Политика обработки персональных данных и условия защиты данных
ТОО «HR-Bot»


1. Обработка данных



1.1. Обработка Данных клиента и владение

Данные клиента будут использоваться или обрабатываться иным образом только для предоставления Клиенту Веб-служб, включая цели, совместимые с предоставлением этих служб. ТОО «HR-Bot» не будет использовать или как-либо иначе обрабатывать Данные клиента или получать на их основе информацию для какой-либо рекламы или подобных коммерческих целей. В отношениях между сторонами Клиент сохраняет все права, право собственности и имущественные права в отношении Данных клиента. ТОО «HR-Bot» не получает права на Данные клиента за исключением прав, которые Клиент предоставляет ТОО «HR-Bot» с целью обеспечения Веб-служб для Клиента. Этот пункт не влияет на права ТОО «HR-Bot» на программное обеспечение или услуги, которые ТОО «HR-Bot» лицензирует Клиенту.



1.2. Раскрытие Данных клиента

ТОО «HR-Bot» не будет раскрывать Данные клиента за пределами ТОО «HR-Bot», за исключением случаев раскрытия (1) в соответствии с указаниями Клиента или (2) в соответствии с требованиями законодательства.

ТОО «HR-Bot» не будет разглашать Данные клиента правоохранительным органам за исключением случаев, требуемых законодательством. Если правоохранительные органы обратятся в ТОО «HR-Bot» и потребуют предоставить Данные клиента, ТОО «HR-Bot» предпримет попытку перенаправить такой запрос правоохранительных органов непосредственно в адрес Клиента. Если ТОО «HR-Bot» обяжут раскрыть Данные клиента правоохранительным органам, ТОО «HR-Bot» незамедлительно уведомит Клиента и предоставит копию требования за исключением случаев, когда это запрещено законодательством.

При получении запроса о раскрытии Данных клиента от какого-либо другого третьего лица ТОО «HR-Bot» незамедлительно уведомит о таком запросе Клиента, если это не запрещено законодательством. ТОО «HR-Bot» отклонит запрос, если его обязательное выполнение не будет предусмотрено по закону. Если запрос третьего лица на предоставление данных будет правомерным, ТОО «HR-Bot» попытается перенаправить третье лицо с этим запросом непосредственно к Клиенту.

ТОО «HR-Bot» не будет предоставлять какому-либо третьему лицу: (а) прямой, непрямой, полный или беспрепятственный доступ к Данным клиента; (б) ключи шифрования платформы, используемые для защиты Данных клиента, или возможность взломать такое шифрование, (в) доступ к Данным клиента, если ТОО «HR-Bot» известно, что эти данные используются в целях, отличных от целей, указанных в запросе третьего лица.

В подтверждение вышеизложенного ТОО «HR-Bot» может предоставить третьему лицу основные контактные данные Клиента.



1.3. Обработка Персональных данных

Персональные данные, предоставляемые ТОО «HR-Bot» Клиентом или от имени Клиента в рамках использования Веб-служб, также относятся к Данным клиента. При использовании Веб-служб Клиентом могут генерироваться псевдонимизированные идентификаторы, которые тоже относятся к Персональным данным.

1.3.1. В той степени, в которой ТОО «HR-Bot» является обработчиком или дополнительным обработчиком субъекта Персональных данных согласно законодательству Российской Федерации, Условия в Приложении 1 регулируют обработку этих данных.

1.3.2. В той степени, в которой ТОО «HR-Bot» является обработчиком или дополнительным обработчиком субъекта Персональных данных согласно GDPR, Условия GDPR в Приложении 2 регулируют обработку этих данных.

1.3.3. Кроме того, стороны соглашаются со следующими условиями в этом подразделе.



