13. С учетом положений применимого законодательства, Б1 вправе передавать информацию, предоставленную Поставщиком, субподрядчикам, участникам, акционерам, директорам, должностным лицам, партнерам, принципалам или работникам Б1 (далее – «Физические лица в составе Б1») и сторонним поставщикам, оказывающим услуги Б1 и Физическим лицам в составе Б1 («Поставщики услуг»), которые вправе собирать, использовать, передавать, хранить и осуществлять иные операции с персональными данными (далее совместно – «обрабатывать») такую информацию в различных юрисдикциях, в которых они осуществляют деятельность, для следующих целей:
(i) оказание Услуг;
(ii) соблюдение применимых к Б1 нормативных требований и юридических обязательств;
(iii) предупреждение конфликта интересов;
(iv) управление рисками и проверка качества услуг; а также
(v) ведение внутреннего финансового учета Б1 и оказание других услуг административной поддержки, в том числе ИТ-поддержки
(далее совместно - «Цель обработки»).
14. Каждая из Сторон является самостоятельным оператором в отношении информации, относящейся к прямо или косвенно определенным или определяемым физическим лицам (далее – «Персональные данные»), полученной от другой Стороны. Передача Персональных данных не рассматривается Сторонами как поручение обработки персональных данных, если иное прямо не предусмотрено соответствующим Приложением к Договору. Сторона, передающая Персональные данные другой Стороне, обеспечивает и гарантирует правомерность такой передачи в соответствии с требованиями применимого законодательства, а также уведомление субъекта Персональных данных об обработке его Персональных данных Стороной, получающей Персональные данные. Каждая из Сторон обеспечивает конфиденциальность полученных от другой Стороны в рамках Договора Персональных данных, соблюдение требований к обработке Персональных данных, и обязуется принимать все необходимые правовые, организационные и технические меры защиты Персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с такими данными – или обеспечивать их принятие.
15. Б1 вправе обрабатывать полученные от Поставщика Персональные данные для достижения Цели Обработки, и совершать действия (операции) с Персональными данными способами, предусмотренными применимым законодательством, в объеме, необходимом для достижения Цели обработки. Поставщик обеспечивает наличие правовых оснований такой обработки и обязуется предоставить документарное подтверждение их наличия по мотивированному запросу Б1 в течение 5 (пяти) рабочих дней с момента получения такого запроса.
16. Поставщик вправе обрабатывать Персональные данные, полученные от Б1, только в целях оказания Услуг. Поставщик не вправе осуществлять трансграничную передачу Персональных данных на территорию каких-либо иных государств, копировать, передавать, раскрывать указанные Персональные данные каким-либо иным лицам, за исключением своих сотрудников, принимающих участие в оказании Услуг, без предварительного согласия Б1.
17. Поставщик будет документировать процессы обработки Персональных данных, полученных от Б1, и обязуется предоставлять материалы, документирующие такую обработку, по запросу Б1. Такие материалы должны содержать, как минимум, следующую информацию:
(i) цель обработки;
(ii) описание категорий субъектов Персональных данных и категорий обрабатываемых Персональных данных;
(iii) категории предполагаемых пользователей Персональных данных, которым предоставляется доступ к Персональным данным;
(iv) перечень стран, в которые осуществляется трансграничная передача Персональных данных (если применимо);
(v) срок обработки Персональных данных;
(vi) описание технических и организационных мер защиты Персональных данных.
18. Поставщик обязуется удалить Персональные данные, полученные от Б1, немедленно по окончании оказания Услуг по Договору, либо после получения соответствующего требования Б1, предоставив документальное подтверждение уничтожения.
19. В случае любой утечки Персональных данных или другого нарушения конфиденциальности Персональных данных или иной информации, полученных от Б1, Поставщик обязан незамедлительно (в пределах 12 часов) сообщить об инциденте Б1, провести внутреннее расследование и сообщить о его результатах Б1 в течение 36 часов, а также принять все доступные ему меры для уменьшения причиненного ущерба. Сообщение об инциденте должно содержать, как минимум, следующую информацию:
(i) содержание инцидента;
(ii) предполагаемые причины, повлекшие нарушение прав субъектов Персональных данных;
(iii) предполагаемый вред, нанесенный инцидентом правам субъектов Персональных данных;
(iv) принятые Поставщиком меры по устранению последствий инцидента.
20. Поставщик соглашается добросовестно сотрудничать с Б1 и оказывать Б1 необходимое разумное содействие при рассмотрении и урегулировании полученных Б1 от субъектов Персональных данных, их представителей, уполномоченных органов по защите прав субъектов Персональных данных запросов, претензий, требований, предписаний, касающихся обрабатываемых в рамках настоящего Договора Персональных данных. В рамках такого сотрудничества Поставщик соглашается предоставлять ответы на мотивированные запросы Б1, касающиеся обработки Персональных данных в рамках Договора, в течение 5 (пяти) рабочих дней с даты получения запроса.