ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ООО «ОТКРЫТЫЕ ИНТЕГРАЦИОННЫЕ СЕРВИСЫ» (ООО «ОИС»)

1. ОБЩИЕ ПОЛОЖЕНИЯ
Политика в отношении обработки персональных данных составлена в соответствии с требованиями Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» и определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных, применяемые Оператором при использовании субъектами персональных данных Сервиса Оператора.
1. Важнейшей целью и условием осуществления деятельности в отношении обработки персональных данных является соблюдение прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
2. Политика в отношении обработки персональных данных применяется ко всей информации, которую Оператор может получить о Клиентах и Пользователях Сервиса, в том числе при обработке персональных данных по поручению другого лица (оператора) на основании заключаемого с ним договора в соответствии с ч. 3 ст. 6 Федерального закона от 27.07.2006. №152-ФЗ «О персональных данных».

2. ОСНОВНЫЕ ПОНЯТИЯ, ИСПОЛЬЗУЕМЫЕ В ПОЛИТИКЕ
1. Сервис – совокупность графических и информационных материалов, а также программ для электронных вычислительных машин и баз данных, в том числе программно-аппаратный комплекс TalkBank Platform, расположенных по сетевому адресу www.talkbank.io (включая поддомены) и в Чат-ботах с функционалом:
- для осуществления взаимодействия с Пользователем или Клиентом, включая обмен информацией и совершение отдельных операций;
- иным функционалом, указанным в Сервисе;
2. Чат-бот - часть Сервиса, работающая в Мессенджере, с помощью которой реализуется функционал Сервиса, в том числе @Talkbankbot;
3. Мессенджер – программы для электронных вычислительных машин, включая мобильные приложения, позволяющие осуществлять мгновенный обмен текстовыми и звуковыми сообщениями, фотографиями, видеозаписями и иными медиафайлами.;
4. Клиент – физическое лицо, заключившее и (или) исполняющее гражданско-правовой договор с Оператором или третьими лицами посредством использования Сервиса;
5. Пользователь – физическое лицо, зарегистрированное в Сервисе;
6. Субъект персональных данных – Клиент или Пользователь, персональные данные которого обрабатываются Оператором;
7. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых Оператором с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
8. Оператор - Общество с ограниченной ответственностью «Открытые интеграционные сервисы» (ООО «ОИС», ОГРН 1217700471086, ИНН 9709074908, Адрес: 109028 г. Москва, Серебряническая набережная, д. 29, этаж 8, помещение II, комната 68, Телефон: +7-985-368-03-25, E-mail: finance@talkbank.io), самостоятельно или совместно с другими лицами организующий и (или) осуществляющий обработку персональных данных, а также определяющий цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
9. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому Пользователю или Клиенту.

3. ПЕРЕЧЕНЬ, КАТЕГОРИИ ПЕРСОНАЛЬНЫХ ДАННЫХ И ЦЕЛИ ИХ ОБРАБОТКИ
1. Оператор определяет для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, в Приложении № 1 к настоящей Политике, которое является его неотъемлемой частью.

4. СПОСОБЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. В целях, определенных в разделе 3 настоящей Политики, Оператор вправе обрабатывать персональные данные Клиентов и Пользователей следующими способами:
• сбор, запись, систематизация, накопление и хранение;
• уточнение (обновление и изменение);
• извлечение, использование (включая хеширование) и передача третьим лицам (предоставление, доступ);
• распространение (в части использования информации, полученной в ходе участия Клиента или Пользователя в рекламных мероприятиях и маркетинговых акциях, проводимых Оператором, а равно размещенных по его инициативе или с его согласия в Сервисе);
• обезличивание, блокирование, удаление и уничтожение.

5. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Ст. 23, 24 Конституции Российской Федерации.
2. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
3. Согласие Клиента и (или) Пользователя на обработку персональных данных. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным.
4. Гражданско-правовые договоры, заключаемые с Клиентами.
5. Поручение на обработку персональных данных в соответствии с ч. 3 ст. 6 Федерального закона от 27.07.2006. №152-ФЗ «О персональных данных».
6. Оператор обрабатывает персональные данные Клиента и Пользователя только в случае их заполнения и/или отправки Клиентом и Пользователем самостоятельно через специальные формы, расположенные в Сервисе, при условии предоставления Клиентом и (или) Пользователем согласия на обработку персональных данных. В случае обработки персональных данных по поручению в соответствии с ч. 3 ст. 6 Федерального закона от 27.07.2006. №152-ФЗ «О персональных данных» обязанность по получению согласия от Субъекта персональных данных на обработку его персональных данных лежит на лице, по поручению которого осуществляется обработка персональных данных.

