Настоящий Договор-поручение (далее - "Поручение") является неотъемлемой частью Договора-оферты на оказание услуг сервиса PVZ Guard AI и заключается в соответствии с ч. 3 ст. 6 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - "Закон 152-ФЗ").
Заказчик - юридическое лицо, индивидуальный предприниматель или самозанятый, заключивший Договор-оферту, действующий в качестве Оператора персональных данных.
Исполнитель - ИП Кашинцев Евгений Владимирович, действующий в качестве лица, осуществляющего обработку персональных данных по поручению Оператора.
Акцепт Договора-оферты означает одновременный акцепт настоящего Поручения.
1. Распределение ролей
1.1. Заказчик подтверждает, что является Оператором персональных данных в значении ст. 3 п. 2 Закона 152-ФЗ в отношении персональных данных, содержащихся в видеопотоке с камер, установленных на его Точках.
1.2. Исполнитель действует исключительно по поручению Заказчика, не определяет цели обработки и не использует данные в своих интересах.
1.3. Ответственность перед субъектами персональных данных (сотрудниками, посетителями ПВЗ) несёт Заказчик как Оператор. Ответственность Исполнителя ограничена соблюдением условий настоящего Поручения.
2. Предмет Поручения
2.1. Заказчик поручает, а Исполнитель обязуется обрабатывать персональные данные, содержащиеся в видеоматериалах с камер Заказчика, в целях оказания услуг сервиса PVZ Guard AI.
2.2. Перечень действий с персональными данными:
- сбор (приём видеопотока с камер Заказчика);
- запись;
- хранение в течение срока, указанного в п. 6;
- автоматизированный анализ средствами искусственного интеллекта;
- формирование уведомлений (алертов) о подозрительных событиях;
- передача уведомлений и фрагментов видео Заказчику через личный кабинет, Telegram, MAX;
- уничтожение по истечении срока хранения.
2.3. Исполнитель НЕ осуществляет:
- идентификацию субъектов по биометрическим данным;
- построение и хранение биометрических векторов лиц;
- передачу видеоматериалов третьим лицам, кроме случаев, указанных в Поручении;
- использование данных в маркетинговых, рекламных и иных собственных целях.
3. Категории персональных данных
3.1. В видеоматериалах могут содержаться:
- изображение лица и фигуры (как часть видеопотока, не обрабатывается как биометрические ПД в значении ст. 11 Закона 152-ФЗ);
- голосовая запись (если камера Заказчика ведёт аудиозапись);
- косвенные идентификаторы: одежда, поведение, время нахождения на Точке.
3.2. Специальные категории ПД (раса, политические взгляды, состояние здоровья и т.д.) Исполнителем не обрабатываются.
4. Категории субъектов персональных данных
- сотрудники Заказчика, работающие на Точках;
- клиенты Заказчика, посещающие Точки для получения заказов;
- иные лица, попадающие в поле зрения камер.
5. Обязанности Заказчика как Оператора
5.1. Заказчик обязуется самостоятельно:
- уведомить Роскомнадзор о начале обработки персональных данных в порядке ст. 22 Закона 152-ФЗ (если ранее не уведомлял);
- получить согласие сотрудников на обработку их персональных данных, включая видеосъёмку на рабочем месте, по форме, приведённой в Приложении 1;
- разместить на каждой Точке на видном месте информационную табличку о ведении видеонаблюдения по форме, приведённой в Приложении 2;
- утвердить локальный нормативный акт о работе с персональными данными;
- назначить ответственное лицо за организацию обработки ПД;
- определить правовое основание для обработки данных клиентов ПВЗ;
- довести до сведения субъектов информацию об обработке их данных через табличку и иные доступные каналы.
5.2. Заказчик предоставляет Исполнителю доступ к камерам только тех помещений, в которых обработка ПД законна (рабочие зоны ПВЗ, зоны обслуживания клиентов). Запрещается подключение камер из помещений, нарушающих неприкосновенность частной жизни (туалеты, комнаты отдыха персонала, раздевалки).
5.3. Заказчик несёт полную ответственность за получение согласий и за законность видеосъёмки на своих Точках.
6. Срок хранения и удаление
6.1. Снимки событий хранятся 30 (тридцать) календарных дней с момента поступления на серверы Исполнителя.
