1. Стороны и роли в обработке данных
1.1. Определение ролей
Клиент (Data Controller/Оператор)
- • Определяет цели и средства обработки ПДн
- • Несет ответственность за законность обработки
- • Получает согласия от субъектов данных
- • Выступает контактным лицом для запросов субъектов
- • Определяет категории обрабатываемых данных
Orchestrum (Data Processor/Обработчик)
- • Обрабатывает ПДн по поручению Клиента
- • Следует документированным инструкциям
- • Обеспечивает техническую и организационную защиту
- • Уведомляет о нарушениях безопасности
- • Содействует в выполнении прав субъектов
1.2. Предмет поручения
Клиент поручает Orchestrum обработку персональных данных исключительно для целей:
- Выполнения автоматизированных воркфлоу, созданных Клиентом
- Интеграции с внешними системами по инструкции Клиента
- Передачи сообщений через мессенджеры и email
- Синхронизации данных между системами Клиента
- Аналитической обработки для целей Клиента
- Хранения и архивирования данных согласно настройкам
- Обеспечения технической поддержки по запросу Клиента
1.3. Ограничения обработки
Orchestrum обязуется:
- Обрабатывать ПДн только по письменным инструкциям Клиента
- Не использовать данные для собственных целей
- Не передавать данные третьим лицам без разрешения Клиента
- Не выходить за рамки полномочий, определенных договором
- Немедленно уведомлять о невозможности выполнения инструкций
2. Категории данных и субъекты
2.1. Категории субъектов персональных данных
B2B сфера
- Клиенты и заказчики Клиента
- Потенциальные клиенты (лиды)
- Поставщики и партнеры
- Контактные лица организаций
Внутренние субъекты
- Сотрудники Клиента
- Кандидаты на трудоустройство
- Подрядчики и консультанты
- Представители Клиента
2.2. Категории персональных данных
Основные персональные данные
- • ФИО, дата рождения
- • Адрес электронной почты
- • Номера телефонов
- • Почтовые адреса
- • Должность, организация
- • Профессиональные данные
Коммерческие данные
- • История заказов
- • Предпочтения и интересы
- • Платежная история
- • Статус клиента
- • Коммуникационная история
- • Поведенческая аналитика
⚠️ Запрещенные категории
Orchestrum не обрабатывает специальные категории ПДн: расовое происхождение, политические взгляды, религиозные убеждения, состояние здоровья, интимная жизнь, биометрические и генетические данные.
2.3. Операции обработки
| Операция | Цель | Правовое основание |
|---|---|---|
| Сбор и запись | Регистрация в системе | Договор / Согласие |
| Хранение | Обеспечение работы сервиса | Договор |
| Изменение | Актуализация информации | Договор / Согласие |
| Использование | Выполнение автоматизаций | Договор |
| Передача | Интеграции по поручению | Договор / Согласие |
| Удаление | Исполнение прав субъектов | Закон / Согласие |
3. Меры защиты персональных данных
3.1. Технические меры безопасности
🔐 Шифрование
- • При передаче: TLS 1.3+
- • При хранении: AES-256
- • Ключи: HSM управление
- • Ротация ключей: ежемесячно
🛡️ Контроль доступа
- • Принцип минимальных привилегий
- • Многофакторная аутентификация
- • Ролевая модель доступа (RBAC)
- • Регулярная ротация паролей
📊 Мониторинг и аудит
- • Логирование всех операций
- • Система обнаружения вторжений
- • Анализ поведенческих аномалий
- • Регулярные аудиты безопасности
🔒 Изоляция данных
- • Логическое разделение клиентов
- • Сегментация сетевой инфраструктуры
- • Изолированные среды выполнения
- • Защищенные каналы связи
3.2. Организационные меры безопасности
Управление персоналом
- • Соглашения о конфиденциальности для всех сотрудников
- • Проверка благонадежности при найме
- • Регулярное обучение по защите данных
- • Ограниченный доступ на основе служебных обязанностей
- • Процедуры увольнения с отзывом доступов
Процедуры и политики
- • Политика информационной безопасности
- • Процедуры реагирования на инциденты
- • Процессы резервного копирования и восстановления
- • Регулярные учения по кибербезопасности
- • Процедуры физической безопасности
Управление рисками
