BuyerPort

Профессиональный сервис для байеров и персональных шоперов

СОГЛАШЕНИЕ ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

г. Санкт-Петербург, Российская Федерация «__» __________ 2025 г.
Общество с ограниченной ответственностью «Стратегия Бизнеса» (сокращенное наименование ООО «Стратегия Бизнеса» (ОГРН 1167847423480, ИНН 7805686804), в лице Генерального директора Базымянской Кристины Александровны, действующего на основании Устава (далее — Оператор), с одной стороны, и
Компания EQUADOR ARISTOCRATA UNIPESSOAL LDA, созданная по законодательству Португальской Республики, в лице уполномоченного представителя, действующего на основании учредительных документов и договора (далее — Обработчик), с другой стороны, совместно именуемые Стороны, заключили настоящее Соглашение об обработке персональных данных (далее — Соглашение) к Агентскому договору от «__» _________ 2025 г. № ___ (далее — Агентский договор) о нижеследующем:

1. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
1.1. В настоящем Соглашении используются следующие термины:
Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).
Оператор персональных данных (далее также — Оператор) — ООО «Стратегия Бизнеса» (ОГРН 1167847423480, ИНН 7805686804), самостоятельно определяющее цели и содержание обработки персональных данных, а также действия (операции), совершаемые с персональными данными.
Обработчик персональных данных (далее также — Обработчик) — Компания EQUADOR ARISTOCRATA UNIPESSOAL LDA, осуществляющая обработку персональных данных по поручению Оператора и исключительно в целях исполнения Агентского договора на основании настоящего Соглашения и Агентского договора.
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без их использования с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
152-ФЗ — Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
GDPR — General Data Protection Regulation (Регламент ЕС 2016/679 о защите персональных данных).
Клиент — физическое лицо, заказывающее у Оператора услуги по выкупу товаров в иностранных (в том числе европейских) интернет-магазинах и их доставке на территорию Российской Федерации; Клиент может совпадать с Получателем либо отличаться от него.
Получатель — физическое лицо, которое непосредственно принимает товар при доставке на территории Российской Федерации.
Лидогенератор — юридическое лицо, индивидуальный предприниматель или физическое лицо — самозанятый, действующий на основании отдельного договора с Оператором и/или Клиентом, самостоятельно обеспечивающий соблюдение законодательства о персональных данных при получении персональных данных Клиента, их передаче Оператору и привлечении потенциальных Клиентов.
1.2. Иные термины и определения, используемые в настоящем Соглашении, толкуются в соответствии с законодательством Российской Федерации и Европейского Союза, а при отсутствии их толкования в указанных правопорядках — в соответствии с общепринятым деловым оборотом.
2. ПРЕДМЕТ СОГЛАШЕНИЯ
2.1. Настоящее Соглашение определяет порядок, условия и требования к обработке персональных данных Клиентов, Получателей и Лидогенераторов (далее вместе — субъекты персональных данных), передаваемых Оператором Обработчику в рамках исполнения Агентского договора по выкупу товаров в европейских интернет-магазинах и их доставке на территорию Российской Федерации, а также исполнения иных обязанностей Обработчика по Агентскому договору, связанных с обработкой персональных данных.
2.2. Обработчик осуществляет обработку персональных данных исключительно по поручению Оператора и в объёме, необходимом для исполнения Агентского договора. Обработчик не вправе использовать персональные данные в каких-либо иных целях без предварительного письменного согласия Оператора.
2.3. Настоящее Соглашение является неотъемлемой частью Агентского договора и действует в течение всего срока действия Агентского договора, а также в части обязательств по конфиденциальности и защите персональных данных — в течение сроков, установленных настоящим Соглашением.
2.4. Правовые основания обработки персональных данных:
– Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (в том числе ст. 6, ст. 12);
– GDPR (в частности, статья 28 «Processing under the authority of the controller»);
– согласие субъектов персональных данных на обработку и трансграничную передачу их персональных данных;
– Агентский договор между Оператором и Обработчиком.
3. КАТЕГОРИИ СУБЪЕКТОВ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Субъектами персональных данных в рамках настоящего Соглашения являются:
– Клиенты — физические лица, заказывающие у Оператора услуги по выкупу и доставке товаров;
– Получатели — физические лица, непосредственно принимающие товар при доставке;
