Политика обработки
персональных данных

1. Общие положения

1.1. Настоящая Политика обработки персональных данных (далее — «Политика») является документом, определяющим политику Оператора в отношении обработки персональных данных, и подлежит обязательному опубликованию в сети Интернет в соответствии с частью 2 статьи 18.1 Закона о персональных данных.

1.2. Действующая редакция Политики постоянно доступна для ознакомления по адресу dogover.ru/privacy.html.

1.3. Политика применяется ко всем персональным данным, которые Оператор может получить о субъектах персональных данных в процессе использования ими сайта, мобильных приложений, программных интерфейсов (API) и иных сервисов, входящих в состав ДогоВер (далее совместно — «Сервис»).

1.4. В случае несоответствия отдельных положений Политики действующему законодательству Российской Федерации применяются нормы законодательства. Признание отдельных положений недействительными не влечёт недействительности остальных положений.

2. Термины и определения

В настоящей Политике используются следующие основные понятия:

Персональные данные — любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту персональных данных).

Оператор — лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Реквизиты Оператора указаны в разделе 3 настоящей Политики.

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без их использования с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Автоматизированная обработка — обработка персональных данных с помощью средств вычислительной техники.

Субъект персональных данных (далее также — «Пользователь») — физическое лицо, чьи персональные данные обрабатывает Оператор.

Согласие на обработку персональных данных — свободное, конкретное, информированное и сознательное волеизъявление субъекта на обработку его персональных данных.

Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределённому кругу лиц.

Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или юридическому лицу.

Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе и (или) в результате которых уничтожаются материальные носители персональных данных.

Иные понятия, не определённые настоящей Политикой, применяются в значениях, установленных Законом о персональных данных и иными нормативными правовыми актами Российской Федерации.

3. Сведения об Операторе

3.1. ИП Евстропова Татьяна Ивановна, ИНН 580308765462, ОГРНИП 325580000028801, 440071, г. Пенза, ул. Лядова, д. 10. Иные реквизиты могут быть запрошены субъектом персональных данных по электронной почте, указанной в пункте 14.5 настоящей Политики.

3.2. Лицо, ответственное за организацию обработки персональных данных в Сервисе, назначается приказом руководителя Оператора. Контактные данные ответственного лица указаны в разделе 14 настоящей Политики.

4. Категории субъектов и состав обрабатываемых данных

4.1. Оператор обрабатывает персональные данные следующих категорий субъектов:

• пользователей Сервиса (физических лиц, индивидуальных предпринимателей, представителей юридических лиц), прошедших регистрацию или использующих Сервис;
• лиц, направивших обращения в адрес Оператора по любым каналам связи;
• работников и кандидатов на трудоустройство к Оператору (в части, относящейся к настоящей Политике, — только в объёме сведений, попадающих в Сервис);
• третьих лиц, чьи персональные данные могут содержаться в документах, загружаемых Пользователями в Сервис, при наличии у Пользователей правовых оснований для передачи таких данных Оператору.

4.2. В отношении Пользователей Оператор может обрабатывать следующие категории персональных данных:

• Идентификационные и контактные данные: фамилия, имя, отчество (при наличии); номер мобильного телефона; адрес электронной почты; идентификаторы учётных записей в сторонних системах идентификации (Яндекс ID, VK ID и иные).
• Технические данные: IP-адрес; данные об устройстве и программном обеспечении (тип устройства, операционная система, тип и версия браузера, разрешение экрана, языковые настройки); сведения о провайдере интернет-связи; данные о посещённых страницах Сервиса; источники переходов; время и продолжительность посещений; идентификаторы сессий и cookie-файлы.
• Данные об использовании Сервиса: история операций (загрузка документов, формирование отчётов, генерация договоров, сравнение версий, история чатов с искусственным интеллектом); сведения о статусах операций; сведения о типах подключённых тарифов и оплаченных услугах.
• Платёжные данные: сведения о произведённых платежах в объёме, необходимом для бухгалтерского учёта; идентификаторы транзакций. Полные реквизиты банковских карт Оператор не собирает и не хранит — обработка платежей осуществляется сертифицированными платёжными провайдерами.
• Контент Пользователя: содержимое документов, загружаемых Пользователем в Сервис, и текстов, вводимых Пользователем в интерфейсах Сервиса. Указанный контент может содержать персональные данные Пользователя, а также персональные данные третьих лиц.
• Данные, переданные при обращениях: текст обращения, тема, способ связи, прикреплённые файлы.

