Черновик. Компания в процессе регистрации

Политика в отношении обработки персональных данных

ВНИМАНИЕ. ЧЕРНОВИК v3, переработан на основе структуры публичных политик отрасли (в т.ч. ИТ-агентств, работающих с ботами/мини-приложениями) и с учётом замечаний юриста: запрет передачи ПДн в AI-сервисы по умолчанию, процедура уведомления Роскомнадзора при трансграничной передаче, развёрнутые меры защиты и порядок уведомления об инцидентах. Не публиковать без финального согласования. Компания ещё не зарегистрирована — реквизиты вставлены как плейсхолдеры и требуют заполнения после регистрации ИП/ООО.

1. Общие положения

1.1. Настоящая Политика в отношении обработки персональных данных (далее — «Политика») определяет порядок обработки персональных данных (далее — «ПДн») и меры по обеспечению их безопасности, предпринимаемые

[организационно-правовая форма и наименование, например: ИП Иванов Иван Иванович / ООО «AXIS»] (далее — «Оператор»).

1.2. Оператор оказывает услуги по разработке программных продуктов (Telegram-боты, мини-приложения, сайты, автоматизация бизнес-процессов, интеграции с внешними системами) и ставит важнейшей целью своей деятельности соблюдение прав и свобод человека при обработке его персональных данных, включая защиту права на неприкосновенность частной жизни, личную и семейную тайну.

1.3. Политика применяется ко всей информации, которую Оператор может получить о посетителях сайта

[адрес сайта, например: axis-tech.ru] (далее — «Сайт»), пользователях Telegram-бота Оператора, а также о представителях юридических лиц — заказчиков услуг Оператора.

1.4. Политика разработана в соответствии с Конституцией РФ, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Приказом ФСТЭК России от 18.02.2013 № 21, и иными нормативными правовыми актами РФ, принятыми во исполнение указанных актов.

2. Термины и определения

3. Принципы обработки персональных данных

Обработка ПДн Оператором осуществляется на основе следующих принципов: законность и справедливость целей и способов обработки; ограниченность обработки достижением конкретных, заранее определённых и законных целей; недопущение объединения баз данных, обработка которых осуществляется в несовместимых между собой целях; обработка только тех ПДн, которые отвечают целям их обработки; соответствие содержания и объёма обрабатываемых ПДн заявленным целям; недопустимость избыточности ПДн по отношению к заявленным целям обработки; хранение ПДн в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки, если иное не установлено законодательством РФ или договором.

4. Категории и цели обработки персональных данных

4.1. Оператор обрабатывает ПДн, которые субъект ПДн предоставляет самостоятельно через формы на Сайте, в Telegram-боте, по электронной почте или в мессенджерах, а также обезличенные технические данные о посетителях Сайта, собираемые с помощью счётчиков и файлов cookie (см. отдельную Политику в отношении файлов cookie). Ниже приведён перечень целей обработки с указанием категорий ПДн, субъектов и правовых оснований по каждой цели.

Цель № 1. Обработка заявки и консультирование по услугам Оператора

Цель № 2. Подготовка, заключение и исполнение договора оказания услуг

Цель № 3. Направление документов, актов, счетов и уведомлений о ходе работ

Цель № 4. Информационная и рекламная рассылка

Цель № 5. Статистика и улучшение работы Сайта

Цель № 6. Обработка ПДн по поручению заказчика (разработка ботов, CRM, интеграций, отчётов, дашбордов)

4.2. Оператор не обрабатывает специальные категории персональных данных (о состоянии здоровья, религиозных, политических взглядах и т. п.), биометрические персональные данные, а также не осуществляет обработку ПДн, разрешённых субъектом ПДн для распространения в порядке ст. 10.1 Федерального закона № 152-ФЗ.

5. Правовые основания обработки

Обработка ПДн осуществляется на основании: согласия субъекта ПДн, данного через заполнение формы на Сайте, в боте или иным способом; необходимости исполнения договора, стороной которого является субъект ПДн либо от имени которого действует представитель; поручения заказчика (оператора ПДн) в случаях, указанных в Цели № 6 раздела 4; иных оснований, прямо предусмотренных Федеральным законом № 152-ФЗ.

6. Порядок сбора, хранения, передачи персональных данных

6.1. Оператор обеспечивает конфиденциальность ПДн и принимает необходимые организационные и технические меры для их защиты от неправомерного доступа, изменения, распространения и уничтожения.

6.2. ПДн хранятся в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки, если иной срок не установлен законодательством РФ или договором.

6.3. Оператору по умолчанию запрещена передача персональных данных, а также коммерческой тайны, клиентских баз, ключей доступа и любых исходных данных заказчиков в зарубежные нейросетевые и иные AI-сервисы (включая инструменты, используемые для разработки методом вайбкодинга), в том числе Anthropic Claude и аналогичные сервисы. Работа с такими инструментами строится так, чтобы исключить попадание персональных данных в промпты, обучающие выборки, логи и любые иные материалы, обрабатываемые нейросетью. Приоритетный способ работы — использование обезличенных, синтетических или тестовых данных.