6.2. По истечении 30 дней видеоматериалы автоматически уничтожаются программными средствами без возможности восстановления.
6.3. По требованию Заказчика отдельные фрагменты видео могут быть выгружены и переданы Заказчику до истечения срока хранения. Выгруженные фрагменты после передачи на стороне Исполнителя удаляются вместе с основным архивом.
6.4. При прекращении Договора-оферты все видеоматериалы Заказчика подлежат уничтожению в течение 30 (тридцати) календарных дней с момента прекращения.
6.5. По письменному запросу Заказчика Исполнитель обязан в течение 10 (десяти) рабочих дней удалить или вернуть Заказчику все обрабатываемые персональные данные.
7. Технические и организационные меры защиты
7.1. Технические меры:
| Мера | Описание |
|---|---|
| Шифрование передачи | TLS 1.3 для всех каналов связи |
| Шифрование хранения | AES-256 для архива видеоматериалов |
| Изоляция | Отдельный шифрованный логический том для каждого Заказчика |
| MFA | Многофакторная аутентификация для сотрудников и личного кабинета |
| Доступ | Ролевая модель, принцип минимальных привилегий |
| Логирование | Все операции с ПД фиксируются не менее 12 месяцев |
| Защита от вторжений | WAF, IDS/IPS, регулярные пентесты |
| Резервное копирование | Зашифрованные бэкапы с независимой ротацией |
| Локализация | Серверы и хранилище в дата-центрах РФ (Selectel, Yandex Cloud) |
7.2. Организационные меры:
- утверждён внутренний регламент обработки персональных данных;
- сотрудники Исполнителя подписали соглашения о неразглашении (NDA);
- доступ к видеоматериалам имеет ограниченный круг технических специалистов;
- ежегодно проводится оценка вреда и пересмотр модели угроз;
- сотрудники проходят обучение по информационной безопасности.
7.3. Используемая инфраструктура соответствует требованиям приказа ФСТЭК России от 18.02.2013 N 21 к уровню защищённости УЗ-3.
8. Уведомление об инцидентах
8.1. В случае несанкционированного или случайного доступа к персональным данным Исполнитель уведомляет Заказчика:
- предварительное уведомление - в течение 24 часов с момента обнаружения;
- подробный отчёт - в течение 72 часов.
8.2. Заказчик как Оператор обязан в течение 24 часов после получения уведомления от Исполнителя направить уведомление в Роскомнадзор в соответствии с ч. 3.1 ст. 21 Закона 152-ФЗ.
9. Ответственность
9.1. Исполнитель несёт ответственность за нарушение требований к защите персональных данных в рамках действий, выполняемых по настоящему Поручению, в пределах, установленных законодательством РФ.
9.2. Ответственность Исполнителя ограничена суммой, фактически уплаченной Заказчиком за последний оплаченный период по Договору-оферте, за исключением случаев умышленного нарушения требований, повлёкшего утечку.
9.3. Заказчик возмещает Исполнителю убытки, возникшие вследствие предоставления Заказчиком недостоверной информации о законности обработки или невыполнения обязанностей по п. 5.
10. Привлечение соисполнителей
10.1. Исполнитель имеет право привлекать соисполнителей (облачных провайдеров, операторов связи) при условии обеспечения уровня защиты ПД не ниже установленного настоящим Поручением.
10.2. Актуальный перечень соисполнителей опубликован в Политике конфиденциальности.
10.3. Об изменении состава соисполнителей Исполнитель уведомляет Заказчика не менее чем за 30 дней через личный кабинет.
11. Срок действия и расторжение
11.1. Поручение действует с момента акцепта Договора-оферты и до момента его прекращения.
11.2. Прекращение Договора-оферты автоматически прекращает действие настоящего Поручения. Обязательства по уничтожению ПД (п. 6.4) сохраняют силу.
Приложения
Приложение 1. Шаблон согласия сотрудника (PDF)
Приложение 2. Шаблон информационной таблички (PDF)
Реквизиты Исполнителя
ИП Кашинцев Евгений Владимирович
ИНН: 352527373763
ОГРНИП: 320352500010010
Адрес: 160000, Вологодская обл., г. Вологда, ул. Галкинская, д. 63, кв. 4
Email ответственного за обработку ПД: privacy@pvzguard.ru