Политика в отношении обработки персональных данных

1. Общие положения

1.1. Настоящая Политика в отношении обработки персональных данных определяет порядок обработки персональных данных и меры по обеспечению их безопасности у Индивидуального предпринимателя Клементьевой Анны Вадимовны (ИНН 772702533840, ОГРНИП 324774600879009) (далее — Оператор), действующего в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

1.2. Политика распространяется на персональные данные, которые Оператор получает:

• через сайт Оператора;
• через SaaS-платформу Оператора;
• через личный кабинет;
• через AI-агента;
• через виджет, размещаемый на сайте Оператора и/или на ресурсах клиентов Оператора;
• через формы обратной связи, обращения в поддержку, электронную почту и иные каналы коммуникации.

1.3. Политика является общедоступным документом и подлежит размещению на сайте Оператора.

2. Термины

2.1. Персональные данные — любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу.

2.2. Обработка персональных данных — любое действие или совокупность действий с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение.

2.3. Субъект персональных данных — физическое лицо, к которому относятся персональные данные.

2.4. Оператор — лицо, самостоятельно или совместно с другими лицами организующее и/или осуществляющее обработку персональных данных, а также определяющее цели обработки, состав персональных данных и действия с ними.

2.5. Клиент — юридическое лицо, индивидуальный предприниматель или иное лицо, использующее SaaS-платформу, AI-агента или виджет Оператора.

2.6. Виджет — программный модуль, предоставляемый Оператором для размещения на сайте, в приложении или ином цифровом ресурсе Клиента.

2.7. AI-агент — программная функциональность платформы, обеспечивающая автоматизированную обработку запросов и генерацию ответов.

2.8. Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства иностранному органу власти, иностранному физическому или юридическому лицу.

3. Категории субъектов персональных данных

Оператор может обрабатывать персональные данных следующих категорий субъектов:

• посетители сайта;
• пользователи SaaS-платформы и личного кабинета;
• представители и работники клиентов и контрагентов;
• лица, направившие заявку на демо, консультацию, подключение сервиса;
• лица, обратившиеся в техническую поддержку;
• пользователи, взаимодействующие с AI-агентом и/или виджетом;
• иные лица, вступающие во взаимодействие с Оператором в рамках договорных или преддоговорных отношений.

4. Категории обрабатываемых персональных данных

Оператор может обрабатывать следующие персональные данные:

• фамилия, имя, отчество;
• адрес электронной почты;
• номер телефона;
• должность;
• наименование организации;
• данные учетной записи пользователя;
• содержание обращений, сообщений и заявок;
• история взаимодействия с платформой, AI-агентом и виджетом;
• данные, переданные пользователем в текстах запросов и прикрепленных материалах;
• IP-адрес;
• cookie-идентификаторы;
• сведения о браузере, устройстве, операционной системе;
• дата и время доступа;
• адреса посещаемых страниц;
• журналы событий, действий и обращений в сервисе;
• иные данные, предоставленные субъектом добровольно и необходимые для соответствующей цели обработки.

Оператор не ориентирует сервис на сбор специальных категорий персональных данных и биометрических персональных данных. Пользователям не следует передавать через сервис сведения о здоровье, политических взглядах, религиозных убеждениях, интимной жизни, биометрии и иные чувствительные данные, если это прямо не требуется законом или отдельным соглашением.

5. Цели обработки персональных данных

Оператор обрабатывает персональные данные в следующих целях:

1. регистрация и администрирование учетных записей пользователей;
2. предоставление доступа к SaaS-платформе, AI-агенту и виджету;
3. обработка запросов, сообщений и заявок пользователей;
4. оказание технической поддержки;
5. заключение, исполнение, изменение и прекращение договоров;
6. взаимодействие с клиентами и потенциальными клиентами;
7. обеспечение работоспособности, стабильности, безопасности и улучшения сервиса;
8. анализ использования сайта и сервиса, в том числе с применением веб-аналитики;
9. исполнение обязанностей, установленных законодательством Российской Федерации;
10. защита прав и законных интересов Оператора;
11. использование обезличенных данных в статистических и аналитических целях.