4.3. Оператор не осуществляет обработку специальных категорий персональных данных (касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни) и биометрических персональных данных, если иное прямо не предусмотрено отдельным согласием Пользователя или законом. В случае самостоятельного включения Пользователем таких сведений в загружаемые документы Пользователь подтверждает, что предоставление указанных сведений Оператору не противоречит закону и совершено им осознанно.

4.4. Оператор не осуществляет обработку персональных данных несовершеннолетних. Использование Сервиса лицами младше 18 лет не допускается.

5. Цели обработки персональных данных

5.1. Оператор обрабатывает персональные данные исключительно в следующих целях:

• заключение, исполнение и прекращение договора между Оператором и Пользователем, предусмотренного Пользовательским соглашением;
• идентификация и аутентификация Пользователя при доступе к Сервису;
• предоставление Пользователю функциональных возможностей Сервиса (проверка договоров, формирование отчётов, генерация и редактирование документов, сравнение версий и т. п.);
• обработка платежей, ведение бухгалтерского и налогового учёта, выполнение требований законодательства Российской Федерации о применении контрольно-кассовой техники;
• осуществление связи с Пользователем по вопросам использования Сервиса, направление сервисных и информационных сообщений;
• рассмотрение обращений, претензий и предложений Пользователей;
• обеспечение безопасности Сервиса, выявление и предотвращение мошеннических, противоправных и иных недобросовестных действий;
• исполнение требований законодательства Российской Федерации, в том числе предоставление информации по запросам уполномоченных государственных органов;
• анализ работы Сервиса в обезличенном виде с целью улучшения его функциональных возможностей;
• с отдельного согласия Пользователя — направление маркетинговых и рекламных сообщений.

5.2. Оператор не использует персональные данные в целях, несовместимых с указанными в пункте 5.1, без получения отдельного согласия субъекта персональных данных.

6. Правовые основания обработки

6.1. Обработка персональных данных осуществляется Оператором на следующих правовых основаниях:

• согласие субъекта персональных данных, выраженное в форме акцепта Пользовательского соглашения и проставления соответствующей отметки в интерфейсе Сервиса (пункт 1 части 1 статьи 6 Закона о персональных данных);
• необходимость исполнения договора, стороной которого является субъект персональных данных (пункт 5 части 1 статьи 6 Закона о персональных данных);
• необходимость осуществления прав и законных интересов Оператора при условии, что при этом не нарушаются права и свободы субъекта персональных данных (пункт 7 части 1 статьи 6 Закона о персональных данных);
• исполнение возложенных на Оператора законодательством Российской Федерации обязанностей (пункт 2 части 1 статьи 6 Закона о персональных данных);
• иные основания, прямо предусмотренные Законом о персональных данных и другими федеральными законами.

6.2. Дополнительные правовые основания для отдельных видов обработки указываются Оператором непосредственно в момент сбора соответствующих персональных данных в форме отдельных согласий (например, согласия на получение рекламной рассылки).

7. Перечень действий и способы обработки

7.1. Оператор осуществляет следующие действия с персональными данными: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); обезличивание; блокирование; удаление; уничтожение.

7.2. Обработка персональных данных осуществляется как с использованием средств автоматизации (включая средства вычислительной техники, серверы, расположенные на территории Российской Федерации), так и без использования средств автоматизации.