- • Регулярная оценка угроз и рисков
- • План обеспечения непрерывности бизнеса
- • Тестирование процедур восстановления
- • Страхование от киберрисков
- • Мониторинг изменений в угрозах
3.3. Соответствие стандартам
📋 ISO 27001
Система управления информационной безопасностью
🛡️ SOC 2 Type II
Аудит контролей безопасности и доступности
⚖️ 152-ФЗ
Соответствие российскому законодательству о ПДн
4. Субобработчики
4.1. Принципы привлечения субобработчиков
- Субобработчики привлекаются только при необходимости для оказания услуг
- Все субобработчики обязуются обеспечивать равный уровень защиты данных
- С каждым субобработчиком заключается письменное соглашение о защите данных
- Orchestrum несет полную ответственность за действия субобработчиков
- Клиенты уведомляются о добавлении новых субобработчиков
4.2. Текущий список субобработчиков
| Субобработчик | Услуга | Местоположение | Сертификация |
|---|---|---|---|
| Amazon Web Services | Облачная инфраструктура | ЕС (Франкфурт) | SOC 2, ISO 27001 |
| Cloudflare | CDN и защита | Глобальная сеть | SOC 2, ISO 27001 |
| SendGrid | Email доставка | США, ЕС | SOC 2, GDPR |
| Google Analytics | Аналитика | ЕС (опционально) | ISO 27001, GDPR |
| Sentry | Мониторинг ошибок | США, ЕС | SOC 2, GDPR |
4.3. Уведомление об изменениях
При добавлении нового субобработчика:
- Клиент уведомляется по email не менее чем за 30 дней
- В уведомлении указывается наименование, местоположение и услуги
- Клиент имеет право возразить против нового субобработчика
- При обоснованном возражении ищется альтернативное решение
- Актуальный список доступен на сайте и по запросу на email
5. Трансграничная передача данных
5.1. Локализация данных
✅ Предпочтительные юрисдикции
- • Российская Федерация (основное хранение)
- • Европейский Союз (GDPR)
- • Швейцария (адекватный уровень защиты)
- • Республика Беларусь (соглашение с РФ)
⚠️ Третьи страны
- • Только при наличии адекватных гарантий
- • Стандартные договорные оговорки (SCC)
- • Сертификация по международным стандартам
- • Возможность отказа клиентом
5.2. Правовые механизмы передачи
Стандартные договорные оговорки (SCC)
Для передач в страны без адекватного уровня защиты используются Стандартные договорные оговорки, утвержденные Европейской комиссией и адаптированные под российское законодательство.
Сертификация и кодексы поведения
Субобработчики должны иметь международные сертификации (ISO 27001, SOC 2) и соблюдать признанные кодексы поведения в области защиты персональных данных.
Оценка воздействия на защиту данных
Для каждой новой юрисдикции проводится DPIA (Data Protection Impact Assessment) с анализом рисков и мер их снижения.
5.3. Контроль со стороны клиента
- Клиент может запросить ограничение передач в определенные юрисдикции
- Предоставляется детальный отчет о местоположении данных
- Возможность аудита соблюдения ограничений
- Уведомление о любых изменениях в географии обработки
6. Нарушения защиты персональных данных
6.1. Обязанности по уведомлению
🚨 Немедленное уведомление (до 2 часов)
- • Несанкционированный доступ к данным
- • Утечка данных во внешние системы
- • Шифрование данных вредоносным ПО
- • Полная потеря данных без резервных копий
⚠️ Уведомление в разумный срок (до 24 часов)
- • Технические сбои, влияющие на доступность
- • Потенциальные уязвимости безопасности
- • Ошибки конфигурации с влиянием на данные
- • Подозрительная активность в системах
6.2. Информация, включаемая в уведомление
- Описание инцидента: характер нарушения, время обнаружения
- Затронутые данные: категории и приблизительное количество
- Потенциальные последствия: оценка рисков для субъектов
- Принятые меры: немедленные действия по устранению
- Контактная информация: ответственное лицо для связи
- План восстановления: шаги по устранению последствий
6.3. Содействие в расследовании
Orchestrum обязуется:
- Предоставить все доступные логи и техническую информацию
- Сотрудничать с внутренним расследованием Клиента
