ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ООО «ОТКРЫТЫЕ ИНТЕГРАЦИОННЫЕ СЕРВИСЫ» (ООО «ОИС»)

1. ОБЩИЕ ПОЛОЖЕНИЯ
Политика в отношении обработки персональных данных составлена в соответствии с требованиями Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» и определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных, применяемые Оператором при использовании субъектами персональных данных Сервиса Оператора.
1. Важнейшей целью и условием осуществления деятельности в отношении обработки персональных данных является соблюдение прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
2. Политика в отношении обработки персональных данных применяется ко всей информации, которую Оператор может получить о Клиентах и Пользователях Сервиса, в том числе при обработке персональных данных по поручению другого лица (оператора) на основании заключаемого с ним договора в соответствии с ч. 3 ст. 6 Федерального закона от 27.07.2006. №152-ФЗ «О персональных данных».

2. ОСНОВНЫЕ ПОНЯТИЯ, ИСПОЛЬЗУЕМЫЕ В ПОЛИТИКЕ
1. Сервис – совокупность графических и информационных материалов, а также программ для электронных вычислительных машин и баз данных, в том числе программно-аппаратный комплекс TalkBank Platform, расположенных по сетевому адресу www.talkbank.io (включая поддомены) и в Чат-ботах с функционалом:
- для осуществления взаимодействия с Пользователем или Клиентом, включая обмен информацией и совершение отдельных операций;
- иным функционалом, указанным в Сервисе;
2. Чат-бот - часть Сервиса, работающая в Мессенджере, с помощью которой реализуется функционал Сервиса, в том числе @Talkbankbot;
3. Мессенджер – программы для электронных вычислительных машин, включая мобильные приложения, позволяющие осуществлять мгновенный обмен текстовыми и звуковыми сообщениями, фотографиями, видеозаписями и иными медиафайлами.;
4. Клиент – физическое лицо, заключившее и (или) исполняющее гражданско-правовой договор с Оператором или третьими лицами посредством использования Сервиса;
5. Пользователь – физическое лицо, зарегистрированное в Сервисе;
6. Субъект персональных данных – Клиент или Пользователь, персональные данные которого обрабатываются Оператором;
7. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых Оператором с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
8. Оператор - Общество с ограниченной ответственностью «Открытые интеграционные сервисы» (ООО «ОИС», ОГРН 1217700471086, ИНН 9709074908, Адрес: 109028 г. Москва, Серебряническая набережная, д. 29, этаж 8, помещение II, комната 68, Телефон: +7-985-368-03-25, E-mail: finance@talkbank.io), самостоятельно или совместно с другими лицами организующий и (или) осуществляющий обработку персональных данных, а также определяющий цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
9. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому Пользователю или Клиенту.

3. ПЕРЕЧЕНЬ, КАТЕГОРИИ ПЕРСОНАЛЬНЫХ ДАННЫХ И ЦЕЛИ ИХ ОБРАБОТКИ
1. Оператор определяет для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, в Приложении № 1 к настоящей Политике, которое является его неотъемлемой частью.

4. СПОСОБЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. В целях, определенных в разделе 3 настоящей Политики, Оператор вправе обрабатывать персональные данные Клиентов и Пользователей следующими способами:
• сбор, запись, систематизация, накопление и хранение;
• уточнение (обновление и изменение);
• извлечение, использование (включая хеширование) и передача третьим лицам (предоставление, доступ);
• распространение (в части использования информации, полученной в ходе участия Клиента или Пользователя в рекламных мероприятиях и маркетинговых акциях, проводимых Оператором, а равно размещенных по его инициативе или с его согласия в Сервисе);
• обезличивание, блокирование, удаление и уничтожение.

5. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Ст. 23, 24 Конституции Российской Федерации.
2. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
3. Согласие Клиента и (или) Пользователя на обработку персональных данных. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным.
4. Гражданско-правовые договоры, заключаемые с Клиентами.
5. Поручение на обработку персональных данных в соответствии с ч. 3 ст. 6 Федерального закона от 27.07.2006. №152-ФЗ «О персональных данных».
6. Оператор обрабатывает персональные данные Клиента и Пользователя только в случае их заполнения и/или отправки Клиентом и Пользователем самостоятельно через специальные формы, расположенные в Сервисе, при условии предоставления Клиентом и (или) Пользователем согласия на обработку персональных данных. В случае обработки персональных данных по поручению в соответствии с ч. 3 ст. 6 Федерального закона от 27.07.2006. №152-ФЗ «О персональных данных» обязанность по получению согласия от Субъекта персональных данных на обработку его персональных данных лежит на лице, по поручению которого осуществляется обработка персональных данных.

6. МЕРЫ ПО ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Безопасность персональных данных, которые обрабатываются Оператором, обеспечивается путем реализации следующих правовых, организационных и технических мер, необходимых для выполнения в полном объеме требований действующего законодательства в области защиты персональных данных:


2. Оператор обязан в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.
3. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, Оператор обязан с момента выявления такого инцидента Оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:
- в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном Оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
- в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

7. ПОРЯДОК СБОРА, ХРАНЕНИЯ, ПЕРЕДАЧИ И ДРУГИХ ВИДОВ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ, СРОКИ ИХ ОБРАБОТКИ И ХРАНЕНИЯ

1. Оператор обеспечивает сохранность персональных данных и принимает все возможные меры, исключающие доступ к персональным данным неуполномоченных лиц.
2. Оператор вправе осуществлять передачу персональных данных Клиента и (или) Пользователя, если такая передача соответствует целям обработки персональных данных, указанным в разделе 3 настоящей Политики. Оператор предупреждает получающих третьих лиц о том, что передаваемые данные могут быть использованы лишь в целях, для которых они сообщены.
3. Срок обработки и хранения персональных данных - до достижения цели обработки персональных данных, если иной срок не установлен федеральным законом или договором.
4. Оператор до начала осуществления трансграничной передачи персональных данных обязан убедиться в том, что иностранным государством, на территорию которого предполагается осуществлять передачу персональных данных, обеспечивается надежная защита прав субъектов персональных данных.
5. Трансграничная передача персональных данных на территории иностранных государств, не отвечающих вышеуказанным требованиям, может осуществляться только в случае наличия согласия в письменной форме Клиента и Пользователя на трансграничную передачу его персональных данных и/или исполнения договора, стороной которого является Клиент и Пользователь.

8. ОБРАЩЕНИЯ К ОПЕРАТОРУ

1. Субъект персональных данных или его представитель вправе направлять Оператору свои обращения в письменном виде на почтовый адрес Оператора: 109028, г. Москва, ул. Серебряническая наб. 29, этаж 8, помещение II. Обращения, предусмотренные пунктами 3, 4 раздела 8 настоящей Политики, Субъект персональных данных вправе направить на электронную почту Оператора по адресу: finance@talkbank.io.
2. Клиент и Пользователь вправе в любой момент отозвать свое согласие на обработку персональных данных, направив Оператору письменное обращение с пометкой «Отзыв согласия на обработку персональных данных» на почтовый адрес Оператора: 109028, г. Москва, ул. Серебряническая наб. 29, этаж 8, помещение II.
3. Клиент и Пользователь вправе в любой момент отказаться от получения информационных сообщений, направив Оператору письменное обращение с пометкой «Отказ от уведомлений о новых продуктах и услугах и специальных предложениях».
4. В случае необходимости уточнения персональных данных (изменение или дополнение сведений о Субъекте персональных данных) Клиент и Пользователь могут актуализировать их путем направления Оператору обращения в письменном виде с пометкой «Актуализация персональных данных».
5. Обращения Субъекта персональных данных или его представителя должны содержать:
- сведения о документе, удостоверяющем личность;
- сведения, подтверждающие участие Клиента или Пользователя в отношениях с Оператором (номер телефона, адрес электронной почты, указанный при использовании Сервиса);
- данные представителя и подтверждение его полномочий (при обращении представителя);
- подпись Клиента или Пользователя (представителя Клиента или Пользователя).
6. Оператор обязуется рассмотреть и направить ответ в течение десяти рабочих дней с даты получения запроса Субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Оператором в адрес Субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
7. Оператор предоставляет ответ Субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
8. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение десяти рабочих дней с даты получения такого запроса. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Оператором в адрес уполномоченного органа по защите прав субъектов персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
9. В случае обращения Субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных Оператор обязан в срок, не превышающий десяти рабочих дней с даты получения Оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных пунктами 2 - 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 Федерального закона от 27.07.2006. №152-ФЗ «О персональных данных». Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Оператором в адрес Субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

