Политика в отношении обработки персональных данных

Дата вступления в силу: \_\_\_\_\_\_\_\_\_\_

Версия: 1.0

1. Общие положения

1.1. Настоящая Политика в отношении обработки персональных данных (далее — «Политика») разработана в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — 152-ФЗ) и определяет порядок обработки персональных данных и меры по обеспечению их безопасности.

1.2. Оператор персональных данных:

Реквизит

Значение

|---|---|

Наименование	Индивидуальный предприниматель Кольцов Савелий Андреевич
ИНН	470804433497
ОГРНИП	325470400135054
Место нахождения	Ленинградская область
Контактный адрес электронной почты	[⚠️ ЗАПОЛНИТЬ: адрес электронной почты для обращений по ПДн]

1.3. Оператор предоставляет доступ к интернет-сервису СОТик (далее — «Сервис»), расположенному по адресу sotik-ot.ru (далее — «Сайт»).

1.4. Сервис предназначен для ведения учёта охраны труда, промышленной и пожарной безопасности: журналов инструктажей, протоколов проверки знаний, приказов, инструкций, карточек сотрудников, карт оценки профессиональных рисков, норм выдачи средств индивидуальной защиты (СИЗ) и иных документов, предусмотренных трудовым законодательством Российской Федерации.

1.5. Настоящая Политика действует в отношении всех персональных данных, которые Оператор может получить в рамках предоставления доступа к Сервису.

1.6. Политика является общедоступным документом и размещена на Сайте в соответствии с ч. 2 ст. 18.1 152-ФЗ.

2. Правовые основания обработки персональных данных

Оператор обрабатывает персональные данные на следующих основаниях:

2.1. Исполнение договора (п. 5 ч. 1 ст. 6 152-ФЗ) — обработка персональных данных Пользователей Сервиса (клиентов) необходима для исполнения договора-оферты на предоставление доступа к Сервису, стороной которого является субъект персональных данных.

2.2. Обработка по поручению оператора (ч. 3 ст. 6 152-ФЗ) — персональные данные сотрудников организаций-клиентов обрабатываются Оператором исключительно по поручению клиента (работодателя), который является самостоятельным оператором персональных данных своих работников. Поручение на обработку оформляется в составе договора-оферты на использование Сервиса.

2.3. Согласие субъекта (п. 1 ч. 1 ст. 6 152-ФЗ) — в случаях, когда иные правовые основания неприменимы, обработка осуществляется на основании согласия субъекта персональных данных.

2.4. Исполнение требований трудового законодательства (п. 2 ч. 1 ст. 6 152-ФЗ) — в отношении собственных работников Оператора (при их наличии) обработка персональных данных осуществляется в соответствии со ст. 86-88 Трудового кодекса Российской Федерации.

3. Категории субъектов и состав персональных данных

3.1. Пользователи Сервиса (клиенты)

Оператор является оператором персональных данных Пользователей.

