ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
СЕРВИС «КОНТО»

1. Термины и определения

1.1. Оператор персональных данных (оператор) – юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

1.1.1. Для Пользователей Сервиса «КОНТО» Оператором обработки персональных данных выступает Общество с ограниченной ответственностью «СЕЙЛБОТ» (далее – Оператор «СЕЙЛБОТ»).

1.1.2. Для контрагентов, клиентов, сотрудников, подрядчиков Пользователя Оператором обработки персональных данных выступает непосредственно Пользователь, а Оператор «СЕЙЛБОТ» в таком случае выступает Поверенным по обработке персональных данных.

1.2. КОНТО (Конто) – результат интеллектуальной деятельности – программа для ЭВМ «Конто» (в том числе интеграционные и иные модули, сервисы, предусмотренные Тарифами, позволяющие использовать дополнительные функциональные возможности), представляющая собой облачный сервис, предназначенный для ведения бухгалтерского и налогового учета, осуществления юридически значимого электронного документооборота (ЭДО), размещенный на серверах, арендуемых Оператором «СЕЙЛБОТ», физически расположенных на территории Российской Федерации, и доступный Пользователю через информационно-телекоммуникационную сеть «Интернет».

1.2.1. Программа для ЭВМ «КОНТО» является результатом интеллектуальной деятельности и приравненных к ним средствам индивидуализации (товарные знаки, дизайн и пр.), а также объектом авторских прав и охраняется в соответствии со ст. 1225, 1259, 1261 ГК РФ.

1.3. Сервис «КОНТО» – принадлежащие Оператору «СЕЙЛБОТ» в результате осуществления интеллектуальной деятельности веб-ресурсы, с помощью которых осуществляется доступ и использование Программы для ЭВМ «КОНТО».

1.4. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

1.5. Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе:

• сбор;
• запись;
• систематизацию;
• накопление;
• хранение;
• уточнение (обновление, изменение);
• извлечение;
• использование;
• передачу (распространение, предоставление, доступ);
• обезличивание;
• блокирование;
• удаление;
• уничтожение.

1.6. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

1.7. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

1.8. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

1.9. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

1.10. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

1.11. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

1.12. Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

1.13. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

1.14. Уполномоченный орган – Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) является федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в сфере средств массовой информации, в том числе электронных, и массовых коммуникаций, информационных технологий и связи, функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, а также функции по организации деятельности радиочастотной службы. Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций является уполномоченным федеральным органом исполнительной власти по защите прав субъектов персональных данных.

1.15. Персональные данные, разрешенные субъектом персональных данных для распространения, – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном законодательством Российской Федерации.

1.16. Согласие на обработку персональных данных – явно выраженное разрешение субъекта персональных данных на обработку его персональных данных Оператору обработки персональных данных. Согласие может быть выражено как в письменной форме, так и в электронной форме путем осуществления определенных действий на сайте Оператора «СЕЙЛБОТ» при регистрации «Я согласен на обработку моих персональных данных» с сохранением в log-файлах даты и времени постановки галочки.

1.17. Клиенты (контрагенты, подрядчики, сотрудники) Пользователя (поручителя) – это лица, персональные данных которых обрабатываются Пользователем с помощью программы для ЭВМ «КОНТО». В таком случае Пользователь программы для ЭВМ «КОНТО», заключая Договор на условиях Публичной оферты для использования сервиса «КОНТО», правообладателем которой является Оператор «СЕЙЛБОТ», фактически является Поручителем для обработки персональных данных, тогда как Оператор «СЕЙЛБОТ» является Поверенным для обработки персональных данных.

1.17.1. Права и обязанности Поручителя и Поверенного, а также иные положения в части, касающейся осуществления обработки персональных данных, сбора согласий на обработку персональных данных клиентов Поручителя, регламентированы настоящей Политикой.

1.17.2. Заключая Договор на условиях Публичной оферты для использования Программы для ЭВМ «КОНТО», Пользователь, приобретающий статус Лицензиат, гарантирует Поверенному – Оператору «СЕЙЛБОТ» –, что уведомил Роскомнадзор о начале осуществления обработки персональных данных.

1.18. Информационные технологии – процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.

1.19. Конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.

1.20. Оператор информационной системы – гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.

1.21. Сайт в сети «Интернет» – совокупность программ для ЭВМ и иной информации, содержащейся в информационной системе, доступ к которой обеспечивается посредством информационно-телекоммуникационной сети «Интернет» (далее — сеть «Интернет») по доменным именам и (или) по сетевым адресам, позволяющим идентифицировать сайты в сети «Интернет» (далее – Сайт Оператора «СЕЙЛБОТ»).

1.22. Пользователь – юридические и физические лица, обладающие статусом индивидуального предпринимателя или использующие специальный налоговый режим «Налог на профессиональный доход» (иначе юридические лица, индивидуальные предприниматели, физические самозанятые лица), заключившие Договор с Оператором «СЕЙЛБОТ» по условиям Публичной оферты для использования Сервиса «КОНТО», а равно представители таких лиц.

