BYCOM Systems

Соглашение об обработке персональных данных (DPA) при оказании Услуг по обработке текстовых запросов посредством программного интерфейса (API) сервиса БАЙКОМ СИСТЕМЗ

Приложение к Договору № ___ от «__» _________ 20__ г. / к Публичному договору на оказание Услуг по обработке текстовых запросов посредством программного интерфейса (API) сервиса БАЙКОМ СИСТЕМЗ

Общество с ограниченной ответственностью «БАЙКОМ СИСТЕМЗ» (далее — «Оператор», он же Исполнитель по основному договору), УНП 193135530, в лице директора Семёнова Сергея Сергеевича, действующего на основании Устава, и ___________________ (далее — «Заказчик», владелец данных), УНП ____________, в лице ___________________, действующего на основании ____________, заключили настоящее Соглашение об обработке персональных данных (далее — «DPA») в соответствии с Законом Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее — «Закон о ПД»).

1. Термины

Термины «персональные данные», «обработка», «оператор», «уполномоченное лицо», «субъект персональных данных» используются в значениях, установленных Законом о ПД. Заказчик выступает в роли оператора в отношении данных, передаваемых им в Сервис; Оператор по настоящему DPA (Исполнитель) выступает в роли уполномоченного лица, обрабатывающего данные от имени Заказчика.

2. Предмет и ограничение роли

2.1. Оператор обрабатывает персональные данные (далее — «ПД») от имени и по поручению Заказчика исключительно в целях технической передачи запросов Заказчика Поставщикам Моделей и возврата ответов, в рамках оказания услуг по основному договору.

2.2. Роль Оператора ограничена техническим транзитом. Оператор:

  • не определяет цели и средства обработки содержимого запросов;
  • не анализирует содержимое запросов в ручном режиме (кроме случаев расследования инцидентов безопасности и предписаний уполномоченных органов);
  • не использует ПД Заказчика в собственных целях;
  • не использует ПД для обучения собственных или сторонних моделей;
  • не передаёт ПД третьим лицам иначе как предусмотрено разделом 6.

2.3. Поставщики Моделей после получения запроса от Оператора выступают самостоятельными независимыми операторами в отношении переданного им контента, а не уполномоченными лицами Заказчика через цепочку Оператора. Условия обработки определяются их собственными политиками. Заказчик принимает данную модель ответственности.

2.4. Зона ответственности Заказчика. Заказчик единолично и в полном объёме несёт ответственность за:

  • наличие правовых оснований для обработки и трансграничной передачи всех данных, вводимых им или его Пользователями в Сервис;
  • получение согласий субъектов ПД и их информирование о Поставщиках Моделей;
  • соответствие категорий и объёма передаваемых данных принципам минимизации и пропорциональности;
  • обеспечение того, чтобы в Сервис не вводились ПД, запрещённые к вводу разделом 8 Публичного договора (специальные категории, данные несовершеннолетних без согласия и т. д.).

3. Категории субъектов и виды данных

3.1. Категории субъектов ПД, чьи данные могут попасть в Сервис:

  • работники и контрагенты Заказчика;
  • клиенты и контрагенты Заказчика;
  • иные лица, чьи данные содержатся в запросах Заказчика.

3.2. Виды ПД, обрабатываемых в Сервисе:

  • идентификационные (ФИО, должность, контакты Пользователей);
  • содержимое запросов (промптов) и ответов Моделей, которое может содержать ПД, введённые Заказчиком;
  • технические данные (IP-адрес, идентификатор сессии, журналы доступа).

3.3. Запрещено вводить в Сервис специальные категории ПД (биометрия, генетика, состояние здоровья, философские/религиозные/политические убеждения) без отдельного письменного согласования с Оператором.

4. Цели и сроки обработки

4.1. Цели обработки: предоставление доступа к Моделям, биллинг, поддержка, расследование инцидентов безопасности, исполнение обязательств по основному договору.

4.2. Срок хранения содержимого запросов и ответов:

  • API-режим — содержимое не сохраняется на серверах Оператора после возврата ответа;
  • Чат-режим — содержимое сохраняется в составе истории переписки Заказчика/Пользователя и хранится до удаления его самим Заказчиком/Пользователем средствами личного кабинета или до удаления Аккаунта.

Технические журналы — не более 90 дней. По завершении основного договора — все ПД удаляются в течение 30 дней, за исключением данных, обязательных к хранению по законодательству.

5. Обязательства Оператора

Оператор обязуется:

5.1. Обрабатывать ПД только в объёме и для целей, указанных в настоящем DPA и поручениях Заказчика.

5.2. Обеспечить конфиденциальность ПД; работники Оператора, имеющие доступ к ПД, обязаны подписками о неразглашении.