9. ПОРЯДОК УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ДОСТИЖЕНИИ ЦЕЛЕЙ ИХ ОБРАБОТКИ ИЛИ ПРИ НАСТУПЛЕНИИ ИНЫХ ЗАКОННЫХ ОСНОВАНИЙ

1. Уничтожение персональных данных осуществляется путем уничтожения носителей, содержащих персональные данные субъектов персональных данных, и должно соответствовать следующим правилам:
• быть конфиденциальным, исключая возможность последующего восстановления;
• оформляться юридически, в частности, актом об уничтожении персональных данных;
• уничтожение должно касаться только тех носителей, содержащих персональные данные субъектов персональных данных, которые подлежат уничтожению, не допуская случайного или преднамеренного уничтожения актуальных носителей.
2. Уничтожение носителей, содержащих персональные данные, осуществляется в следующем порядке:
• уничтожение персональных данных, содержащихся на бумажных носителях, осуществляется путем измельчения на мелкие части, исключающие возможность последующего восстановления информации. Измельчение осуществляется с использованием шрёдера (уничтожителя документов), установленного в помещении Оператора (помещении лица, которому Оператор поручил обработку персональных данных в соответствии с ч. 3 ст. 6 Закона о персональных данных), либо документы передаются на переработку (утилизацию) организациям, собирающим вторсырье (пункты приема макулатуры);
• уничтожение персональных данных, содержащихся на машиночитаемых носителях, осуществляется путем нанесения им неустранимого физического повреждения, исключающего возможность их использования, а также восстановления данных. Вышеуказанное достигается путем деформирования, нарушения единой целостности носителя;
• подлежащие уничтожению файлы с персональными данными субъектов персональных данных, расположенные на жестком диске, удаляются средствами операционной системы компьютера с последующим «очищением корзины»;
• в случае допустимости повторного использования носителя CD-RW, DVD-RW применяется программное удаление («затирание») содержимого диска путем его форматирования с последующей записью новой информации на данный носитель.
3. Факт уничтожения персональных данных подтверждается актом об уничтожении персональных данных, который подписывается ответственными лицами и утверждается руководителем Оператора. Данный документ является документом конфиденциального характера и подлежит хранению в течение трех лет с момента уничтожения персональных данных.

10. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

1. Клиент и (или) Пользователь, намеренный использовать Сервис, выражают свое согласие с условиями настоящей Политики в отношении обработки персональных данных. Заполняя соответствующие формы и/или отправляя свои персональные данные Оператору, Клиент и Пользователь совершают конклюдентные действия, свидетельствующие об ознакомлении Клиента и Пользователя с действующей редакцией Политики в отношении обработки персональных данных, и выражении Клиентом и Пользователем согласия с данной Политикой в отношении обработки персональных данных.
2. Актуальная версия Политики в отношении обработки персональных данных в свободном доступе расположена в сети Интернет по адресу www.talkbank.io.
3. Оператор вправе вносить изменения в Политику в отношении обработки персональных данных. Новая редакция Политики в отношении обработки персональных данных вступает в силу с момента ее публикации в сети Интернет по адресу www.talkbank.io.
4. Неотъемлемой частью настоящей Политики является:
- Приложение № 1.

Приложение № 1
к Политике в отношении обработки
персональных данных ООО «ОИС»