6. Правовые основания обработки персональных данных

Правовыми основаниями обработки персональных данных являются:

• согласие субъекта персональных данных;
• необходимость обработки для заключения и исполнения договора, стороной которого является субъект персональных данных либо лицо, которое он представляет;
• необходимость исполнения обязанностей, возложенных на Оператора законодательством Российской Федерации;
• необходимость осуществления прав и законных интересов Оператора или третьих лиц при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
• иные основания, предусмотренные законодательством Российской Федерации.

7. Порядок и условия обработки персональных данных

7.1. Обработка персональных данных осуществляется с использованием средств автоматизации, без их использования либо смешанным способом.

7.2. Оператор обрабатывает персональные данные только в объеме, необходимом для достижения конкретных, заранее определенных и законных целей обработки.

7.3. Оператор получает персональные данные:

• непосредственно от субъекта;
• от представителя субъекта;
• от клиента Оператора в пределах договорных отношений;
• из действий субъекта при использовании сайта, платформы, AI-агента и виджета.

7.4. Оператор совершает с персональными данными следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление и уничтожение.

7.5. Оператор не принимает решений, порождающих юридические последствия для субъекта персональных данных или иным образом существенно затрагивающих его права и законные интересы, исключительно на основании автоматизированной обработки персональных данных, если иное прямо не предусмотрено законодательством Российской Федерации или отдельным согласием субъекта.

8. Роли Оператора при работе с виджетом и AI-агентом

8.1. По персональным данным, которые Оператор получает через собственный сайт, личный кабинет, формы заявок, обращения в поддержку и иные собственные каналы, Оператор действует как самостоятельный оператор персональных данных.

8.2. По персональным данным, которые вводятся конечными пользователями в виджет, размещенный на сайте или ином ресурсе Клиента, Оператор в зависимости от договорной модели может:

• выступать самостоятельным оператором; либо
• осуществлять обработку персональных данных по поручению Клиента.

8.3. Если Оператор обрабатывает персональные данные по поручению Клиента, цели обработки, состав данных, категории субъектов, перечень операций и условия обработки определяются Клиентом и закрепляются в договоре с Клиентом.

9. Передача персональных данных третьим лицам и привлеченные обработчики

9.1. Оператор вправе передавать персональные данные третьим лицам либо предоставлять к ним доступ в случаях:

• при наличии согласия субъекта;
• если это необходимо для исполнения договора;
• если передача обязательна в силу закона;
• если обработка поручена третьему лицу на основании договора;
• если это необходимо для защиты прав и законных интересов Оператора в порядке, предусмотренном законодательством.

9.2. Для обеспечения работы сервиса Оператор привлекает следующих лиц:

• ООО «Облачные технологии», 117312, г. Москва, ул. Вавилова, д. 23, стр. 1, комната № 1.207, ИНН 7736279160, ОГРН 5167746080057 — вычислительные мощности для предоставления AI-сервиса;
• ООО «ЯНДЕКС», 119021, г. Москва, ул. Льва Толстого, д. 16, ИНН 7736207543, ОГРН 1027700229193 — провайдер услуг веб-аналитики (Яндекс.Метрика);
• ООО «ТАЙМВЭБ.КЛАУД», 420500, Республика Татарстан, г. Иннополис, ул. Университетская, д. 7, офис 605, ИНН 7810945525, ОГРН 1227800052215 — облачная инфраструктура и хостинг;
• АО «Селектел», 196006, г. Санкт-Петербург, ул. Цветочная, д. 21, лит. А, ИНН 7810962785, ОГРН 1247800067790 — серверная инфраструктура и хранение данных.

9.3. Оператор обеспечивает, чтобы лица, привлекаемые к обработке персональных данных или обеспечению функционирования сервиса, были обязаны соблюдать конфиденциальность, обеспечивать безопасность персональных данных и обрабатывать их только в пределах соответствующего договора.

10. Cookies и веб-аналитика

10.1. Оператор использует cookies, а также сервис веб-аналитики Яндекс.Метрика для:

• обеспечения корректной работы сайта и сервиса;
• сохранения пользовательских настроек;
• анализа посещаемости и использования сайта;
• улучшения интерфейсов и функциональности;
• диагностики ошибок и сбоев.

10.2. При использовании cookies и Яндекс.Метрики могут обрабатываться технические данные, в том числе IP-адрес, cookie-идентификатор, сведения о браузере, устройстве, операционной системе, дате и времени доступа, адресах страниц и действиях пользователя на сайте.

