Политика обработки персональных данных

1. Общие положения

1.1. Настоящая Политика обработки персональных данных (далее — «Политика») разработана в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — «Закон»), Трудового кодекса РФ, Налогового кодекса РФ, Федерального закона от 06.04.2011 № 63-ФЗ «Об электронной подписи», а также подзаконных актов, регулирующих обработку и обеспечение безопасности персональных данных (в том числе приказов ФСТЭК и ФСБ России).

1.2. Политика определяет порядок обработки персональных данных (далее — «ПДн») Общества с ограниченной ответственностью «МОЙ БУХГАЛТЕР» (далее — «Оператор») и меры, направленные на обеспечение их безопасности, применяемые Оператором при обработке ПДн в связи с эксплуатацией сервиса «МОЙБУХ.РФ» и сопутствующей деятельностью.

1.3. Политика действует в отношении всех ПДн, которые Оператор может получить от субъектов ПДн, в том числе:

• пользователей сервиса «МОЙБУХ.РФ» (далее — «Пользователи»);
• посетителей сайтов bot.moibuhrf.ru, мойбух.рф и иных сайтов Оператора;
• контрагентов Оператора и их представителей;
• работников и соискателей на трудоустройство.

1.4. Политика подлежит размещению в открытом доступе по адресу https://bot.moibuhrf.ru/kb/privacy.html и применяется с момента такого размещения бессрочно, до замены её новой редакцией.

1.5. Оператор включён в Реестр операторов, осуществляющих обработку персональных данных, Роскомнадзора под регистрационным номером 78-25-135245.

2. Термины и определения

Персональные данные (ПДн)

Любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).

Оператор

ООО «МОЙ БУХГАЛТЕР», самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку ПДн, а также определяющее цели и состав обработки.

Обработка ПДн

Любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение.

Автоматизированная обработка

Обработка ПДн с помощью средств вычислительной техники.

Субъект ПДн

Физическое лицо, к которому относятся ПДн.

Пользователь

Физическое лицо, индивидуальный предприниматель либо уполномоченный представитель юридического лица, использующие сервис «МОЙБУХ.РФ».

Сервис / «МОЙБУХ.РФ»

Программно-аппаратный комплекс Оператора, доступный через чат-бота в мессенджерах Telegram и MAX, веб-интерфейс мини-приложения и личного кабинета.

Cookie

Небольшой фрагмент данных, сохраняемый веб-браузером на устройстве субъекта при посещении сайтов Оператора.

Третье лицо

Юридическое или физическое лицо, привлекаемое Оператором на основании договора для обработки ПДн по поручению Оператора либо иные лица, которым ПДн передаются в случаях, предусмотренных Законом.

3. Сведения об Операторе

Полное наименование

Общество с ограниченной ответственностью «МОЙ БУХГАЛТЕР»

Сокращённое наименование

ООО «МОЙ БУХГАЛТЕР»

ОГРН

1257800010742

ИНН / КПП

7838128668 / 783801001

Юридический адрес

190005, г. Санкт-Петербург, 5-я Красноармейская ул., д. 17, лит. А, кв. 62

Телефон

+7 921 753-09-52

Электронная почта

info-mybuh@bk.ru

Сайты

мойбух.рф, bot.moibuhrf.ru

Реестр операторов ПДн

№ 78-25-135245 (pd.rkn.gov.ru)

3.1. Лицом, ответственным за организацию обработки ПДн у Оператора, является руководитель Оператора (генеральный директор). Обращения по вопросам обработки ПДн направляются на электронный адрес info-mybuh@bk.ru с пометкой «Обращение субъекта персональных данных» либо по почтовому адресу Оператора, указанному выше.

4. Правовые основания обработки

Оператор обрабатывает ПДн на следующих правовых основаниях:

• Конституция Российской Федерации (ст. 23, 24);
• Гражданский кодекс Российской Федерации;
• Налоговый кодекс Российской Федерации;
• Трудовой кодекс Российской Федерации;
• Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
• Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи»;
• Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учёте»;
• Федеральный закон от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путём, и финансированию терроризма»;
• устав Оператора и локальные нормативные акты Оператора;
• договоры, заключённые между Оператором и субъектом ПДн (в том числе в форме присоединения — Публичная оферта сервиса «МОЙБУХ.РФ»);
• согласия субъектов ПДн на обработку их ПДн, в случаях, когда получение такого согласия требуется Законом.

