Политика в отношении обработки персональных данных

1.Общие положения

1.1. Настоящая Политика в отношении обработки персональных данных (далее — «Политика») разработана в соответствии с Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — «Закон о персональных данных»), Федеральным законом от 06.04.2011 № 63-ФЗ «Об электронной подписи» (далее — «Закон об электронной подписи»), Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», иными нормативными правовыми актами Российской Федерации, регулирующими отношения, связанные с обработкой персональных данных.

1.2. Политика разработана Индивидуальным предпринимателем Рыбицким Романом Вячеславовичем, ОГРНИП 323352500012827, ИНН 352520035518, дата регистрации 21.03.2023, адрес для корреспонденции: 160000, г. Вологда, ул. Карла Маркса, д. 14, оф. 201 (далее — «Оператор»), с целью обеспечения защиты прав и свобод субъектов персональных данных при обработке их персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.3. Настоящая Политика подлежит размещению в сети «Интернет» в свободном доступе по адресу: https://se-jedo.ru/legal/privacy и применяется в отношении всех персональных данных, которые Оператор может получить от субъектов персональных данных в процессе осуществления своей деятельности.

1.4. Действие настоящей Политики распространяется на все процессы Оператора по сбору, записи, систематизации, накоплению, хранению, уточнению (обновлению, изменению), извлечению, использованию, передаче (предоставлению, доступу), обезличиванию, блокированию, удалению, уничтожению персональных данных, осуществляемые с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, и без использования таких средств.

1.5. Политика подлежит изменению (дополнению) в случае изменения законодательства Российской Федерации в области персональных данных, изменения процессов Оператора по обработке персональных данных, а также по итогам внутреннего контроля.

2.Термины и определения

2.1. В настоящей Политике используются следующие термины и определения:

• «Персональные данные» — любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту персональных данных).
• «Оператор» — Индивидуальный предприниматель Рыбицкий Роман Вячеславович, самостоятельно или совместно с другими лицами организующий и (или) осуществляющий обработку персональных данных, а также определяющий цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
• «Сервис» — программно-аппаратный комплекс Оператора, предназначенный для организации электронного документооборота с использованием простой электронной подписи, размещённый в сети «Интернет» по адресу https://se-jedo.ru (далее также — «Информационная система», «ИС»).
• «Простая электронная подпись (ПЭП)» — электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определённым лицом, в соответствии со статьёй 5 Закона об электронной подписи.
• «Пользователь» — физическое лицо, использующее Сервис для совершения юридически значимых действий, в том числе подписания электронных документов простой электронной подписью.
• «Заказчик» — юридическое лицо или индивидуальный предприниматель, заключивший с Оператором договор на использование Сервиса в интересах своих сотрудников, контрагентов или иных лиц.
• «Обработка персональных данных» — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными.
• «Обработка персональных данных по поручению» — обработка Оператором персональных данных от имени и в интересах Заказчика на основании заключённого с ним договора (поручения) в соответствии с частью 3 статьи 6 Закона о персональных данных.
• «Информационная система персональных данных (ИСПДн)» — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
• «Конфиденциальность персональных данных» — обязательное для соблюдения Оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.
• «Трансграничная передача персональных данных» — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

3.Принципы и условия обработки персональных данных

3.1. Обработка персональных данных осуществляется Оператором на законной и справедливой основе.

3.2. Оператор соблюдает следующие принципы обработки персональных данных:

• обработка персональных данных осуществляется на законной и справедливой основе;
• обработка персональных данных ограничивается достижением конкретных, заранее определённых и законных целей;
• не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
• не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
• обработке подлежат только персональные данные, которые отвечают целям их обработки;
• содержание и объём обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки;
• при обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных;
• хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
• обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

3.3. Обработка персональных данных осуществляется при наличии хотя бы одного из условий, предусмотренных частью 1 статьи 6 Закона о персональных данных, в том числе:

• обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
• обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных;
• обработка персональных данных необходима для осуществления прав и законных интересов Оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
• обработка персональных данных необходима для исполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей.