10.3. Оператор не передает в Яндекс.Метрику данные, непосредственно идентифицирующие пользователя, кроме случаев, когда такая передача прямо предусмотрена допустимой функциональностью сервиса и имеет надлежащее правовое основание. Яндекс прямо запрещает передавать в Метрику идентифицирующую информацию вне специально предусмотренных функций, а политика пользователя сервиса должна корректно описывать такую обработку.

10.4. Пользователь может ограничить или отключить использование cookies в настройках браузера, однако это может повлиять на корректность работы отдельных функций сайта и сервиса.

11. Трансграничная передача персональных данных

11.1. Оператор не осуществляет трансграничную передачу персональных данных.

11.2. Запись, систематизация, накопление, хранение, уточнение (обновление, изменение) и извлечение персональных данных граждан Российской Федерации осуществляются с использованием баз данных, находящихся на территории Российской Федерации. Это соответствует требованиям ст. 12 и ч. 5 ст. 18 152-ФЗ.

11.3. В случае изменения архитектуры сервиса или подключения интеграций, предполагающих трансграничную передачу персональных данных, Оператор до начала такой передачи обеспечит соблюдение требований законодательства Российской Федерации и актуализирует настоящую Политику.

12. Права субъекта персональных данных

Субъект персональных данных имеет право:

• получать сведения, касающиеся обработки его персональных данных;
• требовать уточнения, блокирования или уничтожения его персональных данных, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели;
• отозвать согласие на обработку персональных данных;
• возражать против обработки в случаях, предусмотренных законодательством;
• требовать прекращения обработки в случаях, предусмотренных законодательством;
• обжаловать действия или бездействие Оператора в Роскомнадзор или в судебном порядке.

13. Сроки обработки, хранения и уничтожения персональных данных

13.1. Персональные данные обрабатываются и хранятся не дольше, чем этого требуют цели обработки, условия договора и обязательные требования законодательства Российской Федерации.

13.2. Персональные данные подлежат удалению, уничтожению или обезличиванию:

• по достижении целей обработки;
• при прекращении договорных отношений, если отсутствуют иные законные основания хранения;
• при отзыве согласия, если обработка основывается только на согласии и отсутствуют иные законные основания;
• при выявлении неправомерной обработки;
• по истечении установленных сроков хранения.

13.3. Сроки хранения отдельных категорий данных могут определяться:

• сроком действия договора;
• сроком действия согласия;
• сроками исковой давности;
• сроками, установленными законодательством для бухгалтерских, налоговых, архивных и иных обязательных документов.

14. Меры по обеспечению безопасности персональных данных

Оператор принимает необходимые и достаточные правовые, организационные и технические меры для выполнения обязанностей, предусмотренных 152-ФЗ, и защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения и иных неправомерных действий. Закон прямо требует принятия таких мер, а состав мер оператор определяет самостоятельно с учетом применимого регулирования.

К числу таких мер, в частности, относятся:

• назначение ответственных лиц за организацию обработки и защиту персональных данных;
• принятие локальных актов по вопросам обработки и защиты персональных данных;
• ограничение доступа к персональным данным по принципу необходимости;
• применение аутентификации, разграничения прав доступа и учета действий пользователей;
• регистрация и мониторинг событий безопасности;
• использование антивирусной защиты, резервного копирования и механизмов восстановления;
• защита сетевого взаимодействия и серверной инфраструктуры;
• обучение лиц, допущенных к обработке персональных данных;
• контроль соблюдения требований по защите персональных данных подрядчиками и партнерами;
• внутренний контроль и периодический пересмотр применяемых мер безопасности.

Настоящая Политика содержит только общий перечень мер безопасности и не раскрывает чувствительные технические детали, способные снизить защищенность информационных систем Оператора.

15. Контакты по вопросам персональных данных

По вопросам обработки персональных данных субъект может обратиться к Оператору:

• по e-mail: support@cloft.ai
• по адресу: 117216, г. Москва, ул. Грина, д. 24, кв. 49

Оператор рассматривает обращения в порядке и сроки, установленные законодательством Российской Федерации.

16. Заключительные положения

16.1. Оператор вправе вносить изменения в настоящую Политику.

16.2. Актуальная редакция Политики размещается на сайте Оператора и вступает в силу с момента ее размещения, если иное не предусмотрено новой редакцией.

16.3. Во всем, что не урегулировано настоящей Политикой, Оператор руководствуется законодательством Российской Федерации, включая Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».