6. МЕРЫ ПО ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Безопасность персональных данных, которые обрабатываются Оператором, обеспечивается путем реализации следующих правовых, организационных и технических мер, необходимых для выполнения в полном объеме требований действующего законодательства в области защиты персональных данных:

Правовые меры; разработка документов и локальных актов, реализующих требования законодательства РФ в отношении обработки персональных данных, в том числе – Политики в отношении обработки персональных данных. размещение Политики в отношении обработки персональных данных в Сервисе, в том числе на страницах Сервиса, с использованием которых осуществляется сбор персональных данных. отказ от любых способов обработки персональных данных, не соответствующих целям, заранее предопределенным Оператором Организационные меры; назначение лица, ответственного за организацию обработки персональных данных. утверждение руководителем Оператора документа, определяющего перечень лиц, доступ которых к персональным данным необходим для выполнения ими служебных (трудовых) обязанностей. инструктаж и ознакомление работников Оператора, осуществляющих обработку персональных данных, а также лиц, которым Оператор поручил обработку персональных данных в соответствии с ч. 3 ст. 6 Закона о персональных данных, с положениями законодательства РФ о персональных данных, в том числе с требованиями к защите персональных данных, с локальными актами Оператора, регламентирующими порядок работы и защиты персональных данных. периодическая оценка рисков, касающихся процесса обработки персональных данных. проведение периодических проверок в целях осуществления внутреннего контроля соответствия обработки персональных данных требованиям законодательства РФ. организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения. обеспечение сохранности носителей персональных данных. использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз Технические меры; предотвращение, в том числе путем проведения внутренних расследований, несанкционированного доступа к системам, в которых хранятся персональные данные. резервирование и восстановление персональных данных, работоспособности технических средств и программного обеспечения, средств защиты информации в информационных системах персональных данных. создание и внедрение системы защиты персональных данных, информационных систем персональных данных (СЗПДн). идентификация и аутентификация субъектов доступа и объектов доступа. управление доступом учетными записями пользователей, в том числе внешних пользователей. реализация антивирусной защиты. контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации. идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации. защита технических средств. обеспечение защиты персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи.

2. Оператор обязан в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.
3. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, Оператор обязан с момента выявления такого инцидента Оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:
- в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном Оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
- в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

7. ПОРЯДОК СБОРА, ХРАНЕНИЯ, ПЕРЕДАЧИ И ДРУГИХ ВИДОВ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ, СРОКИ ИХ ОБРАБОТКИ И ХРАНЕНИЯ

1. Оператор обеспечивает сохранность персональных данных и принимает все возможные меры, исключающие доступ к персональным данным неуполномоченных лиц.
2. Оператор вправе осуществлять передачу персональных данных Клиента и (или) Пользователя, если такая передача соответствует целям обработки персональных данных, указанным в разделе 3 настоящей Политики. Оператор предупреждает получающих третьих лиц о том, что передаваемые данные могут быть использованы лишь в целях, для которых они сообщены.
3. Срок обработки и хранения персональных данных - до достижения цели обработки персональных данных, если иной срок не установлен федеральным законом или договором.
4. Оператор до начала осуществления трансграничной передачи персональных данных обязан убедиться в том, что иностранным государством, на территорию которого предполагается осуществлять передачу персональных данных, обеспечивается надежная защита прав субъектов персональных данных.
5. Трансграничная передача персональных данных на территории иностранных государств, не отвечающих вышеуказанным требованиям, может осуществляться только в случае наличия согласия в письменной форме Клиента и Пользователя на трансграничную передачу его персональных данных и/или исполнения договора, стороной которого является Клиент и Пользователь.

8. ОБРАЩЕНИЯ К ОПЕРАТОРУ

1. Субъект персональных данных или его представитель вправе направлять Оператору свои обращения в письменном виде на почтовый адрес Оператора: 109028, г. Москва, ул. Серебряническая наб. 29, этаж 8, помещение II. Обращения, предусмотренные пунктами 3, 4 раздела 8 настоящей Политики, Субъект персональных данных вправе направить на электронную почту Оператора по адресу: finance@talkbank.io.
2. Клиент и Пользователь вправе в любой момент отозвать свое согласие на обработку персональных данных, направив Оператору письменное обращение с пометкой «Отзыв согласия на обработку персональных данных» на почтовый адрес Оператора: 109028, г. Москва, ул. Серебряническая наб. 29, этаж 8, помещение II.
3. Клиент и Пользователь вправе в любой момент отказаться от получения информационных сообщений, направив Оператору письменное обращение с пометкой «Отказ от уведомлений о новых продуктах и услугах и специальных предложениях».
4. В случае необходимости уточнения персональных данных (изменение или дополнение сведений о Субъекте персональных данных) Клиент и Пользователь могут актуализировать их путем направления Оператору обращения в письменном виде с пометкой «Актуализация персональных данных».
5. Обращения Субъекта персональных данных или его представителя должны содержать:
- сведения о документе, удостоверяющем личность;
- сведения, подтверждающие участие Клиента или Пользователя в отношениях с Оператором (номер телефона, адрес электронной почты, указанный при использовании Сервиса);
- данные представителя и подтверждение его полномочий (при обращении представителя);
- подпись Клиента или Пользователя (представителя Клиента или Пользователя).
6. Оператор обязуется рассмотреть и направить ответ в течение десяти рабочих дней с даты получения запроса Субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Оператором в адрес Субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
7. Оператор предоставляет ответ Субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
8. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение десяти рабочих дней с даты получения такого запроса. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Оператором в адрес уполномоченного органа по защите прав субъектов персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
9. В случае обращения Субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных Оператор обязан в срок, не превышающий десяти рабочих дней с даты получения Оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных пунктами 2 - 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 Федерального закона от 27.07.2006. №152-ФЗ «О персональных данных». Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Оператором в адрес Субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

