ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
ДоклиДок
Сервис автоматизированного создания юридических документов "ДоклиДок"
Дата публикации: 10 октября 2025 г.
Дата вступления в силу: 10 октября 2025 г.
Версия: 1.0
1. ОБЩИЕ ПОЛОЖЕНИЯ1.1. Назначение и область применения
1.1.1. Настоящая Политика обработки персональных данных (далее — «Политика») определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных в автоматизированном сервисе создания юридических документов "ДоклиДок" (далее — «Сервис»).
1.1.2. Политика разработана в соответствии с требованиями:
1.1.4. Политика применяется ко всей информации, которую Оператор может получить о пользователях Сервиса.
1.1.5. Настоящая Политика является неотъемлемой частью Пользовательского соглашения Сервиса.
1.2. Оператор персональных данных
1.2.1. Оператором персональных данных является:
Индивидуальный предприниматель Толстых Никита Александрович
ИНН: 744815548295
ОГРНИП: 323784700041704
Контактные данные:
Понедельник — пятница: 10:00 — 19:00 (МСК)
1.2.2. Оператор самостоятельно или совместно с другими лицами организует и/или осуществляет обработку персональных данных, а также определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
1.3. Нормативные правовые акты, регулирующие обработку персональных данных
1.3.1. Обработка персональных данных Оператором осуществляется в соответствии со следующими нормативными правовыми актами:
Для целей настоящей Политики используются следующие основные понятия:
Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.
Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая:
Персональные данные — любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту персональных данных).
Пользователь — любое физическое или юридическое лицо, использующее Сервис.
Предоставление персональных данных — действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц.
Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределённому кругу лиц.
Сервис / ДоклиДок — автоматизированная система создания юридических документов, доступная пользователям через платформу Telegram в виде бота.
Субъект персональных данных — физическое лицо, к которому относятся персональные данные.
Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и/или в результате которых уничтожаются материальные носители персональных данных.
3. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ3.1. Основные принципы
3.1.1. Обработка персональных данных осуществляется Оператором на основе следующих принципов:
а) Законность и справедливость Обработка персональных данных осуществляется на законной и справедливой основе в соответствии с требованиями законодательства РФ.
б) Ограничение целями Обработка персональных данных ограничивается достижением конкретных, заранее определённых и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
в) Соответствие целям Содержание и объём обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
г) Точность и актуальность При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных.
д) Ограниченность хранения Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
е) Конфиденциальность Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
ж) Целостность и безопасность Оператор обеспечивает безопасность персональных данных путём принятия правовых, организационных и технических мер, необходимых для обеспечения требований законодательства РФ в области защиты персональных данных.
3.2. Принцип минимизации данных
3.2.1. Оператор собирает и обрабатывает только те персональные данные, которые необходимы для достижения заявленных целей обработки.
3.2.2. Не допускается сбор избыточных персональных данных, не требующихся для создания конкретного документа.
3.2.3. При возможности достижения целей обработки с использованием обезличенных данных Оператор использует такие данные.
3.3. Прозрачность обработки
3.3.1. Оператор обеспечивает прозрачность обработки персональных данных путём:
4.1.1. Оператор обрабатывает персональные данные следующих категорий субъектов:
а) Пользователи Сервиса Физические лица, использующие Сервис для создания юридических документов.
б) Представители юридических лиц Физические лица, действующие от имени юридических лиц или индивидуальных предпринимателей при использовании Сервиса.
в) Третьи лица, указанные в документах Физические лица, персональные данные которых указываются Пользователями при создании документов (контрагенты, родственники, представители и т.п.).
г) Клиенты (плательщики) Физические лица, оплачивающие услуги Сервиса.
д) Посетители Лица, обращающиеся в Сервис через Telegram без создания документов.
4.2. Особенности обработки данных различных категорий
4.2.1. Пользователи Сервиса:
5.1.1. Оператор может обрабатывать следующие категории персональных данных:
а) Идентификационные данные:
5.2.1. Персональные данные получаются Оператором из следующих источников:
а) Непосредственно от субъектов персональных данных:
5.3.1. ВАЖНО: Сервис НЕ обрабатывает специальные категории персональных данных, указанные в ч. 1 ст. 10 ФЗ-152:
5.3.3. Оператор принимает все необходимые меры для предотвращения сбора специальных категорий персональных данных через Сервис.
5.4. Биометрические персональные данные
5.4.1. Сервис НЕ обрабатывает биометрические персональные данные (фотографии, отпечатки пальцев, изображения лица, голос и т.п.).
6. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ6.1. Перечень целей обработки
6.1.1. Персональные данные обрабатываются Оператором исключительно в следующих целях:
а) Создание юридических документов Основная цель — автоматизированное создание запрошенных Пользователем документов на основе введённых данных.
б) Идентификация Пользователя Идентификация Пользователя в Сервисе для предоставления доступа к функционалу и истории обращений в рамках сессии.
в) Обработка платежей Приём платежей за платные услуги, формирование платёжных документов, исполнение обязательств по Пользовательскому соглашению.
г) Исполнение договора Исполнение обязательств по Пользовательскому соглашению между Оператором и Пользователем.
д) Техническая поддержка Предоставление технической поддержки, обработка обращений, разрешение технических проблем.
е) Улучшение Сервиса Анализ использования Сервиса (в обезличенной форме), выявление и устранение ошибок, разработка новых функций.
ж) Исполнение требований законодательства Ведение бухгалтерского и налогового учёта, предоставление информации государственным органам по официальным запросам.
з) Предотвращение мошенничества Выявление и предотвращение мошеннических действий, злоупотреблений, нарушений условий использования.
и) Информирование Направление информационных и сервисных сообщений о работе Сервиса (с согласия Пользователя — маркетинговых сообщений).
к) Защита прав и интересов Защита прав и законных интересов Оператора, Пользователей и третьих лиц.
6.2. Соответствие целям
6.2.1. Обработка персональных данных не осуществляется в целях, не совместимых с указанными выше.
6.2.2. В случае необходимости обработки персональных данных в иных целях Оператор получает отдельное согласие субъекта персональных данных.
6.2.3. Состав обрабатываемых персональных данных строго соответствует заявленным целям и не является избыточным.
7. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ7.1. Основания в соответствии с ФЗ-152
7.1.1. Обработка персональных данных осуществляется Оператором на основании:
а) Согласие субъекта персональных данных (п. 1 ч. 1 ст. 6 ФЗ-152)
Использование Сервиса является согласием субъекта персональных данных на их обработку. Согласие подтверждается:
Обработка необходима для исполнения договора (Пользовательского соглашения), стороной которого является субъект персональных данных.
в) Исполнение обязанностей Оператора (п. 2 ч. 1 ст. 6 ФЗ-152)
Обработка необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством РФ на Оператора функций, полномочий и обязанностей (в частности, ведение бухгалтерского и налогового учёта).
г) Защита интересов Оператора (п. 7 ч. 1 ст. 6 ФЗ-152)
Обработка необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно.
д) Осуществление прав и законных интересов (п. 7 ч. 1 ст. 6 ФЗ-152)
Обработка персональных данных необходима для осуществления прав и законных интересов Оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
е) Общедоступные персональные данные (п. 8 ч. 1 ст. 6 ФЗ-152)
Обработка общедоступных персональных данных (например, ФИО, должность руководителей организаций), предоставленных субъектом персональных данных для общего доступа или на основании его просьбы.
7.2. Согласие на обработку персональных данных
7.2.1. Форма согласия:
Согласие на обработку персональных данных предоставляется Пользователем в форме конклюдентных действий — совершения действий, свидетельствующих о согласии на обработку персональных данных на условиях, указанных в настоящей Политике.
7.2.2. Моменты получения согласия:
Используя Сервис, Пользователь подтверждает, что:
Субъект персональных данных имеет право отозвать своё согласие на обработку персональных данных в любой момент, направив соответствующее заявление на адрес электронной почты: privacy@doclidoc.ru.
При отзыве согласия Оператор:
8.1.1. Оператор осуществляет обработку персональных данных следующими способами:
а) Автоматизированная обработка Обработка персональных данных с помощью средств вычислительной техники (серверов, программного обеспечения).
б) Неавтоматизированная обработка Обработка персональных данных в документах на бумажных носителях (платёжные документы, обращения в службу поддержки).
8.1.2. Преобладающим способом обработки является автоматизированная обработка.
8.2. Действия (операции) с персональными данными
8.2.1. Оператор выполняет следующие действия (операции) с персональными данными:
а) Сбор Получение персональных данных от субъектов, из платформы Telegram, от платёжных систем.
б) Запись Фиксация персональных данных на материальном носителе (в оперативной памяти сервера, в базе данных, в файлах).
в) Систематизация Упорядочение персональных данных по определённым признакам для создания документа.
г) Накопление Временное сохранение персональных данных в оперативной памяти в процессе создания документа.
д) Хранение Сохранение персональных данных в форме, позволяющей определить субъекта (только для данных о платежах и Telegram ID).
е) Уточнение (обновление, изменение) Изменение, дополнение персональных данных при их обновлении Пользователем.
ж) Извлечение Получение персональных данных из базы данных или оперативной памяти для использования.
з) Использование Применение персональных данных для создания документов, идентификации Пользователя, обработки платежей.
и) Передача (предоставление, доступ) Передача персональных данных платёжным операторам (для обработки платежей), в случаях, предусмотренных законодательством — государственным органам.
к) Обезличивание Действия, делающие невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту (для целей аналитики).