1.4. Роли и обязанности обработчика и управляющего

Клиент и ТОО «HR-Bot» договариваются, что Клиент выступает в роли управляющего Персональными данными клиента, а ТОО «HR-Bot» выступает в роли обработчика этих данных, за исключением случаев, когда (а) Клиент действует в роли обработчика Персональных данных, а ТОО «HR-Bot» соответственно является дополнительным обработчиком, или (b) в особых условиях использования Веб-служб указано иное. ТОО «HR-Bot» обязуется обрабатывать Персональные данные исключительно согласно документированным указаниям Клиента. Клиент соглашается, что его соглашение о корпоративном лицензировании (включая настоящие Условия использования веб-служб), наряду с использованием Клиентом функций Веб-служб и их конфигурацией, являются полными и окончательными письменными инструкциями, выданными ТОО «HR-Bot» в отношении обработки Персональных данных. Любые дополнительные или альтернативные указания должны быть согласованы в соответствии с процедурой внесения изменений в соглашение о корпоративном лицензировании Клиента. В любом случае, когда применяется регламент GDPR и обработчиком является Клиент, Клиент гарантирует ТОО «HR-Bot», что инструкции Клиента, включая назначение ТОО «HR-Bot» в качестве обработчика или дополнительного обработчика, были санкционированы соответствующим управляющим данными.



1.5. Сведения об обработке

Стороны признают и принимают следующее:

Предмет обработки ограничен Персональными данными в рамках GDPR.

Продолжительность обработки должна соответствовать продолжительности права Клиента на использование Веб-службы; обработка длится до тех пор, пока Персональные данные не будут удалены или возвращены в соответствии с инструкциями Клиента или положениями Условий использования Веб-служб.

Характер и цель обработки должны состоять в предоставлении Веб-служб в соответствии с соглашением о корпоративном лицензировании Клиента.

Типы Персональных данных, обрабатываемых Веб-службами, включают явно определенные в статье 4 GDPR.

Категории субъектов данных: представители Клиента и конечные пользователи, такие как работники, подрядчики, сотрудники и клиенты.



1.6. Права субъектов данных и помощь с запросами

ТОО «HR-Bot» предоставит Клиенту доступ к Персональным данным субъектов данных и возможность выполнения запросов субъектов данных с целью реализации прав Клиента согласно GDPR. Доступ будет предоставляться в соответствии с функциональностью Веб-службы и ролью ТОО «HR-Bot» как обработчика данных. ТОО «HR-Bot» обязуется выполнять обоснованные запросы Клиента, касающиеся предоставления помощи Клиенту для реагирования на такие запросы субъектов данных. Если ТОО «HR-Bot» получит запрос от субъекта данных Клиента, который связан с реализацией одного или нескольких его прав, предусмотренных регламентом GDPR, в связи с Веб-службой, в которой ТОО «HR-Bot» является обработчиком или дополнительным обработчиком данных, ТОО «HR-Bot» перенаправит этого субъекта данных непосредственно к Клиенту. Клиент несет ответственность за обработку таких запросов, в том числе с использованием функциональности Веб-служб. ТОО «HR-Bot» обязуется выполнять обоснованные запросы Клиента, касающиеся предоставления помощи Клиенту для реагирования на такие запросы субъектов данных.



1.7. Регистрация операций обработки

ТОО «HR-Bot» обязуется поддерживать все записи, требуемые Статьей 30(2) регламента GDPR, и в рамках, применимых к обработке Персональных данных от имени Клиента, предоставлять их по запросу Клиенту.



2. Передача и расположение данных

2.1. Передача данных

За исключением описанного в других частях условий использования Веб-служб, Данные клиента и Персональные данные, которые ТОО «HR-Bot» обрабатывает от имени Клиента, хранятся и обрабатываются на территории, указываемой при регистрации учетной записи в Веб-службе.





2.2. Хранение и удаление данных

В течение всего срока действия подписки Клиента Клиент будет иметь возможность извлечения, удаления Данных клиента, хранящихся в каждой Веб-службе, и осуществления доступа к этим данным.



ТОО «HR-Bot» будет хранить Данные клиента, сохраненные на ресурсах Веб-службы, в учетной записи с ограниченными возможностями в течение 90 дней с момента истечения срока или досрочного прекращения действия подписки Клиента, чтобы Клиент смог извлечь эти данные. По окончании 90-дневного периода хранения ТОО «HR-Bot» отключит учетную запись Клиента и удалит Данные клиента и Персональные данные еще в течение 90 дней, если применимое право или это соглашение не позволяет ТОО «HR-Bot» хранить такие данные или не требует этого от ТОО «HR-Bot».



Веб-служба может не поддерживать программное обеспечение, предназначенное для хранения или извлечения данных, предоставленное Клиентом. ТОО «HR-Bot» не несет ответственность за удаление Данных клиента или Персональных данных, как описано в этом разделе.