9. ПОРЯДОК УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ДОСТИЖЕНИИ ЦЕЛЕЙ ИХ ОБРАБОТКИ ИЛИ ПРИ НАСТУПЛЕНИИ ИНЫХ ЗАКОННЫХ ОСНОВАНИЙ

1. Уничтожение персональных данных осуществляется путем уничтожения носителей, содержащих персональные данные субъектов персональных данных, и должно соответствовать следующим правилам:
• быть конфиденциальным, исключая возможность последующего восстановления;
• оформляться юридически, в частности, актом об уничтожении персональных данных;
• уничтожение должно касаться только тех носителей, содержащих персональные данные субъектов персональных данных, которые подлежат уничтожению, не допуская случайного или преднамеренного уничтожения актуальных носителей.
2. Уничтожение носителей, содержащих персональные данные, осуществляется в следующем порядке:
• уничтожение персональных данных, содержащихся на бумажных носителях, осуществляется путем измельчения на мелкие части, исключающие возможность последующего восстановления информации. Измельчение осуществляется с использованием шрёдера (уничтожителя документов), установленного в помещении Оператора (помещении лица, которому Оператор поручил обработку персональных данных в соответствии с ч. 3 ст. 6 Закона о персональных данных), либо документы передаются на переработку (утилизацию) организациям, собирающим вторсырье (пункты приема макулатуры);
• уничтожение персональных данных, содержащихся на машиночитаемых носителях, осуществляется путем нанесения им неустранимого физического повреждения, исключающего возможность их использования, а также восстановления данных. Вышеуказанное достигается путем деформирования, нарушения единой целостности носителя;
• подлежащие уничтожению файлы с персональными данными субъектов персональных данных, расположенные на жестком диске, удаляются средствами операционной системы компьютера с последующим «очищением корзины»;
• в случае допустимости повторного использования носителя CD-RW, DVD-RW применяется программное удаление («затирание») содержимого диска путем его форматирования с последующей записью новой информации на данный носитель.
3. Факт уничтожения персональных данных подтверждается актом об уничтожении персональных данных, который подписывается ответственными лицами и утверждается руководителем Оператора. Данный документ является документом конфиденциального характера и подлежит хранению в течение трех лет с момента уничтожения персональных данных.

10. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

1. Клиент и (или) Пользователь, намеренный использовать Сервис, выражают свое согласие с условиями настоящей Политики в отношении обработки персональных данных. Заполняя соответствующие формы и/или отправляя свои персональные данные Оператору, Клиент и Пользователь совершают конклюдентные действия, свидетельствующие об ознакомлении Клиента и Пользователя с действующей редакцией Политики в отношении обработки персональных данных, и выражении Клиентом и Пользователем согласия с данной Политикой в отношении обработки персональных данных.
2. Актуальная версия Политики в отношении обработки персональных данных в свободном доступе расположена в сети Интернет по адресу www.talkbank.io.
3. Оператор вправе вносить изменения в Политику в отношении обработки персональных данных. Новая редакция Политики в отношении обработки персональных данных вступает в силу с момента ее публикации в сети Интернет по адресу www.talkbank.io.
4. Неотъемлемой частью настоящей Политики является:
- Приложение № 1.