1.23. Представитель юридического лица (индивидуального предпринимателя, физического лица, использующего специальный режим «Налог на профессиональный доход») (далее по тексту – Представитель Пользователя) – лицо, уполномоченное осуществлять действия от имени юридического лица, индивидуального предпринимателя, физического лица, в пользу юридического лица, индивидуального предпринимателя, физического лица и за его счет. Представитель Пользователя действует на основании доверенности, а также без доверенности на основании устава или законодательства Российской Федерации.

1.24. Договор (лицензионный договор) – заключенный на условиях Публичной оферты Оператора «СЕЙЛБОТ», расположенной по адресу https://konto.work/offer, лицензионный договор между Оператором «СЕЙЛБОТ» и Пользователем (его Представителем).

2. Общие положения

2.1. Настоящая Политика обработки и защиты персональных данных определяет порядок обработки и защиты информации о субъектах персональных данных, которые планируют заключить и (или) заключают Договоры по условиям публичной оферты для использования сервиса «КОНТО» с ОБЩЕСТВОМ С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ «СЕЙЛБОТ» (ОГРН 1225800000997, ИНН 5834128222), находящемуся по адресу: Российская Федерация, Пензенская область, г. Пенза, проспект Строителей, д. 39В, помещение № 251 (далее — Оператор «СЕЙЛБОТ»).

2.2. Общество с ограниченной ответственностью «СЕЙЛБОТ» включено в реестр операторов обработки персональных данных на основании Приказа Уполномоченного органа № 119 от 18.10.2024 г. (регистрационный номер 58-24-007538).

2.3. Целями Политики обработки и защиты персональных данных (далее – Политика) является:

• обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, от несанкционированного доступа и разглашения;
• исполнение договоров, заключаемых Оператором «СЕЙЛБОТ» с Пользователями;
• предоставление информации об оказываемых Оператором услугах, разработке новых продуктов и услуг;
• исключение несанкционированных действий сотрудников Оператора и любых третьих лиц по сбору, систематизации, накоплению, хранению, уточнению (обновлению, изменению) персональных данных, иных форм незаконного вмешательства в информационные ресурсы и локальную вычислительную сеть Оператора, обеспечение правового и нормативного режима конфиденциальности информации Пользователей.

2.4. Политика описывает каким образом осуществляется обработка персональных данных Оператором «СЕЙЛБОТ».

2.5. Под обработкой персональных данных подразумеваются любые действия (операции) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.6. Под персональными данными подразумевается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу – субъекту персональных данных.

2.7. Настоящая Политика разработана в соответствии с действующим законодательством Российской Федерации и Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ. Обработка персональных данных осуществляется с соблюдением принципов и условий, предусмотренных настоящей Политикой и законодательством Российской Федерации в области персональных данных.

2.8. Правовой основой регулирования правоотношений в области обработки и защиты персональных данных, а также в области установления требований по защите и обработке персональных данных выступает Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ.

2.9. Правовым основанием обработки персональных данных являются:

1. Совокупность нормативно-правовых актов Российской Федерации, а также иных правовых документов Общества, в соответствии с которыми Общество, выступая в качестве Оператора, осуществляет обработку персональных данных;
2. Публичная оферта Оператора «СЕЙЛБОТ» для использования Сервиса «КОНТО»;
3. Пользовательское соглашение;
4. Устав Оператора «СЕЙЛБОТ»;
5. Согласие, явно выраженное субъектом обработки персональных данных;
6. Договоры, заключенные с Пользователями на условиях Публичной оферты для использования Сервиса «КОНТО».

2.10. Оператор «СЕЙЛБОТ» обрабатывает персональные данные в порядке, установленном:

1. Трудовым кодексом Российской Федерации;
2. Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и защите информации»;
3. Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
4. Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах»;
5. Постановлением Правительства РФ от 16.03.2009 № 228 «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций»;
6. Постановлением Правительства РФ от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
7. Приказами Оператора «СЕЙЛБОТ» в области обработки и защиты персональных данных;
8. Инструкцией по обеспечению защиты персональных данных субъектов персональных данных при их обработке;
9. Настоящей Политикой обработки персональных данных;
10. Иными нормативно-правовыми актами Российской Федерации, правовыми документами Оператора «СЕЙЛБОТ».

2.11. В целях противодействия несанкционированного доступа к персональным данным субъектов персональных данных третьими лицами, которые могут осуществить противоправные действия, Инструкция по обеспечению защиты персональных данных субъектов персональных данных, а также иные правовые документы Оператора в части, касающейся защиты персональных данных, описывающих технические и организационные меры защиты и порядок их применения, не подлежат опубликованию в открытых источниках и доступны к изучению и руководству в деятельности только работникам (сотрудникам) Оператора «СЕЙЛБОТ» и сотрудникам (должностным лицам) Уполномоченного органа (Роскомнадзора) по запросу.