– Лидогенераторы — лица, указанные в разделе 1 настоящего Соглашения.
3.2. В отношении Клиентов и Получателей Обработке подлежат следующие категории персональных данных, передаваемых Оператором Обработчику:
3.2.1. Обязательные данные:
– фамилия, имя, отчество Клиента и (при отличии) Получателя (при наличии);
– адрес доставки в Российской Федерации (почтовый индекс, субъект РФ, населённый пункт, улица, дом, корпус/строение, квартира/офис);
– номер телефона (мобильный) Клиента и/или Получателя;
– адрес электронной почты (e-mail) Клиента и/или Получателя.
3.2.2. Дополнительные данные (при необходимости, для таможенного оформления):
– паспортные данные Клиента и/или Получателя (серия, номер, кем и когда выдан) — для таможенного оформления при стоимости или характеристиках товара, требующих предоставления паспортных данных;
– ИНН Клиента и/или Получателя — для таможенного оформления в случаях, предусмотренных законодательством;
– дата рождения Клиента и/или Получателя — для таможенного оформления и идентификации, в случаях, предусмотренных законодательством.
Перечень и объём дополнительных данных определяется Оператором в соответствии с требованиями законодательства Российской Федерации и (при необходимости) Европейского Союза.
3.3. В отношении Лидогенераторов Обработке подлежат следующие категории персональных данных, передаваемых Оператором Обработчику в случаях, предусмотренных Агентским договором:
– фамилия, имя, отчество Лидогенератора — физического лица (самозанятого, индивидуального предпринимателя) либо ФИО представителя Лидогенератора — юридического лица;
– полное наименование Лидогенератора — юридического лица (при наличии);
– контактные данные (номер телефона, адрес электронной почты);
– реквизиты банковского счёта (карты) для осуществления взаиморасчётов (номер счёта, наименование банка и иные необходимые реквизиты);
– иные сведения, прямо предусмотренные Агентским договором и необходимые для взаимодействия с Лидогенератором и исполнения обязательств по Агентскому договору.
Обработчик не запрашивает и не получает от Оператора дополнительные персональные данные Лидогенераторов сверх указанного объёма без предварительного письменного согласования с Оператором.
3.4. Обработчик обязуется обрабатывать только те персональные данные Клиентов, Получателей и Лидогенераторов, которые необходимы для исполнения Агентского договора, и не запрашивать у Оператора дополнительные персональные данные без предварительного согласования.
3.5. Специальные категории персональных данных (данные о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни), а также биометрические персональные данные в рамках настоящего Соглашения не обрабатываются.
4. ЦЕЛИ И ДЕЙСТВИЯ ПО ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Обработчик осуществляет обработку персональных данных исключительно в следующих целях:
– выкуп товаров в европейских интернет-магазинах и (или) у иных продавцов от имени Оператора в интересах Клиентов и Получателей;
– приёмка товаров на склад Обработчика в Европейском Союзе;
– консолидация и переупаковка товаров;
– таможенное оформление товаров при экспорте из Европейского Союза и импорте в Российскую Федерацию;
– организация логистики и доставки товаров по адресу Получателя в Российской Федерации;
– передача информации о посылке транспортным и почтовым компаниям для осуществления доставки;
– уведомление Клиента и/или Получателя о статусе заказа (при необходимости, по соглашению с Оператором);
– при наличии соответствующих обязанностей Обработчика по Агентскому договору — взаимодействие с Лидогенераторами и участие в организации взаиморасчётов с ними.
4.2. Обработчик осуществляет следующие действия (операции) с персональными данными Клиентов, Получателей и Лидогенераторов:
– получение персональных данных от Оператора;
– запись и систематизация персональных данных в информационных системах Обработчика;
– хранение персональных данных на серверах, расположенных на территории Европейского Союза;
– использование персональных данных для исполнения обязательств по Агентскому договору;
– передача персональных данных транспортным и логистическим компаниям, почтовым службам, таможенным органам (в объёме, необходимом для доставки и таможенного оформления), а также страховым компаниям при наличии страхования груза;
– уточнение (обновление, изменение) персональных данных по запросу Оператора;
– блокирование персональных данных по требованию Оператора или субъекта персональных данных;
– удаление и уничтожение персональных данных по истечении срока хранения или по требованию Оператора.
4.3. Обработчик обязуется:
– не использовать персональные данные в целях, не связанных с Агентским договором;