4.Цели обработки персональных данных

4.1. Оператор осуществляет обработку персональных данных в следующих целях:

• оказание услуг по организации электронного документооборота с использованием простой электронной подписи (далее — «Услуги»);
• подготовка, заключение, исполнение и прекращение гражданско-правовых договоров с Пользователями и Заказчиками, в том числе договора-оферты на использование Сервиса;
• идентификация и аутентификация Пользователей при создании и проверке простой электронной подписи в соответствии со статьёй 9 Закона об электронной подписи;
• обеспечение возможности подписания электронных документов простой электронной подписью и проверки её действительности;
• фиксация юридически значимых действий Пользователей в Сервисе (формирование, хранение и предоставление по запросу журналов действий, протоколов подписания, сведений о времени и обстоятельствах подписания);
• обеспечение информационной безопасности Сервиса, предотвращение, выявление и расследование инцидентов информационной безопасности, в том числе несанкционированного доступа к Сервису и персональным данным;
• оказание технической поддержки Пользователей и Заказчиков, обработка их обращений, претензий и иных запросов;
• продвижение товаров, работ и услуг на рынке (направление информационных и рекламных сообщений) — при наличии согласия субъекта персональных данных;
• ведение бухгалтерского, налогового и кадрового учёта, в том числе исполнение обязанностей налогового агента;
• подбор персонала на вакантные должности Оператора, заключение, исполнение и прекращение трудовых и гражданско-правовых договоров с работниками и иными лицами;
• исполнение требований законодательства Российской Федерации, в том числе Закона о персональных данных, Закона об электронной подписи, Налогового кодекса РФ, Трудового кодекса РФ;
• защита прав и законных интересов Оператора, в том числе в судебном и досудебном порядке.

5.Категории субъектов персональных данных и состав обрабатываемых персональных данных

5.1. Оператор обрабатывает персональные данные следующих категорий субъектов:

• Пользователи Сервиса (физические лица, использующие Сервис, в том числе лица, действующие от имени юридических лиц — Заказчиков);
• Заказчики и их представители (физические лица, действующие от имени юридических лиц или индивидуальных предпринимателей — Заказчиков);
• Контрагенты Оператора и их представители;
• Лица, чьи персональные данные содержатся в электронных документах, подписываемых с использованием Сервиса (стороны договоров, выгодоприобретатели, поручители, иные лица);
• Посетители сайта Оператора;
• Работники Оператора, бывшие работники, соискатели на замещение вакантных должностей, члены семей работников;
• Иные физические лица, вступившие с Оператором в гражданско-правовые отношения.

5.2. Оператор обрабатывает следующие категории персональных данных Пользователей и Заказчиков:

• фамилия, имя, отчество;
• адрес электронной почты;
• номер мобильного телефона;
• должность, наименование, ИНН и ОГРН/ОГРНИП организации, в интересах и от имени которой действует Пользователь (для представителей Заказчиков);
• сведения, необходимые для формирования простой электронной подписи (ключ простой электронной подписи, идентификатор Пользователя в Сервисе);
• сведения о действиях Пользователя в Сервисе: дата и время регистрации, входа и выхода, факта подписания электронных документов, иных юридически значимых действий;
• IP-адрес Пользователя на момент совершения действий в Сервисе;
• сведения об устройстве и браузере Пользователя (User-Agent, тип, версия, операционная система);
• идентификаторы сессии (cookie-файлы, токены аутентификации);
• хеш-суммы (контрольные суммы) подписанных электронных документов;
• содержание электронных документов, загружаемых в Сервис для подписания (с учётом раздела 7 настоящей Политики).

5.3. В отношении работников и соискателей Оператор обрабатывает персональные данные в объёме, предусмотренном Трудовым кодексом РФ и иными нормативными правовыми актами, в том числе: фамилию, имя, отчество, дату и место рождения, паспортные данные, СНИЛС, ИНН, адрес регистрации и фактического проживания, номер телефона, адрес электронной почты, сведения об образовании, трудовой деятельности, воинском учёте, семейном положении, должности, размере заработной платы, реквизитах банковского счёта.

5.4. Оператор не обрабатывает специальные категории персональных данных (касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, судимости), за исключением случаев, прямо предусмотренных законодательством Российской Федерации.

5.5. Оператор не обрабатывает биометрические персональные данные.

6.Правовые основания обработки персональных данных

6.1. Правовыми основаниями обработки персональных данных Оператором являются:

• Конституция Российской Федерации;
• Гражданский кодекс Российской Федерации;
• Трудовой кодекс Российской Федерации;
• Налоговый кодекс Российской Федерации;
• Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
• Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи»;
• Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учёте»;
• Свидетельство о государственной регистрации Оператора в качестве индивидуального предпринимателя;
• согласия субъектов персональных данных на обработку их персональных данных;
• договоры, заключаемые между Оператором и субъектами персональных данных, в том числе публичная оферта на использование Сервиса;
• договоры (поручения), заключаемые между Оператором и Заказчиками, в рамках которых Оператор выступает в качестве лица, осуществляющего обработку персональных данных по поручению Заказчика.