2.12. Настоящая Политика размещается на официальном сайте Оператора «СЕЙЛБОТ».

2.13. Оператор «СЕЙЛБОТ» гарантирует, что обработка персональных данных (за исключением персональных данных, вводимых лицами в платежных формах, где обработка осуществляется соответственно платежным оператором, платежным агрегатором или иным платежным сервисом), осуществляется на территории Российской Федерации.

Для развертывания сервера Оператора «СЕЙЛБОТ» используется платформа Яндекс Клауд (Yandex Cloud), которая размещается в дата-центрах (ЦОД) ООО «Яндекс.Облако», расположенных во Владимирской, Рязанской и Московской областях. Адреса данных дата-центров:

1. В городе Мытищи — г. Мытищи, ул. Силикатная 19;
2. Владимирская область — г. Владимир, ул. Энергетиков 37, корп. 2;
3. Рязанская область — г. Сасово, ул. Пушкина 21;
4. Калужская область — г. Калуга, 1-й Автомобильный пр-д 8.

3. Цели и принципы обработки персональных данных

3.1. Обработка персональных данных Пользователей – субъектов персональных данных – осуществляется в целях:

3.1.1. заключения Договора на условиях Публичной оферты для использования Сервиса «КОНТО» с Пользователями, в том числе для поручения Пользователем обработки персональных данных Оператору «СЕЙЛБОТ» в соответствии с п. 3 ст. 6 Федерального закона № 152-ФЗ «О персональных данных»;

3.1.2. предоставления возможности использовать Сервис «КОНТО» Оператора «СЕЙЛБОТ» Пользователями для осуществления бухгалтерского, налогового, кадрового учета и юридически значимого электронного документооборота посредством Оператора ЭДО;

3.1.3. осуществления бухгалтерского, налогового, кадрового учета и юридически значимого электронного документооборота посредством Оператора ЭДО;

3.1.4. разработки новых продуктов, функционала Сервиса, внесения изменений, обновлений в функционал Сервиса и предоставления таких продуктов, а также информирования о нововведениях, обновлениях и изменениях Пользователей Сервиса;

3.1.5. осуществления рекламных кампаний и промо-акций.

3.2. Обработка персональных данных осуществляется на основе принципов:

• законности целей и способов обработки персональных данных;
• добросовестности;
• соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Оператора «СЕЙЛБОТ»;
• соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
• обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных;
• конфиденциальности.

3.3. Пользователь, предоставляющий свои персональные данные Оператору «СЕЙЛБОТ», тем самым соглашается с положениями данной Политики путем постановки галочки при регистрации в Сервисе «КОНТО».

4. Сбор персональных данных и согласие на их обработку

4.1. Сбор персональных данных Пользователей осуществляется через сайт Оператора «СЕЙЛБОТ», при осуществлении регистрации на сайте Оператора «СЕЙЛБОТ», а также при осуществлении посредством Сервиса «КОНТО» бухгалтерского, налогового, кадрового учета и юридически значимого электронного документооборота. Сбор персональных данных Оператором «СЕЙЛБОТ» может осуществляться при использовании иных услуг Оператора «СЕЙЛБОТ» в соответствии с требованиями законодательства Российской Федерации.

4.2. Согласие может быть выражено как в письменной форме, так и в электронной форме путем осуществления определенных действий на сайте Оператора «СЕЙЛБОТ» при регистрации Пользователем (его Представителем) путем постановки галочки в чекбоксе рядом с графой «Я согласен на обработку моих персональных данных» с сохранением в log-файлах даты и времени дачи согласия.

4.3. На сайте Оператора «СЕЙЛБОТ» предусмотрено, что если пользователь не совершит действия, явно направленные на дачу согласия обработки персональных данных, то дальнейшие действия по регистрации и по использованию сервисов Оператора «СЕЙЛБОТ» не будут доступны, в связи с тем, что Оператор «СЕЙЛБОТ» не вправе обрабатывать персональные данные субъекта, которые необходимы для осуществления целей, предусмотренной настоящей Политикой, без согласия субъекта персональных данных.

4.4. Поручая обработку персональных данных Оператору «СЕЙЛБОТ», Пользователь (его Представитель) гарантирует, что получил необходимые согласия на обработку персональных данных субъектов персональных данных или имеет иные законные основания, предусмотренные Федеральным законом № 152-ФЗ «О персональных данных» для осуществления обработки персональных данных.

4.5. Поручая обработку персональных данных Оператору «СЕЙЛБОТ», Пользователь (его Представитель) гарантирует, что уведомил в соответствующем порядке субъектов персональных данных о поручении Оператору «СЕЙЛБОТ» обработки персональных данных и получил соответствующее согласие на поручение обработки персональных данных субъектов персональных данных, в соответствии с ч. 3 ст. 6 Федерального закона № 152-ФЗ «О персональных данных».