7.3. Хранение персональных данных граждан Российской Федерации, их запись, систематизация, накопление, уточнение (обновление, изменение) и извлечение осуществляются с использованием баз данных, находящихся на территории Российской Федерации, в порядке, предусмотренном статьёй 18 Закона о персональных данных и Федеральным законом от 21.07.2014 № 242-ФЗ.

7.4. Оператор не принимает решения, порождающие юридические последствия в отношении субъекта персональных данных или иным образом затрагивающие его права и законные интересы, на основании исключительно автоматизированной обработки персональных данных без согласия субъекта в письменной форме, за исключением случаев, прямо предусмотренных федеральным законом.

8. Сроки обработки и хранения

8.1. Срок обработки персональных данных определяется временем достижения целей обработки, если иное не установлено законодательством или договором.

8.2. Сроки хранения отдельных категорий персональных данных:

• идентификационные, контактные и технические данные Пользователя — в течение всего периода действия Учётной записи Пользователя и в течение 3 (трёх) лет после её удаления, если иное не требуется законодательством;
• содержимое загружаемых документов и история чатов с искусственным интеллектом — в течение периода, необходимого для оказания соответствующей Услуги, и до 90 дней после её оказания; Пользователь вправе удалить документы и историю чатов из Учётной записи в любое время;
• сведения о платежах, чеки и иные документы первичного бухгалтерского учёта — в течение сроков, установленных законодательством Российской Федерации о бухгалтерском учёте и налогах (не менее 5 лет);
• cookie и аналогичные технические идентификаторы — в течение срока, указанного в свойствах соответствующего файла, но не более 13 месяцев;
• обращения и переписка с Пользователями — в течение 3 (трёх) лет с момента завершения переписки.

8.3. По истечении срока обработки или в случае отзыва согласия персональные данные подлежат уничтожению или обезличиванию в порядке, установленном Законом о персональных данных и внутренними документами Оператора, в срок, не превышающий 30 (тридцати) дней с момента наступления соответствующего основания, если иной срок не установлен законом.

9. Передача персональных данных третьим лицам

9.1. Оператор не передаёт персональные данные третьим лицам, за исключением следующих случаев:

• передача необходима для исполнения договора с Пользователем (например, передача платёжным провайдерам для обработки платежей, операторам связи — для отправки SMS, поставщикам облачной инфраструктуры — для технического обеспечения работы Сервиса);
• передача осуществляется уполномоченным государственным органам по основаниям и в порядке, предусмотренным законодательством Российской Федерации;
• передача необходима для защиты прав и законных интересов Оператора в судебном, досудебном или административном порядке;
• имеется отдельное согласие Пользователя, выраженное в письменной форме или ином документе, приравненном к письменной форме в соответствии с законодательством.

9.2. При передаче персональных данных лицам, осуществляющим обработку по поручению Оператора, Оператор обязывает указанных лиц соблюдать конфиденциальность персональных данных и обеспечивать их безопасность в соответствии с требованиями Закона о персональных данных.

9.3. Перечень лиц, осуществляющих обработку персональных данных по поручению Оператора, может быть предоставлен по запросу субъекта персональных данных, направленному в порядке, предусмотренном разделом 14 настоящей Политики.

9.4. Оператор не осуществляет распространение персональных данных в значении части 1 статьи 10.1 Закона о персональных данных, то есть не раскрывает их неопределённому кругу лиц без отдельного согласия субъекта.

10. Трансграничная передача данных

10.1. Оператор в общем случае не осуществляет трансграничную передачу персональных данных. Все системы хранения и обработки персональных данных размещаются на серверах, физически расположенных на территории Российской Федерации.

10.2. В случае возникновения необходимости трансграничной передачи персональных данных Оператор обязуется выполнить требования статьи 12 Закона о персональных данных, в том числе уведомить уполномоченный орган по защите прав субъектов персональных данных о намерении осуществлять трансграничную передачу до её начала, а также получить согласие субъекта персональных данных в случаях, когда оно требуется в соответствии с законом.