л) Блокирование Временное прекращение обработки персональных данных (в случае выявления неточностей, по требованию субъекта).
м) Удаление Уничтожение персональных данных таким образом, что содержание невозможно восстановить.
н) Уничтожение Безвозвратное уничтожение персональных данных с невозможностью их восстановления.
Дата публикации: 10 октября 2025 г.
Дата вступления в силу: 10 октября 2025 г.
Версия: 1.0
1. ОБЩИЕ ПОЛОЖЕНИЯ1.1. Назначение и область применения
1.1.1. Настоящая Политика обработки персональных данных (далее — «Политика») определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных в автоматизированном сервисе создания юридических документов "ДоклиДок" (далее — «Сервис»).
1.1.2. Политика разработана в соответствии с требованиями:
- Конституции Российской Федерации;
- Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — ФЗ-152, Закон о персональных данных);
- Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Постановления Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- иных нормативных правовых актов Российской Федерации в области персональных данных.
1.1.4. Политика применяется ко всей информации, которую Оператор может получить о пользователях Сервиса.
1.1.5. Настоящая Политика является неотъемлемой частью Пользовательского соглашения Сервиса.
1.2. Оператор персональных данных
1.2.1. Оператором персональных данных является:
Индивидуальный предприниматель Толстых Никита Александрович
ИНН: 744815548295
ОГРНИП: 323784700041704
Контактные данные:
- Email (общие вопросы): mateaicomrus@yandex.ru
- Email (персональные данные): mateaicomrus@yandex.ru
- Telegram: @mateaicompany
Понедельник — пятница: 10:00 — 19:00 (МСК)
1.2.2. Оператор самостоятельно или совместно с другими лицами организует и/или осуществляет обработку персональных данных, а также определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
1.3. Нормативные правовые акты, регулирующие обработку персональных данных
1.3.1. Обработка персональных данных Оператором осуществляется в соответствии со следующими нормативными правовыми актами:
- Конституция Российской Федерации;
- ФЗ-152 «О персональных данных»;
- ФЗ-149 «Об информации, информационных технологиях и о защите информации»;
- Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
- иные нормативные правовые акты РФ.
Для целей настоящей Политики используются следующие основные понятия:
Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.
Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая:
- сбор;
- запись;
- систематизацию;
- накопление;
- хранение;
- уточнение (обновление, изменение);
- извлечение;
- использование;
- передачу (распространение, предоставление, доступ);
- обезличивание;
- блокирование;
- удаление;
- уничтожение персональных данных.
Персональные данные — любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту персональных данных).
Пользователь — любое физическое или юридическое лицо, использующее Сервис.
Предоставление персональных данных — действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц.
Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределённому кругу лиц.
Сервис / ДоклиДок — автоматизированная система создания юридических документов, доступная пользователям через платформу Telegram в виде бота.
Субъект персональных данных — физическое лицо, к которому относятся персональные данные.
Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и/или в результате которых уничтожаются материальные носители персональных данных.
3. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ3.1. Основные принципы
3.1.1. Обработка персональных данных осуществляется Оператором на основе следующих принципов:
а) Законность и справедливость Обработка персональных данных осуществляется на законной и справедливой основе в соответствии с требованиями законодательства РФ.
б) Ограничение целями Обработка персональных данных ограничивается достижением конкретных, заранее определённых и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
в) Соответствие целям Содержание и объём обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
г) Точность и актуальность При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных.
д) Ограниченность хранения Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
е) Конфиденциальность Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
ж) Целостность и безопасность Оператор обеспечивает безопасность персональных данных путём принятия правовых, организационных и технических мер, необходимых для обеспечения требований законодательства РФ в области защиты персональных данных.
3.2. Принцип минимизации данных
3.2.1. Оператор собирает и обрабатывает только те персональные данные, которые необходимы для достижения заявленных целей обработки.
3.2.2. Не допускается сбор избыточных персональных данных, не требующихся для создания конкретного документа.
3.2.3. При возможности достижения целей обработки с использованием обезличенных данных Оператор использует такие данные.
3.3. Прозрачность обработки
3.3.1. Оператор обеспечивает прозрачность обработки персональных данных путём:
- опубликования настоящей Политики в открытом доступе;
- информирования субъектов персональных данных о целях, способах и условиях обработки;
- предоставления информации об обработке по запросу субъектов персональных данных.
4.1.1. Оператор обрабатывает персональные данные следующих категорий субъектов:
а) Пользователи Сервиса Физические лица, использующие Сервис для создания юридических документов.
б) Представители юридических лиц Физические лица, действующие от имени юридических лиц или индивидуальных предпринимателей при использовании Сервиса.
в) Третьи лица, указанные в документах Физические лица, персональные данные которых указываются Пользователями при создании документов (контрагенты, родственники, представители и т.п.).
г) Клиенты (плательщики) Физические лица, оплачивающие услуги Сервиса.
д) Посетители Лица, обращающиеся в Сервис через Telegram без создания документов.
4.2. Особенности обработки данных различных категорий
4.2.1. Пользователи Сервиса:
- обработка данных осуществляется на основании согласия и для исполнения договора (Пользовательского соглашения);
- данные обрабатываются исключительно для создания запрошенных документов;
- персональные данные, введённые при создании документов, удаляются немедленно после генерации файла.
- Пользователь гарантирует наличие согласия таких лиц на обработку их персональных данных или наличие иного законного основания;
- данные обрабатываются исключительно для создания документа;
- данные немедленно удаляются после генерации документа.
- обработка данных о платежах осуществляется на основании требований законодательства РФ о бухгалтерском и налоговом учёте;
- данные хранятся в течение сроков, установленных законодательством (не менее 5 лет).
5.1.1. Оператор может обрабатывать следующие категории персональных данных:
а) Идентификационные данные:
- фамилия, имя, отчество;
- дата и место рождения;
- пол;
- гражданство.
- серия и номер паспорта;
- дата выдачи паспорта;
- орган, выдавший паспорт;
- код подразделения.
- адрес регистрации по месту жительства;
- адрес фактического проживания;
- юридический адрес (для ИП и организаций);
- почтовый адрес.
- номер телефона;
- адрес электронной почты;
- Telegram ID;
- username в Telegram.
- данные паспорта гражданина РФ;
- данные иных документов, удостоверяющих личность.
- VIN номер;
- государственный регистрационный знак;
- данные ПТС и СТС;
- характеристики транспортного средства.
- кадастровый номер недвижимости;
- адрес объекта недвижимости;
- площадь, этажность, назначение;
- данные правоустанавливающих документов.
- банковские реквизиты (номер счёта, БИК, наименование банка);
- данные о платежах (дата, сумма, номер транзакции);
- ИНН, КПП, ОГРН/ОГРНИП (для ИП и юридических лиц).
- должность;
- место работы;
- сведения о трудовой деятельности (при создании трудовых документов).
- семейное положение;
- сведения о супруге/супруге;
- сведения о детях.
- IP-адрес;
- дата и время обращения к Сервису;
- информация о действиях в Сервисе;
- тип устройства и операционной системы.
5.2.1. Персональные данные получаются Оператором из следующих источников:
а) Непосредственно от субъектов персональных данных:
- при использовании Сервиса (ввод данных в формы);
- при обращении в службу поддержки;
- при оплате услуг.
- Telegram ID;
- username (при наличии);
- данные профиля (имя, фамилия — если указаны в настройках Telegram).
- данные о совершённых платежах;
- информация для формирования чеков.
- персональные данные контрагентов, указываемые при создании договоров;
- данные представителей, доверенных лиц;
- иные данные третьих лиц, необходимые для создания документа.
5.3.1. ВАЖНО: Сервис НЕ обрабатывает специальные категории персональных данных, указанные в ч. 1 ст. 10 ФЗ-152:
- данные о расовой, национальной принадлежности;
- политические взгляды;
- религиозные или философские убеждения;
- состояние здоровья;
- интимная жизнь;
- данные о судимости.
5.3.3. Оператор принимает все необходимые меры для предотвращения сбора специальных категорий персональных данных через Сервис.
5.4. Биометрические персональные данные
5.4.1. Сервис НЕ обрабатывает биометрические персональные данные (фотографии, отпечатки пальцев, изображения лица, голос и т.п.).
6. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ6.1. Перечень целей обработки
6.1.1. Персональные данные обрабатываются Оператором исключительно в следующих целях:
а) Создание юридических документов Основная цель — автоматизированное создание запрошенных Пользователем документов на основе введённых данных.
б) Идентификация Пользователя Идентификация Пользователя в Сервисе для предоставления доступа к функционалу и истории обращений в рамках сессии.
в) Обработка платежей Приём платежей за платные услуги, формирование платёжных документов, исполнение обязательств по Пользовательскому соглашению.
г) Исполнение договора Исполнение обязательств по Пользовательскому соглашению между Оператором и Пользователем.
д) Техническая поддержка Предоставление технической поддержки, обработка обращений, разрешение технических проблем.
е) Улучшение Сервиса Анализ использования Сервиса (в обезличенной форме), выявление и устранение ошибок, разработка новых функций.
ж) Исполнение требований законодательства Ведение бухгалтерского и налогового учёта, предоставление информации государственным органам по официальным запросам.
з) Предотвращение мошенничества Выявление и предотвращение мошеннических действий, злоупотреблений, нарушений условий использования.
и) Информирование Направление информационных и сервисных сообщений о работе Сервиса (с согласия Пользователя — маркетинговых сообщений).
к) Защита прав и интересов Защита прав и законных интересов Оператора, Пользователей и третьих лиц.