– не раскрывать персональные данные третьим лицам, за исключением случаев, предусмотренных настоящим Соглашением, Агентским договором или законодательством;
– не объединять базы данных персональных данных, полученные от Оператора, с базами данных третьих лиц, если это не необходимо для исполнения Агентского договора и не согласовано с Оператором.
4.4. Обработчик вправе передавать персональные данные следующим третьим лицам в объёме, необходимом для исполнения Агентского договора:
– транспортные и логистические компании (для организации доставки);
– почтовые службы (для финальной доставки по адресу Получателя);
– таможенные органы Европейского Союза и Российской Федерации (для таможенного оформления);
– страховые компании (при наличии страхования груза).
4.5. При передаче персональных данных третьим лицам Обработчик обязуется:
– передавать только минимально необходимый объём персональных данных;
– требовать от третьих лиц соблюдения конфиденциальности и мер защиты персональных данных;
– заключать с третьими лицами соглашения (договоры), предусматривающие обязательства по защите персональных данных не ниже уровня, установленного настоящим Соглашением.
4.6. Обработчик обязуется не привлекать иных обработчиков персональных данных (суб-обработчиков) без предварительного письменного согласия Оператора.
4.7. Обработка персональных данных осуществляется на территории Европейского Союза (Португалия) и Российской Федерации (в процессе доставки и взаимодействия с курьерскими/почтовыми службами).
5. ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Настоящее Соглашение регулирует трансграничную передачу персональных данных Клиентов, Получателей и Лидогенераторов с территории Российской Федерации на территорию Португалии (Европейский Союз) и обратно, в рамках исполнения Агентского договора.
5.2. Трансграничная передача персональных данных осуществляется на основании:
– согласия субъектов персональных данных на трансграничную передачу их персональных данных;
– необходимости исполнения договора, стороной которого является субъект персональных данных либо выгодоприобретателем или поручителем по которому он является, в соответствии с частью 1 статьи 12 Федерального закона № 152-ФЗ.
5.3. Обработчик подтверждает, что на территории Португалии (Европейский Союз) обеспечивается уровень защиты персональных данных, сопоставимый с требованиями GDPR и достаточный для соблюдения прав субъектов персональных данных в соответствии с требованиями законодательства Европейского Союза.
5.4. Оператор осуществляет оценку условий обработки персональных данных в иностранных государствах, на территорию которых предполагается передача персональных данных, и, в случаях, предусмотренных законодательством Российской Федерации, уведомляет Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций о предполагаемой трансграничной передаче персональных данных в соответствии со статьёй 12 Федерального закона № 152-ФЗ.
5.5. Обработчик обязуется не осуществлять дальнейшую трансграничную передачу персональных данных из Европейского Союза в третьи страны без предварительного письменного согласия Оператора, за исключением случаев, прямо предусмотренных законодательством Европейского Союза и Российской Федерации.
6. ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА
6.1. Оператор обязан:
6.1.1. Получить надлежащее, свободное и информированное согласие субъектов персональных данных (Клиентов, Получателей и, при необходимости, Лидогенераторов) на обработку и трансграничную передачу их персональных данных Обработчику, в объёме, необходимом для исполнения Агентского договора.
6.1.2. Передавать Обработчику только те персональные данные Клиентов, Получателей и Лидогенераторов, которые необходимы для исполнения Агентского договора.
6.1.3. Обеспечить первичный сбор и хранение персональных данных на серверах, расположенных на территории Российской Федерации, в соответствии с требованиями законодательства Российской Федерации.
6.1.4. Уведомлять Обработчика о любых изменениях в персональных данных Клиентов и Получателей, которые могут повлиять на исполнение Агентского договора (доставка, таможенное оформление и т.п.).
6.1.5. Незамедлительно информировать Обработчика о получении требований субъектов персональных данных или уполномоченного органа о прекращении обработки, блокировании или удалении персональных данных, переданных Обработчику.
6.1.6. Осуществлять контроль за соблюдением Обработчиком требований настоящего Соглашения и законодательства о персональных данных, в том числе путём запросов информации и, при необходимости, проведения проверок.
6.2. Оператор имеет право:
– требовать от Обработчика предоставления информации о мерах по защите персональных данных;