11. Использование cookie и аналогичных технологий

11.1. Сервис использует файлы cookie и аналогичные технологии (web-маяки, локальное хранилище браузера) для обеспечения работоспособности Сервиса, сохранения пользовательских настроек, анализа использования Сервиса и улучшения его функциональных возможностей.

11.2. Категории используемых cookie:

• Технические (строго необходимые) — обеспечивают базовую работоспособность Сервиса, поддержание сессии Пользователя, безопасность. Не могут быть отключены.
• Функциональные — сохраняют пользовательские настройки и предпочтения.
• Аналитические — собирают обезличенные данные об использовании Сервиса для улучшения его работы. Используются на основании согласия Пользователя.

11.3. Пользователь вправе самостоятельно настроить браузер на блокировку или удаление cookie. Указанные действия могут привести к невозможности использования отдельных функций Сервиса.

11.4. Использование cookie третьих лиц (например, систем веб-аналитики, размещённых на серверах на территории Российской Федерации) осуществляется в соответствии с настоящей Политикой и политиками соответствующих третьих лиц.

12. Меры по обеспечению безопасности

12.1. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий, в том числе:

• назначение лица, ответственного за организацию обработки персональных данных;
• принятие локальных нормативных актов, регламентирующих обработку и защиту персональных данных, ознакомление с ними работников;
• применение средств защиты информации, прошедших процедуру оценки соответствия в порядке, установленном законодательством Российской Федерации;
• применение технических мер защиты, включая шифрование каналов связи (TLS/SSL), шифрование данных «в покое» в системах хранения, разграничение прав доступа, парольную защиту, журналирование действий с персональными данными, регулярное резервное копирование;
• ограничение круга лиц, имеющих доступ к персональным данным, на основании должностных обязанностей;
• обучение работников, имеющих доступ к персональным данным, требованиям законодательства и внутренним правилам обработки;
• проведение внутреннего контроля и (или) аудита соответствия обработки персональных данных требованиям законодательства;
• оценка вреда, который может быть причинён субъектам персональных данных в случае нарушения Закона о персональных данных, а также определение угроз безопасности персональных данных;
• учёт машинных носителей персональных данных и обеспечение их сохранности.

12.2. Уровень защищённости персональных данных, обрабатываемых в информационных системах Оператора, определяется в соответствии с постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

12.3. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлёкшей нарушение прав субъектов, Оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в сроки, установленные частью 3.1 статьи 21 Закона о персональных данных.

13. Права субъекта персональных данных

13.1. В соответствии со статьёй 14 Закона о персональных данных субъект персональных данных имеет право:

• получать информацию, касающуюся обработки его персональных данных, в том числе содержащую: подтверждение факта обработки персональных данных Оператором; правовые основания и цели обработки; способы обработки; наименование и место нахождения Оператора; сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона; обрабатываемые персональные данные, относящиеся к соответствующему субъекту, источник их получения; сроки обработки персональных данных, в том числе сроки их хранения; порядок осуществления субъектом персональных данных прав, предусмотренных Законом о персональных данных; информацию об осуществлённой или о предполагаемой трансграничной передаче данных; наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора; иные сведения, предусмотренные Законом о персональных данных или другими федеральными законами;
• требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
• принимать предусмотренные законом меры по защите своих прав, в том числе обжаловать действия (бездействие) Оператора в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в судебном порядке;
• отозвать согласие на обработку персональных данных в любое время;
• требовать прекращения обработки персональных данных, если они не являются необходимыми для заявленной цели обработки.

13.2. Право субъекта на доступ к его персональным данным может быть ограничено в случаях, предусмотренных частью 8 статьи 14 Закона о персональных данных.

14. Порядок реализации прав и обращения

14.1. Для реализации прав, предусмотренных разделом 13 настоящей Политики, субъект персональных данных направляет Оператору запрос в письменной форме либо в форме электронного документа, подписанного электронной подписью в соответствии с законодательством Российской Федерации, либо путём направления обращения с электронного адреса, указанного субъектом при регистрации в Сервисе.