Данные

Цель обработки

Основание

|---|---|---|

Логин (имя пользователя)	Идентификация в Сервисе, исполнение договора	п. 5 ч. 1 ст. 6
Адрес электронной почты	Регистрация, вход по одноразовому коду, исполнение договора	п. 5 ч. 1 ст. 6
Хеш кода доступа / хеш одноразового кода	Аутентификация	п. 5 ч. 1 ст. 6
Технические идентификаторы сессии и защиты от поддельных запросов (CSRF)	Поддержание пользовательской сессии, защита от несанкционированных запросов	п. 5 ч. 1 ст. 6
Сведения о тарифе, лимитах, выбранном периоде подключения, сроке доступа, дате истечения доступа и дате удаления данных	Исполнение договора, применение лимитов и правил хранения	п. 5 ч. 1 ст. 6
Сведения о выборе тарифа, поданной заявке на подключение или продление доступа, а также переписка по такой заявке	Рассмотрение заявки, подключение или продление доступа, согласование условий обслуживания	п. 5 ч. 1 ст. 6
Сведения о подтверждении Оферты и Политики (версия документа, дата и время подтверждения, способ подтверждения)	Подтверждение акцепта договора и соблюдение обязательных процедур доступа	п. 5 ч. 1 ст. 6
Сведения о запросах одноразовых кодов и попытках подтверждения (срок действия, счётчик попыток, назначение запроса)	Защита от злоупотреблений, обеспечение безопасности авторизации	п. 5 ч. 1 ст. 6
Обращения об ошибках и предложениях, переписка по обращениям, статус рассмотрения, сведения о начисленных бонусных днях	Рассмотрение обращений, обратная связь, исполнение договора, применение поощрения к сроку доступа	п. 5 ч. 1 ст. 6
Файлы, приложенные Пользователем к обращению	Проверка обращения, подтверждение обстоятельств ошибки или предложения	п. 5 ч. 1 ст. 6
IP-адрес	Обеспечение безопасности, логирование входов, защита от злоупотреблений	п. 5 ч. 1 ст. 6
Техническая информация о браузере и устройстве (User-Agent)	Защита от злоупотреблений и расследование инцидентов безопасности	п. 5 ч. 1 ст. 6

Примечание: Оператор стремится минимизировать объём персональных данных Пользователей. Для самостоятельной регистрации и входа обязательным идентификатором является адрес электронной почты.

3.2. Сотрудники организаций-клиентов

Оператор не является оператором персональных данных сотрудников организаций-клиентов. Оператором в отношении данных своих работников является клиент (работодатель). Оператор осуществляет обработку данных сотрудников исключительно по поручению клиента (ч. 3 ст. 6 152-ФЗ).

Состав персональных данных, вносимых клиентом в Сервис, определяется клиентом самостоятельно и может включать:

Данные

Цель обработки (определяется клиентом)

|---|---|

Фамилия, имя, отчество	Ведение журналов инструктажей, кадровый учёт по ОТ
Дата рождения	Ведение карточек сотрудников
СНИЛС	Подача сведений в ЕИСОТ Минтруда
Должность, профессия	Ведение журналов инструктажей, определение программ обучения
Подразделение	Ведение журналов инструктажей
Дата приёма / увольнения	Кадровый учёт по ОТ
Сведения об инструктажах и обучении	Ведение журналов, протоколов, формирование документов
ФИО руководителя работ, координатора (в картах рисков)	Формирование карт оценки профессиональных рисков
Сведения о нормах выдачи СИЗ по должности	Формирование документов по обеспечению СИЗ

Оператор не определяет цели и состав обработки данных сотрудников клиентов — это делает клиент-работодатель как самостоятельный оператор ПДн.

3.3. Работники Оператора (при наличии)

В случае наличия работников у Оператора их персональные данные обрабатываются в соответствии с трудовым законодательством РФ (ст. 86-88 ТК РФ).

4. Цели обработки персональных данных

4.1. Предоставление доступа к Сервису — выдача логина и кода доступа, регистрация по адресу электронной почты, отправка и проверка одноразовых кодов доступа, аутентификация, идентификация Пользователей, поддержание сессии, применение защиты от поддельных запросов (CSRF), подтверждение ознакомления с актуальными редакциями Оферты и Политики, исполнение договора-оферты, выбор тарифа и периода подключения.

Адрес электронной почты, указанный при самостоятельной регистрации, используется для входа в Сервис и сервисных уведомлений, связанных с доступом и использованием Сервиса. Рекламные рассылки без отдельного согласия Пользователя не направляются.

4.2. Обработка данных сотрудников клиентов по поручению — хранение, систематизация, отображение клиенту, генерация документов (журналов инструктажей, протоколов, приказов, карт оценки профессиональных рисков, норм выдачи СИЗ и т.д.), формирование данных для подачи в ЕИСОТ Минтруда — по запросу и в интересах клиента.