5. Цели обработки персональных данных

Оператор обрабатывает ПДн для следующих целей:

1. идентификации Пользователя, регистрации и аутентификации в Сервисе, создания и ведения Учётной записи;
2. предоставления Пользователю доступа к функциональным возможностям Сервиса, в том числе автоматизированного формирования счетов, актов, УПД, договоров, платёжных поручений и иных документов;
3. исполнения договора, заключённого с Пользователем на условиях Публичной оферты, в том числе расчётов за Платные тарифы;
4. направления Пользователю уведомлений, сообщений информационного и сервисного характера;
5. направления маркетинговых и рекламных сообщений — при наличии отдельного согласия субъекта;
6. обработки обращений, жалоб, запросов, направленных в адрес Оператора;
7. исполнения Оператором обязанностей, возложенных на него законодательством РФ (в том числе налогового, бухгалтерского и антилегализационного);
8. ведения кадрового делопроизводства и расчётов с работниками и соискателями;
9. организации взаимоотношений с контрагентами Оператора, включая исполнение заключённых с ними договоров;
10. защиты прав и законных интересов Оператора и третьих лиц в досудебном и судебном порядке, в том числе предупреждение мошенничества и иных противоправных действий.

6. Категории субъектов и обрабатываемых персональных данных

6.1. Пользователи Сервиса (физические лица)

При использовании Сервиса Оператор обрабатывает следующие сведения о Пользователе как физическом лице:

• числовой идентификатор учётной записи Пользователя в мессенджере (user_id Telegram / MAX);
• публичный никнейм (username) Пользователя в мессенджере — в случае, если он установлен Пользователем самостоятельно и передаётся мессенджером в составе сообщений;
• хэш пароля (при использовании Пользователем веб-интерфейса личного кабинета или административной панели);
• технические сведения (время последнего обращения к Сервису, журналы действий, сведения о запросах).

6.2. Сведения, вводимые Пользователем о себе и своём бизнесе

Для формирования документов (счетов, актов, УПД, договоров, платёжных поручений) Пользователь самостоятельно вводит в Сервис сведения о юридическом лице или индивидуальном предпринимателе, от имени которого он действует, а также о лицах, указываемых в таких документах:

• наименование юридического лица либо Ф. И. О. индивидуального предпринимателя;
• ИНН, КПП, ОГРН/ОГРНИП, юридический и почтовый адрес;
• Ф. И. О. и должность лица, подписывающего документы от имени Пользователя (директор, бухгалтер и т. п.);
• банковские реквизиты (расчётные счета, БИК банков);
• контактный телефон и адрес электронной почты, указываемые Пользователем для печати в документах либо связи;
• изображения логотипа, факсимиле подписи, печати (при их самостоятельной загрузке Пользователем);
• сведения о выбранном тарифе, операциях и платежах.

Указанные сведения вводятся в Сервис по инициативе и под ответственность самого Пользователя. В случае, когда Пользователь является индивидуальным предпринимателем, его Ф. И. О. одновременно является ПДн физического лица — предпринимателя; обработка таких ПДн осуществляется на основании заключённого договора и в соответствии с пп. 5 ч. 1 ст. 6 Закона.

6.3. Сведения о контрагентах Пользователя

Сведения о контрагентах Пользователя поступают в Сервис:

• из общедоступных источников — Единого государственного реестра юридических лиц (ЕГРЮЛ) и Единого государственного реестра индивидуальных предпринимателей (ЕГРИП), раскрытие сведений которых осуществляется ФНС России в силу ст. 6 ФЗ от 08.08.2001 № 129-ФЗ;
• от самого Пользователя, который вводит их исходя из имеющихся у него договорных и деловых отношений с соответствующим контрагентом.

Состав обрабатываемых данных:

• наименование юридического лица или Ф. И. О. индивидуального предпринимателя / физического лица;
• ИНН, КПП, ОГРН/ОГРНИП (при наличии);
• юридический и почтовый адрес;
• банковские реквизиты;
• Ф. И. О. и должность руководителя (из открытых реестров либо указанные Пользователем);
• контактные данные, самостоятельно переданные Пользователем (при наличии).