6.2. Соответствие целям
6.2.1. Обработка персональных данных не осуществляется в целях, не совместимых с указанными выше.
6.2.2. В случае необходимости обработки персональных данных в иных целях Оператор получает отдельное согласие субъекта персональных данных.
6.2.3. Состав обрабатываемых персональных данных строго соответствует заявленным целям и не является избыточным.
7. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ7.1. Основания в соответствии с ФЗ-152
7.1.1. Обработка персональных данных осуществляется Оператором на основании:
а) Согласие субъекта персональных данных (п. 1 ч. 1 ст. 6 ФЗ-152)
Использование Сервиса является согласием субъекта персональных данных на их обработку. Согласие подтверждается:
- нажатием кнопки «Старт» или «Создать документ»;
- вводом персональных данных в формы Сервиса;
- принятием условий Пользовательского соглашения;
- оплатой услуг Сервиса.
Обработка необходима для исполнения договора (Пользовательского соглашения), стороной которого является субъект персональных данных.
в) Исполнение обязанностей Оператора (п. 2 ч. 1 ст. 6 ФЗ-152)
Обработка необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством РФ на Оператора функций, полномочий и обязанностей (в частности, ведение бухгалтерского и налогового учёта).
г) Защита интересов Оператора (п. 7 ч. 1 ст. 6 ФЗ-152)
Обработка необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно.
д) Осуществление прав и законных интересов (п. 7 ч. 1 ст. 6 ФЗ-152)
Обработка персональных данных необходима для осуществления прав и законных интересов Оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
е) Общедоступные персональные данные (п. 8 ч. 1 ст. 6 ФЗ-152)
Обработка общедоступных персональных данных (например, ФИО, должность руководителей организаций), предоставленных субъектом персональных данных для общего доступа или на основании его просьбы.
7.2. Согласие на обработку персональных данных
7.2.1. Форма согласия:
Согласие на обработку персональных данных предоставляется Пользователем в форме конклюдентных действий — совершения действий, свидетельствующих о согласии на обработку персональных данных на условиях, указанных в настоящей Политике.
7.2.2. Моменты получения согласия:
- нажатие кнопки «Старт», «Создать документ» или аналогичных кнопок в интерфейсе бота;
- начало ввода персональных данных в формы Сервиса;
- принятие условий Пользовательского соглашения;
- оплата услуг Сервиса.
Используя Сервис, Пользователь подтверждает, что:
- ознакомлен с настоящей Политикой и Пользовательским соглашением;
- понимает цели, способы и условия обработки персональных данных;
- даёт согласие на обработку своих персональных данных в целях, указанных в разделе 6 настоящей Политики;
- даёт согласие на автоматизированную обработку персональных данных;
- понимает, что введённые персональные данные будут удалены немедленно после создания документа;
- гарантирует наличие согласия третьих лиц на обработку их персональных данных при указании таких данных в Сервисе.
Субъект персональных данных имеет право отозвать своё согласие на обработку персональных данных в любой момент, направив соответствующее заявление на адрес электронной почты: privacy@doclidoc.ru.
При отзыве согласия Оператор:
- прекращает обработку персональных данных;
- удаляет персональные данные (кроме случаев, когда сохранение требуется законодательством);
- прекращает предоставление доступа к Сервису.
8.1.1. Оператор осуществляет обработку персональных данных следующими способами:
а) Автоматизированная обработка Обработка персональных данных с помощью средств вычислительной техники (серверов, программного обеспечения).
б) Неавтоматизированная обработка Обработка персональных данных в документах на бумажных носителях (платёжные документы, обращения в службу поддержки).
8.1.2. Преобладающим способом обработки является автоматизированная обработка.
8.2. Действия (операции) с персональными данными
8.2.1. Оператор выполняет следующие действия (операции) с персональными данными:
а) Сбор Получение персональных данных от субъектов, из платформы Telegram, от платёжных систем.
б) Запись Фиксация персональных данных на материальном носителе (в оперативной памяти сервера, в базе данных, в файлах).
в) Систематизация Упорядочение персональных данных по определённым признакам для создания документа.
г) Накопление Временное сохранение персональных данных в оперативной памяти в процессе создания документа.
д) Хранение Сохранение персональных данных в форме, позволяющей определить субъекта (только для данных о платежах и Telegram ID).
е) Уточнение (обновление, изменение) Изменение, дополнение персональных данных при их обновлении Пользователем.
ж) Извлечение Получение персональных данных из базы данных или оперативной памяти для использования.
з) Использование Применение персональных данных для создания документов, идентификации Пользователя, обработки платежей.
и) Передача (предоставление, доступ) Передача персональных данных платёжным операторам (для обработки платежей), в случаях, предусмотренных законодательством — государственным органам.
к) Обезличивание Действия, делающие невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту (для целей аналитики).
л) Блокирование Временное прекращение обработки персональных данных (в случае выявления неточностей, по требованию субъекта).
м) Удаление Уничтожение персональных данных таким образом, что содержание невозможно восстановить.
н) Уничтожение Безвозвратное уничтожение персональных данных с невозможностью их восстановления.
8.3. Сроки обработки и хранения персональных данных
8.3.1. Данные для создания документов:
КРИТИЧЕСКИ ВАЖНО: Персональные данные, вводимые Пользователем при создании документов (ФИО, паспортные данные, адреса и иные данные, необходимые для заполнения шаблона), обрабатываются ИСКЛЮЧИТЕЛЬНО в момент генерации документа и автоматически УДАЛЯЮТСЯ НЕМЕДЛЕННО после отправки готового файла Пользователю.
Процесс обработки:
Срок хранения: 0 (ноль) — данные не хранятся после создания документа.
8.3.2. Созданные документы:
Сервис НЕ ХРАНИТ созданные Пользователем документы. Документы генерируются в оперативной памяти сервера, передаются Пользователю через Telegram и немедленно удаляются без сохранения.
Срок хранения документов: 0 (ноль).
8.3.3. Идентификационные данные пользователей:
Для обеспечения работы Сервиса хранятся минимальные данные:
Основание: согласие субъекта и законные интересы Оператора.
8.3.4. Данные о платежах:
Информация о совершённых платежах хранится в соответствии с требованиями законодательства РФ о бухгалтерском и налоговом учёте:
Основание: исполнение обязанностей, предусмотренных законодательством РФ.
8.3.5. Данные обращений в службу поддержки:
Информация, содержащаяся в обращениях Пользователей в службу поддержки:
Основание: согласие субъекта и законные интересы Оператора.
8.3.6. Технические данные (логи):
Технические данные о доступе к Сервису (IP-адреса, дата и время обращения, действия в Сервисе) хранятся для обеспечения безопасности и предотвращения злоупотреблений.
Срок хранения: 6 (шесть) месяцев.
Основание: законные интересы Оператора (обеспечение безопасности).
8.3.7. Маркетинговые данные:
При наличии отдельного согласия Пользователя на получение маркетинговых сообщений хранятся:
Основание: согласие субъекта.
8.3.8. Уничтожение по истечении сроков:
По истечении установленных сроков хранения персональные данные подлежат уничтожению путём:
8.4. Локализация обработки персональных данных
8.4.1. Обработка и хранение персональных данных граждан Российской Федерации осуществляется на территории Российской Федерации в соответствии с требованиями ч. 5 ст. 18 ФЗ-152.
8.4.2. Серверы и базы данных, на которых осуществляется обработка персональных данных, физически расположены на территории РФ.
8.4.3. Оператор использует услуги хостинг-провайдеров, обеспечивающих размещение серверов на территории РФ: [указать наименование хостинг-провайдера].
8.4.4. Запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ осуществляются с использованием баз данных, находящихся на территории РФ.
8.5. Трансграничная передача персональных данных
8.5.1. Общее правило: Оператор НЕ осуществляет трансграничную передачу персональных данных.
8.5.2. Исключения:
В связи с использованием платформы Telegram (мессенджер, зарегистрированный за пределами РФ) может происходить техническая передача данных через серверы Telegram, находящиеся за пределами РФ.
При этом:
8.6.1. Для целей аналитики, улучшения Сервиса и статистического анализа Оператор может использовать обезличенные данные.
8.6.2. Обезличивание осуществляется путём:
9. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕТЬИМ ЛИЦАМ9.1. Общие правила передачи
9.1.1. Основное правило: Оператор НЕ передаёт, НЕ продаёт и НЕ предоставляет доступ к персональным данным Пользователей третьим лицам.
9.1.2. Созданные Пользователем документы не хранятся и не передаются третьим лицам. Документы передаются только самому Пользователю через защищённое соединение Telegram.
9.1.3. Персональные данные, введённые при создании документов, не передаются третьим лицам, так как немедленно удаляются после генерации документа.
9.2. Исключения — случаи передачи
9.2.1. Персональные данные могут быть переданы третьим лицам ТОЛЬКО в следующих случаях:
а) С согласия субъекта персональных данных
При наличии явного согласия субъекта на передачу его персональных данных конкретному лицу или кругу лиц.
б) Для обработки платежей
Минимально необходимые данные для обработки платежей передаются платёжным операторам:
Ответственность получателя: платёжные операторы обязаны обеспечивать защиту персональных данных в соответствии с требованиями ФЗ-152 и международными стандартами безопасности (PCI DSS).
в) По требованию государственных органов
Персональные данные могут быть переданы уполномоченным государственным органам на основании:
Порядок передачи: на основании письменного запроса на официальном бланке с указанием правового основания, в течение срока, установленного законодательством (обычно 10 дней).