2.3. Обязательства обработчика по конфиденциальности

ТОО «HR-Bot» обеспечит выполнением ее персоналом, участвующим в обработке Данных клиента и Персональных данных, следующих условий: (i) обработка таких данных только в соответствии с инструкциями Клиента; (ii) обязательство обеспечивать конфиденциальность и безопасность таких данных даже после окончания участия в их обработке.



2.4. Уведомление об использовании дополнительных обработчиков и средства контроля

ТОО «HR-Bot» может пользоваться услугами третьих лиц для предоставления некоторых ограниченных или вспомогательных услуг от своего имени. Клиент соглашается с привлечением этих третьих лиц и аффилированных лиц ТОО «HR-Bot» в качестве дополнительных обработчиков. Перечисленные выше разрешения составляют предварительное письменное согласие Клиента на привлечение к обработке Данных клиента и Персональных данных субподрядчиком ТОО «HR-Bot», если такое согласие необходимо по Стандартным условиям договора или Условиям GDPR.



ТОО «HR-Bot» несет ответственность за соблюдение своими Дополнительными обработчиками обязательств ТОО «HR-Bot», изложенных в Условиях использования веб-служб. ТОО «HR-Bot» предоставляет информацию о Дополнительных обработчиках на веб-сайте ТОО «HR-Bot». При взаимодействии с любым Дополнительным обработчиком ТОО «HR-Bot» посредством заключения письменного контракта гарантирует, что Дополнительный обработчик может осуществлять доступ к Данным клиента или Персональным данным и использовать их исключительно для предоставления услуг, которые ТОО «HR-Bot» наняла их предоставлять, и что Дополнительному обработчику запрещено использовать Данные клиента или Персональные данные в любых других целях. ТОО «HR-Bot» обеспечит оформление Дополнительными обработчиками письменных соглашений, которые обязывают их обеспечивать уровень защиты данных не ниже уровня, требуемого от ТОО «HR-Bot» в соответствии с настоящими Условиями.



Время от времени ТОО «HR-Bot» может привлекать к участию новых Дополнительных обработчиков. ТОО «HR-Bot» уведомит Клиента (обновив веб-сайт и предоставив Клиенту механизм получения уведомления о таком обновлении) о любых новых Дополнительных обработчиках по меньшей мере за 14 дней до предоставления такому Дополнительному обработчику доступа к Данным клиента и Персональным данным. Что касается Базовых веб-служб, ТОО «HR-Bot» уведомит Клиента (обновив веб-сайт и предоставив Клиенту механизм получения уведомления о таком обновлении) о любых новых Дополнительных обработчиках по меньшей мере за 6 месяцев до предоставления такому Дополнительному обработчику доступа к Данным клиента.



Если Клиент не утвердит нового Дополнительного обработчика, то Клиент может прекратить действие любой подписки соответствующей Веб-службы без начисления штрафа, предоставив до окончания соответствующего срока уведомления письменное уведомление о прекращении с указанием оснований отказа в утверждении. Если связанная Веб-служба является частью набора (или сходного единовременного приобретения услуг), то любое прекращение действия будет применяться ко всему набору. После прекращения действия ТОО «HR-Bot» удалит обязательства по оплате всех подписок на Веб-службы, действие которых было прекращено, из всех последующих счетов-фактур, выставляемых Клиенту или его торговому посреднику.





3. Безопасность данных

3.1. Практики и политики безопасности

ТОО «HR-Bot» обязуется предпринимать все необходимые технические и организационные меры по защите Данных клиента и Персональных данных. Эти меры обозначены в Политике безопасности ТОО «HR-Bot». ТОО «HR-Bot» предоставляет Клиенту доступ к такой политике, а также к описаниям инструментов контроля безопасности, внедренных для Веб-служб, и другой информации о практиках и политиках безопасности ТОО «HR-Bot», обоснованно запрашиваемой Клиентом.





3.2. Обязанности Клиента

Клиент несет единоличную ответственность за независимое определение соответствия технических и организационных мер в отношении Веб-службы требованиям Клиента, включая любые обязательства по безопасности в рамках GDPR или других применимых законов и норм по защите данных. Клиент признает и соглашается, что (принимая во внимание современное состояние технологий, стоимость реализации, а также характер, масштаб, контекст и цели обработки Персональных данных, а также соответствующие риски для индивидов) практики и политики безопасности, реализуемые ТОО «HR-Bot», обеспечивают адекватный уровень безопасности и защиты от рисков в отношении Персональных данных Клиента. Клиент несет ответственность за реализацию и соблюдение средств защиты конфиденциальности и мер безопасности касательно компонентов, которые Клиент предоставляет или контролирует.