4.3. Обработка обращений Пользователей — приём сообщений об ошибках и предложениях, хранение переписки по обращениям, проверка приложенных файлов, направление ответа Пользователю в интерфейсе Сервиса, принятие решения о возможном поощрении дополнительными днями доступа.

4.4. Подключение и продление платного доступа — приём и обработка заявок Пользователей на подключение платного тарифа, продление доступа или перевод на другой тариф, проверка выбранных условий, фиксация результата рассмотрения заявки и активация доступа после подтверждения Оператором. До запуска автоматического интернет-эквайринга такие заявки могут обрабатываться без автоматического списания денежных средств.

4.5. Обеспечение безопасности — защита от несанкционированного доступа, ограничение частоты запросов, выявление злоупотреблений бесплатным доступом, логирование действий для выявления инцидентов.

4.6. Исполнение требований законодательства — в случаях, предусмотренных федеральными законами Российской Федерации.

Оператор не использует персональные данные сотрудников клиентов в собственных коммерческих или иных целях, не осуществляет их анализ, профилирование или передачу третьим лицам.

5. Действия с персональными данными

5.1. Оператор осуществляет следующие действия (операции) с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, блокирование, удаление, уничтожение.

5.2. Обработка осуществляется с использованием средств автоматизации (информационная система Сервиса).

5.3. Принятие решений на основании исключительно автоматизированной обработки персональных данных, порождающих юридические последствия в отношении субъекта, Оператором не осуществляется.

6. Порядок обработки по поручению (ч. 3 ст. 6 152-ФЗ)

6.1. Клиент (работодатель), принимая договор-оферту на использование Сервиса, поручает Оператору обработку персональных данных сотрудников своей организации в целях, указанных в разделе 4 настоящей Политики.

6.2. В рамках данного поручения Оператор обязуется:

обрабатывать персональные данные исключительно в целях, определённых клиентом;
не использовать персональные данные сотрудников клиента в собственных целях;
соблюдать конфиденциальность персональных данных;
обеспечивать безопасность персональных данных при их обработке в соответствии со ст. 19 152-ФЗ;
уничтожить персональные данные по запросу клиента или при прекращении действия договора.

6.3. Ответственность перед субъектами персональных данных (сотрудниками) за законность обработки их данных несёт клиент-работодатель как оператор (ч. 4 ст. 6 152-ФЗ). Клиент обязан самостоятельно обеспечить наличие правового основания для обработки персональных данных своих работников и их передачи Оператору.

6.4. Оператор несёт ответственность перед клиентом за надлежащее исполнение поручения, в том числе за обеспечение безопасности персональных данных.

7. Меры по обеспечению безопасности персональных данных

Оператор принимает следующие организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий (ст. 19 152-ФЗ):

7.1. Организационные меры

назначение ответственного за организацию обработки персональных данных;
утверждение внутренних документов, определяющих порядок обработки персональных данных;
определение перечня лиц, допущенных к обработке персональных данных;
ознакомление лиц, допущенных к обработке, с требованиями законодательства и внутренними документами;
оценка вреда, который может быть причинён субъектам персональных данных;
определение актуальных угроз безопасности и уровня защищённости (в соответствии с Постановлением Правительства РФ от 01.11.2012 N 1119);
подготовка и соблюдение порядка реагирования на инциденты.

7.2. Технические меры

передача данных по защищённым каналам связи (HTTPS/TLS);
шифрование соединения с базой данных (SSL);
хранение паролей и кодов доступа исключительно в виде криптографических хешей; открытый текст паролей не хранится;
разграничение доступа: каждый Пользователь имеет доступ только к данным своих организаций;
изоляция данных между Пользователями на уровне приложения и на уровне базы данных;
логирование действий пользователей и событий безопасности (без записи содержимого персональных данных в журналы);
резервное копирование данных;
регулярное обновление программного обеспечения;
ограничение числа попыток входа (защита от подбора паролей).