- Содействовать в подготовке уведомлений регулятору
- Предоставить экспертную оценку технических аспектов
- Участвовать в разработке мер по предотвращению повторных инцидентов
6.4. Процедуры реагирования
1. Обнаружение
- • Автоматические алерты
- • Мониторинг 24/7
- • Отчеты пользователей
2. Сдерживание
- • Изоляция затронутых систем
- • Блокировка компромисных доступов
- • Сохранение доказательств
3. Восстановление
- • Устранение уязвимостей
- • Восстановление из резервных копий
- • Тестирование безопасности
7. Права субъектов персональных данных
7.1. Содействие в реализации прав
Orchestrum содействует Клиенту в выполнении обязанностей по обеспечению прав субъектов, предоставляя технические и организационные возможности для:
🔍 Право доступа
Предоставление инструментов для поиска и экспорта данных субъекта
✏️ Право на исправление
Возможность редактирования и обновления данных через API
🗑️ Право на удаление
Функции безвозвратного удаления данных из всех систем
📦 Право на портируемость
Экспорт данных в структурированных форматах (JSON, CSV)
⛔ Право на ограничение
Блокировка обработки конкретных данных или операций
🚫 Право возражения
Остановка автоматизированной обработки для маркетинга
7.2. Технические возможности
API для управления данными
- • GET /api/v1/data/subject/{id} - получение всех данных субъекта
- • PUT /api/v1/data/subject/{id} - обновление данных
- • DELETE /api/v1/data/subject/{id} - удаление данных
- • POST /api/v1/data/export - экспорт в структурированном формате
- • PUT /api/v1/data/restrict/{id} - ограничение обработки
Панель управления данными
- • Поиск данных по различным критериям
- • Массовые операции с соблюдением прав субъектов
- • Аудит всех операций с персональными данными
- • Автоматизированные процессы для типовых запросов
- • Интеграция с системами управления согласиями
7.3. Временные рамки реагирования
| Тип запроса | Время предоставления инструментов | Поддержка Клиента |
|---|---|---|
| Доступ к данным | Немедленно (через API) | Консультация по запросу |
| Исправление данных | Немедленно (через панель) | Техническая поддержка |
| Удаление данных | До 24 часов | Подтверждение выполнения |
| Портируемость | До 48 часов | Помощь с форматированием |
| Ограничение обработки | До 24 часов | Настройка ограничений |
8. Аудиты и соответствие требованиям
8.1. Право на аудит
Клиент имеет право проводить аудит обработки своих данных:
- Плановые аудиты - не более 1 раза в год
- Внеплановые аудиты - при обоснованных подозрениях нарушений
- Уведомление о проведении аудита за 30 дней
- Возможность привлечения независимых аудиторов
- Предоставление результатов в течение 14 дней после завершения
8.2. Альтернативы прямому аудиту
Сертификационные отчеты
Предоставление актуальных отчетов от признанных аудиторских компаний:
- • SOC 2 Type II отчеты (ежегодно)
- • ISO 27001 сертификат и отчет аудита
- • Отчет по соответствию требованиям 152-ФЗ
- • DPIA для конкретных процессов обработки
Самосертификация и анкетирование
Регулярное предоставление детальных анкет по безопасности:
- • Анкета по техническим и организационным мерам
- • Детали о процедурах обеспечения безопасности
- • Информация о персонале и его обучении
- • Планы обеспечения непрерывности бизнеса
8.3. Содействие регулятивным проверкам
При проверках регулятивными органами Orchestrum:
- Незамедлительно уведомляет Клиента о начале проверки
- Предоставляет всю необходимую техническую документацию
- Содействует в подготовке ответов на запросы регулятора
- Координирует действия с юридическими представителями Клиента
- Обеспечивает доступ к системам в рамках полномочий регулятора
9. Сроки хранения и удаление данных
9.1. Сроки хранения по категориям
| Категория данных | Активное хранение | Архивное хранение | Полное удаление |
|---|---|---|---|
| Рабочие данные | Срок договора | 30 дней после расторжения | 31-60 дней |
| Логи событий | 6 месяцев | 12 месяцев | 13-18 месяцев |
| Резервные копии | 30 дней | 90 дней | 91-120 дней |