Оператор не осуществляет самостоятельного сбора ПДн контрагентов «из иных источников» и не связывается с указанными лицами напрямую.

6.4. Посетители сайтов Оператора

• IP-адрес;
• сведения о браузере, операционной системе, устройстве;
• данные cookie-файлов;
• сведения о переходах и действиях на сайтах Оператора.

6.5. Работники, соискатели, контрагенты Оператора — физические лица

• сведения, предусмотренные ТК РФ и нормативными актами по ведению кадрового учёта;
• сведения, необходимые для заключения и исполнения гражданско-правовых договоров с Оператором.

7. Принципы обработки персональных данных

Оператор осуществляет обработку ПДн на основе следующих принципов:

• законность и справедливость обработки;
• обработка ПДн ограничивается достижением конкретных, заранее определённых и законных целей;
• недопущение объединения баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
• обработке подлежат только те ПДн, которые отвечают целям их обработки;
• содержание и объём обрабатываемых ПДн соответствуют заявленным целям обработки, не являются избыточными;
• обеспечение точности, достаточности и актуальности ПДн;
• хранение ПДн в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки, если срок хранения не установлен законодательством или договором.

8. Порядок сбора, хранения, передачи и иной обработки

8.1. Сбор ПДн осуществляется Оператором:

• непосредственно от субъекта ПДн (при регистрации и использовании Сервиса, направлении обращений, заключении договоров);
• из общедоступных источников (ЕГРЮЛ/ЕГРИП, сведения ФНС России) — в отношении сведений о юридических лицах и индивидуальных предпринимателях;
• от Пользователя — в отношении сведений о его контрагентах (см. раздел 11).

8.2. Хранение ПДн. Оператор осуществляет хранение ПДн в электронной форме в базе данных, размещённой на серверах, расположенных исключительно на территории Российской Федерации. Хранение осуществляется с использованием облачной инфраструктуры ООО «ЯНДЕКС.ОБЛАКО» (ИНН 7704458550).

8.3. Сроки хранения ПДн:

• ПДн Пользователей — в течение всего срока использования Сервиса, а также в течение 3 (трёх) лет после удаления Учётной записи или прекращения использования Сервиса (в целях подтверждения надлежащего исполнения Оператором своих обязательств и защиты своих прав);
• ПДн, обрабатываемые в целях исполнения налоговых и бухгалтерских обязанностей — в сроки, установленные НК РФ и ФЗ «О бухгалтерском учёте» (не менее 5 (пяти) лет);
• ПДн работников и соискателей — в сроки, установленные трудовым законодательством и законодательством об архивном деле;
• ПДн, обрабатываемые на основании согласия субъекта — до отзыва согласия, если иной срок не предусмотрен законодательством.

8.4. Уничтожение ПДн производится Оператором при достижении целей обработки, отзыве субъектом согласия, выявлении неправомерной обработки, либо истечении срока хранения — в срок, не превышающий 30 (тридцати) дней с момента возникновения указанного основания, если иное не предусмотрено законодательством. По результатам уничтожения ПДн составляется соответствующий акт.

8.5. Обезличивание. В случаях, когда ПДн больше не требуются в идентифицируемой форме, Оператор вправе осуществить их обезличивание.

9. Передача персональных данных третьим лицам

9.1. Оператор не осуществляет продажу ПДн и не передаёт их третьим лицам, за исключением случаев, прямо предусмотренных настоящей Политикой и законодательством РФ.

9.2. Оператор вправе привлекать третьих лиц для обработки ПДн по поручению Оператора (в соответствии с ч. 3 ст. 6 Закона) на основании заключённых с ними договоров, содержащих существенные условия, предусмотренные ч. 3 ст. 6 Закона, с сохранением обязанностей по соблюдению конфиденциальности и обеспечению безопасности.

9.3. Перечень основных обработчиков, привлекаемых Оператором:

9.4. Каналы связи. Для взаимодействия с Пользователями Оператор использует мессенджеры Telegram и MAX как каналы связи, выбираемые Пользователем самостоятельно. Указанные мессенджеры не привлекаются Оператором для обработки ПДн по его поручению: ПДн проходят через инфраструктуру мессенджеров транзитом, аналогично использованию сетей электросвязи общего пользования, и не размещаются Оператором на серверах мессенджеров для целей хранения или обработки.

