Документ

Политика ООО «Апэрбот» в отношении обработки персональных данных

1. Общие положения

1.1. Настоящая Политика Общества с ограниченной ответственностью «Апэрбот» (ОГРН 1195081074924, ИНН/КПП 5032312072 / 770501001) (далее — Компания) в отношении обработки персональных данных (далее — Политика) разработана во исполнение требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон о персональных данных) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.2. Настоящая Политика обязательна для ознакомления и исполнения всеми лицами, допущенными к обработке персональных данных в Компании, и лицами, участвующими в организации процессов обработки и обеспечения безопасности персональных данных в Компании.

1.3. Субъекты персональных данных могут ознакомиться с условиями Политики в информационно-телекоммуникационной сети «Интернет» на официальном сайте Компании, размещённом по интернет-адресу: https://dreamagent.ru/privacy/.

1.4. Настоящая Политика может быть изменена Компанией без какого-либо специального уведомления. Новая редакция Политики вступает в силу с момента её размещения в сети Интернет по адресу https://dreamagent.ru/privacy/ или с иной даты, установленной Компанией.

1.5. Настоящая Политика объясняет, каким образом Компания обрабатывает и защищает персональные данные и иную информацию субъектов персональных данных.

1.6. Компания осуществляет обработку персональных данных с соблюдением принципов и правил, установленных Законом о персональных данных и иными нормативно-правовыми актами.

1.7. Действие настоящей Политики распространяется на все процессы по сбору, записи, систематизации, накоплению, хранению, уточнению (обновлению, изменению), извлечению, использованию, передаче (предоставлению, доступу), блокированию, удалению, уничтожению персональных данных, осуществляемых с использованием средств автоматизации и без таковых.

1.7.1. Компания осуществляет обработку персональных данных, в связи с чем направила в уполномоченный орган по защите прав субъектов персональных данных (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций — Роскомнадзор) уведомление о намерении осуществлять обработку персональных данных в порядке, установленном статьёй 22 Закона о персональных данных. Сведения об операторе доступны в реестре операторов, осуществляющих обработку персональных данных, на официальном сайте Роскомнадзора по адресу https://pd.rkn.gov.ru/operators-registry/operators-list/ (поиск по ИНН 5032312072).

1.7.2. Базы данных, в которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации, располагаются на территории Российской Федерации в соответствии с частью 5 статьи 18 Закона о персональных данных.

1.7.3. В Компании назначено лицо, ответственное за организацию обработки персональных данных, в соответствии со статьёй 22.1 Закона о персональных данных. Обращения по вопросам обработки персональных данных принимаются по адресу электронной почты as@aprbot.com с пометкой «Ответственному за организацию обработки персональных данных».

1.8. Основные понятия, используемые в Политике:

  • персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных);
  • оператор персональных данных (оператор) — лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (Компания);
  • обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
  • автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
  • предоставление персональных данных — действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц;
  • блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
  • уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
  • обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
  • информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
  • веб-сайт — одна или несколько логически связанных между собой веб-страниц (в настоящей Политике под Веб-сайтом понимаются расположенные и связанные с https://dreamagent.ru/ страницы).

1.8.1. В случае отсутствия в пункте 1.8 используемого термина толкование и применение термина при необходимости осуществляется в соответствии с положениями применимых нормативных правовых актов РФ.

2. Принципы и правовые основания обработки персональных данных

2.1. Обработка персональных данных в Компании осуществляется с учётом следующих принципов:

  • обработка персональных данных осуществляется на законной и справедливой основе;
  • обработка персональных данных ограничивается достижением конкретных, заранее определённых и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
  • не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместных между собой;
  • обработке подлежат только те персональные данные, которые отвечают целям их обработки;
  • содержание и объём обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям обработки;
  • при обработке персональных данных обеспечивается их точность, достаточность, а также актуальность по отношению к заявленным целям обработки персональных данных;
  • персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

2.2. Правовыми основаниями обработки персональных данных в Компании являются:

  • положения нормативных правовых актов, во исполнение и в соответствии с которыми Компания осуществляет обработку персональных данных, включая Конституцию Российской Федерации, Трудовой кодекс Российской Федерации, Гражданский кодекс Российской Федерации, Налоговый кодекс Российской Федерации, Федеральный закон от 08.02.1998 № 14-ФЗ «Об обществах с ограниченной ответственностью», Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учёте», Федеральный закон от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учёте в системах обязательного пенсионного страхования и обязательного социального страхования», Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  • иные нормативные правовые акты Российской Федерации и уполномоченных органов государственной власти;
  • исполнение договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
  • согласия субъектов персональных данных на обработку персональных данных, оформленные с учётом требований законодательства Российской Федерации для соответствующей категории персональных данных.