4.6. Для клиентов (контрагентов, подрядчиков, сотрудников, представителей таких лиц) Пользователя (поручителя) Оператором обработки персональных данных является непосредственно Пользователь (иначе Поручитель), в то время как Оператор «СЕЙЛБОТ» является Поверенным по обработке персональных данных.

5. Права и обязанности

5.1. Права субъекта персональных данных.

5.1.1. Пользователь (его Представитель), как субъект обработки персональных данных, вправе на получение у Оператора «СЕЙЛБОТ» информации, касающейся обработки его персональных данных, в том числе объема обрабатываемых персональных данных.

5.1.2. Субъект персональных данных вправе требовать от Оператора «СЕЙЛБОТ» уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

5.1.3. Субъект персональных данных вправе отозвать согласие на обработку своих персональных данных.

5.1.4. Требование Пользователя (его Представителя) составляется в свободной форме в виде письменного документа (в т.ч. в электронной форме), который может быть:

• направлен в адрес Оператора «СЕЙЛБОТ» почтовым отправлением;
• направлен на адрес электронной почты;
• направлен в чат с технической поддержкой Оператора «СЕЙЛБОТ»;
• иным не запрещенным законодательством Российской Федерации способом.

5.1.5. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных в вышеуказанных целях и сообщить об этом не позднее 10 (десяти) рабочих дней с момента получения требования.

5.1.6. Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований действующего законодательства или иным образом нарушает его права и свободы, то он вправе обжаловать действия или бездействие Оператора в Уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

5.1.7. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда.

5.2. Обязанности Оператора.

5.2.1. Оператор разъясняет субъекту персональных данных юридические последствия отказа предоставить персональные данные, если это является обязательным в соответствии с законодательством Российской Федерации.

5.2.2. Оператор обязан отвечать на запросы в следующем порядке:

• По факту личного обращения либо при получении письменного запроса субъекта персональных данных Оператор обработки персональных данных, при наличии оснований, обязан в течение 30 дней с даты обращения либо получения запроса предоставить сведения в объеме, установленном действующим законодательством. Такие сведения должны быть представлены в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
• Все обращения регистрируются в Журнале учета обращений субъектов персональных данных по вопросам обработки персональных данных.

5.2.3. Оператор уведомляет субъекта персональных данных об устранении допущенных нарушений или уничтожении его персональных данных.

5.2.4. В случае получения запроса от уполномоченного органа по защите прав субъектов персональных данных о предоставлении информации, необходимой для осуществления деятельности указанного органа, Оператор обязан сообщить такую информацию в уполномоченный орган в течение 30 дней с даты получения такого запроса или в срок, указанный в запросе.

5.2.5. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.

5.2.6. Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

5.3. Оператор «СЕЙЛБОТ» выступает в качестве Поверенного по обработке персональных данных для Пользователя, использующий Сервис «КОНТО» на основании Договора, заключенного по условиям Публичной оферты (далее – Поручитель).

5.3.1. При использовании сервиса «КОНТО» Пользователь (Поручитель) обязан разрабатывать собственную политику обработки персональных данных, осуществлять обработку персональных данных:

• по согласию клиентов (контрагентов, сотрудников, подрядчиков, представителей таких лиц, представителей) Пользователя (Поручителя) – субъектов персональных данных;
• или по иным законным основаниям, предусмотренным Федеральным законом № 152-ФЗ «О персональных данных».

В таком случае Пользователь (Поручитель) фактически выступает в качестве Оператора обработки персональных данных для лиц, указанных в абз. 1 п. 5.3.1 настоящей Политики.

5.3.2. Пользователь (Поручитель), поручая обработку персональных данных Оператору «СЕЙЛБОТ», обязан получить согласие субъекта персональных данных на обработку его Персональных данных непосредственно Оператором «СЕЙЛБОТ», если иное не предусмотрено Федеральным законом № 152-ФЗ «О персональных данных», на основании заключаемого с Оператором «СЕЙЛБОТ» Лицензионного договора.

5.3.3. Пользователь (Поручитель), выступая в качестве оператора обработки персональных данных, самостоятельно получает у собственных клиентов (контрагентов, подрядчиков, сотрудников, работников, Представителей) и иных лиц для осуществления своей хозяйственной деятельности согласие на обработку персональных данных с указанием поручения обработки персональных данных Оператору «СЕЙЛБОТ», определяет круг данных, которые подвергает обработке, осуществляя указанную обработку в соответствии с требованиями законодательства Российской Федерации.

5.3.4. Данные, фактически обрабатываемые Пользователем (Поручителем), выступающий в качестве оператора обработки персональных данных, обрабатываются Оператором «СЕЙЛБОТ» (Поверенным) в соответствии с требованиями, установленными законодательством Российской Федерации, только при наличии соответствующего законного основания.