5.3. Принимать технические и организационные меры защиты (раздел 7).

5.4. Незамедлительно (но не позднее 3 (трёх) рабочих дней с момента, когда Оператору стало известно о нарушении — в соответствии с п. 1 ст. 16 Закона о ПД) уведомлять Заказчика об инцидентах компрометации ПД с описанием характера инцидента, затронутых категорий данных и принимаемых мер. Уведомление НЦЗПД в установленные сроки осуществляет Заказчик как оператор соответствующих ПД.

5.5. Оказывать содействие Заказчику в исполнении его обязанностей перед субъектами ПД (запросы на доступ, исправление, удаление, отзыв согласия), а также перед уполномоченным органом по защите ПД (Национальным центром защиты персональных данных РБ).

5.6. Не привлекать новых субоператоров без уведомления Заказчика (раздел 6).

6. Субоператоры (sub-processors)

6.1. Заказчик соглашается, что для оказания услуг Оператор привлекает следующие категории субоператоров и иных третьих лиц, обрабатывающих ПД от имени или в интересах Оператора:

КатегорияНазначениеЮрисдикция
Поставщики Моделей (foundation model providers)Обработка запросов соответствующими моделями ИИСША, ЕС, иные государства в зависимости от выбранной Модели
Провайдеры маршрутизации (LLM-агрегаторы)Техническая маршрутизация запросов к Поставщикам МоделейСША, ЕС, иные государства
Поставщики облачной инфраструктурыХостинг СервисаРеспублика Беларусь, иные государства
Платёжные сервисы и банки-эквайерыПриём и обработка платежейРеспублика Беларусь

6.2. Актуальный поимённый перечень субоператоров (с указанием юридических лиц, страны регистрации, целей обработки и ссылок на их политики) публикуется на странице https://bycom.by/subprocessors. Перечень может изменяться по мере подключения, замены или отключения отдельных провайдеров и Поставщиков Моделей.

6.3. Оператор уведомляет Заказчика о существенных изменениях в категориях субоператоров (добавление новой категории, изменение юрисдикции) не менее чем за 15 календарных дней через личный кабинет и e-mail. Изменение поимённого перечня в рамках существующих категорий (замена одного Поставщика Модели на другого, добавление новой Модели от существующего Поставщика, переключение между провайдерами маршрутизации) не является существенным изменением и осуществляется путём обновления страницы https://bycom.by/subprocessors без отдельного уведомления.

6.4. При обоснованных возражениях Заказчика против существенных изменений Заказчик вправе расторгнуть основной договор без штрафов в порядке п. 2.4 рамочного договора.

6.5. Поставщики Моделей и провайдеры маршрутизации в отношении переданного им контента запросов выступают самостоятельными независимыми операторами в соответствии с их собственными политиками обработки данных, размещёнными на их сайтах (см. п. 2.3 настоящего DPA).

6.6. Ответственность Оператора по настоящему DPA ограничена действиями Оператора в части технической передачи запросов. За действия Поставщиков Моделей и провайдеров маршрутизации как самостоятельных операторов Оператор не отвечает.

7. Технические и организационные меры

7.1. Оператор реализует обязательные меры, предусмотренные п. 3 ст. 17 Закона о ПД:

  • назначение лица, ответственного за осуществление внутреннего контроля за обработкой ПД;
  • издание документов, определяющих политику Оператора в отношении обработки ПД (опубликована на https://bycom.by/privacy);
  • ознакомление работников и иных лиц, непосредственно осуществляющих обработку ПД, с положениями законодательства о ПД и внутренней политикой; их обучение;
  • установление порядка доступа к ПД, в том числе обрабатываемым в информационных ресурсах (системах) Оператора;
  • осуществление технической и криптографической защиты ПД в порядке, установленном Оперативно-аналитическим центром при Президенте РБ, в соответствии с классификацией информационных ресурсов.

7.2. Дополнительно Оператор применяет:

  • шифрование передачи данных (TLS 1.2+);
  • шифрование хранилищ ПД;
  • разграничение доступа по принципу минимальных привилегий;
  • ведение журналов доступа и действий;
  • регулярное резервное копирование;
  • многофакторную аутентификацию для административного доступа;
  • регулярную оценку рисков.

7.3. Конкретный состав и перечень мер определяется Оператором с учётом требований Закона о ПД и подзаконных актов и может изменяться без предварительного уведомления Заказчика при условии сохранения общего уровня защиты.

8. Трансграничная передача

8.1. Запросы Заказчика передаются на серверы субоператоров за пределами Республики Беларусь (США, ЕС). Заказчик подтверждает, что получил согласия субъектов ПД на трансграничную передачу либо имеет иное правовое основание (ст. 9 Закона о ПД).