3.3. Уведомление о нарушении информационной безопасности

Если ТОО «HR-Bot» станет известно о каком-либо нарушении безопасности, которое ведет к случайному или незаконному уничтожению, потере, изменению, несанкционированному раскрытию Данных клиента или Персональных данных, либо доступу к ним во время обработки ТОО «HR-Bot» (в каждом случае — «Нарушение информационной безопасности»), ТОО «HR-Bot» незамедлительно (1) уведомит Клиента об Нарушении информационной безопасности; (2) расследует Нарушение информационной безопасности и предоставит Клиенту подробную информацию об этом Нарушении информационной безопасности и (3) примет обоснованные меры для смягчения последствий и минимизации какого-либо ущерба, возникшего в результате Нарушения информационной безопасности.



Уведомление (Уведомления) о Нарушениях информационной безопасности, при их наличии, будут отправляться одному или нескольким администраторам Клиента любым выбранным ТОО «HR-Bot» способом, в том числе по электронной почте. Клиент единолично несет ответственность за указание администраторами Клиента точных контактных данных на каждом соответствующем портале Веб-служб. Клиент несет единоличную ответственность за выполнение своих обязательств по законам об уведомлениях о нарушениях безопасности, применимым к Клиенту, и выполнение любых обязательств по уведомлению третьих лиц в связи с любым Нарушением информационной безопасности.



Клиент должен незамедлительно уведомлять ТОО «HR-Bot» о возможном незаконном использовании учетных записей или учетных данных для проверки подлинности, а также о любом нарушении безопасности, связанном с Веб-службой.


Приложение 1. Политика в отношении обработки персональных данных на территории Российской Федерации

1. Общие положения

1.1. Настоящий документ определяет политику ТОО «HR-Bot» (далее – Компания) в отношении обработки персональных данных и излагает систему основных принципов, применяемых в отношении обработки персональных данных в Компании.

1.2. Действие настоящей Политики распространяется на все операции, совершаемые в Компании с персональными данными с использованием средств автоматизации или без их использования.

1.3. Настоящая Политика обязательна для ознакомления и исполнения всеми лицами, допущенными к обработке персональных данных в Компании, и лицами, участвующими в организации процессов обработки и обеспечения безопасности персональных данных в Компании.

1.4. Настоящая Политика составлена в соответствии с Конвенцией Совета Европы №108 о защите личности в связи с автоматической обработкой персональных данных и Федеральным законом РФ «О персональных данных» №152-ФЗ от 27 июля 2006 г.

1.5. Настоящая Политика подлежит актуализации в случае изменения законодательства РФ о персональных данных.



2. Введение

2.1. Компания является оператором персональных данных.

2.2. Важным условием реализации целей деятельности Компании является обеспечение защиты прав и свобод субъекта персональных данных при обработке его персональных данных.

2.3. В Компании разработаны и введены в действие документы, устанавливающие порядок обработки и обеспечения безопасности персональных данных, которые обеспечивают соответствие требованиям Федерального закона РФ «О персональных данных» №152-ФЗ от 27 июля 2006 г. и принятых в соответствии с ним нормативных правовых актов.



3. Принципы и условия обработки персональных данных в Компании

3.1. Компания, являясь оператором, осуществляет обработку следующих персональных данных:

3.1.1. соискателей на замещение вакантных должностей – в составе и в сроки, необходимые для принятия Компанией решения о приеме либо отказе в приеме на работу, с согласия субъектов персональных данных, а также для формирования кадрового резерва с согласия субъектов персональных данных

3.1.2. работников, состоящих или состоявших в трудовых отношениях с Компанией – в составе и в сроки, необходимые для достижения целей, предусмотренных законодательством РФ, осуществления и выполнения возложенных законодательством РФ на Компанию функций, полномочий и обязанностей, для формирования кадрового резерва с согласия субъектов персональных данных, а также для заключения и исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в целях предоставления страхования с согласия субъектов персональных данных;