5.3.5. Оператор «СЕЙЛБОТ» (Поверенный) гарантирует соблюдение всех установленных требований в соответствии с законодательством Российской Федерации по обработке и защите персональных данных.

5.4. В случае, если факт незаконной обработки персональных данных Пользователя (Поручителя) и (или) персональных данных клиентов (контрагентов, сотрудников, подрядчиков, работников, представителей) Пользователя (Поручителя) и иных лиц, а также факт утечки персональных данных, кражи персональных данных произошли по вине самого Пользователя (Поручителя), а также его Представителя (например, при разглашении Пользователем (Поручителем), его Представителем конфиденциальной информации без соответствующего законного основания, при предоставлении третьим лицам паролей и доступов к защищенным аккаунтам Пользователя (Поручителя), и в других случаях), ответственность несет Пользователь (Поручитель), его Представитель самостоятельно.

5.5. В целях защиты персональных данных клиентов (контрагентов, сотрудников, подрядчиков, работников, представителей и иных лиц) Пользователя (Поручителя) – субъектов обработки персональных данных – Оператор «СЕЙЛБОТ» (Поверенный) вправе ограничить доступ к аккаунту Пользователя (Поручителя) в Сервисе «КОНТО» в случае, если Пользователь (Поручитель) и (или) его Представитель не выполняет требования, установленные законодательством Российской Федерации в области обработки и защиты персональных данных и настоящей Политикой, и (или) был признан виновным в нарушении требований по обработке персональных данных, до выполнения Пользователем (Поручителем) и (или) его Представителем установленных требований и (или) устранению нарушений в области обработки персональных данных.

6. Режим конфиденциальности

6.1. Оператор обеспечивает конфиденциальность и безопасность персональных данных при их обработке в соответствии с требованиями законодательства РФ.

6.2. Оператор не раскрывает третьим лицам и не распространяет персональные данные без согласия на это субъекта персональных данных, если иное не предусмотрено законодательством.

6.3. Работники (сотрудники) Оператора, осуществляющие обработку персональных данных без использования автоматизированных систем, обязаны соблюдать требования регламентирующих документов Оператора в части обеспечения конфиденциальности и безопасности персональных данных.

6.4. Работники Оператора, допущенные к обработке персональных данных, обязаны:

• знать и неукоснительно выполнять положения законодательства Российской Федерации, локальных нормативных и распорядительных актов Оператора, регулирующих вопросы обработки персональных данных; настоящей Политики;
• осуществлять обработку персональных данных только в рамках выполнения своих должностных обязанностей;
• не разглашать персональные данные, обрабатываемые Оператором;
• сообщать о действиях других лиц, которые могут привести к нарушению положений настоящей Политики;
• сообщать об известных фактах нарушения требований настоящей Политики Ответственному за организацию обработки персональных данных, назначаемому Приказом Генерального директора Организации.

7. Объем персональных данных и условия обработки

7.1. В целях, указанных в пункте 2.1 настоящей Политики, Оператор «СЕЙЛБОТ» обрабатывает следующие категории персональных данных с согласия субъектов персональных данных:

• Кандидаты на работу – потенциальные работники Оператора «СЕЙЛБОТ»: фамилия, имя, отчество; сведения о документе, удостоверяющем личность; гражданство; адрес прописки; страховой номер индивидуального лицевого счета; платежные реквизиты; сведения о трудовой деятельности; сведения о воинской обязанности; сведения об образовании; номер мобильного телефона; электронная почта.
• Работники Оператора «СЕЙЛБОТ»: фамилия, имя, отчество; сведения о документе, удостоверяющем личность; гражданство; адрес прописки; страховой номер индивидуального лицевого счета; платежные реквизиты; сведения о трудовой деятельности и реквизиты трудовой книжки; сведения о воинской обязанности; сведения об образовании; номер мобильного телефона; электронная почта.
• Пользователи Сервиса «КОНТО» – индивидуальные предприниматели и физические лица, применяющие специальный режим «Налог на профессиональный доход»: фамилия, имя, отчество; мобильный телефон; электронная почта; платежные реквизиты; сведения о документе, удостоверяющем личность; сведения о постановке на учет в качестве плательщика налога на профессиональный доход для лиц, имеющие статус плательщика налога на профессиональный доход, или сведения о постановке на учет в качестве индивидуального предпринимателя (номер ОГРНИП и дата постановки на учет) для лиц, зарегистрированных в качестве индивидуальных предпринимателей.
• Лица, являющиеся представителями (сотрудниками) юридического лица, от имени которого заключается Лицензионный договор с Оператором «СЕЙЛБОТ»: государственный регистрационный номер о создании юридического лица (ОГРН); фамилия, имя, отчество представителя (сотрудника), от имени заключается (пролонгируется) Лицензионный договор; должность представителя (сотрудника) юридического лица, от имени которого заключается (пролонгируется) Лицензионный договор; сведения о документе, удостоверяющем личность; мобильный телефон; электронная почта; платежные реквизиты.
• Потенциальные контрагенты (физические и (или) юридические лица):
  • а) для юридических лиц: государственный регистрационный номер о создании юридического лица (ОГРН); фамилия, имя, отчество представителя (сотрудника), от имени которого юридическое лицо осуществляет взаимодействие с Оператором; должность представителя (сотрудника) юридического лица; мобильный телефон; электронная почта; платежные реквизиты;
  • б) для лиц, имеющих статус индивидуального предпринимателя или статус плательщика налога на профессиональный доход: фамилия, имя, отчество; сведения о постановке на учет в качестве плательщика налога на профессиональный доход для лиц, имеющие статус плательщика налога на профессиональный доход, или сведения о постановке на учет в качестве индивидуального предпринимателя (номер ОГРНИП и дата постановки) для лиц, зарегистрированных в качестве индивидуальных предпринимателей; номер телефона; почта; платежные реквизиты.
• Исполнители по договорам ГПХ (физические лица, привлекаемые в качестве исполнителей по договорам, а также кандидаты в исполнители на этапе планирования договора): фамилия, имя, отчество; сведения о документе, удостоверяющем личность; свидетельство о постановке на учет в налоговом органе; электронная почта; мобильный телефон; платежные реквизиты.
• Работники контрагентов, субподрядчиков, поставщиков и других юридических лиц, имеющих договорные отношения с Оператором «СЕЙЛБОТ», с которым взаимодействуют работники Оператора «СЕЙЛБОТ» в рамках своей деятельности: фамилия, имя, отчество; мобильный телефон; адрес электронной почты.

7.1.1. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, Оператором «СЕЙЛБОТ» не осуществляется.

7.2. Условия обработки персональных данных.

7.2.1. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных. Обработка персональных данных субъектов персональных данных без согласия субъекта персональных данных осуществляется только по основаниям и в случаях, прямо предусмотренных законодательством РФ.

7.2.2. Персональные данные могут также включать в себя дополнительно предоставляемые Пользователями данные по запросу Оператора «СЕЙЛБОТ» в целях исполнения Оператором «СЕЙЛБОТ» обязательств, прямо вытекающих из договоров, заключаемых между Оператором «СЕЙЛБОТ» и Пользователем.

7.2.3. Персональные данные могут храниться как на бумажных носителях, так и на электронных носителях.

7.2.4. Персональные данные обрабатываются как с использованием автоматизированных систем, так и без использования автоматизированных систем.

7.2.5. Оператор может использовать персональные данные для отправки информации, уведомлений, необходимых для нормального функционирования Сервиса «КОНТО», рекламных сообщений и промо-акций.

7.2.6. Оператор «СЕЙЛБОТ» не передает персональные данные третьим лицам, за исключением случаев, прямо предусмотренных законодательством, и обрабатывает данные субъектов персональных данных самостоятельно.

7.2.7. Персональные данные обрабатывают лично Оператор «СЕЙЛБОТ», а также сотрудники Оператора «СЕЙЛБОТ», допущенные Приказом Оператором «СЕЙЛБОТ» к обработке персональных данных. Работники вправе обрабатывать только те персональные данные, которые необходимы им для выполнения своих должностных обязанностей. Доступ работников к персональным данным прекращается после прекращения трудовых отношений с работником либо с даты прекращения должностных обязанностей.

7.2.8. Хранение персональных данных субъекта персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных.

7.2.9. Общий срок хранения персональных данных составляет 3 (три) года с момента расторжения Договора, за исключением случаев, когда Пользователь, выступая в качестве субъекта персональных данных, обратился с заявлением об отзыве согласия на обработку персональных данных, в том числе с заявлением об уничтожении своих персональных данных. Также Пользователь, выступая в качестве Оператора обработки персональных данных, вправе самостоятельно принимать решение об уничтожении персональных данных субъектов персональных данных, для которых такой Пользователь непосредственно является Оператором обработки персональных данных.

7.2.10. Обработка персональных данных Пользователей, осуществляемая без использования средств автоматизации, происходит таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей).

7.2.11. Оператор «СЕЙЛБОТ» обеспечивает раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

7.2.12. При хранении материальных носителей соблюдаются условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.

7.2.13. Серверы располагаются в местах недоступных для лиц, не имеющих доступ к персональным данным субъектов персональных данных. Конкретный перечень мер, принимаемых Оператором к хранению персональных данных содержится в соответствующем приказе. Оператор «СЕЙЛБОТ» для хранения персональных данных использует базы данных, находящиеся на территории Российской Федерации.

7.2.14. Оператор не осуществляет трансграничную передачу данных субъектов персональных данных.