Уведомление субъекта: Оператор уведомляет субъекта о передаче данных государственным органам, за исключением случаев, когда уведомление запрещено законодательством или может воспрепятствовать расследованию.
г) При реорганизации или продаже бизнеса
В случае реорганизации, слияния, поглощения, продажи активов или бизнеса Оператора персональные данные могут быть переданы правопреемнику при условии:
Персональные данные могут быть раскрыты без согласия субъекта для:
Обезличенные (анонимизированные) данные, не позволяющие идентифицировать конкретного субъекта, могут передаваться третьим лицам для:
9.3.1. Оператор может поручать обработку персональных данных третьим лицам на основании договора, заключённого с Оператором, или на основании выданного Оператором поручения (в соответствии со ст. 6 ФЗ-152).
9.3.2. Лица, осуществляющие обработку персональных данных по поручению Оператора:
а) Хостинг-провайдер:
9.4. Запрет на продажу персональных данных
9.4.1. Оператор НЕ продаёт и НЕ передаёт персональные данные в коммерческих целях.
9.4.2. Оператор НЕ использует персональные данные для целей прямого маркетинга без согласия субъекта.
9.4.3. Оператор НЕ передаёт персональные данные рекламным сетям, маркетинговым агентствам или иным третьим лицам для их собственных целей.
10. МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ10.1. Общие положения о безопасности
10.1.1. Оператор принимает необходимые и достаточные правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.
10.1.2. Меры безопасности разработаны в соответствии с:
10.2. Правовые меры защиты
10.2.1. Правовые меры включают:
а) Разработка и утверждение внутренних документов:
10.3.1. Организационные меры включают:
а) Определение угроз безопасности персональных данных:
10.4.1. Технические меры защиты включают:
а) Шифрование данных:
10.5.1. Минимизация хранения:
Ключевой мерой безопасности является то, что персональные данные, введённые при создании документов, НЕ ХРАНЯТСЯ после генерации документа. Данные обрабатываются в оперативной памяти и немедленно удаляются, что исключает риск их утечки из долговременного хранилища.
10.5.2. Изоляция процессов:
Каждый процесс создания документа изолирован от других, что предотвращает доступ одного пользователя к данным другого.
10.5.3. Отсутствие логирования персональных данных:
Персональные данные, вводимые при создании документов, НЕ записываются в логи системы (за исключением обезличенной статистики).
10.5.4. Безопасная передача документов:
Созданные документы передаются Пользователям через защищённое соединение Telegram с использованием end-to-end encryption (где применимо).
10.6. Актуализация мер защиты
10.6.1. Оператор регулярно пересматривает и актуализирует меры защиты персональных данных с учётом:
11. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ11.1. Перечень прав
11.1.1. Субъект персональных данных имеет следующие права в соответствии с ФЗ-152:
а) Право на получение информации (ст. 14 ФЗ-152)
Право получать от Оператора информацию, касающуюся обработки его персональных данных, включая:
Право требовать от Оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
в) Право на отзыв согласия (ч. 2 ст. 9 ФЗ-152)
Право отозвать своё согласие на обработку персональных данных в любой момент путём направления соответствующего заявления Оператору.
г) Право на удаление персональных данных — «право на забвение» (ч. 5 ст. 18 ФЗ-152)
Право требовать от Оператора уточнения, блокирования или уничтожения персональных данных в случаях, установленных законом.
д) Право на ограничение обработки
Право требовать ограничения обработки персональных данных до устранения выявленных нарушений или на время рассмотрения возражения против обработки.
е) Право на защиту своих прав и законных интересов (ст. 17 ФЗ-152)
Право на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.
ж) Право на обжалование (ст. 17 ФЗ-152)
Право обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в судебном порядке.
з) Право на получение персональных данных
Право получать свои персональные данные в структурированном, широко используемом и машиночитаемом формате (при технической возможности).
и) Право возражать против обработки
Право возражать против обработки своих персональных данных, если обработка осуществляется на основании законных интересов Оператора.
8.3.1. Данные для создания документов:
КРИТИЧЕСКИ ВАЖНО: Персональные данные, вводимые Пользователем при создании документов (ФИО, паспортные данные, адреса и иные данные, необходимые для заполнения шаблона), обрабатываются ИСКЛЮЧИТЕЛЬНО в момент генерации документа и автоматически УДАЛЯЮТСЯ НЕМЕДЛЕННО после отправки готового файла Пользователю.
Процесс обработки:
- Пользователь вводит данные в форму бота.
- Данные временно сохраняются в оперативной памяти сервера.
- На основе данных генерируется документ.
- Документ отправляется Пользователю через Telegram.
- Все введённые персональные данные НЕМЕДЛЕННО удаляются из оперативной памяти без сохранения на постоянных носителях.
Срок хранения: 0 (ноль) — данные не хранятся после создания документа.
8.3.2. Созданные документы:
Сервис НЕ ХРАНИТ созданные Пользователем документы. Документы генерируются в оперативной памяти сервера, передаются Пользователю через Telegram и немедленно удаляются без сохранения.
Срок хранения документов: 0 (ноль).
8.3.3. Идентификационные данные пользователей:
Для обеспечения работы Сервиса хранятся минимальные данные:
- Telegram ID (уникальный идентификатор пользователя в Telegram);
- Username в Telegram (если установлен);
- Дата первого обращения к боту;
- Дата последнего обращения к боту.
Основание: согласие субъекта и законные интересы Оператора.
8.3.4. Данные о платежах:
Информация о совершённых платежах хранится в соответствии с требованиями законодательства РФ о бухгалтерском и налоговом учёте:
- Дата и время платежа;
- Сумма платежа;
- Номер транзакции;
- Статус платежа;
- Минимальные данные плательщика для формирования чека (ФИО/наименование организации, email — если указан).
Основание: исполнение обязанностей, предусмотренных законодательством РФ.
8.3.5. Данные обращений в службу поддержки:
Информация, содержащаяся в обращениях Пользователей в службу поддержки:
- Telegram ID;
- Текст обращения;
- Приложенные файлы (скриншоты, документы);
- История переписки.
Основание: согласие субъекта и законные интересы Оператора.
8.3.6. Технические данные (логи):
Технические данные о доступе к Сервису (IP-адреса, дата и время обращения, действия в Сервисе) хранятся для обеспечения безопасности и предотвращения злоупотреблений.
Срок хранения: 6 (шесть) месяцев.
Основание: законные интересы Оператора (обеспечение безопасности).
8.3.7. Маркетинговые данные:
При наличии отдельного согласия Пользователя на получение маркетинговых сообщений хранятся:
- Telegram ID;
- Факт согласия на получение маркетинговых сообщений;
- Дата предоставления согласия.
Основание: согласие субъекта.
8.3.8. Уничтожение по истечении сроков:
По истечении установленных сроков хранения персональные данные подлежат уничтожению путём:
- удаления из баз данных;
- перезаписи областей памяти;
- физического уничтожения носителей (при необходимости).
8.4. Локализация обработки персональных данных
8.4.1. Обработка и хранение персональных данных граждан Российской Федерации осуществляется на территории Российской Федерации в соответствии с требованиями ч. 5 ст. 18 ФЗ-152.
8.4.2. Серверы и базы данных, на которых осуществляется обработка персональных данных, физически расположены на территории РФ.
8.4.3. Оператор использует услуги хостинг-провайдеров, обеспечивающих размещение серверов на территории РФ: [указать наименование хостинг-провайдера].
8.4.4. Запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ осуществляются с использованием баз данных, находящихся на территории РФ.
8.5. Трансграничная передача персональных данных
8.5.1. Общее правило: Оператор НЕ осуществляет трансграничную передачу персональных данных.
8.5.2. Исключения:
В связи с использованием платформы Telegram (мессенджер, зарегистрированный за пределами РФ) может происходить техническая передача данных через серверы Telegram, находящиеся за пределами РФ.
При этом:
- передаются только минимальные данные, необходимые для функционирования мессенджера (Telegram ID, username, сообщения в чате);
- персональные данные, вводимые при создании документов, НЕ передаются за пределы РФ, так как обрабатываются исключительно на серверах Оператора, расположенных в РФ;
- созданные документы передаются Пользователю через Telegram с использованием шифрования.
- получит отдельное согласие субъекта персональных данных;
- убедится в обеспечении адекватной защиты прав субъектов персональных данных иностранным государством;
- уведомит Роскомнадзор (при необходимости в соответствии с законодательством).
8.6.1. Для целей аналитики, улучшения Сервиса и статистического анализа Оператор может использовать обезличенные данные.
8.6.2. Обезличивание осуществляется путём:
- удаления всех прямых идентификаторов (ФИО, паспортные данные, контакты);
- замены идентификаторов на псевдонимы;
- агрегирования данных (обобщение до уровня, не позволяющего идентифицировать субъекта).
- анализа популярности различных типов документов;
- выявления ошибок и сбоев в работе Сервиса;
- оценки времени создания документов;
- планирования развития функционала;
- формирования отчётности.
9. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕТЬИМ ЛИЦАМ9.1. Общие правила передачи
9.1.1. Основное правило: Оператор НЕ передаёт, НЕ продаёт и НЕ предоставляет доступ к персональным данным Пользователей третьим лицам.
9.1.2. Созданные Пользователем документы не хранятся и не передаются третьим лицам. Документы передаются только самому Пользователю через защищённое соединение Telegram.
9.1.3. Персональные данные, введённые при создании документов, не передаются третьим лицам, так как немедленно удаляются после генерации документа.