3.1.3. представителей потенциальных и существующих клиентов – в составе и в сроки, необходимые для осуществления взаимодействия с потенциальными и существующими клиентами, с согласия субъектов персональных данных;

3.1.4. представителей партнеров – в составе и в сроки, необходимые для осуществления взаимодействия с партнерами, с согласия субъектов персональных данных;

3.2. Сроки обработки персональных данных определены с учетом:

3.2.1. установленных целей обработки персональных данных;

3.2.2. сроков действия договоров с субъектами персональных данных и согласий субъектов персональных данных на обработку их персональных данных;

3.3. Компания осуществляет обработку персональных данных на законной и справедливой основе.

3.4. При обработке персональных данных обеспечиваются их точность, достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.

3.5. Компания не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных (если иное не предусмотрено федеральным законом РФ).

3.6. Компания не осуществляет обработку биометрических персональных данных.

3.7. Компания осуществляет трансграничную передачу персональных данных. При этом Компания выполняет требования к осуществлению трансграничной передачи персональных данных, предусмотренные Федеральным законом РФ «О персональных данных» №152-ФЗ от 27 июля 2006 г.

3.8. В Компании не осуществляется принятие решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, на основании исключительно автоматизированной обработки персональных данных.

3.9. Компания поручает обработку персональных данных другому лицу. При этом Компания выполняет требования к поручению обработки персональных данных, предусмотренные Федеральным законом РФ «О персональных данных» №152-ФЗ от 27 июля 2006 г.

3.10. Компания осуществляет обработку персональных данных с использованием средств автоматизации и без их использования. При этом Компания выполняет требования к автоматизированной и неавтоматизированной обработке персональных данных, предусмотренные Федеральным законом РФ «О персональных данных» №152-ФЗ от 27 июля 2006 г. и принятыми в соответствии с ним нормативными правовыми актами.

4. Права субъектов персональных данных, обрабатываемых в Компании

4.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных. Для получения указанной информации субъект персональных данных может отправить письменный запрос (запрос может быть также направлен в форме электронного документа и подписан электронной подписью) на адрес: Казахстан, г. Алматы, ул.Байзакова, 280 в порядке, установленном ст.14 Федерального закона РФ «О персональных данных» №152-ФЗ от 27 июля 2006 г.

5. Исполнение обязанностей оператора Компанией

5.1. Компания получает персональные данные от субъектов персональных данных и от третьих лиц (лиц, не являющихся субъектами персональных данных). При этом Компания выполняет обязанности, предусмотренные Федеральным законом РФ «О персональных данных» №152-ФЗ от 27 июля 2006 г. и Трудового кодекса РФ при сборе персональных данных.

5.2. Компания прекращает обработку персональных данных в следующих случаях:

5.2.1. при наступлении условий прекращения обработки персональных данных или по истечении установленных сроков;

5.2.2. по достижении целей их обработки либо в случае утраты необходимости в достижении этих целей;

5.2.3. по требованию субъекта персональных данных, если обрабатываемые в Компании персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

5.2.4. в случае выявления неправомерной обработки персональных данных, если обеспечить правомерность обработки персональных данных невозможно;

5.2.5. в случае отзыва субъектом персональных данных согласия на обработку его персональных данных или истечения срока действия такого согласия (если персональные данные обрабатываются Компанией исключительно на основании согласия субъекта персональных данных);

5.2.6. в случае ликвидации Компании.

5.3. Компанией для обеспечения выполнения обязанностей, предусмотренных Федеральным законом РФ «О персональных данных» №152-ФЗ от 27 июля 2006 г. и принятыми в соответствии с ним нормативными правовыми актами, приняты следующие меры:

5.3.1. назначено лицо, ответственное за организацию обработки персональных данных;

5.3.2. изданы локальные акты по вопросам обработки и обеспечения безопасности персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений:

5.3.2.1. Положение об обработке персональных данных;

5.3.2.2. настоящая Политика;

5.3.2.3. другие локальные акты по вопросам обработки и обеспечения безопасности персональных данных;

5.3.3. применены правовые, организационные и технические меры по обеспечению безопасности персональных данных;

5.3.4. осуществляется внутренний контроль соответствия обработки персональных данных требованиям Федерального закона РФ «О персональных данных» №152-ФЗ от 27 июля 2006 г. и принятых в соответствии с ним нормативных правовых актов, настоящей Политики, локальных актов Компании;

