ПРИЛОЖЕНИЕ № 3 К ПУБЛИЧНОЙ ОФЕРТЕ

ПОРУЧЕНИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ (DPA)

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящее Поручение на обработку персональных данных (далее — «Поручение») заключается на основании п. 3 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — «152-ФЗ») и является неотъемлемой частью договора, заключенного на основании публичной оферты.

1.2. Оператор персональных данных (далее — «Оператор»): [НАИМЕНОВАНИЕ КОМПЬЮТЕРНОГО КЛУБА], в лице [ДОЛЖНОСТЬ] [ФИО], действующего на основании [ДОКУМЕНТ].

1.3. Обработчик персональных данных (далее — «Обработчик»): Индивидуальный предприниматель [ФИО], ИНН [ИНН], ОГРНИП [ОГРНИП].

1.4. Настоящее Поручение определяет условия и порядок обработки персональных данных Обработчиком по поручению Оператора при предоставлении услуг по доступу к модулю геймифицированной лояльности для компьютерных клубов.

2. ПРЕДМЕТ И ЦЕЛИ ОБРАБОТКИ

2.1. Предмет Поручения: Оператор поручает, а Обработчик принимает на себя обязательства по обработке персональных данных в рамках функционирования сервиса геймифицированной лояльности.

2.2. Цели обработки персональных данных:

• обеспечение работы сервиса лояльности и геймификации;
• учёт и администрирование виртуальных кейсов и достижений игроков;
• административное управление системой;
• отправка уведомлений пользователям (в том числе через Telegram при наличии согласия);
• техническая поддержка и обслуживание системы;
• обеспечение информационной безопасности;
• исполнение договорных обязательств.

3. КАТЕГОРИИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Персональные данные администраторов клуба:

• фамилия, имя, отчество;
• номер мобильного телефона;
• логин доступа к системе;
• роль в системе и права доступа;
• одноразовые коды авторизации (OTP), передаваемые через Telegram (временное хранение до завершения сессии авторизации).

3.2. Персональные данные игроков:

• фамилия, имя, отчество или игровой никнейм (по вводимым пользователем данным);
• номер мобильного телефона (при наличии);
• уникальный идентификатор в программном обеспечении клуба;
• игровая статистика и достижения;
• история участия в программе лояльности;
• одноразовые коды авторизации (OTP), передаваемые через Telegram (при наличии согласия, временное хранение до завершения сессии авторизации).

3.3. Технические данные:

• IP-адреса пользователей;
• данные системных журналов (логи);
• метаданные сессий;
• технические идентификаторы устройств;
• данные о времени и характере активности в системе.

4. ОПЕРАЦИИ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ

4.1. Обработчик осуществляет следующие операции с персональными данными:

• сбор (при использовании Telegram-бота с согласия пользователей);
• запись в информационные системы;
• систематизация и структурирование данных;
• накопление и хранение в базах данных;
• уточнение (обновление, изменение) при поступлении новых данных;
• извлечение для предоставления функций сервиса;
• использование для достижения целей обработки;
• передача в рамках территории Российской Федерации;
• обезличивание для аналитических целей;
• блокирование при выявлении нарушений;
• удаление и уничтожение по истечении сроков хранения.

4.2. Все операции осуществляются как с использованием средств автоматизации, так и без использования таких средств.

5. ЛОКАЛИЗАЦИЯ ДАННЫХ

5.1. Все персональные данные обрабатываются и хранятся исключительно на территории Российской Федерации в соответствии с требованиями ст. 18 152-ФЗ.

5.2. Для каждого Оператора обеспечивается отдельный сервер и изолированная база данных, исключающая доступ к данным других клиентов.

5.3. Резервные копии данных создаются и хранятся исключительно на территории Российской Федерации в дата-центрах, соответствующих требованиям российского законодательства.

5.4. Трансграничная передача не осуществляется, за исключением отдельных операций, прямо согласованных с Оператором (например, доставка одноразовых кодов через Telegram), при условии соблюдения требований 152-ФЗ и подзаконных актов, включая предварительное уведомление Роскомнадзора (при необходимости).

6. СРОКИ ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.6. По истечении установленных сроков персональные данные подлежат удалению или анонимизации в течение 30 дней.

7. МЕРЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

7.1. Меры аутентификации и авторизации:

• система одноразовых кодов авторизации (OTP), передаваемых через Telegram API;
• ролевая модель доступа (RBAC) с разграничением прав пользователей;
• автоматическое удаление одноразовых кодов после использования или истечения времени действия;
• отсутствие постоянного хранения паролей в системе.

7.2. Меры защиты при передаче данных:

• шифрование трафика с использованием протокола TLS не ниже версии 1.2;
• шифрование резервных копий при создании и хранении;
• использование VPN или ограничение доступа по IP-адресам для административных функций.

7.3. Меры контроля доступа:

• ведение подробного аудита всех операций доступа к персональным данным;
• регулярный анализ журналов доступа и выявление подозрительной активности;
• автоматическое блокирование учетных записей при подозрении на компрометацию.

7.4. Меры защиты от уязвимостей:

• регулярное обновление программного обеспечения и устранение уязвимостей;
• проведение тестирования на проникновение;
• мониторинг безопасности в режиме реального времени.

7.5. Организационные меры:

• обучение персонала основам информационной безопасности;
• ограничение физического доступа к серверному оборудованию;
• применение принципа минимально необходимых прав доступа.