– требовать прекращения обработки персональных данных и их уничтожения в случаях, предусмотренных законодательством и настоящим Соглашением;
– в одностороннем порядке расторгнуть Соглашение в случае грубого нарушения Обработчиком требований законодательства о персональных данных или условий настоящего Соглашения.
7. ПРАВА И ОБЯЗАННОСТИ ОБРАБОТЧИКА
7.1. Обработчик обязан:
– обрабатывать персональные данные исключительно по поручению Оператора и в целях, указанных в настоящем Соглашении;
– соблюдать конфиденциальность персональных данных и обеспечивать их защиту от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий;
– немедленно информировать Оператора о любых инцидентах, связанных с нарушением безопасности персональных данных;
– оказывать содействие Оператору в исполнении обязанностей перед субъектами персональных данных и уполномоченными органами;
– исполнить требования Оператора о блокировании, исправлении, обезличивании или уничтожении персональных данных в предусмотренных законом случаях.
7.2. Обработчик имеет право:
– обрабатывать персональные данные в объёме, необходимом для исполнения Агентского договора;
– привлекать своих сотрудников и (при наличии согласия Оператора) субобработчиков при условии соблюдения ими требований по защите персональных данных не ниже уровня настоящего Соглашения.
8. МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Обработчик принимает необходимые правовые, организационные и технические меры по защите персональных данных Клиентов, Получателей и Лидогенераторов от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий, в том числе:
Организационные меры:
– назначение ответственного лица за организацию обработки персональных данных;
– ознакомление сотрудников с требованиями законодательства о персональных данных и настоящим Соглашением;
– заключение с сотрудниками соглашений о неразглашении персональных данных;
– ограничение доступа к персональным данным (доступ только для сотрудников, которым это необходимо для исполнения служебных обязанностей);
– учёт лиц, получивших доступ к персональным данным;
– разработка и утверждение внутренних политик и процедур по защите персональных данных.
Технические меры:
– использование средств защиты информации (антивирусное программное обеспечение, межсетевые экраны);
– шифрование персональных данных при передаче по открытым каналам связи (SSL/TLS);
– резервное копирование персональных данных;
– обеспечение безопасности серверов и баз данных (контроль доступа, аутентификация, журналирование действий);
– использование защищённых протоколов передачи данных (HTTPS, SFTP);
– регулярное обновление программного обеспечения и устранение уязвимостей.
8.2. Обработчик обязуется хранить персональные данные на серверах и в помещениях, обеспечивающих надлежащий уровень защиты (контроль доступа, охрана, ограниченный физический доступ в серверные помещения, видеонаблюдение, системы пожаротушения и т.п.).
8.3. Обработчик обязуется проводить внутренние аудиты безопасности информационных систем, в которых обрабатываются персональные данные, не реже одного раза в год.
9. КОНФИДЕНЦИАЛЬНОСТЬ
9.1. Стороны обязуются сохранять конфиденциальность персональных данных и не раскрывать их третьим лицам, за исключением случаев, предусмотренных настоящим Соглашением, Агентским договором или законодательством.
9.2. Обязательства по соблюдению конфиденциальности действуют в течение всего срока действия настоящего Соглашения и в течение 5 (пяти) лет после его прекращения, если более длительный срок не установлен законодательством.
9.3. Конфиденциальность не распространяется на информацию:
– ставшую общедоступной не по вине Стороны;
– полученную от третьих лиц без нарушения обязательств по конфиденциальности;
– подлежащую раскрытию в силу требований законодательства или вступившего в законную силу судебного акта.
10. СРОК ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
10.1. Персональные данные Клиентов, Получателей и Лидогенераторов, переданные Обработчику Оператором, хранятся Обработчиком в форме, позволяющей определить субъекта персональных данных, в течение срока, необходимого для достижения целей обработки, указанных в разделе 4 настоящего Соглашения, но не более 3 (трёх) лет с момента завершения доставки товара Получателю и (или) полного исполнения Обработчиком обязательств по Агентскому договору, если иной срок хранения не предусмотрен законодательством Европейского Союза либо Российской Федерации.
По истечении указанного срока, а также при получении от Оператора письменного требования об уничтожении (обезличивании) персональных данных при отсутствии иных законных оснований для их обработки, Обработчик обязан уничтожить (обезличить) персональные данные в порядке и сроки, предусмотренные настоящим Соглашением, и предоставить Оператору письменное подтверждение уничтожения.