7.3. Обеспечение безопасности персональных данных и режима конфиденциальности.

7.3.1. Оператор «СЕЙЛБОТ» обеспечивает безопасность персональных данных, обрабатываемых в информационных системах Оператора «СЕЙЛБОТ», которая достигается путем исключения несанкционированного, в том числе случайного, доступа к ним, а также принятия следующих мер по обеспечению безопасности:

• определение актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах;
• применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах Оператора, необходимых для выполнения требований к защите данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности;
• применение процедур оценки соответствия средств защиты информации;
• оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы;
• обеспечение работоспособного функционирования компьютерной техники с персональными данными в соответствии с эксплуатационной и технической документацией компьютерной техники и с учетом технических требований информационных систем и средств защиты информации;
• обнаружение и регистрация фактов несанкционированного доступа к персональным данным, несанкционированной повторной и дополнительной записи информации после ее извлечения из информационной системы и принятие мер;
• восстановление персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;
• установление правил доступа к персональным данным, обрабатываемым в информационных системах Оператора, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах Оператора;
• использование антивирусных средств и средств восстановления системы защиты персональных данных;
• применение средств межсетевого экранирования, в необходимых случаях обнаружения вторжений, анализа защищенности и иных технических средств защиты информации.

7.4. Актуализация, блокирование и уничтожение персональных данных.

7.4.1. В случае подтверждения факта неточности персональных данных или неправомерности их обработки, персональные данные подлежат их актуализации Оператором «СЕЙЛБОТ», а обработка должна быть прекращена.

7.4.2. Субъект персональных данных вправе в письменной форме требовать уничтожения своих персональных данных в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

7.4.3. В случае отсутствия возможности уничтожения персональных данных Оператор осуществляет блокирование таких персональных данных. В случае выявления неправомерной обработки персональных данных при обращении или по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных Оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки.

7.4.4. Уничтожение персональных данных осуществляется в течение 30 дней с момента возникновения оснований для уничтожения и путем стирания информации с использованием сертифицированного программного обеспечения с гарантированным уничтожением (в соответствии с заданными характеристиками для установленного программного обеспечения с гарантированным уничтожением).

7.4.5. Уничтожение документации, содержащей персональные данные осуществляется лично Оператором «СЕЙЛБОТ».

7.5. Прекращение обработки персональных данных.

7.5.1. Условием прекращения обработки персональных данных может являться:

• достижение целей обработки персональных данных;
• истечение срока действия согласия или отзыв согласия субъекта на обработку его персональных данных;
• выявление неправомерной обработки персональных данных.

В этом случае персональные данные субъектов уничтожаются в порядке, предусмотренным настоящей Политикой.

8. Организация обеспечения безопасности персональных данных

8.1. К организационным мерам защиты персональных данных относят:

8.1.1. издание локальных Актов Оператором «СЕЙЛБОТ», касающихся обработки персональных данных и их защиты, и ознакомление сотрудников, осуществляющих обработку персональных данных в том объеме и в той мере, который необходим для осуществления трудовой функции и исполнению обязанностей, установленных должностным регламентом.

8.1.2. определение объема и перечня персональных данных, которые необходимы для осуществления сотрудниками Оператора «СЕЙЛБОТ» трудовой функции и обязанностей, установленных должностным регламентом.

8.1.3. создание и применение в деятельности организации Политики обработки персональных данных. В свою очередь, Политика обработки персональных данных должна быть в обязательном порядке опубликована на сайте Оператора «СЕЙЛБОТ» в информационно-телекоммуникационной сети «Интернет».

8.1.4. определение правил доступа и учет доступов к административной части Программы для ЭВМ «КОНТО».

8.1.5. организация проведения проверок на уязвимости программы, где в качестве проверяющих выступают независимые организации (юридические лица, индивидуальные предприниматели).

8.1.6. организация мероприятий по поиску и выявлению уязвимостей программы техническими работниками организации, имеющие специализированные знания, навыки и (или) квалификацию в области информационных технологий и (или) информационной безопасности.

8.1.7. установление способов профилактики несанкционированного доступа и комплекса мер по предупреждению инцидентов безопасности.

8.1.8. проведение мероприятий по обучению сотрудников работе с персональными данными, ознакомление сотрудников с Политикой обработки персональных данных и настоящей инструкцией.

8.1.9. информирование пользователей:

• уведомление пользователей программы для ЭВМ «КОНТО» о необходимости обновления паролей;
• направление рекомендаций к установлению уровня сложности паролей, установлению двухфакторной аутентификации;
• направление предупреждений для пользователей программы для ЭВМ «КОНТО» об исключении случаев передачи паролей и доступов к собственным аккаунтам программы для ЭВМ «КОНТО» третьим лицам;
• разработка методических рекомендаций и статей по предупреждению пользователей о возможных угрозах при передаче доступов к аккаунту третьим лицам. Указанные рекомендации и статьи расположены в общем доступе.