9.2. Исключения — случаи передачи
9.2.1. Персональные данные могут быть переданы третьим лицам ТОЛЬКО в следующих случаях:
а) С согласия субъекта персональных данных
При наличии явного согласия субъекта на передачу его персональных данных конкретному лицу или кругу лиц.
б) Для обработки платежей
Минимально необходимые данные для обработки платежей передаются платёжным операторам:
- ЮKassa (ООО «НКО ЮМани», ИНН 7750005725);
- CloudPayments (ООО «Клаудпэйментс», ИНН 7713547683);
- иным платёжным операторам, интегрированным с Telegram.
- сумма платежа;
- описание услуги;
- email (если указан Пользователем для получения чека);
- минимальные данные для идентификации транзакции.
- полные паспортные данные;
- адреса проживания;
- иные персональные данные, не требующиеся для обработки платежа.
Ответственность получателя: платёжные операторы обязаны обеспечивать защиту персональных данных в соответствии с требованиями ФЗ-152 и международными стандартами безопасности (PCI DSS).
в) По требованию государственных органов
Персональные данные могут быть переданы уполномоченным государственным органам на основании:
- судебных решений;
- запросов правоохранительных органов;
- требований органов государственной власти;
- иных случаев, прямо предусмотренных законодательством РФ.
Порядок передачи: на основании письменного запроса на официальном бланке с указанием правового основания, в течение срока, установленного законодательством (обычно 10 дней).
Уведомление субъекта: Оператор уведомляет субъекта о передаче данных государственным органам, за исключением случаев, когда уведомление запрещено законодательством или может воспрепятствовать расследованию.
г) При реорганизации или продаже бизнеса
В случае реорганизации, слияния, поглощения, продажи активов или бизнеса Оператора персональные данные могут быть переданы правопреемнику при условии:
- принятия правопреемником обязательств по соблюдению условий настоящей Политики;
- предварительного уведомления субъектов персональных данных не менее чем за 30 дней;
- предоставления субъектам права отозвать согласие до передачи.
Персональные данные могут быть раскрыты без согласия субъекта для:
- защиты прав, собственности или безопасности Оператора;
- защиты прав и безопасности других Пользователей;
- предотвращения мошенничества, злоупотреблений;
- расследования нарушений Пользовательского соглашения;
- выполнения требований законодательства.
Обезличенные (анонимизированные) данные, не позволяющие идентифицировать конкретного субъекта, могут передаваться третьим лицам для:
- проведения исследований;
- статистического анализа;
- маркетинговых исследований.
9.3.1. Оператор может поручать обработку персональных данных третьим лицам на основании договора, заключённого с Оператором, или на основании выданного Оператором поручения (в соответствии со ст. 6 ФЗ-152).
9.3.2. Лица, осуществляющие обработку персональных данных по поручению Оператора:
а) Хостинг-провайдер:
- [указать наименование компании]
- ИНН: [указать ИНН]
- Назначение: размещение серверов и баз данных на территории РФ
- Обрабатываемые данные: технические данные, необходимые для функционирования Сервиса
- Telegram Messenger Inc.
- Назначение: обеспечение коммуникации между Сервисом и Пользователями
- Обрабатываемые данные: Telegram ID, username, сообщения в чате
- обрабатывать персональные данные только в целях, указанных Оператором;
- соблюдать конфиденциальность персональных данных;
- обеспечивать безопасность персональных данных;
- не передавать персональные данные третьим лицам без согласия Оператора;
- удалять/уничтожать персональные данные по требованию Оператора.
9.4. Запрет на продажу персональных данных
9.4.1. Оператор НЕ продаёт и НЕ передаёт персональные данные в коммерческих целях.
9.4.2. Оператор НЕ использует персональные данные для целей прямого маркетинга без согласия субъекта.
9.4.3. Оператор НЕ передаёт персональные данные рекламным сетям, маркетинговым агентствам или иным третьим лицам для их собственных целей.
10. МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ10.1. Общие положения о безопасности
10.1.1. Оператор принимает необходимые и достаточные правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.
10.1.2. Меры безопасности разработаны в соответствии с:
- Постановлением Правительства РФ от 01.11.2012 № 1119;
- Приказом ФСТЭК России от 18.02.2013 № 21;
- методическими документами ФСТЭК России и ФСБ России;
- отраслевыми стандартами и лучшими практиками в области информационной безопасности.
10.2. Правовые меры защиты
10.2.1. Правовые меры включают:
а) Разработка и утверждение внутренних документов:
- настоящая Политика обработки персональных данных;
- положения о защите персональных данных;
- инструкции для работников;
- регламенты обработки персональных данных.
- включение в договоры с контрагентами обязательств по защите персональных данных;
- заключение соглашений о конфиденциальности с работниками;
- договоры с лицами, обрабатывающими персональные данные по поручению.
- назначение лиц, ответственных за обработку персональных данных;
- определение их полномочий и обязанностей;
- установление ответственности за нарушения.
- регулярный аудит соблюдения требований ФЗ-152;
- проверка соответствия внутренних документов актуальному законодательству;
- обновление документов при изменении законодательства.
10.3.1. Организационные меры включают:
а) Определение угроз безопасности персональных данных:
- разработка модели угроз;
- оценка рисков для различных категорий персональных данных;
- актуализация модели угроз при изменении условий обработки.
- определение перечня лиц, имеющих доступ к персональным данным;
- назначение уровней доступа в зависимости от должностных обязанностей;
- ведение журналов доступа к персональным данным.
- ознакомление работников с требованиями законодательства о персональных данных;
- обучение правилам обработки и защиты персональных данных;
- регулярное повышение квалификации;
- проведение инструктажей по информационной безопасности.
- внутренний аудит обработки персональных данных;
- контроль соблюдения требований безопасности;
- выявление и устранение нарушений;
- анализ инцидентов информационной безопасности.
- разработка процедур реагирования на инциденты безопасности;
- расследование инцидентов;
- принятие мер по предотвращению повторения;
- уведомление субъектов и Роскомнадзора при необходимости.
- контроль доступа в помещения, где обрабатываются персональные данные;
- регистрация посетителей;
- охрана помещений.
- регулярное создание резервных копий данных;
- хранение резервных копий в защищённых местах;
- проверка возможности восстановления данных из резервных копий.
- проверка подрядчиков, обрабатывающих персональные данные по поручению;
- контроль соблюдения ими требований безопасности;
- аудит безопасности подрядчиков.
10.4.1. Технические меры защиты включают:
а) Шифрование данных:
- использование протокола TLS/SSL для защиты данных при передаче через интернет;
- шифрование персональных данных при хранении (при необходимости);
- использование современных алгоритмов шифрования (AES-256 и выше).
- использование надёжных паролей для доступа к системам;
- многофакторная аутентификация для административного доступа;
- автоматическая блокировка после нескольких неудачных попыток входа;
- регулярная смена паролей.
- использование межсетевых экранов (firewall);
- системы обнаружения и предотвращения вторжений (IDS/IPS);
- антивирусное программное обеспечение с регулярным обновлением баз;
- системы защиты от DDoS-атак.
- ограничение доступа к базам данных;
- использование prepared statements для предотвращения SQL-инъекций;
- регулярное резервное копирование;
- мониторинг подозрительной активности.
- своевременное обновление операционных систем и программного обеспечения;
- установка патчей безопасности;
- отключение неиспользуемых сервисов и портов;
- мониторинг системных событий и логов.
- использование антивирусных программ;
- антиспам-фильтры;
- системы защиты от фишинга;
- регулярное сканирование на наличие уязвимостей.
- ведение журналов событий безопасности;
- мониторинг доступа к персональным данным в реальном времени;
- анализ логов на предмет подозрительной активности;
- оповещение о критических событиях безопасности.
- соблюдение принципов безопасной разработки (OWASP);
- регулярный аудит кода на наличие уязвимостей;
- тестирование на проникновение (penetration testing);
- использование систем контроля версий.
- разделение сетевой инфраструктуры на сегменты;
- изоляция критичных систем;
- использование DMZ (демилитаризованной зоны).
- использование отказоустойчивых решений;
- резервирование критически важных компонентов;
- план восстановления после сбоев (Disaster Recovery Plan).
- безвозвратное удаление данных с использованием специализированного ПО;
- перезапись областей памяти при удалении;
- физическое уничтожение носителей при необходимости.
10.5.1. Минимизация хранения:
Ключевой мерой безопасности является то, что персональные данные, введённые при создании документов, НЕ ХРАНЯТСЯ после генерации документа. Данные обрабатываются в оперативной памяти и немедленно удаляются, что исключает риск их утечки из долговременного хранилища.
10.5.2. Изоляция процессов:
Каждый процесс создания документа изолирован от других, что предотвращает доступ одного пользователя к данным другого.
10.5.3. Отсутствие логирования персональных данных:
Персональные данные, вводимые при создании документов, НЕ записываются в логи системы (за исключением обезличенной статистики).
10.5.4. Безопасная передача документов:
Созданные документы передаются Пользователям через защищённое соединение Telegram с использованием end-to-end encryption (где применимо).
10.6. Актуализация мер защиты
10.6.1. Оператор регулярно пересматривает и актуализирует меры защиты персональных данных с учётом:
- изменений в законодательстве;
- появления новых угроз безопасности;
- развития технологий защиты информации;
- результатов внутренних и внешних аудитов;
- анализа инцидентов безопасности.
11. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ11.1. Перечень прав
11.1.1. Субъект персональных данных имеет следующие права в соответствии с ФЗ-152:
а) Право на получение информации (ст. 14 ФЗ-152)
Право получать от Оператора информацию, касающуюся обработки его персональных данных, включая:
- подтверждение факта обработки;
- правовые основания и цели обработки;
- применяемые способы обработки;
- наименование и место нахождения Оператора;
- лиц, которым персональные данные были предоставлены;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту;
- сроки обработки и хранения;
- порядок реализации прав субъекта;
- информацию об осуществлённой или предполагаемой трансграничной передаче;
- наименование и адрес лица, осуществляющего обработку по поручению Оператора;
- иную информацию, предусмотренную законодательством.
Право требовать от Оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
в) Право на отзыв согласия (ч. 2 ст. 9 ФЗ-152)
Право отозвать своё согласие на обработку персональных данных в любой момент путём направления соответствующего заявления Оператору.
г) Право на удаление персональных данных — «право на забвение» (ч. 5 ст. 18 ФЗ-152)
Право требовать от Оператора уточнения, блокирования или уничтожения персональных данных в случаях, установленных законом.
д) Право на ограничение обработки
Право требовать ограничения обработки персональных данных до устранения выявленных нарушений или на время рассмотрения возражения против обработки.
е) Право на защиту своих прав и законных интересов (ст. 17 ФЗ-152)
Право на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.
ж) Право на обжалование (ст. 17 ФЗ-152)
Право обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в судебном порядке.
з) Право на получение персональных данных
Право получать свои персональные данные в структурированном, широко используемом и машиночитаемом формате (при технической возможности).
и) Право возражать против обработки
Право возражать против обработки своих персональных данных, если обработка осуществляется на основании законных интересов Оператора.
11.2. Порядок реализации прав субъектов персональных данных
11.2.1. Общий порядок обращения:
Для реализации своих прав субъект персональных данных направляет обращение (запрос, требование) Оператору одним из следующих способов:
а) По электронной почте: privacy@doclidoc.ru (для вопросов о персональных данных) support@doclidoc.ru (для общих обращений)
б) Через бота в Telegram: Путём отправки сообщения с описанием запроса
в) Почтой России: На юридический адрес Оператора: [указать полный адрес]
11.2.2. Требования к обращению:
Обращение должно содержать:
Для подтверждения личности Оператор вправе запросить копию документа, удостоверяющего личность (паспорт). При этом гарантируется конфиденциальность предоставленных документов.
11.2.4. Сроки рассмотрения:
Оператор обязуется рассмотреть обращение субъекта персональных данных в следующие сроки:
а) Общий срок: 30 (тридцать) календарных дней с даты получения обращения (в соответствии с ч. 3 ст. 14 ФЗ-152).
б) Продление срока: В случае необходимости дополнительной проверки или при большом объёме запрашиваемой информации срок может быть продлён, но не более чем на 30 дней. О продлении срока субъект персональных данных уведомляется в течение 30 дней с момента получения обращения с указанием причин продления.
в) Срочные обращения: Обращения, связанные с нарушением прав субъекта, рассматриваются в приоритетном порядке в течение 10 рабочих дней.
11.2.5. Ответ на обращение:
Ответ на обращение направляется субъекту персональных данных способом, указанным в обращении, или способом, позволяющим подтвердить получение ответа.
Ответ должен содержать:
Оператор вправе отказать в удовлетворении обращения в следующих случаях:
11.3. Право на получение информации об обработке
11.3.1. Содержание права:
Субъект персональных данных вправе получить следующую информацию:
Информация предоставляется в доступной форме, не содержащей персональных данных других субъектов, за исключением случаев, когда имеются законные основания для раскрытия таких данных.
11.3.3. Бесплатность:
Первичное предоставление информации осуществляется бесплатно. При повторных обращениях с аналогичным запросом в течение одного года Оператор вправе взимать плату, не превышающую затраты на предоставление информации.
11.3.4. Текущее состояние обработки в Сервисе:
В связи с особенностями работы Сервиса (немедленное удаление данных после создания документа) при обращении субъекта Оператор может предоставить следующую информацию:
11.4.1. Право на уточнение:
Субъект персональных данных вправе требовать уточнения (изменения, дополнения) своих персональных данных в случае, если они являются неполными, устаревшими или неточными.
Порядок реализации:
Субъект персональных данных вправе требовать блокирования персональных данных на период проверки, если:
Субъект персональных данных вправе требовать удаления персональных данных в следующих случаях:
Особенности в Сервисе:
В связи с тем, что персональные данные, введённые при создании документов, автоматически удаляются сразу после генерации, требование об удалении может касаться только:
11.5.1. Содержание права:
Субъект персональных данных имеет право в любой момент отозвать своё согласие на обработку персональных данных.
11.5.2. Порядок отзыва:
Для отзыва согласия субъект направляет заявление на адрес: privacy@doclidoc.ru с указанием:
11.5.3. Последствия отзыва:
После получения заявления об отзыве согласия Оператор:
Отзыв согласия не влияет на обработку персональных данных, если:
11.6. Право на обжалование
11.6.1. Административное обжалование:
Субъект персональных данных вправе обжаловать действия или бездействие Оператора в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
Контакты Роскомнадзора: Адрес: 109074, г. Москва, Китайгородский проезд, д. 7, стр. 2 Телефон: +7 (495) 987-68-00 Официальный сайт: https://rkn.gov.ru Email: rsoc@rkn.gov.ru Форма подачи жалобы: https://rkn.gov.ru/treatments/ask-question/
Срок подачи жалобы: В течение 3 месяцев с момента, когда субъекту стало известно о нарушении его прав.
Содержание жалобы:
Субъект персональных данных вправе обратиться в суд с иском о:
Возмещение вреда:
Субъект персональных данных вправе требовать:
12.1.1. Оператор обязан:
а) Соблюдать законодательство РФ: Обрабатывать персональные данные в соответствии с требованиями ФЗ-152 и иных нормативных правовых актов РФ.
б) Обеспечивать права субъектов: Предоставлять субъектам персональных данных возможность реализации их прав, установленных законодательством.
в) Обеспечивать безопасность: Принимать необходимые правовые, организационные и технические меры для защиты персональных данных.
г) Предоставлять информацию: По запросу субъекта предоставлять информацию об обработке его персональных данных.
д) Отвечать на обращения: Рассматривать обращения субъектов персональных данных в установленные сроки.
е) Публиковать Политику: Обеспечивать неограниченный доступ к настоящей Политике.
ж) Уведомлять об инцидентах: В случае утечки или несанкционированного доступа к персональным данным незамедлительно уведомлять Роскомнадзор и субъектов персональных данных (в соответствии с ч. 3.1 ст. 21 ФЗ-152).
з) Исполнять требования Роскомнадзора: Выполнять законные требования Роскомнадзора, предоставлять запрашиваемую информацию.
и) Ограничивать обработку: Прекращать обработку персональных данных в случаях, предусмотренных законом или при отзыве согласия.
к) Уничтожать персональные данные: По истечении сроков обработки или при достижении целей обработки уничтожать персональные данные.
12.2. Специальные обязанности
12.2.1. Уведомление Роскомнадзора:
Оператор уведомил Роскомнадзор о намерении осуществлять обработку персональных данных в соответствии с требованиями ст. 22 ФЗ-152.
Регистрационный номер уведомления: [указать номер после уведомления]
12.2.2. Назначение ответственного лица:
Оператор назначил лицо, ответственное за организацию обработки персональных данных: [Указать ФИО, должность]
Контактный email: privacy@doclidoc.ru
12.2.3. Ведение документации:
Оператор ведёт следующую документацию:
Оператор обеспечивает обучение работников, осуществляющих обработку персональных данных, требованиям законодательства и правилам обработки персональных данных.
12.3. Обязанности при инцидентах безопасности
12.3.1. Определение инцидента:
Инцидентом безопасности персональных данных является:
При выявлении инцидента Оператор обязан:
а) Немедленно (в течение 24 часов):
Оператор не обязан уведомлять субъектов, если:
13. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ НЕСОВЕРШЕННОЛЕТНИХ13.1. Общие положения
13.1.1. Сервис предназначен для использования лицами, достигшими возраста 18 лет.
13.1.2. Оператор не осуществляет целенаправленный сбор персональных данных несовершеннолетних.
13.1.3. Если Оператору станет известно, что персональные данные были получены от лица, не достигшего 18 лет, без согласия законных представителей, такие данные будут немедленно удалены.
13.2. Использование Сервиса несовершеннолетними
13.2.1. Несовершеннолетние в возрасте от 14 до 18 лет могут использовать Сервис только:
13.3.1. Законные представители несовершеннолетних имеют право:
14.1.1. Сервис функционирует на платформе Telegram и не использует веб-браузеры, поэтому традиционные файлы cookie не применяются.
14.1.2. Однако Сервис может использовать аналогичные технологии для хранения данных сессии и технической информации.
14.2. Используемые технологии
14.2.1. Локальное хранилище Telegram:
Telegram может сохранять на устройстве Пользователя:
14.2.2. Идентификаторы сессии:
Для идентификации Пользователя в рамках сессии создания документа используются временные идентификаторы, которые удаляются после завершения сессии.
14.3. Управление данными
14.3.1. Пользователь может управлять данными, сохранёнными приложением Telegram, через настройки приложения:
15. ИЗМЕНЕНИЕ ПОЛИТИКИ15.1. Право на изменение
15.1.1. Оператор вправе в любое время вносить изменения в настоящую Политику в связи с:
15.2.1. При внесении изменений в Политику Оператор:
15.3. Уведомление об изменениях
15.3.1. Оператор уведомляет Пользователей о существенных изменениях в Политике одним из следующих способов:
15.3.3. Существенными изменениями считаются:
15.4.1. Продолжение использования Сервиса после вступления в силу изменений означает согласие Пользователя с новой версией Политики.