10.2. По истечении срока хранения Обработчик обязуется уничтожить персональные данные в течение 30 (тридцати) календарных дней в порядке, предусмотренном настоящим Соглашением, и предоставить Оператору письменное подтверждение уничтожения персональных данных (акт об уничтожении).
10.3. Уничтожение персональных данных осуществляется путём:
– физического уничтожения материальных носителей (бумажных документов);
– безвозвратного удаления с электронных носителей с использованием специализированного программного обеспечения либо иных методов, исключающих возможность восстановления данных.
10.4. Обработчик обязуется предоставить Оператору письменное подтверждение произведённого уничтожения персональных данных (акт об уничтожении) в течение 5 (пяти) рабочих дней после уничтожения.
11. ПОРЯДОК ВЗАИМОДЕЙСТВИЯ СО СУБЪЕКТАМИ ПЕРСОНАЛЬНЫХ ДАННЫХ
11.1. При получении обращения или требования субъекта персональных данных, связанного с обработкой его персональных данных Обработчиком, Обработчик:
– незамедлительно (но не позднее 3 рабочих дней) уведомляет Оператора о таком обращении или требовании;
– согласовывает с Оператором позицию и порядок ответа;
– по поручению Оператора и в пределах своей компетенции оказывает содействие в подготовке ответа субъекту персональных данных.
11.2. Обработчик не вступает в самостоятельную переписку с субъектами персональных данных по вопросам, затрагивающим права и обязанности Оператора, без предварительного согласования с Оператором, за исключением случаев, прямо предусмотренных законодательством.
12. УВЕДОМЛЕНИЕ ОБ ИНЦИДЕНТАХ
12.1. Под инцидентом безопасности персональных данных понимается любое событие, приведшее или могшее привести к неправомерному или случайному доступу к персональным данным, их уничтожению, изменению, блокированию, копированию, предоставлению, распространению, а также к иным неправомерным действиям с персональными данными.
12.2. При обнаружении инцидента безопасности персональных данных Обработчик обязан:
– незамедлительно, но не позднее 24 часов с момента обнаружения инцидента, уведомить Оператора с указанием всех имеющихся деталей;
– принять необходимые меры для локализации и минимизации последствий инцидента;
– в разумный срок предоставить Оператору подробный отчёт о причинах инцидента, принятых мерах и планах по недопущению аналогичных инцидентов в будущем.
13. ОТВЕТСТВЕННОСТЬ СТОРОН
13.1. Стороны несут ответственность за нарушение требований законодательства о персональных данных и условий настоящего Соглашения в соответствии с законодательством Российской Федерации, Европейского Союза (в части, применимой к Обработчику), а также условиями Агентского договора.
13.2. Обработчик несёт ответственность перед Оператором за действия (бездействие) своих работников, а также привлекаемых по согласованию с Оператором суб-обработчиков, как за собственные действия (бездействие).
13.3. В случае привлечения Оператора к ответственности в связи с нарушением Обработчиком требований законодательства о персональных данных или настоящего Соглашения Оператор вправе предъявить к Обработчику регрессное требование о возмещении убытков, штрафов и иных расходов, понесённых Оператором.
14. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
14.1. Настоящее Соглашение заключено во исполнение требований:
– Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
– Постановления Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
– GDPR (Регламент ЕС 2016/679 о защите данных).
14.2. Все изменения и дополнения к настоящему Соглашению оформляются в письменной форме в виде дополнительных соглашений и являются его неотъемлемой частью.
14.3. Вопросы, не урегулированные настоящим Соглашением, регулируются законодательством Российской Федерации и Европейского Союза в части, применимой к Обработчику.
14.4. В случае противоречия между положениями настоящего Соглашения и положениями Агентского договора приоритет имеют положения настоящего Соглашения в части, касающейся обработки персональных данных.
14.5. Стороны обязуются уведомлять друг друга об изменении своих реквизитов в течение 5 (пяти) рабочих дней с момента таких изменений.
14.6. Настоящее Соглашение составлено на русском языке в двух экземплярах, имеющих равную юридическую силу, по одному экземпляру для каждой из Сторон.
14.7. Приложения к настоящему Соглашению являются его неотъемлемой частью:
– Приложение № 1 — Перечень персональных данных, обрабатываемых Обработчиком;
– Приложение № 2 — Меры по обеспечению безопасности персональных данных;
– Приложение № 3 — Порядок уничтожения и сроки хранения персональных данных (при наличии отдельного приложения).

