за реагирование на запросы со стороны субъектов Персональных данных, третьих лиц в отношении использования Оператором Программы в целях обработки Персональных данных.

4.7. Оператор несет ответственность за рассмотрение запросов субъектов Персональных данных, связанных с реализацией их прав, в том числе в случаях, когда использование Оператором функциональностей Программы/Дополнительных функциональностей затрагивает права указанных лиц.

4.8. Оператор обязуется предоставить Обработчику подтверждение наличия правовых оснований для обработки Персональных данных и факта надлежащего уведомления субъекта Персональных данных об их передачи, в течение 5 (пяти) календарных дней с момента получения соответствующего запроса от Обработчика.

4.9. В случае предъявления Обработчику претензий и требований от третьих лиц, в том числе от субъектов Персональных данных и уполномоченных органов, в связи с исполнением Поручения, в том числе в случае предъявления претензии о неправомерности хостинга Обработчиком Персональных данных, размещенных Оператором в Портале/ при использовании Дополнительной функциональности, Оператор обязан самостоятельно, своими силами и за свой счет урегулировать такие претензии, оградить Обработчика от возможных убытков и участия в рассмотрении претензий, требований и возможном судебном разбирательстве. В случае возникновения необходимости участия Обработчика в урегулировании указанных выше претензий и/или требований, Обработчик имеет право требовать от Оператора возмещения возникших у него убытков и расходов, связанных с таким участием, включая, но не ограничиваясь расходами на представителя, ведение переговоров и иными расходами.

4.10. В случае предъявления Обработчику исковых требований от третьих лиц, в том числе от субъектов Персональных данных и уполномоченных органов, в связи с исполнением Поручения, в том числе в случае предъявления претензии о неправомерности хостинга Обработчиком Персональных данных, размещенных Оператором в Портале/ при использовании Дополнительной функциональности, результатом которых станет судебный акт о взыскании средств с Обработчика, вступивший в законную силу, последний имеет право требовать от Оператора возмещения Обработчику понесенных им расходов в процессе урегулирования судебного спора и во исполнение судебного решения, а также все понесенные Обработчиком судебные расходы, убытки в полном объеме.

4.11. Оператор несет риск невозможности использования Программы/Дополнительных функциональностей, возникший вследствие исполнения Обработчиком обязанности по прекращению хостинга Персональных данных на основании Поручения Оператора.


5. Конфиденциальность и безопасность

5.1. Оператор обязуется установить требования к защите обрабатываемых персональных данных в соответствии с законодательством Республики Казахстан, при этом данное обязательство распространяется исключительно на Оператора и не должно трактоваться, как установление определенных Оператором Обработчику требований к защите обрабатываемых персональных данных.

5.2. Обработчик принимает необходимые меры конфиденциальности и безопасности при исполнении Поручения с использованием средств автоматизации в соответствии с требованиями, указанными в закондательстве Республики Казахстан. Более подробная информация представлена в Политике обработки и конфиденциальности персональной информации.


6. Нарушение информационной безопасности

6.1. Если Обработчику станет известно о каком-либо нарушении безопасности, которое ведет к случайной или незаконной передачи (предоставления, распространения, доступа) Персональных данных («Нарушение информационной безопасности»), Обработчик в течение 24 (двадцати четырех) часов (1) уведомит Оператора об Нарушении информационной безопасности и (2) примет обоснованные меры для смягчения последствий и минимизации какого-либо ущерба, возникшего в результате Нарушения информационной безопасности.

6.2. Обработчик предоставляет Оператору необходимую и достаточную информацию и поддержку, связанную с таким событием, которые могут понадобиться Оператору для выполнения его обязанностей в силу закона, а также для снижения негативных последствий, которые могут наступить в результате такого события.

6.3. Обязательство Обработчика сообщать о таких Нарушениях информационной безопасности или реагировать на них в соответствии с данным разделом не является признанием со стороны Обработчика какой-либо вины или ответственности в связи с Нарушением информационной безопасности.

6.4. Оператор принимает необходимые и достаточные меры, в том числе осуществляет контроль и управление доступом к Программе, в целях недопущения Нарушения информационной безопасности при обработке Персональных данных с использованием Программы. Ответственность за выбор необходимых мер защиты и безопасности, достаточность и надежность указанных мер лежит на Операторе. В случае Нарушения информационной безопасности в связи с действиями или бездействием Оператора, последний обязуется незамедлительно, но не позднее 48 (сорока восьми) часов с даты события, уведомить Обработчика, при этом с Обработчика снимается ответственность за безопасность и конфиденциальность данных, обрабатываемых в рамках Поручения.