8.2. Оператор обеспечивает наличие соответствующих договорных гарантий с субоператорами (DPA / SCC / эквивалентные).

9. Помощь субъектам ПД

При получении запроса субъекта ПД, направленного через Сервис напрямую Оператору, Оператор перенаправляет такой запрос Заказчику в течение 5 рабочих дней и оказывает Заказчику разумное содействие в ответе.

10. Аудит

10.1. Заказчик вправе запросить у Оператора отчёт о соответствии мерам защиты ПД (например, ISO 27001 / SOC 2 / иные сертификации) не чаще одного раза в год.

10.2. Очный аудит проводится по согласованию Сторон, в рабочее время, без нарушения непрерывности оказания услуг иным клиентам, за счёт Заказчика.

11. Возврат и удаление данных

По прекращении основного договора Заказчик в течение 30 дней вправе запросить выгрузку своих данных в машиночитаемом формате. По истечении этого срока (или ранее, по выбору Заказчика) Оператор удаляет ПД из всех систем и подтверждает это письменно. Из резервных копий ПД удаляются по плановому циклу ротации (не более 90 дней).

12. Ответственность, заверения и возмещение убытков

12.1. Заверения и гарантии Заказчика. Заказчик заверяет и гарантирует, что:

  • имеет правовые основания для обработки ПД, передаваемых в Сервис (согласия субъектов либо иные основания по ст. 6 Закона о ПД);
  • получил согласия субъектов ПД на трансграничную передачу (ст. 9) либо имеет иное законное основание;
  • информировал субъектов ПД о передаче данных Оператору, о Поставщиках Моделей как самостоятельных операторах и о трансграничной передаче;
  • не передаёт в Сервис ПД сверх необходимого (принцип минимизации) и не вводит в Сервис категорий данных, запрещённых разделом 8 Публичного договора;
  • самостоятельно ведёт предусмотренный законодательством учёт операций по обработке ПД и реестры согласий.

12.2. Оператор не несёт ответственности за:

  • нарушение Заказчиком его собственных обязанностей оператора ПД;
  • правомерность ввода Заказчиком и его Пользователями конкретных данных в Сервис;
  • действия Поставщиков Моделей как самостоятельных операторов после получения ими запроса;
  • последствия использования Заказчиком ответов Моделей.

12.3. Возмещение убытков (indemnification). Заказчик обязуется в полном объёме возместить Оператору все убытки, штрафы, расходы и претензии (включая претензии субъектов ПД, компенсацию морального вреда субъектам ПД по п. 2 ст. 19 Закона о ПД, предписания и штрафы НЦЗПД, расходы на юридическую защиту), возникшие вследствие нарушения Заказчиком п. 12.1 или иных положений настоящего DPA.

12.3.1. Заказчик возмещает указанные суммы в течение 10 рабочих дней с даты получения письменной претензии Оператора с приложением подтверждающих документов (копии предписаний, решений судов, актов выполненных работ юридических консультантов и т. п.).

12.3.2. До возмещения Оператор вправе:

  • приостановить оказание услуг по основному договору без возврата уплаченных средств;
  • удержать необходимую сумму из остатка Лицевого счёта Заказчика;
  • произвести зачёт встречных однородных требований в одностороннем порядке.

12.3.3. Заказчик отказывается от любых возражений, основанных на том, что возмещаемые суммы являются публично-правовыми санкциями либо несоразмерны последствиям нарушения, в пределах, допустимых законодательством Республики Беларусь.

12.4. Совокупная ответственность Оператора по настоящему DPA ограничена меньшим из следующих значений:

(а) сумма, фактически уплаченная Заказчиком за 3 (три) календарных месяца, предшествующих основанию ответственности;

(б) 10 000 (десять тысяч) белорусских рублей.

Настоящий лимит не применяется к обязательствам Заказчика по возмещению убытков (раздел 12.3 настоящего DPA) и к обязательствам по сохранению конфиденциальности (раздел 5.2). Совокупный лимит ответственности Оператора по настоящему DPA и Публичному договору применяется единый — не суммируется.

13. Срок действия, приоритет

13.1. DPA действует с даты подписания и пока действует основной договор; обязательства о конфиденциальности и удалении данных сохраняются после его прекращения.

13.2. При противоречии между настоящим DPA и Публичным договором/основным договором в части обработки ПД — приоритет имеет настоящее DPA.

14. Подписи Сторон

Оператор (Исполнитель)Заказчик
______________________________________
УНП: ___________________УНП: ___________________
_______________ / ____________ /_______________ / ____________ /
Б.П.Б.П.