Политика в отношении обработки персональных данных
ВНИМАНИЕ. ЧЕРНОВИК v3, переработан на основе структуры публичных политик отрасли (в т.ч. ИТ-агентств, работающих с ботами/мини-приложениями) и с учётом замечаний юриста: запрет передачи ПДн в AI-сервисы по умолчанию, процедура уведомления Роскомнадзора при трансграничной передаче, развёрнутые меры защиты и порядок уведомления об инцидентах. Не публиковать без финального согласования. Компания ещё не зарегистрирована — реквизиты вставлены как плейсхолдеры и требуют заполнения после регистрации ИП/ООО.
1. Общие положения
1.1. Настоящая Политика в отношении обработки персональных данных (далее — «Политика») определяет порядок обработки персональных данных (далее — «ПДн») и меры по обеспечению их безопасности, предпринимаемые
[организационно-правовая форма и наименование, например: ИП Иванов Иван Иванович / ООО «AXIS»] (далее — «Оператор»).
1.2. Оператор оказывает услуги по разработке программных продуктов (Telegram-боты, мини-приложения, сайты, автоматизация бизнес-процессов, интеграции с внешними системами) и ставит важнейшей целью своей деятельности соблюдение прав и свобод человека при обработке его персональных данных, включая защиту права на неприкосновенность частной жизни, личную и семейную тайну.
1.3. Политика применяется ко всей информации, которую Оператор может получить о посетителях сайта
[адрес сайта, например: axis-tech.ru] (далее — «Сайт»), пользователях Telegram-бота Оператора, а также о представителях юридических лиц — заказчиков услуг Оператора.
1.4. Политика разработана в соответствии с Конституцией РФ, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Приказом ФСТЭК России от 18.02.2013 № 21, и иными нормативными правовыми актами РФ, принятыми во исполнение указанных актов.
2. Термины и определения
- «Персональные данные» (ПДн) — любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту ПДн).
- «Обработка ПДн» — любое действие (операция) или совокупность действий (операций) с ПДн, совершаемых с использованием средств автоматизации или без их использования, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление и уничтожение ПДн.
- «Автоматизированная обработка ПДн» — обработка ПДн с помощью средств вычислительной техники.
- «Блокирование ПДн» — временное прекращение обработки ПДн (за исключением случаев, когда обработка необходима для уточнения ПДн).
- «Обезличивание ПДн» — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн.
- «Оператор» — лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку ПДн, а также определяющее цели обработки, состав ПДн и действия с ними.
- «Субъект ПДн» — физическое лицо, чьи персональные данные обрабатывает Оператор (посетитель Сайта, пользователь бота, представитель заказчика).
- «Согласие субъекта ПДн» — свободное, конкретное, информированное и однозначное волеизъявление, посредством которого субъект ПДн разрешает обработку своих ПДн.
- «Информационная система персональных данных» (ИСПДн) — совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств.
- «Предоставление ПДн» — действия, направленные на раскрытие ПДн определённому лицу или определённому кругу лиц.
- «Распространение ПДн» — действия, направленные на раскрытие ПДн неопределённому кругу лиц.
- «Трансграничная передача ПДн» — передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому или юридическому лицу.
- «Уничтожение ПДн» — действия, в результате которых становится невозможным восстановить содержание ПДн в ИСПДн и (или) в результате которых уничтожаются материальные носители ПДн.
- «Уполномоченный орган» — Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
3. Принципы обработки персональных данных
Обработка ПДн Оператором осуществляется на основе следующих принципов: законность и справедливость целей и способов обработки; ограниченность обработки достижением конкретных, заранее определённых и законных целей; недопущение объединения баз данных, обработка которых осуществляется в несовместимых между собой целях; обработка только тех ПДн, которые отвечают целям их обработки; соответствие содержания и объёма обрабатываемых ПДн заявленным целям; недопустимость избыточности ПДн по отношению к заявленным целям обработки; хранение ПДн в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки, если иное не установлено законодательством РФ или договором.
4. Категории и цели обработки персональных данных
4.1. Оператор обрабатывает ПДн, которые субъект ПДн предоставляет самостоятельно через формы на Сайте, в Telegram-боте, по электронной почте или в мессенджерах, а также обезличенные технические данные о посетителях Сайта, собираемые с помощью счётчиков и файлов cookie (см. отдельную Политику в отношении файлов cookie). Ниже приведён перечень целей обработки с указанием категорий ПДн, субъектов и правовых оснований по каждой цели.
Цель № 1. Обработка заявки и консультирование по услугам Оператора
- Категории ПДн: имя, номер телефона, адрес электронной почты, username и идентификатор в Telegram, сведения, указанные в тексте заявки.
- Категории субъектов: посетители Сайта, пользователи бота, потенциальные заказчики.