7. Особенности обработки персональных данных в рамках предоставления Дополнительных функциональностей.
7.1. Особенности Поручения при использовании Контакт-центра.

7.1.1. При использовании Средств коммуникации Оператор поручает Обработчику обработку персональных данных, относящихся к лицам, которым адресованы сообщения (Конечных получателей), а также к иным лицам, в объеме, указанном Оператором в интерфейсе Средств коммуникации, включая, но не ограничиваясь: номер телефона, ФИО адресата, содержание коммуникации, ID пользователя в мессенджере, адрес электронной почты, дополнительная информация, предоставленная Оператором (username, аватар) и иные данные.
Конкретный объем персональных данных определяется Оператором посредством использования Дополнительной функциональности сервиса.

7.1.2. Обработчик вправе совершать по поручению Оператора действия, указанные в п. 1.2.2 настоящего Поручения, включая осуществление трансграничной передачи персональных данных (в т.ч. в страны, не обеспечивающие надлежащую правовую защиту персональных данных) поставщикам сервисов маршрутизации и доставки сообщений и иным лицам, которых Оператор определяет самостоятельно посредством использования интерфейса Программы.

7.1.3. Оператор заверяет и гарантирует, что получил все необходимые правовые основания и разрешения (если применимо) для совершения Обработчиком указанных в п. 7.1.2 действий по поручению Оператора.

7.2. Особенности Поручения при использовании Дополнительной функциональности «CoPilot».

7.2.1. Дополнительная функциональность «CoPilot» не предназначена для обработки персональных данных. Обработчику не известно и не может быть известно о наличии в составе Запроса или в сгенерированных данных персональных данных.

7.2.2. В случае, если Оператор использует персональные данные в Запросе и / или направляет Запрос, предполагающий создание (генерацию) данных, содержащих персональные данные в нарушение условий п. 7.2.1 Поручения, Оператор поручает Обработчику обработку таких данных на условиях настоящего Поручения:
7.2.2.1. Оператор поручает Обработчику обработку персональных данных на условиях настоящего Поручения с учетом особенностей, установленных условиями использования конкретных видов «CoPilot», включая осуществление обработки персональных данных в целях отладки и обучения моделей Правообладателей конкретной Технологии.
7.2.2.2. Оператор самостоятельно несет ответственность за ознакомление и соблюдение условий обработки персональных данных, установленных Правообладателями конкретной Технологии, и гарантирует Обработчику наличие всех необходимых оснований и разрешений для осуществления такой обработки.

7.3. Особенности Поручения при использовании дополнительной функциональности Битрикс24.Подпись (Битрикс24.Подпись).

При использовании Битрикс24.Подпись Оператор поручает Обработчику обработку персональных данных, необходимых для создания электронной подписи, а также данных, содержащихся в электронном документе.

7.4. Особенности Поручения при использовании Каталога решений к программам 1-С Битрикс (Маркет Каталог).

7.4.1. При использовании Маркет Каталог Оператор поручает Обработчику обработку, включая передачу и получение, любых персональных данных, связанных с использованием приложений, размещенных в Маркет Каталог, а также гарантирует наличие надлежащих правовых оснований и разрешений на осуществление таких действий.

7.4.2. Оператор самостоятельно определяет третьих лиц, которые привлекаются к обработке персональных данных, или которым Обработчик осуществляет передачу персональных данных по поручению Оператора, посредством совершения соответствующих действий в интерфейсе Программы.

7.4.3. Оператор самостоятельно несет ответственность за ознакомление и соблюдение условий обработки персональных данных, установленных третьими лицами в отношении приложений, размещенных в Маркет Каталог.

8. Применимое право и разрешение споров

8.1. Настоящее Поручение регулируется и подлежит толкованию в соответствии с правом Республики Казахстан.
8.2. Все споры, которые могут возникнуть между Сторонами в ходе исполнения Поручения, подлежат решению путем переговоров.
8.3. В случае наличия противоречий между условиями настоящего Поручения и иными условиями использования Программы в отношении обработки персональных данных, применяются условия настоящего Поручения.
8.4. Обработчик оставляет за собой право вносить изменения и/или дополнения в условия Поручения в одностороннем порядке путем размещения измененного текста в сети Интернет https://www.bitrix24.kz/about/dpa_pers.php. При каждом доступе и/или фактическом использовании Программы, Оператор подтверждает свое согласие с условиями Поручения в редакции, действующей на момент фактического использования Программы.