8. СУБОБРАБОТЧИКИ

8.1. Основной субобработчик: ООО «ТАЙМВЭБ.КЛАУД», ИНН 7810945525, КПП 781001001, юридический адрес: 196006, Санкт-Петербург, улица Заставская, дом 22, к.2, лит. А, помещ. 303, осуществляющее предоставление услуг хостинга и технической инфраструктуры.

8.2. Обработчик ведет актуальный реестр всех субобработчиков с указанием:

• наименования и реквизитов субобработчика;
• категорий обрабатываемых персональных данных;
• целей и правовых оснований передачи данных;
• мер безопасности, применяемых субобработчиком.

8.3. Порядок замены субобработчиков:

• Обработчик уведомляет Оператора о планируемой замене субобработчика не менее чем за 30 дней;
• в случае возражений Оператора, стороны проводят консультации для поиска альтернативного решения;
• новый субобработчик должен обеспечивать уровень защиты не ниже заменяемого.

8.4. Обработчик несет полную ответственность за действия субобработчиков как за свои собственные.

9. ИНЦИДЕНТЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

9.1. Обязательства по уведомлению об инцидентах:

• уведомление Оператора о любом инциденте безопасности в течение 24 часов с момента обнаружения;
• предоставление расширенного отчета о результатах внутреннего расследования в течение 72 часов.

9.2. Содержание уведомления об инциденте:

• описание характера инцидента и затронутых категорий данных;
• количество затронутых субъектов персональных данных;
• предварительная оценка последствий;
• принятые меры по локализации инцидента;
• план дальнейших действий.

9.3. Взаимодействие с регулирующими органами:

• Обработчик оказывает содействие Оператору в уведомлении Роскомнадзора об инциденте в установленные законом сроки;
• при необходимости уведомления субъектов персональных данных стороны согласовывают текст и порядок уведомления.

10. ПРАВА И ОБЯЗАННОСТИ СТОРОН

10.1. Обработчик обязуется:

• обрабатывать персональные данные строго в соответствии с целями и условиями настоящего Поручения;
• соблюдать принципы и правила обработки персональных данных, установленные 152-ФЗ;
• обеспечивать конфиденциальность и безопасность персональных данных;
• не передавать персональные данные третьим лицам без письменного согласия Оператора;
• немедленно уведомлять Оператора о любых требованиях или запросах относительно персональных данных;
• обеспечивать возможность осуществления Оператором контроля за соблюдением требований к защите персональных данных.

10.2. Оператор обязуется:

• предоставлять Обработчику только те персональные данные, которые необходимы для достижения целей обработки;
• обеспечивать законность передачи персональных данных Обработчику;
• уведомлять Обработчика об изменениях в составе персональных данных или целях их обработки.

10.3. Обработчик вправе:

• запрашивать у Оператора разъяснения по вопросам обработки персональных данных;
• отказаться от выполнения указаний Оператора, противоречащих требованиям законодательства.

11. АУДИТ И КОНТРОЛЬ

11.1. Оператор имеет право проводить аудит соблюдения Обработчиком требований настоящего Поручения в разумных пределах и с предварительным уведомлением за 10 рабочих дней.

11.2. Аудит может проводиться:

• путем направления письменных запросов и получения отчетов;
• посредством ознакомления с документацией по защите персональных данных;
• в исключительных случаях — путем проведения выездной проверки.

11.3. Обработчик обязуется предоставлять всю необходимую информацию и документы для проведения аудита.

12. ПРЕКРАЩЕНИЕ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

12.1. При прекращении действия договора или настоящего Поручения Обработчик обязуется:

• прекратить любую обработку персональных данных в течение 30 дней;
• по выбору Оператора — вернуть все персональные данные или уничтожить их с подтверждением факта уничтожения;
• удалить все копии персональных данных, включая резервные копии.

12.2. Возврат или уничтожение персональных данных оформляется соответствующим актом, подписываемым обеими сторонами.

12.3. Обработчик вправе сохранить персональные данные в течение срока исковой давности только в случае наличия обоснованных требований по защите своих законных интересов.

13. ОТВЕТСТВЕННОСТЬ

13.1. За нарушение условий настоящего Поручения стороны несут ответственность в соответствии с действующим законодательством Российской Федерации.

13.2. Обработчик несет ответственность за:

• несанкционированный доступ к персональным данным по его вине;
• нарушение конфиденциальности персональных данных;
• несоблюдение мер безопасности, установленных настоящим Поручением.

14. СРОК ДЕЙСТВИЯ

14.1. Настоящее Поручение вступает в силу одновременно с заключением договора на основании публичной оферты и действует в течение всего срока действия указанного договора.

14.2. Действие настоящего Поручения продлевается на период, необходимый для завершения обработки персональных данных в соответствии с разделом 12.

15. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

15.1. Изменения в настоящее Поручение вносятся в письменной форме по соглашению сторон или путем размещения новой редакции на официальном сайте Обработчика.

15.2. Все споры разрешаются в соответствии с законодательством Российской Федерации.

15.3. Во всем остальном, что не урегулировано настоящим Поручением, стороны руководствуются условиями основного договора и требованиями действующего законодательства.

РЕКВИЗИТЫ СТОРОН

Дата составления: [ДАТА]
Версия документа: [ВЕРСИЯ]