РЕКВИЗИТЫ И ПОДПИСИ СТОРОН

ОПЕРАТОР:
ООО «Стратегия Бизнеса»
ОГРН: 1167847423480
ИНН: 7805686804
Адрес: 196066, РФ, г. Санкт-Петербург, вн. тер. г. Муниципальный округ Звёздное, Московский пр-т, д. 212, литера А, помещ. вход 1 180Н, офис 4050

___________________ / Базымянская К.А. /
(подпись)
М.П.

ОБРАБОТЧИК:
EQUADOR ARISTOCRATA UNIPESSOAL LDA
ИНН (NIF) – 517736268
Адрес:
Avenida Pedro Álvares Cabral, nº177, AZ O, Sintra, 2710-144

______________________ / [ФИО] /
(подпись)
М.П.

ПРИЛОЖЕНИЕ № 1

к Соглашению об обработке персональных данных

от «__» __________ 2025 г.

 

ПЕРЕЧЕНЬ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ ОБРАБОТЧИКОМ

1. Идентификационные данные Клиента и (при отличии) Получателя
Состав данных: Фамилия, имя, отчество (при наличии) Клиента и (при отличии) Получателя
Цель обработки: Идентификация Клиента и Получателя при выкупе товара, оформлении заказа и организации доставки

2. Контактные данные Клиента и/или Получателя
Состав данных: Номер телефона (мобильный), адрес электронной почты Клиента и/или Получателя
Цель обработки: Связь с Клиентом и/или Получателем по вопросам оформления и доставки, уведомления о статусе заказа

3. Адресные данные Получателя
Состав данных: Адрес доставки в РФ (индекс, регион, город, улица, дом, корпус/строение, квартира/офис)
Цель обработки: Организация доставки товара по адресу Получателя

4. Документы, удостоверяющие личность (при необходимости)
Состав данных: Паспортные данные Клиента и/или Получателя (серия, номер, кем и когда выдан)
Цель обработки: Таможенное оформление товаров в случаях, предусмотренных законодательством РФ (в том числе при стоимости товаров свыше 1000 EUR или иных пороговых значениях, установленных законодательством)

5. Налоговые данные (при необходимости)
Состав данных: ИНН Клиента и/или Получателя.
Цель обработки: Таможенное оформление, если предоставление ИНН требуется законодательством.