3. Цели обработки персональных данных, категории и перечень обрабатываемых персональных данных, категории субъектов, способы и сроки обработки

3.1. Обработка персональных данных Субъектов персональных данных осуществляется Компанией в заранее определённых целях.

3.2. Для каждой цели обработки персональных данных в Компании определены:

  • соответствующие категории и перечень обрабатываемых персональных данных;
  • категории Субъектов персональных данных, персональные данные которых обрабатываются Компанией;
  • способы и сроки обработки, в том числе хранения персональных данных;
  • порядок уничтожения персональных данных.

3.3. Для каждой из целей обработки Компания совершает следующие действия с персональными данными: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); обезличивание; блокирование; удаление; уничтожение.

3.4. Для каждой цели обработки персональных данных предусмотрены следующие способы обработки: автоматизированная обработка (с помощью средств вычислительной техники) и неавтоматизированная обработка с фиксацией персональных данных на материальных носителях, а также смешанная обработка. Компания обрабатывает персональные данные с передачей по внутренней сети и по сети Интернет. Обработка осуществляется с соблюдением требований законодательства РФ.

3.5. Сроки обработки, в том числе хранения персональных данных для каждой цели обработки устанавливаются с учётом требований законодательства РФ, положений договоров и (или) согласия субъекта персональных данных. Обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели обработки, если иное не установлено законодательством РФ.

3.6. Обработка персональных данных субъектов персональных данных осуществляется в следующих целях:

3.6.1. Подготовка, заключение и исполнение гражданско-правового договора

Категории персональных данных: фамилия, имя, отчество; должность; наименование компании (работодателя); адрес электронной почты; номер телефона; иные сведения, добровольно предоставленные субъектом при заполнении форм на Веб-сайте.

Категории субъектов: Контрагенты; Представители контрагентов; Клиенты; Посетители Веб-сайта; Выгодоприобретатели по договорам.

3.6.2. Предоставление доступа к продуктам Компании, включая тестовый доступ

Категории персональных данных: фамилия, имя; наименование компании; корпоративный адрес электронной почты; номер телефона; данные, передаваемые в формах «Запросить демо» и «Создать trial workspace».

Категории субъектов: Посетители Веб-сайта; Клиенты; Представители клиентов.

3.6.3. Продвижение товаров, работ, услуг на рынке

Категории персональных данных: фамилия, имя; адрес электронной почты; номер телефона; наименование компании; сведения о профессиональных интересах, добровольно предоставленные субъектом.

Категории субъектов: Контрагенты; Представители контрагентов; Клиенты; Посетители Веб-сайта.

3.6.4. Ведение кадрового и бухгалтерского учёта

Категории персональных данных: фамилия, имя, отчество; дата рождения; адрес места жительства; адрес регистрации; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; реквизиты банковской карты; сведения о трудовой деятельности; отношение к воинской обязанности; сведения об образовании.

Категории субъектов: Работники; Уволенные работники.

3.6.5. Подбор персонала

Категории персональных данных: фамилия, имя, отчество; дата рождения; контактные данные; сведения об образовании и трудовой деятельности; иные сведения, добровольно предоставленные соискателем в резюме или иных формах.

Категории субъектов: Соискатели.

3.6.6. Обеспечение соблюдения налогового, пенсионного и иного законодательства РФ

Категории персональных данных: фамилия, имя, отчество; дата рождения; адрес; СНИЛС; ИНН; реквизиты банковской карты; должность; сведения о трудовой деятельности и доходах.

Категории субъектов: Работники; Уволенные работники; Контрагенты; Представители контрагентов; Выгодоприобретатели по договорам.

3.7. Оператором не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных законодательством РФ.

3.8. Обработка биометрических персональных данных в Компании допускается только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации.

3.9. Компания осуществляет обработку файлов cookie на Веб-сайте. Условия обработки файлов cookie описаны в отдельном документе: Согласие на использование cookie-файлов.

4. Права и обязанности Компании, права Субъекта персональных данных

4.1. Компания имеет право:

  1. самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами;
  2. самостоятельно определять перечень необходимых правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий;
  3. поручить обработку персональных данных третьему лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого договора;
  4. требовать от Субъекта персональных данных предоставления достоверных персональных данных, необходимых для исполнения договора, оказания услуги, идентификации Субъекта;
  5. ограничить доступ Субъекта к его персональным данным в случае, если такой доступ нарушает права и законные интересы третьих лиц или предусмотрен ограничениями законодательства РФ;
  6. обрабатывать общедоступные персональные данные физических лиц;
  7. осуществлять обработку персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством РФ;
  8. в случае отзыва субъектом персональных данных согласия на обработку продолжить обработку при наличии оснований, указанных в Законе о персональных данных;
  9. реализовывать иные права, предусмотренные законодательством РФ.