8.1.10. ведение учета кибератак на программу для ЭВМ «КОНТО».

8.1.11. ведение учета персональных компьютеров и (или) защищенных сервисов, являющиеся таковыми на основании Законодательства Российской Федерации, на которых хранятся персональные данные субъектов персональных данных, ответственным за безопасность и защиту персональных данных.

8.1.12. в случае, если в Организации осуществляется хранение персональных данных на бумажных носителях, ответственное лицо обязано вести учет таковым носителям, а также обеспечивать сохранность и безопасность указанных носителей до момента уничтожения бумажных носителей персональных данных субъектов персональных данных, которые уничтожаются в соответствии с требованиями, установленными Законодательством Российской Федерации по хранению персональных данных субъектов персональных данных.

8.1.13. проведение инструктажей сотрудников организации по обеспечению защиты и безопасности персональных данных при эксплуатации программы для ЭВМ «КОНТО».

8.1.14. установление правил и требований для аварийного восстановления системы программы для ЭВМ «КОНТО», для резервного копирования системы программы для ЭВМ «КОНТО».

8.1.15. направление потенциальным кандидатам договора о неразглашении конфиденциальной информации, которая может стать им известной после заключения трудового договора, для осуществления трудовой функции в ООО «СЕЙЛБОТ».

8.1.16. обеспечение передачи закрывающих документов (УПД), актов и счетов на оплату, иных платежных поручений и документов, содержащие сведения о персональных данных субъектов персональных данных, а также хранение электронных документов, содержащих персональные данные и переданных на обработку персональных данных, с помощью оператора ЭДО, соответствующее требованиям, установленным Законодательством Российской Федерации.

8.2. Перечисленный в п. 8.1 настоящей Политики перечень организационных мер не является исчерпывающим. Сотрудники ООО «СЕЙЛБОТ», в том числе Генеральный директор, как лицо ответственное за защиту и безопасность персональных данных субъектов персональных данных, вправе принимать и иные организационные меры, которые в должном объеме и степени обеспечивают защиту и безопасность персональных данных субъектов персональных данных.

8.3. К техническим мерам защиты персональных данных относят технические средства, программные методы, предназначенные для недопущения несанкционированного доступа (в т.ч. недопущения противоправных действий с персональными данными субъектов) к персональным данным субъектов персональных данных и их защиты, не являющиеся собственной разработкой технических специалистов – разработчиков Организации, а также методы, способы, модели и иные средства, являющиеся собственной разработкой Организации, предназначенные для защиты и безопасности персональных данных.

8.4. К техническим мерам защиты персональных данных относят:

1. фаервол, запрещающий доступ к базе данных извне, – система, которая предотвращает несанкционированный доступ в информационно-телекоммуникационной сети «Интернет»;
2. ограничение доступа средствами аутентификации в базе данных с использованием программных средств и методов;
3. ограничение доступа к серверу средствами ОС Linux, включающая настройку параметров безопасности конфигурационных файлов: пользователей, групп пользователей и процессов с помощью встроенных системных разрешений, групп пользователей;
4. работа с базой данной с использованием ORM;
5. ограничение доступа по IP;
6. разработанная система доступа к аккаунту пользователя – двухфакторная аутентификация;
7. валидация логинов, паролей, адресов электронной почты, вводимых при регистрации и аутентификации;
8. проверка адресов электронной почты на спам с помощью спам-фильтров и на иные подозрительные действия, осуществляемые с данным адресом электронной почты;
9. использование защищенных хостинг сервисов (YandexCloud), в котором обеспечивается:
   • а) блокирование версии объекта (object lock);
   • б) шифрование объектов (object storage), обеспечивающее недопущение случайной или преднамеренной публикации содержимого в информационно-телекоммуникационной сети «Интернет»;
   • в) протокол TLS, обеспечивающий защищенную передачу данных;
   • г) политика доступа для защищенного управления доступом к ресурсам;
   • д) установление ключей доступа.

8.5. Перечисленный в п. 8.4 настоящей Политики перечень технических мер не является исчерпывающим. Сотрудники Организации, в том числе Генеральный директор Организации, как лицо ответственное за защиту и безопасность персональных данных субъектов персональных данных, вправе принимать и иные организационные меры, которые в должном объеме и степени обеспечивают защиту и безопасность персональных данных субъектов персональных данных.

9. Ответственность

9.1. Все сотрудники Оператора «СЕЙЛБОТ» обязаны хранить тайну о сведениях, содержащих персональные данные, в соответствии с Политикой, требованиями законодательства РФ.

9.2. Лица, виновные в нарушении требований Политики и законодательства о персональных данных, несут предусмотренную законодательством РФ ответственность.

9.3. Лица, ответственные за защиту персональных данных, назначаются Приказом Генерального директора с начала действия трудовых договоров и до их окончания.