7. Биографические данные (при необходимости)
Состав данных: Дата рождения Клиента и/или Получателя.
Цель обработки: Таможенное оформление и идентификация, если это требуется законодательством РФ и (или) ЕС

7. Данные Лидогенератора
Состав данных: ФИО Лидогенератора — физического лица (самозанятого/ИП) либо ФИО представителя Лидогенератора — юридического лица; наименование Лидогенератора — юридического лица (при наличии);
Цель обработки: Взаимодействие с Лидогенератором и осуществление взаиморасчётов в рамках Агентского договора (если соответствующие функции возложены на Обработчика)

Примечания:

• Персональные данные из пунктов 4–6 обрабатываются только при необходимости таможенного оформления товаров в случаях, предусмотренных законодательством Российской Федерации и (или) Европейского Союза.
• Персональные данные Лидогенераторов (п. 7) обрабатываются Обработчиком только в объёме, необходимом для исполнения возложенных на него обязанностей по Агентскому договору и в случаях, когда такие функции прямо предусмотрены Агентским договором и (или) настоящим Соглашением.
• Обработчик обязуется не запрашивать и не обрабатывать специальные категории персональных данных (данные о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни), а также биометрические персональные данные.

РЕКВИЗИТЫ И ПОДПИСИ СТОРОН

ОПЕРАТОР:
ООО «Стратегия Бизнеса»
ОГРН: 1167847423480
ИНН: 7805686804
Адрес: 196066, РФ, г. Санкт-Петербург, вн. тер. г. Муниципальный округ Звёздное, Московский пр-т, д. 212, литера А, помещ. вход 1 180Н, офис 4050

___________________ / Базымянская К.А. /
(подпись)
М.П.


ОБРАБОТЧИК:
EQUADOR ARISTOCRATA UNIPESSOAL LDA
ИНН (NIF) – 517736268
Адрес:
Avenida Pedro Álvares Cabral, nº177, AZ O, Sintra, 2710-144

______________________ / [ФИО] /
(подпись)
М.П.

ПРИЛОЖЕНИЕ № 2

к Соглашению об обработке персональных данных

от «_» __________ 2025 г.

МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ Клиентов, Получателей и Лидогенераторов