4.2. Компания обязана:

  1. организовывать обработку персональных данных в соответствии с требованиями законодательства о персональных данных;
  2. отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных;
  3. сообщать в уполномоченный орган по защите прав субъектов персональных данных (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)) по запросу этого органа необходимую информацию;
  4. принимать меры по уточнению, уничтожению персональных данных субъекта в связи с его (его законного представителя) обращением с законными и обоснованными требованиями;
  5. организовывать защиту персональных данных в соответствии с требованиями законодательства РФ.

4.3. Субъект персональных данных имеет право:

  1. свободно, своей волей и в своём интересе предоставлять согласие на обработку персональных данных с учётом требований Закона о персональных данных к форме и содержанию согласий;
  2. получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами;
  3. требовать от Компании уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
  4. осуществлять иные права, предусмотренные законодательством РФ.

5. Порядок и условия обработки персональных данных

5.1. Обработка персональных данных осуществляется Компанией в соответствии с требованиями законодательства Российской Федерации.

5.2. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.

5.3. На дату публикации настоящей Политики трансграничная передача персональных данных Компанией не осуществляется. В случае возникновения необходимости в трансграничной передаче персональных данных Компания предварительно подаёт в Роскомнадзор уведомление о намерении осуществлять такую передачу в порядке, установленном статьёй 12 Закона о персональных данных, и приступает к передаче только после соблюдения требований указанной статьи.

5.4. Обработка может осуществляться следующими способами: автоматизированным, неавтоматизированным, смешанным.

5.5. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Согласие на обработку персональных данных, разрешённых субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта на обработку его персональных данных.

5.6. Для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных, Компания обеспечивает безопасность и сохраняет конфиденциальность персональных данных.

5.7. Компания принимает необходимые и достаточные меры, направленные на обеспечение выполнения обязанностей оператора, которые включают:

  1. назначение лица, ответственного за организацию обработки персональных данных в Компании;
  2. определение угроз безопасности персональных данных при их обработке;
  3. издание локальных нормативных актов по вопросам обработки и обеспечения безопасности персональных данных, а также актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений;
  4. установление правил доступа к персональным данным, обрабатываемым в информационных системах;
  5. осуществление регистрации и учёта всех действий, совершаемых с персональными данными;
  6. обеспечение хранения персональных данных в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;
  7. организацию обучения работников Компании требованиям и правилам работы с персональными данными.

5.8. Компания применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных, предусмотренные статьёй 19 Закона о персональных данных, в том числе использование средств защиты информации, прошедших процедуру оценки соответствия в установленном порядке, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности.

6. Меры по реагированию на инциденты, связанные с нарушением безопасности персональных данных

6.1. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлёкшей нарушение прав субъектов персональных данных, Компания во исполнение части 3.1 статьи 21 Закона о персональных данных:

  1. в течение 24 (двадцати четырёх) часов уведомляет Роскомнадзор о произошедшем инциденте, его предполагаемых причинах и предполагаемом вреде, нанесённом правам субъектов персональных данных, а также о принятых мерах по устранению последствий;
  2. в течение 72 (семидесяти двух) часов уведомляет Роскомнадзор о результатах внутреннего расследования выявленного инцидента, а также сведения о лицах, действия которых стали причиной инцидента (при наличии);
  3. обеспечивает взаимодействие с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА) в случаях, предусмотренных законодательством Российской Федерации;
  4. принимает меры по локализации инцидента, восстановлению нарушенных прав субъектов персональных данных и предотвращению повторения подобных инцидентов.

6.2. Порядок реагирования на инциденты безопасности персональных данных, перечень ответственных лиц и формы внутренних документов утверждаются локальными нормативными актами Компании.

7. Запросы субъектов на доступ к персональным данным

7.1. В случае, если субъект персональных данных желает реализовать право на доступ к своим персональным данным (в объёме, предусмотренном статьёй 14 Закона о персональных данных), ему необходимо направить почтой запрос в письменной форме по юридическому адресу Компании: 115114, г. Москва, муниципальный округ Замоскворечье, вн.тер.г., ул. Летниковская, д. 10, стр. 4, помещ. 1П. Такой запрос может быть направлен на электронную почту as@aprbot.com в форме электронного документа, подписанного в соответствии с положениями законодательства Российской Федерации об электронной подписи.

7.2. Запрос должен содержать:

  1. номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя;
  2. сведения о дате выдачи указанного документа и выдавшем его органе;
  3. сведения, подтверждающие факт обработки Компанией персональных данных субъекта;
  4. информацию и сведения, которые субъект персональных данных или его законный представитель хочет получить;
  5. подпись субъекта персональных данных или его законного представителя.