5.3.5. проведена оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения требований федерального законодательства о персональных данных, произведено соотношение указанного вреда и принимаемых Компанией мер, направленных на обеспечение выполнения обязанностей, предусмотренных требованиями Федерального закона РФ «О персональных данных» №152-ФЗ от 27 июля 2006 г. и принятых в соответствии с ним нормативных правовых актов;

5.3.6. работники Компании, непосредственно осуществляющие обработку персональных данных, ознакомлены с положениями Федерального закона РФ «О персональных данных» №152-ФЗ от 27 июля 2006 г. и принятых в соответствии с ним нормативных правовых актов, настоящей Политики и локальных актов Компании по вопросам обработки персональных данных.

5.4. В Компании реализуются следующие требования к защите персональных данных:

5.4.1. организован режим обеспечения безопасности помещений, в которых размещены информационные системы, препятствующий возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;

5.4.2. реализовано обеспечение сохранности носителей персональных данных;

5.4.3. руководителем Компании утвержден документ, определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;

5.4.4. используются средства защиты информации, прошедшие процедуру оценки соответствия требованиям законодательства РФ в области обеспечения безопасности информации;

5.4.5. реализованы требования, установленные Постановлением Правительства РФ от 15 сентября 2008 г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

ТОО «HR-Bot» берет на себя обязательства, изложенные в этих Условиях GDPR, перед всеми своими клиентами. Выполнение этих обязательств перед Клиентом является обязательным для ТОО «HR-Bot» независимо от (1) версии Условий использования Веб-служб, которая бы в ином случае применялась к любой заданной подписке на Веб-службы, и (2) любого другого соглашения, содержащего ссылку на это вложение.


В целях выполнения настоящих Условий регламента GDPR Клиент и ТОО «HR-Bot» договариваются, что Клиент выступает в роли управляющего Персональными данными, а ТОО «HR-Bot» выступает в роли обработчика этих данных, за исключением случаев, когда Клиент действует в роли обработчика Персональных данных, а ТОО «HR-Bot» соответственно является дополнительным обработчиком. Настоящие Условия регламента GDPR применяются ТОО «HR-Bot» в интересах Клиента к обработке Персональных данных в рамках области действия регламента GDPR. Настоящие Условия регламента GDPR не ограничивают и не сокращают каких-либо обязательств в отношении защиты данных, взятых на себя ТОО «HR-Bot» перед Клиентом в Условиях использования Веб-служб или ином соглашении между ТОО «HR-Bot» и Клиентом. Настоящие Условия регламента GDPR не применяются в случаях, когда ТОО «HR-Bot» является управляющим Персональными данными.



Применимые обязательства, связанные с регламентом GDPR: статьи 28, 32 и 33

1. ТОО «HR-Bot» не имеет права привлекать других обработчиков без предварительного конкретного или общего письменного разрешения Клиента. В случае получения общего письменного разрешения ТОО «HR-Bot» должна информировать Клиента обо всех планируемых изменениях, касающихся добавления или замены других обработчиков, давая таким образом Клиенту возможность возразить против таких изменений. (Статья 28(2))

2. Обработка ТОО «HR-Bot» регулируется настоящими Условиями регламента GDPR в соответствии с законодательством Европейского Союза (далее «ЕС») или Государства-члена ЕС, и они являются обязательными для ТОО «HR-Bot» в отношении Клиента. Предмет и продолжительность обработки, характер и цель обработки, тип Персональных данных, категории субъектов данных, а также обязательства и права Клиента изложены в соглашении о лицензировании Клиента, включая настоящие Условия регламента GDPR. В частности, ТОО «HR-Bot» обязуется:

(а) обрабатывать Персональные данные только в соответствии с документально оформленными инструкциями Клиента, включая инструкции в отношении передачи Персональных данных в третьи страны или международным организациям, если иного не требует законодательство ЕС или Государства-члена ЕС, действие которого распространяется на ТОО «HR-Bot»; в таких случаях ТОО «HR-Bot» обязуется информировать Клиента о соответствующих юридических требованиях до выполнения обработки, за исключением случаев, когда закон запрещает предоставлять такую информацию на основании важных общественных интересов;