1. ОРГАНИЗАЦИОННЫЕ МЕРЫ.
1.1. Управление доступом:
●      Назначение ответственного лица за организацию обработки персональных данных;
●      Ограничение доступа к персональным данным (доступ только для сотрудников, которым это необходимо);
●      Ведение журнала учёта лиц, имеющих доступ к персональным данным;
●      Немедленное прекращение доступа при увольнении сотрудника или изменении его должностных обязанностей.
1.2. Обучение и инструктаж:
●      Ознакомление всех сотрудников, имеющих доступ к персональным данным, с требованиями законодательства РФ и ЕС;
●      Проведение ежегодного обучения сотрудников по вопросам защиты персональных данных;
●      Подписание сотрудниками обязательств о неразглашении персональных данных.
1.3. Внутренние политики и процедуры:
●      Разработка и утверждение Политики обработки персональных данных;
●      Утверждение инструкций по обработке и защите персональных данных;
●      Разработка процедур реагирования на инциденты информационной безопасности.
1.4. Контроль и аудит:
●      Проведение внутренних проверок соблюдения требований законодательства о персональных данных (не реже 1 раза в год);
●      Ведение журнала действий с персональными данными (кто, когда, какие данные обрабатывал);
●      Регулярный анализ инцидентов и принятие мер по их предотвращению.
2. ТЕХНИЧЕСКИЕ МЕРЫ
2.1. Защита информационных систем:
●      Использование сертифицированных средств защиты информации (антивирусное ПО, межсетевые экраны);
●      Установка систем обнаружения и предотвращения вторжений (IDS/IPS);
●      Регулярное обновление программного обеспечения и операционных систем;
●      Применение патчей безопасности в течение 7 дней после их выпуска.
2.2. Шифрование данных:
●      Шифрование персональных данных при передаче по открытым каналам связи (протоколы SSL/TLS, HTTPS);
●      Шифрование персональных данных при хранении в базах данных (AES-256 или аналогичные алгоритмы);
●      Использование защищённых протоколов для передачи файлов (SFTP, FTPS).
2.3. Аутентификация и авторизация:
●      Использование сложных паролей (не менее 10 символов, включая буквы, цифры, спецсимволы);
●      Обязательная двухфакторная аутентификация для доступа к системам обработки персональных данных;
●      Автоматическая блокировка учётной записи после 3 неудачных попыток входа;
●      Смена паролей не реже 1 раза в 90 дней.
2.4. Резервное копирование:
●      Ежедневное резервное копирование баз данных, содержащих персональные данные;
●      Хранение резервных копий на отдельных серверах;
●      Шифрование резервных копий;
●      Проверка возможности восстановления данных из резервных копий не реже 1 раза в квартал.
2.5. Физическая безопасность:
●      Размещение серверов в защищённых дата-центрах с контролируемым доступом;
●      Системы видеонаблюдения в серверных помещениях (запись хранится не менее 30 дней);
●      Системы пожаротушения и климат-контроля;
●      Бесперебойное питание серверов (ИБП, резервные генераторы).
2.6. Мониторинг и журналирование:
●      Ведение журналов событий информационной безопасности (логи доступа, изменения, удаления данных);
●      Мониторинг сетевого трафика и выявление аномальной активности;
●      Хранение журналов событий не менее 6 месяцев;
●      Автоматические оповещения администратора при подозрительной активности.
2.7. Защита от утечек данных:
●      Системы предотвращения утечек данных (DLP — Data Loss Prevention);
●      Запрет на подключение внешних носителей информации без разрешения администратора;
●      Контроль за отправкой персональных данных по электронной почте (только с шифрованием);
●      Блокировка возможности копирования персональных данных на личные устройства сотрудников.
3. МЕРЫ ПРИ ИНЦИДЕНТАХ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
3.1. Порядок действий при инциденте:
●      Немедленное (в течение 1 часа) уведомление ответственного лица за информационную безопасность;
●      Локализация инцидента и предотвращение дальнейшего распространения;
●      Сбор и фиксация информации об инциденте (кто, что, когда, какие данные затронуты);
●      Уведомление Оператора в течение 24 часов с момента обнаружения инцидента;
●      Проведение расследования причин инцидента и разработка мер по предотвращению повторения.
3.2. Документирование инцидентов:
●      Ведение Журнала инцидентов информационной безопасности;
●      Хранение информации об инцидентах не менее 3 лет;
●      Ежеквартальный анализ инцидентов и корректировка мер защиты.
4. УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Порядок уничтожения:
●      Безвозвратное удаление персональных данных с электронных носителей с использованием специализированного ПО (многократная перезапись, соответствие стандарту DoD 5220.22-M или аналогичному);
●      Физическое уничтожение бумажных документов (шредирование, сжигание);
●      Составление Акта об уничтожении персональных данных (с указанием даты, способа уничтожения, количества уничтоженных записей).
4.2. Сроки уничтожения:
●      По истечении срока хранения — в течение 30 календарных дней;
●      По требованию Оператора — в течение 10 рабочих дней;
●      По требованию субъекта персональных данных — в течение 10 рабочих дней (если отсутствуют законные основания для продолжения обработки).

РЕКВИЗИТЫ И ПОДПИСИ СТОРОН

ОПЕРАТОР:
ООО «Стратегия Бизнеса»
ОГРН: 1167847423480
ИНН: 7805686804
Адрес: 196066, РФ, г. Санкт-Петербург, вн. тер. г. Муниципальный округ Звёздное, Московский пр-т, д. 212, литера А, помещ. вход 1 180Н, офис 4050

___________________ / Базымянская К.А. /
(подпись)
М.П.

ОБРАБОТЧИК:
EQUADOR ARISTOCRATA UNIPESSOAL LDA
ИНН (NIF) – 517736268
Адрес:
Avenida Pedro Álvares Cabral, nº177, AZ O, Sintra, 2710-144

______________________ / [ФИО] /
(подпись)
М.П.

ООО «Стратегия бизнеса»
ИНН: 7805686804
ОГРН/ОГРНИП: 1167847423480