- Правовое основание: согласие субъекта ПДн.
- Условия прекращения обработки: достижение цели обработки, отзыв согласия, ликвидация Оператора.
Цель № 2. Подготовка, заключение и исполнение договора оказания услуг
- Категории ПДн: фамилия, имя, отчество, номер телефона, адрес электронной почты, реквизиты представителя заказчика, сведения из технического задания.
- Категории субъектов: заказчики и их представители.
- Правовое основание: исполнение договора, стороной которого является субъект ПДн либо от имени которого действует представитель; согласие субъекта ПДн.
- Срок хранения: 5 лет с момента прекращения договорных отношений, если иной срок не установлен законодательством РФ.
Цель № 3. Направление документов, актов, счетов и уведомлений о ходе работ
- Категории ПДн: имя, адрес электронной почты, номер телефона.
- Категории субъектов: заказчики и их представители.
- Правовое основание: исполнение договора.
Цель № 4. Информационная и рекламная рассылка
- Категории ПДн: имя, адрес электронной почты.
- Категории субъектов: посетители Сайта и заказчики, давшие на это отдельное согласие.
- Правовое основание: отдельное согласие субъекта ПДн, с возможностью отказаться в любой момент.
Цель № 5. Статистика и улучшение работы Сайта
- Категории ПДн: обезличенные технические данные (IP-адрес, данные браузера и устройства, файлы cookie).
- Категории субъектов: посетители Сайта.
- Правовое основание: согласие субъекта ПДн, выраженное продолжением использования Сайта, если иное не предусмотрено Политикой в отношении файлов cookie.
Цель № 6. Обработка ПДн по поручению заказчика (разработка ботов, CRM, интеграций, отчётов, дашбордов)
- Категории ПДн: определяются отдельно по каждому проекту и не могут быть шире, чем это необходимо для оказания услуги.
- Категории субъектов: сотрудники, клиенты и пользователи заказчика.
- Правовое основание: поручение заказчика (оператора ПДн), оформленное отдельным приложением к договору — Поручением на обработку персональных данных.
4.2. Оператор не обрабатывает специальные категории персональных данных (о состоянии здоровья, религиозных, политических взглядах и т. п.), биометрические персональные данные, а также не осуществляет обработку ПДн, разрешённых субъектом ПДн для распространения в порядке ст. 10.1 Федерального закона № 152-ФЗ.
5. Правовые основания обработки
Обработка ПДн осуществляется на основании: согласия субъекта ПДн, данного через заполнение формы на Сайте, в боте или иным способом; необходимости исполнения договора, стороной которого является субъект ПДн либо от имени которого действует представитель; поручения заказчика (оператора ПДн) в случаях, указанных в Цели № 6 раздела 4; иных оснований, прямо предусмотренных Федеральным законом № 152-ФЗ.
6. Порядок сбора, хранения, передачи персональных данных
6.1. Оператор обеспечивает конфиденциальность ПДн и принимает необходимые организационные и технические меры для их защиты от неправомерного доступа, изменения, распространения и уничтожения.
6.2. ПДн хранятся в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки, если иной срок не установлен законодательством РФ или договором.
6.3. Оператору по умолчанию запрещена передача персональных данных, а также коммерческой тайны, клиентских баз, ключей доступа и любых исходных данных заказчиков в зарубежные нейросетевые и иные AI-сервисы (включая инструменты, используемые для разработки методом вайбкодинга), в том числе Anthropic Claude и аналогичные сервисы. Работа с такими инструментами строится так, чтобы исключить попадание персональных данных в промпты, обучающие выборки, логи и любые иные материалы, обрабатываемые нейросетью. Приоритетный способ работы — использование обезличенных, синтетических или тестовых данных.
6.4. ПДн не передаются третьим лицам, за исключением случаев, прямо предусмотренных законодательством РФ, либо с согласия субъекта ПДн (например, для интеграции с CRM или 1С заказчика по его прямому поручению). Лицо, осуществляющее обработку ПДн по поручению Оператора, не обязано получать отдельное согласие субъекта ПДн на обработку его ПДн.
6.5. Если для оказания услуг Оператор обрабатывает ПДн сотрудников, клиентов или пользователей заказчика по его поручению (в целях разработки ботов, CRM, интеграций, отчётов или дашбордов), условия такой обработки определяются отдельным Поручением на обработку персональных данных, заключаемым с заказчиком в качестве приложения к договору.
6.6. Оператор размещает Сайт и хранит ПДн на серверах, расположенных на территории РФ.
7. Трансграничная передача персональных данных
7.1. По общему правилу Оператор не осуществляет трансграничную передачу персональных данных, в том числе не передаёт персональные данные в зарубежные нейросетевые и иные AI-сервисы.