7.Особенности обработки персональных данных, осуществляемой по поручению Заказчиков

7.1. При оказании Услуг Заказчикам — юридическим лицам и индивидуальным предпринимателям — Оператор может осуществлять обработку персональных данных от имени и в интересах Заказчика на основании заключённого с ним договора, содержащего поручение на обработку персональных данных в соответствии с частью 3 статьи 6 Закона о персональных данных (далее — «Договор поручения»).

7.2. В отношении персональных данных, обрабатываемых по поручению Заказчика, Заказчик является оператором персональных данных в значении пункта 2 статьи 3 Закона о персональных данных и самостоятельно определяет состав и содержание персональных данных, цели и условия их обработки.

7.3. Оператор, действуя в качестве лица, осуществляющего обработку персональных данных по поручению Заказчика:

• обрабатывает персональные данные исключительно в целях, определённых Договором поручения, и в пределах действий (операций), указанных Заказчиком;
• не получает согласия субъектов персональных данных на обработку — обязанность по получению согласий лежит на Заказчике;
• обеспечивает конфиденциальность и безопасность персональных данных при их обработке в соответствии с требованиями статей 18.1 и 19 Закона о персональных данных;
• по требованию Заказчика прекращает обработку персональных данных, передаёт их Заказчику и (или) уничтожает, за исключением случаев, когда сохранение данных требуется в силу закона.

7.4. К персональным данным, обрабатываемым по поручению Заказчика, в частности, относятся персональные данные, содержащиеся в электронных документах, загружаемых Заказчиком или его Пользователями в Сервис для подписания.

7.5. В отношении сведений, собираемых Оператором самостоятельно при предоставлении доступа к Сервису (регистрационные данные, данные об активности в Сервисе, технические сведения о подключениях), Оператор выступает в качестве самостоятельного оператора персональных данных.

8.Права субъектов персональных данных

8.1. Субъект персональных данных имеет право на получение у Оператора информации, касающейся обработки его персональных данных, в том числе содержащей:

• подтверждение факта обработки персональных данных Оператором;
• правовые основания и цели обработки персональных данных;
• цели и применяемые Оператором способы обработки персональных данных;
• наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
• обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
• сроки обработки персональных данных, в том числе сроки их хранения;
• порядок осуществления субъектом персональных данных прав, предусмотренных законом;
• информацию об осуществлённой или о предполагаемой трансграничной передаче данных;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
• иные сведения, предусмотренные Законом о персональных данных или другими федеральными законами.

8.2. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

8.3. Субъект персональных данных вправе отозвать своё согласие на обработку персональных данных. Отзыв согласия направляется Оператору в письменной форме по адресу, указанному в разделе 12 настоящей Политики, либо посредством электронного обращения на адрес электронной почты Оператора.

8.4. Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Закона о персональных данных или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций — Роскомнадзор) или в судебном порядке.

9.Передача персональных данных. Трансграничная передача

9.1. Оператор вправе передавать персональные данные третьим лицам в следующих случаях:

• с согласия субъекта персональных данных;
• при необходимости в целях исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;
• по запросу уполномоченных государственных органов в случаях и в порядке, предусмотренных законодательством Российской Федерации;
• Заказчикам — в отношении персональных данных Пользователей, действующих от их имени, в рамках исполнения Договора поручения;
• лицам, привлечённым Оператором для обеспечения работы Сервиса, в том числе хостинг-провайдеру, в объёме, необходимом для оказания соответствующих услуг, и при условии заключения с ними договора, содержащего обязательства по обеспечению конфиденциальности персональных данных и их защите.

9.2. Оператор не осуществляет трансграничную передачу персональных данных. Все базы данных, содержащие персональные данные граждан Российской Федерации, расположены на территории Российской Федерации в соответствии с частью 5 статьи 18 Закона о персональных данных.

9.3. Хранение персональных данных осуществляется на технических средствах хостинг-провайдера, расположенных в центре обработки данных на территории Российской Федерации (г. Санкт-Петербург).

10.Сроки и условия обработки персональных данных

10.1. Сроки обработки персональных данных определяются исходя из целей их обработки в соответствии с законодательством Российской Федерации, договором, заключённым с субъектом персональных данных, или согласием субъекта персональных данных.