15.4.2. Если Пользователь не согласен с изменениями, он обязан прекратить использование Сервиса и может отозвать своё согласие на обработку персональных данных.
15.5. Архив версий
15.5.1. Предыдущие версии Политики хранятся Оператором в течение 5 лет.
15.5.2. Пользователь может запросить предыдущие версии Политики, направив обращение на адрес: privacy@doclidoc.ru.
16. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ16.1. Применимое законодательство
16.1.1. Настоящая Политика разработана и применяется в соответствии с законодательством Российской Федерации.
16.1.2. Все вопросы, не урегулированные настоящей Политикой, разрешаются в соответствии с законодательством РФ, в частности:
16.2.1. Настоящая Политика является неотъемлемой частью Пользовательского соглашения Сервиса.
16.2.2. В случае противоречий между Политикой и Пользовательским соглашением приоритет имеют положения Политики в части, касающейся обработки персональных данных.
16.3. Язык Политики
16.3.1. Настоящая Политика составлена на русском языке.
16.3.2. При наличии переводов Политики на иные языки в случае противоречий приоритет имеет русская версия.
16.4. Доступность Политики
16.4.1. Актуальная версия настоящей Политики в свободном доступе размещена:
16.5. Контактная информация
16.5.1. По всем вопросам, связанным с обработкой персональных данных, Пользователи могут обращаться:
По вопросам персональных данных: Email: privacy@doclidoc.ru
Ответственное лицо: [
11.2.1. Общий порядок обращения:
Для реализации своих прав субъект персональных данных направляет обращение (запрос, требование) Оператору одним из следующих способов:
а) По электронной почте: privacy@doclidoc.ru (для вопросов о персональных данных) support@doclidoc.ru (для общих обращений)
б) Через бота в Telegram: Путём отправки сообщения с описанием запроса
в) Почтой России: На юридический адрес Оператора: [указать полный адрес]
11.2.2. Требования к обращению:
Обращение должно содержать:
- фамилию, имя, отчество субъекта персональных данных;
- контактную информацию (номер телефона, адрес электронной почты);
- Telegram ID или username (для идентификации в Сервисе);
- описание запроса или требования;
- подпись субъекта персональных данных (для обращений на бумажном носителе) или указание отправителя (для электронных обращений);
- дату обращения.
Для подтверждения личности Оператор вправе запросить копию документа, удостоверяющего личность (паспорт). При этом гарантируется конфиденциальность предоставленных документов.
11.2.4. Сроки рассмотрения:
Оператор обязуется рассмотреть обращение субъекта персональных данных в следующие сроки:
а) Общий срок: 30 (тридцать) календарных дней с даты получения обращения (в соответствии с ч. 3 ст. 14 ФЗ-152).
б) Продление срока: В случае необходимости дополнительной проверки или при большом объёме запрашиваемой информации срок может быть продлён, но не более чем на 30 дней. О продлении срока субъект персональных данных уведомляется в течение 30 дней с момента получения обращения с указанием причин продления.
в) Срочные обращения: Обращения, связанные с нарушением прав субъекта, рассматриваются в приоритетном порядке в течение 10 рабочих дней.
11.2.5. Ответ на обращение:
Ответ на обращение направляется субъекту персональных данных способом, указанным в обращении, или способом, позволяющим подтвердить получение ответа.
Ответ должен содержать:
- подтверждение получения обращения;
- результаты рассмотрения обращения;
- принятые меры (если применимо);
- разъяснение порядка обжалования (при необходимости).
Оператор вправе отказать в удовлетворении обращения в следующих случаях:
- обращение не соответствует требованиям к форме и содержанию;
- не подтверждена личность обращающегося;
- требования противоречат законодательству РФ;
- удовлетворение требований нарушит права и законные интересы третьих лиц;
- удаление данных невозможно в связи с требованиями законодательства о хранении.
11.3. Право на получение информации об обработке
11.3.1. Содержание права:
Субъект персональных данных вправе получить следующую информацию:
- подтверждение факта обработки персональных данных Оператором;
- правовые основания обработки;
- цели обработки;
- способы обработки;
- категории обрабатываемых персональных данных;
- срок обработки и хранения;
- перечень лиц, которым были предоставлены персональные данные;
- информацию о трансграничной передаче (при наличии);
- меры защиты персональных данных.
Информация предоставляется в доступной форме, не содержащей персональных данных других субъектов, за исключением случаев, когда имеются законные основания для раскрытия таких данных.
11.3.3. Бесплатность:
Первичное предоставление информации осуществляется бесплатно. При повторных обращениях с аналогичным запросом в течение одного года Оператор вправе взимать плату, не превышающую затраты на предоставление информации.
11.3.4. Текущее состояние обработки в Сервисе:
В связи с особенностями работы Сервиса (немедленное удаление данных после создания документа) при обращении субъекта Оператор может предоставить следующую информацию:
- факт регистрации в Сервисе (Telegram ID);
- дату первого и последнего обращения;
- информацию о совершённых платежах (даты, суммы);
- подтверждение, что персональные данные, введённые при создании документов, не хранятся.
11.4.1. Право на уточнение:
Субъект персональных данных вправе требовать уточнения (изменения, дополнения) своих персональных данных в случае, если они являются неполными, устаревшими или неточными.
Порядок реализации:
- субъект направляет обращение с указанием данных, подлежащих уточнению;
- Оператор проверяет информацию и вносит изменения в течение 7 рабочих дней;
- субъект уведомляется о внесённых изменениях.
- контактные данные (email, телефон — если сохранены);
- данные учётной записи.
Субъект персональных данных вправе требовать блокирования персональных данных на период проверки, если:
- субъект оспаривает точность персональных данных;
- обработка является неправомерной, но субъект не желает удаления данных;
- персональные данные более не нужны для целей обработки, но требуются субъекту для защиты его прав в суде.
- субъект направляет обращение с указанием причин блокирования;
- Оператор блокирует обработку персональных данных в течение 3 рабочих дней;
- блокирование сохраняется до устранения причин или до истечения срока хранения.
Субъект персональных данных вправе требовать удаления персональных данных в следующих случаях:
- персональные данные обрабатываются незаконно;
- персональные данные более не нужны для целей обработки;
- субъект отозвал согласие на обработку;
- персональные данные должны быть удалены в соответствии с законом;
- обработка осуществлялась без согласия (в случаях, когда согласие требуется).
- субъект направляет обращение с требованием об удалении;
- Оператор проверяет законность требования;
- при отсутствии оснований для отказа персональные данные удаляются в течение 10 рабочих дней;
- субъект уведомляется об удалении;
- лица, которым были предоставлены данные, уведомляются об удалении (при необходимости).
- хранение персональных данных предусмотрено законом (данные о платежах для бухучёта);
- данные необходимы для защиты прав и законных интересов Оператора в суде;
- имеются иные законные основания для хранения.
Особенности в Сервисе:
В связи с тем, что персональные данные, введённые при создании документов, автоматически удаляются сразу после генерации, требование об удалении может касаться только:
- данных учётной записи (Telegram ID);
- данных о платежах (подлежат блокированию, но не удалению в течение срока, установленного законом);
- данных обращений в техподдержку.
11.5.1. Содержание права:
Субъект персональных данных имеет право в любой момент отозвать своё согласие на обработку персональных данных.
11.5.2. Порядок отзыва:
Для отзыва согласия субъект направляет заявление на адрес: privacy@doclidoc.ru с указанием:
- ФИО субъекта;
- Telegram ID или username;
- волеизъявление об отзыве согласия;
- дата и подпись (для электронных обращений — указание отправителя).
11.5.3. Последствия отзыва:
После получения заявления об отзыве согласия Оператор:
- прекращает обработку персональных данных (за исключением случаев, когда обработка может осуществляться без согласия);
- удаляет персональные данные в течение 30 дней (кроме данных, хранение которых предусмотрено законом);
- прекращает предоставление доступа к Сервису;
- уведомляет субъекта о принятых мерах.
Отзыв согласия не влияет на обработку персональных данных, если:
- обработка необходима для исполнения договора;
- обработка необходима для исполнения обязанностей Оператора, предусмотренных законом;
- обработка осуществляется в целях защиты прав Оператора;
- имеются иные законные основания для обработки без согласия.
11.6. Право на обжалование
11.6.1. Административное обжалование:
Субъект персональных данных вправе обжаловать действия или бездействие Оператора в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
Контакты Роскомнадзора: Адрес: 109074, г. Москва, Китайгородский проезд, д. 7, стр. 2 Телефон: +7 (495) 987-68-00 Официальный сайт: https://rkn.gov.ru Email: rsoc@rkn.gov.ru Форма подачи жалобы: https://rkn.gov.ru/treatments/ask-question/
Срок подачи жалобы: В течение 3 месяцев с момента, когда субъекту стало известно о нарушении его прав.
Содержание жалобы:
- сведения о субъекте персональных данных (ФИО, контакты);
- наименование и контакты Оператора;
- описание нарушения прав субъекта;
- требования субъекта;
- документы, подтверждающие нарушение;
- дата и подпись.
Субъект персональных данных вправе обратиться в суд с иском о:
- признании действий Оператора незаконными;
- прекращении неправомерной обработки;
- удалении персональных данных;
- возмещении убытков;
- компенсации морального вреда.