7.2.1. Особенности обращений и приложенных файлов

обращение и приложенные к нему файлы относятся к данным конкретного аккаунта Пользователя;
доступ к обращению и приложенным файлам имеет только сам Пользователь и владелец Сервиса в пределах, необходимых для рассмотрения обращения;
приложенные файлы сохраняются под служебными идентификаторами, а не под исходными именами файлов в адресе доступа;
владелец Сервиса не использует обращения и приложенные файлы в рекламных или публичных целях.

7.3. Ограничение доступа администратора платформы

Владелец Сервиса (администратор платформы) не имеет доступа к персональным данным сотрудников клиентов через административный интерфейс. Администраторский интерфейс содержит только агрегированные данные: количество компаний, количество сотрудников, статистику использования функций — без отображения ФИО, СНИЛС, дат рождения и иных персональных данных.

8. Хранение персональных данных

8.1. Персональные данные хранятся с использованием баз данных, расположенных на территории Российской Федерации, в соответствии с ч. 5 ст. 18 152-ФЗ.

8.2. Хостинг-провайдер: ООО «Яндекс.Облако». Дата-центры расположены на территории Российской Федерации.

8.3. Трансграничная передача персональных данных Оператором не осуществляется.

9. Сроки обработки и порядок уничтожения

9.1. Персональные данные Пользователей обрабатываются в течение срока действия договора-оферты. При прекращении использования Сервиса и по запросу Пользователя данные уничтожаются в срок не более 30 (тридцати) календарных дней.

9.2. Персональные данные сотрудников клиентов обрабатываются в течение срока действия договора-оферты с клиентом. При расторжении договора или по запросу клиента данные уничтожаются в срок не более 30 (тридцати) календарных дней с даты прекращения договора или получения запроса.

9.3. Для аккаунтов, зарегистрированных самостоятельно и использующих бесплатный доступ, данные Пользователя хранятся в течение 14 (четырнадцати) календарных дней после окончания бесплатного периода, после чего уничтожаются автоматически. В течение этого срока рабочие действия в Сервисе блокируются, а Пользователю доступен только обзорный экран с информацией о завершении бесплатного периода и планах продолжения работы.

9.3.1. В течение указанного периода Пользователь может пользоваться встроенным каналом обращений, видеть ранее созданные обращения и ответы владельца Сервиса.

9.4. При истечении срока платной подписки и неоплате продления данные хранятся в течение льготного периода — 30 (тридцать) календарных дней — после чего уничтожаются автоматически. В течение льготного периода Пользователю может быть доступен обзорный экран с предложением подать заявку на продление либо подключение другого тарифа. Перед уничтожением Оператор направляет Пользователю уведомление (при наличии контактных данных).

9.5. Уничтожение персональных данных производится способом, исключающим дальнейшую обработку: удаление записей из базы данных, удаление файлов, содержащих персональные данные, включая файлы, приложенные к обращениям Пользователя. Факт уничтожения фиксируется в журнале аудита (без указания содержимого удалённых данных).

9.6. Оператор вправе хранить обезличенные и агрегированные данные (статистика использования, количественные показатели) без ограничения срока, поскольку они не являются персональными данными.

10. Права субъектов персональных данных

Субъект персональных данных имеет право:

10.1. Получить информацию об обработке своих персональных данных (ст. 14 152-ФЗ), включая:

подтверждение факта обработки;
правовые основания и цели обработки;
способы обработки;
сведения о лицах, имеющих доступ к персональным данным;
перечень обрабатываемых данных и источник их получения;
сроки обработки и хранения;
информацию о трансграничной передаче (при наличии).

10.2. Требовать уточнения своих персональных данных, их блокирования или уничтожения, если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки (ст. 21 152-ФЗ).

10.3. Отозвать согласие на обработку персональных данных, направив соответствующее заявление Оператору (ч. 2 ст. 9 152-ФЗ).

10.4. Обжаловать действия Оператора в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в судебном порядке (ст. 17 152-ФЗ).

10.5. Для реализации своих прав субъект персональных данных направляет запрос на адрес электронной почты: [⚠️ ЗАПОЛНИТЬ: адрес электронной почты] или по почтовому адресу Оператора.