| Биллинг данные | 3 года | 7 лет | По требованию закона |
| Данные инцидентов | 2 года | 5 лет | После решения споров |
9.2. Процедуры безопасного удаления
Этапы удаления данных
- Логическое удаление: Помечение данных как удаленных (недоступны для обработки)
- Физическое удаление: Перезапись данных на носителях (DoD 5220.22-M стандарт)
- Криптографическое уничтожение: Уничтожение ключей шифрования
- Сертифицированное уничтожение: Документальное подтверждение
Специальные случаи
- • SSD накопители: Cryptographic erase + TRIM команды
- • Облачное хранилище: API удаление + верификация провайдера
- • Резервные копии: Поиск по всем точкам восстановления
- • Логи и кэш: Автоматическая очистка по расписанию
9.3. Возврат данных клиенту
По завершении договора Клиент может выбрать:
📤 Возврат данных
- • Полный экспорт в JSON/CSV формате
- • Структурированные данные с метаданными
- • Архив конфигураций и настроек
- • Доставка через защищенные каналы
- • Срок предоставления: до 30 дней
🗑️ Удаление данных
- • Безвозвратное удаление всех данных
- • Сертифицированная процедура
- • Письменное подтверждение удаления
- • Исключения для биллинг данных
- • Срок выполнения: до 60 дней
9.5. Ответственность и возмещение ущерба
🚨 Ограничение ответственности Orchestrum
- • Максимальная ответственность Orchestrum ограничена 10% от месячной стоимости подписки Клиента
- • Исключаются: косвенные убытки, упущенная выгода, ущерб репутации, штрафы регуляторов
- • Форс-мажор: Ответственность исключается при обстоятельствах непреодолимой силы
- • Действия третьих лиц: Orchestrum не отвечает за действия субобработчиков и внешних API
⚡ Обязательства Клиента по возмещению
Клиент обязуется возместить Orchestrum в полном объеме:
- • Штрафы регуляторов за нарушения требований ПДн со стороны Клиента
- • Судебные расходы по искам, связанным с нарушениями Клиента
- • Компенсации субъектам ПДн за ущерб от неправомерной обработки
- • Ущерб репутации Orchestrum от действий Клиента
- • Расходы на устранение последствий нарушений безопасности по вине Клиента
- • Пени 0.1% в день за просрочку любых платежей по возмещению
9.5.3. Процедура возмещения
- Orchestrum направляет Клиенту требование о возмещении с обоснованием
- Клиент обязан возместить ущерб в течение 10 рабочих дней
- При отказе или просрочке начисляется пеня и взыскание через суд
- Все расходы по взысканию относятся на счет Клиента
10. Контактная информация и соответствие
10.1. Контактные лица по защите данных
🛡️ Офицер по защите данных (DPO)
Имя: ИП Дзизенко Кирилл Максимович
Email: kirill.dzizenko@gmail.com
Телефон: +7 (963) 299-87-02
Адрес: 238300, Калининградская область, г. Гурьевск, ул. Каштановая, д. 6
⚖️ Юридический отдел
Email: kirill.dzizenko@gmail.com
Для: Правовые вопросы, соглашения, споры
Время работы: Пн-Пт 9:00-18:00 MSK
Время ответа: До 2 рабочих дней
🔧 Технический отдел
Email: kirill.dzizenko@gmail.com
Для: Технические аспекты обработки данных
Доступность: 24/7 для критических инцидентов
Эскалация: Через службу поддержки
📊 Отдел аудита и соответствия
Email: kirill.dzizenko@gmail.com
Для: Аудиты, сертификации, проверки
Планирование: За 30 дней до аудита
Отчеты: В течение 14 дней после завершения
10.2. Изменения в DPA
Данное DPA может быть изменено в следующих случаях:
- Изменения в применимом законодательстве
- Требования регулятивных органов
- Обновления в технологической инфраструктуре
- Добавление новых субобработчиков
- Изменения в географии обработки данных
Процедура изменений: Уведомление за 60 дней, обсуждение существенных изменений, возможность расторжения договора при несогласии с критическими изменениями.
10.3. Применимое право и юрисдикция
Данное DPA регулируется законодательством Российской Федерации, в частности Федеральным законом №152-ФЗ "О персональных данных" и связанными подзаконными актами.
Для международных клиентов применяются также соответствующие требования GDPR (при обработке данных резидентов ЕС) и иных применимых законов о защите данных.