Используя мессенджеры для связи с Оператором, субъект ПДн самостоятельно принимает пользовательские соглашения и политики конфиденциальности соответствующих мессенджеров и добровольно предоставляет им данные, необходимые для работы мессенджера. Ответственность за сохранность данных на стороне мессенджера несёт соответствующий его оператор.

9.5. Иные случаи передачи. Оператор также вправе передавать ПДн:

• государственным органам в случаях и порядке, предусмотренных законодательством РФ;
• привлекаемым Оператором профессиональным консультантам (юристам, аудиторам) — при условии принятия ими обязательств по обеспечению конфиденциальности;
• платёжным агрегаторам и банкам — исключительно в объёме, необходимом для обработки платежей;
• службе поддержки Оператора — в целях обработки обращений субъектов.

10. Трансграничная передача персональных данных

10.1. Все ПДн обрабатываются и хранятся на серверах, расположенных исключительно на территории Российской Федерации. Обработка ПДн с использованием средств автоматизации и без таковых осуществляется в дата-центрах, находящихся на территории РФ.

10.2. Использование субъектом ПДн мессенджеров Telegram и MAX в качестве канала связи с Оператором не квалифицируется как трансграничная передача ПДн Оператором по следующим основаниям:

• Оператор не привлекает указанные мессенджеры для обработки ПДн по поручению Оператора (ч. 3 ст. 6 Закона);
• Оператор не определяет условия хранения и обработки ПДн на инфраструктуре мессенджеров;
• выбор канала связи осуществляется субъектом ПДн самостоятельно и добровольно, как при использовании сетей электросвязи общего пользования;
• мессенджеры выступают транзитным каналом доставки сообщений между субъектом и Оператором, не осуществляя самостоятельного хранения ПДн по поручению Оператора.

10.3. В случае намерения Оператора в будущем осуществлять трансграничную передачу ПДн такая передача будет производиться не ранее, чем после получения соответствующего разрешения либо уведомления Роскомнадзора в порядке, предусмотренном ст. 12 Закона, с предварительным внесением изменений в настоящую Политику.

11. Обработка ПДн контрагентов Пользователей по поручению Пользователя

11.1. При использовании Сервиса Пользователь самостоятельно вводит сведения о своих контрагентах (в том числе ПДн индивидуальных предпринимателей и физических лиц) для целей формирования документов бухгалтерской и расчётной отчётности.

11.2. В отношении таких ПДн:

• оператором ПДн выступает Пользователь, поскольку именно он определяет цели и состав обработки ПДн своих контрагентов;
• Оператор осуществляет обработку ПДн по поручению Пользователя в объёме, необходимом для функционирования Сервиса (хранение, отображение, передача сервисам ИИ, формирование документов);
• условия поручения считаются согласованными сторонами с момента ввода Пользователем соответствующих данных в Сервис и включают обязанность Оператора соблюдать конфиденциальность ПДн, обеспечивать их безопасность в соответствии с ч. 5 ст. 18, ст. 18.1 и ст. 19 Закона.

11.3. Пользователь подтверждает и гарантирует, что:

• имеет все необходимые правовые основания для передачи Оператору ПДн своих контрагентов (согласие субъектов ПДн, договор, иные основания, предусмотренные ст. 6 Закона);
• самостоятельно несёт ответственность перед соответствующими субъектами ПДн за правомерность обработки их ПДн;
• ознакомил субъектов ПДн со сведениями об Операторе как о лице, осуществляющем обработку ПДн по поручению.

11.4. Оператор освобождается от ответственности перед субъектами ПДн, сведения о которых были введены Пользователем в Сервис без необходимых правовых оснований. Такая ответственность возлагается на Пользователя.

12. Cookie-файлы и технические данные

12.1. Сайты Оператора (bot.moibuhrf.ru, мойбух.рф и иные) используют cookie-файлы и аналогичные технологии для:

• обеспечения работоспособности Сервиса и сохранения сессии авторизации;
• технической аналитики (счётчики посещений, статистика использования);
• повышения удобства использования Сервиса.