(b) обеспечить взятие лицами, уполномоченными выполнять обработку Персональных данных, на себя обязательств в отношении обеспечения конфиденциальности и оформление установленной законом обязанности обеспечивать конфиденциальность;

(c) принимать все меры, требуемые в соответствии со Статьей 32 регламента GDPR;

(d) выполнять условия, указанные в пунктах 1 и 3, в случае привлечения другого обработчика;

(e) с учетом характера обработки данных помогать Клиенту соответствующими техническими и организационными мерами, насколько это возможно, выполнять обязательство Клиента в отношении реагирования на запросы, касающиеся реализации прав субъекта данных, которые изложены в Главе III регламента GDPR;

(f) помогать Клиенту обеспечивать выполнение обязательств в соответствии со Статьями 32–36 регламента GDPR, с учетом характера обработки и информации, доступной ТОО «HR-Bot»;

(g) по желанию Клиента удалять или возвращать все Персональные данные Клиенту по окончании предоставления услуг, связанных с их обработкой, и удалять существующие копии, если законодательство ЕС или Государства-члена ЕС не требует хранения Персональных данных;

(h) предоставлять Клиенту доступ ко всей информации, необходимой для демонстрации выполнения обязательств в соответствии со Статьей 28 регламента GDPR, а также позволять выполнять аудит и способствовать выполнению аудита, включая инспекции, проводимые Клиентом или иным аудитором, уполномоченным Клиентом.

ТОО «HR-Bot» обязуется незамедлительно информировать Клиента, если, по ее мнению, какая-либо инструкция нарушает требования регламента GDPR либо иных положений ЕС или Государства-члена ЕС в отношении защиты данных. (Статья 28(3))

3. В случае, если ТОО «HR-Bot» будет привлекать других обработчиков для выполнения определенных операций обработки в интересах Клиента, на соответствующего другого обработчика налагаются такие же обязательства в отношении защиты данных, изложенные в настоящих Условия регламента GDPR, путем заключения договора или оформления иного юридического акта в соответствии с законодательством ЕС или Государства-члена ЕС, в частности предоставляющего достаточные гарантии принятия соответствующих технических и организационных мер таким образом, чтобы обработка соответствовала требованиям регламента GDPR. В случаях невыполнения соответствующим другим обработчиком своих обязательств по защите данных, ТОО «HR-Bot» несет полную ответственность перед Клиентом за выполнение обязательств соответствующего другого обработчика. (Статья 28(4))

4. Учитывая современное состояние технологий, стоимость реализации, а также характер, масштаб, контекст и цели обработки данных, а также риски различной вероятности и серьезности в отношении прав и свобод физических лиц, Клиент и ТОО «HR-Bot» должны принять соответствующие технические и организационные меры для обеспечения уровня безопасности, соответствующего рискам, включая, среди прочего:

(а) псевдонимизацию и шифрование Персональных данных;

(b) возможность обеспечить текущую конфиденциальность, целостность, доступность и отказоустойчивость систем обработки данных и служб;

(c) возможность своевременно восстановить наличие Персональных данных и доступ к ним в случае физического или технического инцидента; а также

(d) процесс для регулярного тестирования, анализа и оценки эффективности технических и организационных мер для обеспечения безопасности обработки данных. (Статья 32(1))

5. При оценке соответствующего уровня безопасности должны учитываться риски, создаваемые обработкой. В частности, связанные со случайным или незаконным уничтожением, потерей, изменением, несанкционированным раскрытием Персональных данных либо доступом к Персональным данным, которые передаются, хранятся или обрабатываются иным образом. (Статья 32(2))

6. Клиент и ТОО «HR-Bot» должны принимать меры для обеспечения того, чтобы каждое физическое лицо, действующее от имени Клиента или ТОО «HR-Bot», которое получает доступ к Персональным данным, обрабатывало их только в соответствии с инструкциями Клиента, если иное не требуется от этого лица согласно законодательству ЕС или Государства-члена ЕС. (Статья 32(4))

7. ТОО «HR-Bot» обязуется уведомлять Клиента без необоснованной задержки, если ей станет известно о каких-либо нарушениях безопасности персональных данных. (Статья 33(2)). Такое уведомление должно включать информацию, которую обработчик должен предоставить управляющему согласно Статье 33(3) в той степени, в которой эта информация доступна ТОО «HR-Bot».