10.2. Электронные документы, подписываемые Пользователями с использованием Сервиса, и содержащиеся в них персональные данные хранятся Оператором в следующие сроки:

• при использовании Сервиса на условиях бесплатного тарифа — в течение 30 (тридцати) календарных дней с момента подписания электронного документа;
• при использовании Сервиса на условиях платного тарифа — в течение 90 (девяноста) календарных дней с момента подписания электронного документа;
• по истечении указанных сроков электронные документы автоматически удаляются из Сервиса. Обязанность по самостоятельному сохранению (выгрузке) электронных документов до истечения срока хранения возлагается на Пользователя и (или) Заказчика.

10.3. Сведения, обеспечивающие юридическую значимость подписания электронных документов (хеш-суммы подписанных документов, журналы действий Пользователей, протоколы подписания, сведения о ключах простой электронной подписи), хранятся Оператором в течение всего срока действия договора с Пользователем (Заказчиком) и в течение 5 (пяти) лет с момента его прекращения, если более длительный срок не установлен законодательством Российской Федерации, для целей возможного подтверждения юридической значимости совершённых через Сервис действий.

10.4. Регистрационные данные Пользователей (фамилия, имя, отчество, адрес электронной почты, номер телефона) хранятся в течение всего срока действия учётной записи Пользователя в Сервисе и в течение 1 (одного) года с момента её удаления.

10.5. Персональные данные работников Оператора и иные данные, обрабатываемые в рамках исполнения требований трудового, налогового и бухгалтерского законодательства, хранятся в сроки, установленные соответствующим законодательством, в том числе Перечнем типовых управленческих архивных документов, утверждённым Приказом Росархива от 20.12.2019 № 236.

10.6. Персональные данные, обрабатываемые в маркетинговых целях, обрабатываются до отзыва субъектом персональных данных согласия на обработку.

10.7. По достижении целей обработки или в случае утраты необходимости в их достижении, а также при отзыве согласия субъектом персональных данных или по его требованию (если отсутствуют иные правовые основания для продолжения обработки) персональные данные подлежат уничтожению или обезличиванию в порядке, установленном Оператором.

11.Меры по обеспечению безопасности персональных данных

11.1. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

11.2. Организационные меры включают:

• назначение лица, ответственного за организацию обработки персональных данных;
• издание локальных актов, определяющих политику Оператора в отношении обработки персональных данных, и доведение их до сведения работников Оператора;
• ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных и локальных актов Оператора;
• осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных требованиям законодательства;
• определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
• установление правил доступа к персональным данным, обрабатываемым в ИСПДн.

11.3. Технические меры включают:

• использование средств антивирусной защиты;
• применение средств межсетевого экранирования;
• разграничение доступа к персональным данным по принципу минимально необходимых полномочий;
• применение парольной защиты учётных записей;
• применение защищённого протокола передачи данных в сети «Интернет» (HTTPS / TLS);
• регулярное создание резервных копий и обеспечение возможности восстановления персональных данных;
• регистрация и учёт действий, совершаемых с персональными данными в ИСПДн (журналирование);
• обнаружение фактов несанкционированного доступа к персональным данным и принятие соответствующих мер.

11.4. Уровень защищённости персональных данных при их обработке в информационных системах персональных данных определён Оператором в соответствии с Постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». Меры по обеспечению безопасности применяются в соответствии с приказом ФСТЭК России от 18.02.2013 № 21.

12.Контактная информация. Заключительные положения

12.1. Все вопросы, связанные с обработкой персональных данных Оператором, в том числе запросы на реализацию прав, предусмотренных разделом 8 настоящей Политики, могут быть направлены Оператору следующими способами:

• по адресу электронной почты: info@rvbit.ru;
• по почтовому адресу: 160000, г. Вологда, ул. Карла Маркса, д. 14, оф. 201;
• через формы обратной связи, размещённые на сайте Сервиса.

12.2. Лицом, ответственным за организацию обработки персональных данных у Оператора, является Рыбицкий Роман Вячеславович, контактные данные: info@rvbit.ru.

12.3. Срок ответа Оператора на обращение субъекта персональных данных не превышает 10 (десяти) рабочих дней с момента его получения, если иной срок не установлен Законом о персональных данных.

12.4. Настоящая Политика вступает в силу с момента её утверждения Оператором и действует бессрочно до её отмены или замены новой редакцией.

12.5. Актуальная редакция Политики постоянно доступна для ознакомления в сети «Интернет» по адресу: https://se-jedo.ru/legal/privacy. Оператор вправе вносить изменения в настоящую Политику. Новая редакция Политики вступает в силу с момента её размещения по указанному адресу, если иное не предусмотрено новой редакцией Политики.