7.2. Если по конкретному проекту трансграничная передача персональных данных становится необходимой, она допускается только при одновременном соблюдении следующих условий:
- получено отдельное согласие субъекта ПДн на трансграничную передачу его персональных данных;
- до начала трансграничной передачи Оператор уведомляет субъекта ПДн о таком намерении и направляет в Роскомнадзор уведомление о трансграничной передаче ПДн в порядке, предусмотренном ст. 12 Федерального закона № 152-ФЗ;
- Оператор убедился, что иностранное государство, на территорию которого предполагается передача, обеспечивает надлежащий уровень защиты прав субъектов ПДн, либо получил соответствующие заверения от получателя данных.
7.3. До выполнения всех условий п. 7.2 трансграничная передача персональных данных не осуществляется ни при каких обстоятельствах, включая случаи использования ИИ-инструментов в процессе разработки.
8. Права и обязанности Оператора
8.1. Оператор вправе: предоставлять ПДн субъекта третьим лицам с его согласия либо в случаях, прямо предусмотренных законодательством РФ; отказывать в предоставлении ПДн в случаях, предусмотренных законодательством РФ; самостоятельно определять состав и перечень мер, необходимых для обеспечения выполнения требований Федерального закона № 152-ФЗ, если иное не предусмотрено федеральными законами.
8.2. Оператор обязуется: предоставлять субъекту ПДн по его запросу информацию, касающуюся обработки его ПДн; отвечать на обращения субъектов ПДн и их представителей в течение 10 рабочих дней с момента обращения; сообщать в Роскомнадзор по его запросу необходимую информацию в течение 10 рабочих дней; обеспечивать неограниченный доступ к настоящей Политике на Сайте; принимать правовые, организационные и технические меры для защиты ПДн.
9. Права субъекта персональных данных
Субъект ПДн вправе: получать информацию, касающуюся обработки его ПДн; требовать уточнения, блокирования или уничтожения ПДн в случае, если они неполны, устарели или получены незаконно; отозвать согласие на обработку ПДн в любой момент; обжаловать действия Оператора в Роскомнадзор или в судебном порядке.
Для реализации указанных прав субъект ПДн может обратиться по адресу электронной почты: [email] с пометкой «Запрос субъекта персональных данных». Отзыв согласия направляется на тот же адрес с пометкой «Отзыв согласия на обработку персональных данных».
10. Меры защиты персональных данных
Оператор применяет правовые, организационные и технические меры защиты ПДн, предусмотренные ст. 18.1 и 19 Федерального закона № 152-ФЗ, в том числе:
- назначение лица, ответственного за организацию обработки ПДн;
- издание внутренних документов, определяющих политику обработки ПДн и процедуры выявления и устранения нарушений;
- ограничение доступа к ПДн кругом сотрудников, которым он необходим для выполнения трудовых обязанностей;
- использование паролей, антивирусных средств и иных средств защиты информации при работе с ИСПДн;
- регистрацию и учёт действий, совершаемых с ПДн в ИСПДн;
- выявление фактов несанкционированного доступа к ПДн и принятие мер по устранению последствий;
- внутренний контроль соответствия обработки ПДн требованиям законодательства РФ.
11. Хранение и уничтожение персональных данных
11.1. ПДн хранятся не дольше, чем этого требуют цели их обработки, если иной срок не установлен законодательством РФ, включая нормативные сроки хранения бухгалтерских и договорных документов.
11.2. По достижении цели обработки, отзыве согласия либо по требованию субъекта ПДн о прекращении обработки Оператор прекращает обработку и уничтожает ПДн (либо обеспечивает их уничтожение лицом, обрабатывающим ПДн по поручению Оператора) в срок, не превышающий 30 календарных дней, если иное не предусмотрено договором или законодательством РФ.
11.3. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн, Оператор уведомляет Роскомнадзор: в течение 24 часов — о факте инцидента, предполагаемых причинах и принятых мерах; в течение 72 часов — о результатах внутреннего расследования.
11.4. Уничтожение ПДн на электронных носителях производится путём стирания или форматирования средствами программного обеспечения ИСПДн либо путём физического уничтожения носителя; уничтожение бумажных носителей — путём измельчения или сожжения. Факт уничтожения ПДн подтверждается соответствующим актом.
12. Заключительные положения
12.1. Политика действует бессрочно до замены её новой редакцией.
12.2. Действующая редакция Политики размещена в свободном доступе на Сайте.
12.3. Все вопросы, не урегулированные Политикой, разрешаются в соответствии с законодательством РФ.
13. Реквизиты Оператора
Наименование: [ИП/ООО «AXIS», ФИО директора]
ОГРН/ОГРНИП: [после регистрации]
ИНН: [после регистрации]
Юридический адрес: [после регистрации]
Электронная почта: [email]