- физические лица обращаются в суды общей юрисдикции (районный суд) по месту жительства истца или по месту нахождения ответчика;
- юридические лица — в арбитражные суды по месту нахождения ответчика.
Возмещение вреда:
Субъект персональных данных вправе требовать:
- возмещения убытков, причинённых неправомерной обработкой (реальный ущерб и упущенная выгода);
- компенсации морального вреда в размере, определяемом судом;
- взыскания штрафа (неустойки), если это предусмотрено договором.
12.1.1. Оператор обязан:
а) Соблюдать законодательство РФ: Обрабатывать персональные данные в соответствии с требованиями ФЗ-152 и иных нормативных правовых актов РФ.
б) Обеспечивать права субъектов: Предоставлять субъектам персональных данных возможность реализации их прав, установленных законодательством.
в) Обеспечивать безопасность: Принимать необходимые правовые, организационные и технические меры для защиты персональных данных.
г) Предоставлять информацию: По запросу субъекта предоставлять информацию об обработке его персональных данных.
д) Отвечать на обращения: Рассматривать обращения субъектов персональных данных в установленные сроки.
е) Публиковать Политику: Обеспечивать неограниченный доступ к настоящей Политике.
ж) Уведомлять об инцидентах: В случае утечки или несанкционированного доступа к персональным данным незамедлительно уведомлять Роскомнадзор и субъектов персональных данных (в соответствии с ч. 3.1 ст. 21 ФЗ-152).
з) Исполнять требования Роскомнадзора: Выполнять законные требования Роскомнадзора, предоставлять запрашиваемую информацию.
и) Ограничивать обработку: Прекращать обработку персональных данных в случаях, предусмотренных законом или при отзыве согласия.
к) Уничтожать персональные данные: По истечении сроков обработки или при достижении целей обработки уничтожать персональные данные.
12.2. Специальные обязанности
12.2.1. Уведомление Роскомнадзора:
Оператор уведомил Роскомнадзор о намерении осуществлять обработку персональных данных в соответствии с требованиями ст. 22 ФЗ-152.
Регистрационный номер уведомления: [указать номер после уведомления]
12.2.2. Назначение ответственного лица:
Оператор назначил лицо, ответственное за организацию обработки персональных данных: [Указать ФИО, должность]
Контактный email: privacy@doclidoc.ru
12.2.3. Ведение документации:
Оператор ведёт следующую документацию:
- перечень обрабатываемых персональных данных;
- перечень информационных систем персональных данных;
- положение об обработке персональных данных;
- политика обработки персональных данных;
- инструкции для работников;
- журналы учёта обращений субъектов;
- акты об уничтожении персональных данных.
Оператор обеспечивает обучение работников, осуществляющих обработку персональных данных, требованиям законодательства и правилам обработки персональных данных.
12.3. Обязанности при инцидентах безопасности
12.3.1. Определение инцидента:
Инцидентом безопасности персональных данных является:
- несанкционированный доступ к персональным данным;
- утечка, потеря или уничтожение персональных данных;
- случайное или незаконное изменение персональных данных;
- иное нарушение режима защиты персональных данных.
При выявлении инцидента Оператор обязан:
а) Немедленно (в течение 24 часов):
- зафиксировать факт инцидента;
- принять меры по локализации инцидента и минимизации последствий;
- начать внутреннее расследование.
- уведомить Роскомнадзор о произошедшем инциденте с указанием:
- характера инцидента;
- категорий и примерного числа субъектов, которых он касается;
- категорий и примерного числа записей данных, которых касается инцидент;
- возможных последствий инцидента;
- мер, принятых или планируемых для устранения последствий.
- уведомить субъектов персональных данных, которых коснулся инцидент, с информацией:
- о характере инцидента;
- о возможных последствиях;
- о мерах, принятых Оператором;
- о рекомендуемых действиях для защиты прав субъекта.
- провести расследование причин инцидента;
- выявить виновных лиц (при наличии);
- разработать и внедрить меры по предотвращению повторения;
- документировать инцидент и принятые меры.
Оператор не обязан уведомлять субъектов, если:
- приняты меры защиты, делающие персональные данные непонятными для несанкционированных лиц (шифрование);
- приняты последующие меры, устраняющие угрозу для прав субъектов;
- уведомление потребует несоразмерных усилий (при большом числе субъектов).
13. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ НЕСОВЕРШЕННОЛЕТНИХ13.1. Общие положения
13.1.1. Сервис предназначен для использования лицами, достигшими возраста 18 лет.
13.1.2. Оператор не осуществляет целенаправленный сбор персональных данных несовершеннолетних.
13.1.3. Если Оператору станет известно, что персональные данные были получены от лица, не достигшего 18 лет, без согласия законных представителей, такие данные будут немедленно удалены.
13.2. Использование Сервиса несовершеннолетними
13.2.1. Несовершеннолетние в возрасте от 14 до 18 лет могут использовать Сервис только:
- с письменного согласия родителей или иных законных представителей;
- под контролем законных представителей.
- действия несовершеннолетних при использовании Сервиса;
- предоставление несовершеннолетними персональных данных;
- последствия использования созданных документов.
- ФИО законного представителя и документа, подтверждающего полномочия;
- ФИО и возраста несовершеннолетнего;
- Telegram ID несовершеннолетнего;
- подтверждения согласия на обработку персональных данных несовершеннолетнего.
13.3.1. Законные представители несовершеннолетних имеют право:
- получать информацию об обработке персональных данных несовершеннолетнего;
- требовать прекращения обработки и удаления персональных данных;
- обжаловать действия Оператора;
- отозвать согласие на обработку в любой момент.
14.1.1. Сервис функционирует на платформе Telegram и не использует веб-браузеры, поэтому традиционные файлы cookie не применяются.
14.1.2. Однако Сервис может использовать аналогичные технологии для хранения данных сессии и технической информации.
14.2. Используемые технологии
14.2.1. Локальное хранилище Telegram:
Telegram может сохранять на устройстве Пользователя:
- историю переписки с ботом (в соответствии с настройками Telegram);
- медиафайлы (документы), полученные через бота;
- технические данные для работы приложения.
14.2.2. Идентификаторы сессии:
Для идентификации Пользователя в рамках сессии создания документа используются временные идентификаторы, которые удаляются после завершения сессии.
14.3. Управление данными
14.3.1. Пользователь может управлять данными, сохранёнными приложением Telegram, через настройки приложения:
- очистка кэша;
- удаление истории переписки;
- удаление загруженных файлов.
15. ИЗМЕНЕНИЕ ПОЛИТИКИ15.1. Право на изменение
15.1.1. Оператор вправе в любое время вносить изменения в настоящую Политику в связи с:
- изменениями в законодательстве РФ;
- изменениями в функционале Сервиса;
- внедрением новых технологий обработки;
- изменением целей обработки;
- рекомендациями Роскомнадзора;
- иными обстоятельствами.
15.2.1. При внесении изменений в Политику Оператор:
- публикует новую версию Политики в Сервисе;
- указывает дату вступления изменений в силу;
- присваивает новую версию номер;
- фиксирует дату последнего обновления.
15.3. Уведомление об изменениях
15.3.1. Оператор уведомляет Пользователей о существенных изменениях в Политике одним из следующих способов:
- публикация уведомления в Сервисе;
- отправка сообщения через бота в Telegram;
- размещение информации на официальном сайте (при наличии);
- отправка email (при наличии адреса электронной почты Пользователя).
15.3.3. Существенными изменениями считаются:
- изменение целей обработки персональных данных;
- расширение перечня обрабатываемых персональных данных;
- изменение правовых оснований обработки;
- появление новых получателей персональных данных;
- изменение сроков хранения;
- изменение условий трансграничной передачи.
15.4.1. Продолжение использования Сервиса после вступления в силу изменений означает согласие Пользователя с новой версией Политики.
15.4.2. Если Пользователь не согласен с изменениями, он обязан прекратить использование Сервиса и может отозвать своё согласие на обработку персональных данных.
15.5. Архив версий
15.5.1. Предыдущие версии Политики хранятся Оператором в течение 5 лет.
15.5.2. Пользователь может запросить предыдущие версии Политики, направив обращение на адрес: privacy@doclidoc.ru.
16. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ16.1. Применимое законодательство
16.1.1. Настоящая Политика разработана и применяется в соответствии с законодательством Российской Федерации.
16.1.2. Все вопросы, не урегулированные настоящей Политикой, разрешаются в соответствии с законодательством РФ, в частности:
- Конституцией РФ;
- ФЗ-152 «О персональных данных»;
- ФЗ-149 «Об информации, информационных технологиях и о защите информации»;
- иными нормативными правовыми актами РФ.
16.2.1. Настоящая Политика является неотъемлемой частью Пользовательского соглашения Сервиса.
16.2.2. В случае противоречий между Политикой и Пользовательским соглашением приоритет имеют положения Политики в части, касающейся обработки персональных данных.
16.3. Язык Политики
16.3.1. Настоящая Политика составлена на русском языке.
16.3.2. При наличии переводов Политики на иные языки в случае противоречий приоритет имеет русская версия.
16.4. Доступность Политики
16.4.1. Актуальная версия настоящей Политики в свободном доступе размещена:
- в Сервисе (доступна по команде /privacy);
- на официальном сайте Оператора (при наличии): [указать URL].
16.5. Контактная информация
16.5.1. По всем вопросам, связанным с обработкой персональных данных, Пользователи могут обращаться:
По вопросам персональных данных: Email: privacy@doclidoc.ru
Ответственное лицо: [