Приложение № 1
к Политике в отношении обработки
персональных данных ООО «ОИС»

1. Идентификация Клиента, Пользователя Сервиса; Клиент, заключивший гражданско-правовой договор с Оператором посредством использования Сервиса.• Клиент, заключивший гражданско-правовой договор с третьим лицом, которому Оператор оказывает информационно-технологические услуги, посредством использования Сервиса. Пользователь Сервиса; Общедоступные; ● фамилия, имя, отчество. ● номер телефона. ● адрес электронной почты. ● гражданство. ● вид, серия, номер документа, удостоверяющего личность, дата выдачи, наименование и код подразделения органа его, выдавшего. ● дата рождения. ● место рождения. ● ИНН. ● СНИЛС. 2. Заключение, исполнение и прекращение гражданско-правовых договоров с целью оказания Оператором услуг в рамках своей уставной деятельности; • Клиент, заключивший (намеревающийся заключить) гражданско-правовой договор с Оператором посредством использования Сервиса. Клиент, заключивший гражданско-правовой договор с третьим лицом, которому Оператор оказывает информационно-технологические услуги, посредством использования Сервиса; Общедоступные; ● фамилия, имя, отчество. ● номер телефона. ● адрес электронной почты. ● гражданство. ● вид, серия, номер документа, удостоверяющего личность, дата выдачи, наименование и код подразделения органа его, выдавшего. ● дата рождения. ● место рождения. ● ИНН. ● СНИЛС. ● адрес постоянной регистрации и фактического проживания. ● банковские реквизиты (в том числе номер банковского счета). 3. Предоставление доступа к Сервису, к сервисам, информации и/или материалам, содержащимся в Сервисе; • Клиент, заключивший гражданско-правовой договор с Оператором посредством использования Сервиса. • Клиент, заключивший гражданско-правовой договор с третьим лицом, которому Оператор оказывает информационно-технологические услуги, посредством использования Сервиса. Пользователь Сервиса; Общедоступные; ● фамилия, имя, отчество. ● номер телефона. ● адрес электронной почты 4. Предоставление информации рекламного характера о товарах и услугах, реализуемых Оператором и/или третьими лицами, в том числе о новых продуктах и услугах, специальных предложениях и различных событиях; • Клиент, заключивший гражданско-правовой договор с Оператором посредством использования Сервиса. • Клиент, заключивший гражданско-правовой договор с третьим лицом, которому Оператор оказывает информационно-технологические услуги, посредством использования Сервиса. Пользователь Сервиса; Общедоступные; ● фамилия, имя, отчество. ● номер телефона. ● адрес электронной почты 5. Рассмотрение обращений; • Клиент, заключивший гражданско-правовой договор с Оператором посредством использования Сервиса. • Клиент, заключивший гражданско-правовой договор с третьим лицом, которому Оператор оказывает информационно-технологические услуги, посредством использования Сервиса. • Пользователь Сервиса. • Представитель Клиента/Пользователя; ● Общедоступные. ● Биометрические; ● фамилия, имя, отчество. ● номер телефона. ● адрес электронной почты. • ИНН. • данные банковской карты. • вид, серия, номер документа, удостоверяющего личность, дата выдачи, наименование органа его, выдавшего. ● электронные документы, скан-копии, мультимедийные данные, переданные Клиентом Сервиса по его инициативе (фотографии, аудио и видео записи). • иные файлы, ссылки на ресурсы и текстовую информацию, переданные или полученные Клиентом Сервиса по его инициативе. • иные персональные данные, содержащиеся в сообщениях, файлах, фото, видео, которые могут быть переданы Субъектом персональных данных по его инициативе 6. Улучшение качества работы Сервиса и его содержания; • Клиент, заключивший гражданско-правовой договор с Оператором посредством использования Сервиса. • Клиент, заключивший гражданско-правовой договор с третьим лицом, которому Оператор оказывает информационно-технологические услуги, посредством использования Сервиса. Пользователь Сервиса; Общедоступные; Технические сведения, характеризующие процесс использования Сервиса: ● данные об устройствах: IP-адрес, вид операционной системы, тип браузера, географическое положение, поставщик услуг сети Интернет. ● сведения о поведении Клиента/Пользователя в Сервисе: дата, время и количество посещений, сведения о посещенных страницах, о переходе с других ресурсов, ● о направленных сообщениях, в том числе история переписки 7. Обработка персональных данных по поручению с целью исполнения договоров, заключенных Оператором с третьими лицами (партнерами); • Клиент, заключивший гражданско-правовой договор с третьим лицом, которому Оператор оказывает информационно-технологические услуги, посредством использования Сервиса; ● Общедоступные. ● Биометрические; • фамилия, имя, отчество • номер телефона • адрес электронной почты • вид, серия, номер документа, удостоверяющего личность, дата выдачи, наименование и код подразделения органа, его выдавшего • дата рождения • место рождения • ИНН • СНИЛС • сведения об адресе постоянной регистрации и фактического проживания • семейное положение, включая информацию о количестве детей • сведения о полученном образовании • фото и видео материалы, содержащие изображение Клиента • реквизиты банковских карт и иных используемых Клиентом электронных средств осуществления платежей, а также сведения о таких платежах • иные персональные данные, указанные в поручении на обработку, согласие на обработку которых получено от субъекта персональных данных