14.2. Запрос должен содержать:

• фамилию, имя, отчество (при наличии) субъекта персональных данных или его представителя;
• номер основного документа, удостоверяющего личность субъекта или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
• сведения, подтверждающие участие субъекта в отношениях с Оператором (номер телефона, адрес электронной почты, идентификатор Учётной записи и иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;
• подпись субъекта или его представителя (при направлении запроса в письменной форме);
• в случае обращения через представителя — документ, подтверждающий полномочия представителя.

14.3. Оператор обязан дать ответ субъекту в течение 10 (десяти) рабочих дней с даты получения запроса. Указанный срок может быть продлён, но не более чем на 5 (пять) рабочих дней, в случае направления Оператору мотивированного уведомления с указанием причин продления срока.

14.4. В случае отзыва согласия на обработку персональных данных Оператор обязан прекратить их обработку и (в случае, если сохранение персональных данных более не требуется для целей обработки) уничтожить персональные данные в срок, не превышающий 30 (тридцати) дней с даты поступления указанного отзыва, если иное не предусмотрено законом. Об уничтожении персональных данных Оператор уведомляет субъекта.

14.5. Запросы и обращения по вопросам обработки персональных данных направляются по адресам:

• электронная почта ответственного за обработку персональных данных: privacy@dogover.ru;
• почтовый адрес Оператора: 440071, г. Пенза, ул. Лядова, д. 10;
• общий канал поддержки: help@dogover.ru.

14.6. Субъект персональных данных вправе обратиться с жалобой на действия (бездействие) Оператора в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), а также в суд в порядке, предусмотренном законодательством Российской Федерации.

15. Автоматизированное принятие решений

15.1. Сервис использует автоматизированные алгоритмы, включая алгоритмы машинного обучения и технологии искусственного интеллекта, для оказания заявленных Услуг — анализа загружаемых документов, генерации проектов договоров, ответов на запросы Пользователя в чате.

15.2. Решения, принимаемые автоматизированными системами Сервиса, имеют исключительно информационно-справочный характер, не порождают для субъекта персональных данных юридических последствий и не затрагивают иным образом его права и законные интересы по смыслу части 2 статьи 16 Закона о персональных данных. Все юридически значимые действия Пользователь принимает самостоятельно.

15.3. Пользователь вправе в любой момент потребовать предоставления информации о порядке принятия решения автоматизированными системами Сервиса в объёме, не нарушающем коммерческую тайну и интеллектуальные права Оператора и его лицензиаров, направив запрос в порядке, предусмотренном разделом 14 настоящей Политики.

15.4. Контент Пользователя не используется Оператором для обучения собственных моделей машинного обучения и не передаётся для аналогичных целей третьим лицам без явного согласия Пользователя, выраженного в интерфейсе Сервиса.

16. Изменение Политики

16.1. Оператор вправе вносить изменения в настоящую Политику. Новая редакция Политики вступает в силу с момента её размещения на сайте Сервиса, если иной срок вступления в силу не предусмотрен новой редакцией.

16.2. О существенных изменениях Политики Оператор информирует Пользователей путём размещения соответствующего сообщения в интерфейсе Сервиса и (или) направлением сообщения на адрес электронной почты, указанный при регистрации.

16.3. Пользователь обязуется самостоятельно отслеживать актуальную редакцию Политики. Продолжение использования Сервиса после публикации изменений означает согласие с новой редакцией.

17. Заключительные положения

17.1. К отношениям, связанным с обработкой персональных данных, применяется законодательство Российской Федерации.

17.2. Все вопросы, не урегулированные настоящей Политикой, разрешаются в соответствии с Законом о персональных данных и иными нормативными правовыми актами Российской Федерации в области защиты персональных данных.

17.3. Настоящая Политика составлена на русском языке. В случае предоставления перевода на иные языки приоритет имеет русскоязычная версия.

17.4. Дополнительную информацию по вопросам обработки персональных данных Пользователь может получить в разделе «Помощь» Сервиса или направив обращение на адреса, указанные в пункте 14.5 настоящей Политики.