10.6. Оператор рассматривает запрос в срок не более 10 (десяти) рабочих дней с момента получения (ч. 4 ст. 14, ч. 1 ст. 20 152-ФЗ). При необходимости уточнения запроса Оператор вправе запросить дополнительные сведения для идентификации субъекта.

10.7. Особенности для сотрудников организаций-клиентов. Если субъектом персональных данных является сотрудник организации-клиента, Оператор рекомендует обращаться к своему работодателю (клиенту Сервиса), который является оператором персональных данных сотрудника и определяет цели обработки. При получении запроса непосредственно от сотрудника организации-клиента Оператор уведомляет клиента и действует в соответствии с его указаниями и требованиями законодательства.

11. Порядок реагирования на инциденты

11.1. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлёкшей нарушение прав субъектов, Оператор обязан (ч. 3.1 ст. 21 152-ФЗ):

в срок не более 24 часов уведомить Роскомнадзор о произошедшем инциденте;
в срок не более 72 часов уведомить Роскомнадзор о результатах внутреннего расследования.

11.2. Оператор также уведомляет затронутых Пользователей (клиентов) о факте инцидента в разумный срок.

12. Использование файлов cookie (служебных файлов браузера) и аналитика

12.1. Сервис может использовать технические файлы cookie (служебные файлы браузера) и иные технические идентификаторы, необходимые для функционирования (поддержание сессии, аутентификация, защита от поддельных запросов). Такие идентификаторы используются только для работы Сервиса и обеспечения безопасности, не применяются для внешнего отслеживания, профилирования или рекламной аналитики.

12.2. В случае подключения сторонних аналитических сервисов (например, Яндекс.Метрика) соответствующая информация будет добавлена в настоящую Политику с указанием целей использования и ссылки на политику конфиденциальности стороннего сервиса.

13. Передача персональных данных третьим лицам

13.1. Оператор не передаёт персональные данные третьим лицам, за исключением случаев:

предусмотренных законодательством Российской Федерации (по запросу уполномоченных государственных органов);
необходимых для исполнения договора с Пользователем (например, передача данных платёжной системе для обработки оплаты — при наличии);
при наличии согласия субъекта персональных данных.

13.2. В случае привлечения сторонних сервисов, получающих доступ к персональным данным (платёжные системы, почтовые сервисы и т.д.), Оператор заключает с ними соответствующие соглашения, обеспечивающие конфиденциальность и безопасность данных, и обновляет настоящую Политику. При подключении внешнего почтового провайдера для отправки одноразовых кодов в настоящей Политике дополнительно указываются категория получателя, цель передачи и применимые меры защиты.

14. Изменение Политики

14.1. Оператор вправе вносить изменения в настоящую Политику. При внесении существенных изменений Оператор уведомляет Пользователей путём размещения новой редакции на Сайте и (при наличии технической возможности) уведомления в интерфейсе Сервиса.

14.2. Новая редакция Политики вступает в силу с момента её размещения на Сайте, если иное не предусмотрено самой редакцией. При следующем входе в Сервис Пользователю может быть предложено повторно подтвердить ознакомление с актуальной редакцией Политики; до такого подтверждения доступ к рабочему функционалу Сервиса может быть ограничен.

14.3. Действующая редакция всегда доступна на Сайте по адресу: http://sotik-ot.ru/legal/privacy.

15. Сведения об уведомлении Роскомнадзора

Оператор подал уведомление об обработке персональных данных в Роскомнадзор в соответствии со ст. 22 152-ФЗ.

16. Контакты

По всем вопросам, связанным с обработкой персональных данных, обращайтесь:

Адрес электронной почты: [⚠️ ЗАПОЛНИТЬ: адрес электронной почты]

Настоящая Политика разработана в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных», Постановлением Правительства РФ от 01.11.2012 N 1119, Приказом ФСТЭК России от 18.02.2013 N 21.