6.4. ПДн не передаются третьим лицам, за исключением случаев, прямо предусмотренных законодательством РФ, либо с согласия субъекта ПДн (например, для интеграции с CRM или 1С заказчика по его прямому поручению). Лицо, осуществляющее обработку ПДн по поручению Оператора, не обязано получать отдельное согласие субъекта ПДн на обработку его ПДн.

6.5. Если для оказания услуг Оператор обрабатывает ПДн сотрудников, клиентов или пользователей заказчика по его поручению (в целях разработки ботов, CRM, интеграций, отчётов или дашбордов), условия такой обработки определяются отдельным Поручением на обработку персональных данных, заключаемым с заказчиком в качестве приложения к договору.

6.6. Оператор размещает Сайт и хранит ПДн на серверах, расположенных на территории РФ.

7. Трансграничная передача персональных данных

7.1. По общему правилу Оператор не осуществляет трансграничную передачу персональных данных, в том числе не передаёт персональные данные в зарубежные нейросетевые и иные AI-сервисы.

7.2. Если по конкретному проекту трансграничная передача персональных данных становится необходимой, она допускается только при одновременном соблюдении следующих условий:

7.3. До выполнения всех условий п. 7.2 трансграничная передача персональных данных не осуществляется ни при каких обстоятельствах, включая случаи использования ИИ-инструментов в процессе разработки.

8. Права и обязанности Оператора

8.1. Оператор вправе: предоставлять ПДн субъекта третьим лицам с его согласия либо в случаях, прямо предусмотренных законодательством РФ; отказывать в предоставлении ПДн в случаях, предусмотренных законодательством РФ; самостоятельно определять состав и перечень мер, необходимых для обеспечения выполнения требований Федерального закона № 152-ФЗ, если иное не предусмотрено федеральными законами.

8.2. Оператор обязуется: предоставлять субъекту ПДн по его запросу информацию, касающуюся обработки его ПДн; отвечать на обращения субъектов ПДн и их представителей в течение 10 рабочих дней с момента обращения; сообщать в Роскомнадзор по его запросу необходимую информацию в течение 10 рабочих дней; обеспечивать неограниченный доступ к настоящей Политике на Сайте; принимать правовые, организационные и технические меры для защиты ПДн.

9. Права субъекта персональных данных

Субъект ПДн вправе: получать информацию, касающуюся обработки его ПДн; требовать уточнения, блокирования или уничтожения ПДн в случае, если они неполны, устарели или получены незаконно; отозвать согласие на обработку ПДн в любой момент; обжаловать действия Оператора в Роскомнадзор или в судебном порядке.

Для реализации указанных прав субъект ПДн может обратиться по адресу электронной почты: [email] с пометкой «Запрос субъекта персональных данных». Отзыв согласия направляется на тот же адрес с пометкой «Отзыв согласия на обработку персональных данных».

10. Меры защиты персональных данных

Оператор применяет правовые, организационные и технические меры защиты ПДн, предусмотренные ст. 18.1 и 19 Федерального закона № 152-ФЗ, в том числе:

11. Хранение и уничтожение персональных данных

11.1. ПДн хранятся не дольше, чем этого требуют цели их обработки, если иной срок не установлен законодательством РФ, включая нормативные сроки хранения бухгалтерских и договорных документов.

11.2. По достижении цели обработки, отзыве согласия либо по требованию субъекта ПДн о прекращении обработки Оператор прекращает обработку и уничтожает ПДн (либо обеспечивает их уничтожение лицом, обрабатывающим ПДн по поручению Оператора) в срок, не превышающий 30 календарных дней, если иное не предусмотрено договором или законодательством РФ.

11.3. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн, Оператор уведомляет Роскомнадзор: в течение 24 часов — о факте инцидента, предполагаемых причинах и принятых мерах; в течение 72 часов — о результатах внутреннего расследования.

11.4. Уничтожение ПДн на электронных носителях производится путём стирания или форматирования средствами программного обеспечения ИСПДн либо путём физического уничтожения носителя; уничтожение бумажных носителей — путём измельчения или сожжения. Факт уничтожения ПДн подтверждается соответствующим актом.

12. Заключительные положения

12.1. Политика действует бессрочно до замены её новой редакцией.

12.2. Действующая редакция Политики размещена в свободном доступе на Сайте.

12.3. Все вопросы, не урегулированные Политикой, разрешаются в соответствии с законодательством РФ.

13. Реквизиты Оператора

Наименование: [ИП/ООО «AXIS», ФИО директора]

ОГРН/ОГРНИП: [после регистрации]

ИНН: [после регистрации]

Юридический адрес: [после регистрации]

Электронная почта: [email]