12.2. Субъект ПДн вправе в любой момент отключить сохранение cookie-файлов в настройках своего браузера. Отключение cookie может привести к частичной или полной невозможности использования отдельных функций Сервиса.

12.3. Продолжение использования сайтов Оператора без изменения соответствующих настроек браузера рассматривается как согласие на использование cookie.

13. Меры по обеспечению безопасности персональных данных

13.1. Оператор принимает необходимые и достаточные правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий в отношении ПДн, в том числе:

• назначение лица, ответственного за организацию обработки ПДн;
• издание локальных нормативных актов, регламентирующих обработку ПДн;
• ознакомление работников, осуществляющих обработку ПДн, с положениями законодательства РФ о ПДн, требованиями к защите ПДн и настоящей Политикой;
• определение угроз безопасности ПДн при их обработке в информационных системах персональных данных;
• применение средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
• шифрование передаваемых ПДн с использованием протокола HTTPS (TLS);
• применение разграничения прав доступа к ПДн;
• регулярное резервное копирование данных;
• мониторинг событий информационной безопасности;
• учёт машинных носителей ПДн.

13.2. Уровень защищённости ПДн при их обработке в информационных системах персональных данных определяется Оператором в соответствии с постановлением Правительства РФ от 01.11.2012 № 1119.

14. Права субъекта персональных данных

В соответствии со ст. 14, 15, 20, 21 Закона субъект ПДн имеет право:

• получать сведения, касающиеся обработки его ПДн Оператором, в том числе:
  • подтверждение факта обработки ПДн Оператором;
  • правовые основания и цели обработки;
  • обрабатываемые ПДн и источник их получения;
  • сроки обработки, в том числе сроки хранения;
  • сведения о лицах, которым могут быть раскрыты ПДн;
  • иные сведения, предусмотренные ч. 7 ст. 14 Закона;
• требовать уточнения ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
• возражать против обработки своих ПДн в целях продвижения товаров, работ, услуг, а также против принятия в отношении себя решений, порождающих юридические последствия, исключительно на основе автоматизированной обработки ПДн;
• отзывать согласие на обработку ПДн в любой момент, если обработка осуществляется на основании согласия;
• обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов ПДн — Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) — или в судебном порядке.

15. Порядок обращения субъекта персональных данных

15.1. Запрос субъекта ПДн направляется Оператору в письменной форме по почтовому адресу Оператора либо в электронной форме на адрес info-mybuh@bk.ru с пометкой «Обращение субъекта персональных данных».

15.2. Запрос должен содержать:

• Ф. И. О. субъекта ПДн (или его представителя);
• номер основного документа, удостоверяющего личность (паспорта) субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, либо иные сведения, подтверждающие факт обработки ПДн Оператором;
• сведения, подтверждающие полномочия представителя (если запрос направляется представителем);
• существо запроса;
• подпись субъекта ПДн или его представителя (для запросов, направляемых в бумажной форме).

15.3. Ответ на запрос предоставляется Оператором в срок не позднее 10 (десяти) рабочих дней с даты его получения. По мотивированному уведомлению субъекта указанный срок может быть продлён, но не более чем на 5 (пять) рабочих дней.

15.4. В случае отказа в предоставлении сведений Оператор даёт субъекту ПДн мотивированный ответ со ссылкой на положения Закона, являющиеся основанием для такого отказа.

16. Изменение Политики

16.1. Оператор вправе вносить изменения в настоящую Политику. Новая редакция Политики вступает в силу с момента её размещения на сайте Оператора по адресу https://bot.moibuhrf.ru/kb/privacy.html, если иное не предусмотрено новой редакцией Политики.

16.2. Субъектам ПДн рекомендуется периодически знакомиться с текстом Политики на предмет внесения изменений.

16.3. Предыдущие редакции Политики предоставляются Оператором по запросу, направленному в порядке раздела 15.

17. Контакты

Все вопросы, связанные с обработкой ПДн, направляются по следующим контактам Оператора:

Почтовый адрес

190005, г. Санкт-Петербург, 5-я Красноармейская ул., д. 17, лит. А, кв. 62

Электронная почта

info-mybuh@bk.ru

Телефон

+7 921 753-09-52

Надзорный орган

Роскомнадзор — rkn.gov.ru