7.3. Компания может отказать в удовлетворении запроса, если запрос не соответствует форме или не указана необходимая информация, либо запрос направлен не вышеуказанным способом.

7.4. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с частью 8 статьи 14 Закона о персональных данных.

7.5. Если субъектом персональных данных выявлено указание неточных персональных данных, субъект или его законный представитель вправе обратиться в Компанию с указанием данных, которые необходимо уточнить.

7.6. Компания на основании сведений, представленных субъектом, уточняет (актуализирует) персональные данные в соответствии с запросом.

7.7. Если выявлен факт неправомерной обработки персональных данных, субъект вправе обратиться в Компанию и указать данные, которые обрабатываются неправомерно.

7.8. При получении таких запросов Компания:

  1. проводит проверку поступивших сообщений;
  2. при необходимости блокирует данные на период проверки;
  3. при подтверждении информации о неправомерности обработки — удаляет данные.

7.9. В случае если субъект персональных данных желает реализовать право на отзыв согласия на обработку персональных данных, ему необходимо направить заявление на отзыв согласия.

7.10. Заявление на отзыв согласия должно содержать:

  1. фамилию, имя и отчество субъекта;
  2. номер телефона и адрес электронной почты;
  3. подпись.

7.11. Заявление на отзыв согласия может быть направлено почтой по юридическому адресу Компании или на электронную почту as@aprbot.com.

7.12. Запросы, связанные с реализацией прав субъектов персональных данных, Компания обрабатывает и выполняет в установленные действующим законодательством сроки: не позднее 10 (десяти) рабочих дней с момента получения такого запроса.

7.13. Срок на обработку запроса может быть продлён на 5 (пять) рабочих дней. При возникновении такой необходимости Компания уведомит субъекта, указав причины продления срока.

7.14. Субъект персональных данных вправе в любой момент потребовать прекращения обработки его персональных данных в целях продвижения товаров, работ, услуг на рынке, направив соответствующее заявление способами, указанными в пунктах 7.1 и 7.11 настоящей Политики. Компания обязана немедленно прекратить такую обработку в соответствии с частью 3 статьи 15 Закона о персональных данных.

8. Порядок и условия хранения и уничтожения персональных данных

8.1. Сроки обработки, в том числе хранения персональных данных, устанавливаются с учётом требований законодательства РФ, положений договоров и согласия субъекта. Обработка и хранение осуществляются не дольше, чем этого требуют цели обработки, если иное не установлено законодательством РФ.

8.2. По общему правилу Компания обрабатывает и хранит персональные данные, полученные на основании согласия субъекта, в течение всего срока, требуемого для выполнения цели обработки, но не более 5 (пяти) лет с момента получения персональных данных от субъекта персональных данных. Указанный срок не применяется в случаях, когда более длительный срок хранения установлен законодательством Российской Федерации, в том числе:

  • в отношении документов бухгалтерского и налогового учёта — в течение сроков, установленных Налоговым кодексом Российской Федерации и Федеральным законом от 06.12.2011 № 402-ФЗ «О бухгалтерском учёте»;
  • в отношении документов по личному составу — в течение сроков, установленных Федеральным законом от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации» и принятыми в соответствии с ним актами;
  • в отношении сведений, подлежащих хранению в силу иных нормативных правовых актов Российской Федерации, — в установленные ими сроки.

8.3. Резюме соискателей и иные данные, полученные при подборе персонала, хранятся не более 6 (шести) месяцев с момента поступления, если иной срок не указан в согласии соискателя.

8.4. Компания прекращает обработку персональных данных и производит их уничтожение в следующих случаях и сроки:

  1. достижение цели обработки персональных данных либо утрата необходимости достигать эту цель — в течение 30 дней;
  2. отзыв субъектом персональных данных согласия на обработку, если их сохранение для цели их обработки более не требуется — в течение 30 дней;
  3. выявление фактов неправомерной обработки персональных данных — в течение 3 дней;
  4. достижение окончания срока хранения персональных данных — в течение 30 дней.

8.5. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку, персональные данные подлежат уничтожению, если:

  1. иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
  2. Компания не вправе осуществлять обработку без согласия субъекта на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
  3. иное не предусмотрено другим соглашением между Компанией и субъектом персональных данных.

9. Реквизиты Компании

Общество с ограниченной ответственностью «Апэрбот»
Юридический адрес: 115114, г. Москва, муниципальный округ Замоскворечье, вн.тер.г., ул. Летниковская, д. 10, стр. 4, помещ. 1П
ОГРН 1195081074924; ИНН/КПП 5032312072 / 770501001
Электронная почта: as@aprbot.com